Compliance – hva er god praksis?

Når vi er ute hos våre kunder og diskuterer god virksomhetsstyring og intern kontroll, får vi ofte spørsmål om hva som er god praksis, hvordan gjør «de andre det?».

Tre forsvarslinjer

Historisk har det vært bank/finans-sektoren som har vært den mest modne bransjen med hensyn på organisering av god virksomhetsstyring. Gjennom regulatoriske krav var de tidlig ut med implementering av en modell med tre forsvarslinjer.

De tre forsvarslinjene går i korthet ut på at førstelinjen består av den operative ledelsen og ansatte som sørger for at etablerte rutiner og retningslinjer etterleves i det daglige arbeidet. Andrelinjeforsvaret er funksjoner etablert for å sikre risikostyring og etterlevelse (compliance) til å følge opp risiko for brudd på lover, forskrifter og retningslinjer. Tredjelinjen er en uavhengig internrevisjonsfunksjon.

Denne trelinje-modellen er globalt anerkjent, og mange større virksomheter i andre bransjer har etablert eller planlegger å etablere andrelinjefunksjoner. I denne forbindelse får vi ofte spørsmål knyttet til etablering av en compliancefunksjon. Hvordan skal compliance funksjonen organiseres, hvem skal den rapportere til, ressursbehov, belønningsstruktur etc.

Vi gjennomførte nylig en spørreundersøkelse hos store norske virksomheter i ulike bransjer (både privat og offentlig sektor) som allerede har en compliancefunksjon, for å prøve å finne ut om det har etablert seg en felles praksis. I tillegg har PwC globalt gjennomført to internasjonale undersøkelser vi testet våre funn mot. Basert på funnene har vi oppsummert hva vi ser som god praksis for en compliancefunksjon.

God praksis

Organisering og mandat

• Compliancefunksjonens rolle må være godt forankret hos styret og ledelsen. God praksis er at mandat, instruks eller policy for funksjonen er godkjent av styret for å sikre tilstrekkelig fokus. Styret bør også fastsette risikotoleranse for compliancebrudd.
• Vi mener en compliancefunksjon faglig bør rapportere direkte til administrerende direktør eller toppledelse, med en rett og plikt til å rapportere til styret jevnlig. Ved spesielle hendelser bør styret og ledelse informeres umiddelbart. Undersøkelsen viser at det ikke er noen entydig praksis for hvem compliancefunksjonen personalmessig rapporterer til. Her må man være bevisst interessekonflikter som kan ha betydning for compliancefunksjonens uavhengighet. Vi mener leder for compliancefunksjonen (ofte benevnt Compliance Officer) ikke må kunne avskjediges uten at dette er godkjent av styret.

Plan og rapportering

• Compliancefunsjonen må jobbe risikobasert, og må utarbeide en årlig plan for sitt arbeid. Det er god praksis at årsplanen forankres hos styret og ledelsen. Vår anbefaling er at årsplanen bør vedtas av styret.
• Hyppighet på rapportering til styret og toppledelse må vurderes i sammenheng med selskapets størrelse og kompleksitet. God praksis for større virksomheter er at toppledelse og styret/styreutvalg mottar rapportering om compliancerisiko kvartalsvis.

Ressurser

• Antall årsverk knyttet til compliancefunksjonen må alltid avgjøres ut fra funksjonens ansvar og oppgaver. Antall årsverk vil variere avhengig av bransje, ettersom omfang og kompleksitet i regulatoriske krav varierer.
• Leder av funksjonen må vurdere kapasitetsbehov og gi tydelig beskjed til administrerende direktør og styret dersom man mener kapasiteten ikke er forsvarlig i forhold til vedtatt risikoappetitt.

Ansvarsområde

• Generelt ser vi at compliancefunksjonene har et bredere ansvar enn utelukkende kontroller av etterlevelse. Samtlige compliancefunksjoner som har deltatt i undersøkelsen har et ansvar i forbindelse med utarbeidelse og vedlikehold av styrende dokumenter. Videre har de fleste funksjoner ansvar for rutiner knyttet til anti-korrupsjon og utarbeidelse/oppfølging av etterlevelse av etiske retningslinjer. Mange har også ansvar for varslingskanaler.

Avlønning

• Et viktig prinsipp for en velfungerende compliancefunksjon er at den skal være uavhengig av de enheter den kontrollerer. Variable bonuser og insentivordninger kan skape interessekonflikter for medarbeidere i compliancefunksjonen, og hindre funksjonens uavhengighet og medarbeiderens objektivitet.
• Vi mener bonusordninger for medarbeidere i compliancefunksjoner er uheldig og bør unngås.
• Dersom virksomheter likevel velger å tildele bonus, bør dette være del av kollektiv bonusordning, der størrelsen og kriteriene er fastsatt av styret.

Det er økende omfang og kompleksitet i regulatoriske krav. Dette sammen med strengere sanksjoner fra tilsynsmyndigheter for manglende etterlevelse gjør at compliancefunksjonens rolle blir mer og mer aktuell og krevende fremover.

Vil du vite mer så er det bare å ta kontakt, eller last ned undersøkelsen.