Store mangler i compliancefunksjonene i finansiell sektor i Finland - hva kan vi lære i Norge?

Finanstilsynet i Finland, “Finansinspektionen” har foretatt et tematilsyn av verdipapirforetaks-, fond- og AIF-forvalteres organisering av compliancefunksjonen. Deres rapport ble offentliggjort 17. oktober 2017. Tematilsynet gir oss noen interessante observasjoner som også norske aktører og rådgivere bør notere seg. Mange av de samme utfordringene som er avdekket i Finland, er også kjent i det norske markedet. Finansiell sektor har det mest regulerte compliance-regimet, men vi har også tidligere sett at trendene for utviklingen av compliancefunksjonen i finans har fått betydning for innholdet i arbeidet også i andre sektorer.

Tematilsynet ble delt inn i fem kategorier for compliancefunksjonen:

• organisasjon
• uavhengighet
• ressurser
• oppgaver
• utkontraktering

Compliancefunksjonens organisasjon

55 % av de evaluerte selskapene hadde ikke oppdatert interne retningslinjer og internkontrollprogrammet de siste årene, slik at sentrale temaer ikke ble omfattet av kontrollregimet. Dette er viktig for å ha et robust internkontrollregime og er et sentralt styringsverktøy i et stadig mer dynamisk regulatorisk landskap. En bekymringsfull observasjon var at 45 % av selskapene ikke hadde vurdert risikoen relatert til avvik mellom regulatoriske krav og interne retningslinjer og policy. Vi anser det som beste praksis at Compliance’ årsplaner bør være forankret både hos styret og øverste ledelse i tillegg til at sentrale interne retningslinjer oppdateres årlig i samsvar med regulatoriske endringer.

Compliancefunksjonens uavhengighet

Uavhengighet og bistand til kartlegging og håndtering av interessekonflikter er en viktig del av ansvarsområdet til compliancefunksjonen. 40 % av selskapene i undersøkelsen hadde ikke vurdert eventuelle interessekonflikter i interne retningslinjer. Retningslinjene spesifiserte heller ikke hvem som skulle utpeke og avskjedige leder for Compliance. Vi mener at beste praksis på dette området er at leder for compliancefunksjonen ikke må kunne avskjediges uten at dette er godkjent av styret.

Funnene viste videre at 65 % av selskapene ikke hadde samordnet compliancefunksjonen med andre kontrollfunksjoner i selskapet. Dette til tross for at Compliance, ifølge regelverket, kan ha andre tilsynsområder internt i organisasjonen. I de selskapene som kombinerte compliancefunksjonen med andre kontrollfunksjoner hadde 42 % av selskapene ikke spesifisert eller dokumentert eventuelle interessekonflikter samordningen kunne medføre.

Compliancefunksjonens ressurser

Compliancefunksjonens ressurser i forhold til kompetanse hadde i følge rapporten flere positive funn. Til sammen hadde over 50 % av selskapenes ansatte mer enn fem års arbeidserfaring fra en compliancefunksjon. Dette tyder på at det er et modent compliancemiljø i Finland.

I 80 % av selskapene hadde complianceressursene høyskoleutdannelse innenfor økonomi eller juss. Tematilsynet fant at i kun 10 % av selskapene hadde complianceansvarlige avlagt eksamen for verdipapirforetak (APV 1 og/eller APV 2). Vi ser også i Norge at det er høy kompetanse og erfaring blant compliancemedarbeidere og en økende trend iht å ta AFA-sertifisering eller andre tilsvarende sertifiseringer.

I over halvparten av selskapene utgjorde compliancefunksjonens ansatte 10 % av totalt antall ansatte i foretaket. Basert på vår erfaring med bransjen i Norge er dette en betydelig høyere andel enn hva som er gjeldende balanse mellom første- og andrelinjefunksjoner i norske foretak. Vår vurdering er at proporsjonalitetsprinsippet i forhold til uavhengig kontroll i andrelinjen vil bli utfordret fremover med de nye regulatoriske kravene som stadig stilles til regulerte foretak.

Compliancefunksjonens oppgaver

Det var flere overraskende funn da det finske Finanstilsynet så på selve utførelsen av compliancefunksjonens oppgaver. Over halvparten av selskapene hadde ikke utført risikovurderinger eller for øvrig oppdatert risikovurderingen siden 2014. Kun 20 % hadde opprettet et internkontrollprogram i henhold til de finske forskriftene. Videre viste funnene at en tredjedel av selskapene ikke tok med avviksmerknader i compliancerapportene som ble fremlagt til styret. Dette medfører risiko for at selskapenes styrer blir feilinformert ved manglende overensstemmelse mellom reelle funn og rapportering.

I ca. 85 % av selskapene bistod Compliance med rådgivningsoppgaver. Finanstilsynet i Norge har påpekt at utstrakt rådgivning kan påvirke funksjonens uavhengighet.

Utkontraktering av compliancefunksjonen

I Finland hadde 40 % av selskapene utkontraktert compliancefunksjonen fullstendig, mens 10 % hadde delvis utkontraktert den. Funnene viste videre at hele 60 % av selskapene med utkontraktert compliancefunksjon ikke hadde utnevnt intern complianceansvarlig i selskapet, noe som anses som et urovekkende funn sammenlignet med norske forhold. Ifølge regelverket skal selskapet også ved utkontrakterte tjenester foreta egne vurderinger, bl.a. risikovurderinger, samt at ansvaret for funksjonen til syvende og sist ligger hos selskapet. Utkontraktering reduserer ikke foretakets ansvar for oppfyllelse av forpliktelsene knyttet til kontrollfunksjonen.

60 % av de som hadde utkontraktert compliancefunksjonen i Finland hadde utkontraktert den til et annet selskap innenfor samme konsern, for 70 % av disse fant det finske tilsynet vesentlige mangler i utkontrakteringsavtalen. I de tilfellene hvor compliancefunksjonen var utkontraktert til eksterne selskaper var det derimot få eller ingen mangler i utkontrakteringsavtalen. Dette er en interessant observasjon som tyder på mangelfulle prosesser for konserninterne utkontrakteringsavtaler.

Hvorfor er dette viktig for oss i Norge?

Dette tematilsynet er spesielt nyttig for oss i Norge fordi det gir oss en pekepinn på viktige vurderingsområder som Finanstilsynet i Norge kan være interesserte i. Vi tror at det er sannsynlig at et tilsvarende tematilsyn blir gjennomført også hos norske verdipapirforetak innen rimelig tid. De regulatoriske kravene øker i omfang og kompleksitet. Sammenholdt med strengere sanksjoner fra tilsynsmyndighetene for manglende etterlevelse, blir compliancefunksjonens rolle stadig mer aktuell og krevende fremover. Med dette er det forventet tydeligere krav og dokumentasjon til funksjonens utførelse, omfang og kompetanse. Vi anbefaler at compliancefunksjonen sikrer rapporteringslinjer til øverste ledelse og styret og årlig oppdaterer interne instrukser og risikovurderinger. Videre bør enhver utkontraktering, konsernintern eller ekstern, kvalitetssikres iht utkontrakteringsforskriftens krav og formaliteter.

Vil du vite mer, er det bare å ta kontakt med Kjersti Aksnes Gjesdahl eller Shadabi Zaman.

Hele rapporten kan dere lese her.

Dersom du jobber med compliance innenfor Finansbransjen, så skal PwC holde et meget spennende seminar rundt implementering av MIFIDII. Informasjon om seminaret finner dere her.

Dette blogginnlegget er skrevet av Kjersti Aksnes Gjesdahl og Shadabi Zaman.