Annonser

”Failure to prevent” – en universallösning för myndigheter?

Miljardböterna för Telia är bara början. Regelverken kring korruption och mutor är här för att stanna – och kommer att utvidgas till andra områden som skatt,
arbetsrätt med flera. Med ökad risk för företagsledningar och rådgivare. Det konstaterar advokat Peter Utterström.

För snart 10 år sedan skrev jag en debattartikel i DI Debatt där jag varnade svenska företag för att de kunde drabbas av den amerikanska antikorruptionslagstiftningen (FCPA – Foreign Corrupt Practices Act) i sitt agerande såväl i Sverige som utomlands. Dagen efter bortförklarades mina varningar i ett bemötande av en talesman för Svenskt Näringsliv med den sammanfattande kommentaren att ”Utterström har helt fel – han förstår inte detta”. Ignorans kan ha ett högt pris och ett flertal svenska företag har numera fått lära sig att brott mot FCPA är osedvanligt dyrt!

Sedan dess har också utvecklingen inom antikorruptionsområdet gått fort, och den teknik som använts på detta område för att fälla företag och företagsledningar har spridit sig till andra områden inom vad som generellt kan kallas ”compliance”, det vill säga företagens ”regelefterlevnad”. Begreppet som används av mig är ”failure to prevent” (eller ”F2P”), det vill säga företagets/företagsledningens underlåtenhet att vidtaga tillräckliga åtgärder för att förhindra att företaget genom sina anställda begår eller medverkar i brott mot regler och policies.

Myndigheternas ansvarsutkrävande vid brott mot regelefterlevnad har som sagt utvecklats först inom antikorruption och då med ursprung i den amerikanska korruptionslagstiftningen som snabbt spritts till andra länder. Därefter har man inom andra regelområden – såsom inkomstskatt och skydd av persondata – insett att samma teknik är lämplig. Att denna utveckling har gått relativt snabbt beror sannolikt delvis på medierna (och allmänheten) som satt politikerna under verklig eller uppfattad press att agera mot ”oacceptabla” eller vad som anses vara ”oetiska förfaranden”. Denna utveckling har naturligtvis ytterligare förstärkts av senare tids Panama- och Paradise-papers. Risken är därför, enligt min uppfattning, uppenbar att tekniken kommer att tillämpas på alla de områden där det är svårt att ta fram en tydlig och förutsebar lagstiftning eller där bevisbördan för myndigheterna anses för hög. Att skapa ett system baserad på regelefterlevnad – compliance på nysvenska – är då naturligtvis lockande för varje lagstiftare som – åter starkt förenklat – vill kunna två sina händer relativt allmänheten. Den börda som man därmed tillskapar på företagandet är förmodligen något som man många gånger helt bortser från; ett bra exempel på detta är GDPR där genomsnittskostnaden i Europa för företagen uppges till cirka 140 000 kronor/företag. Oavsett detta, låt oss dock inledningsvis konstatera att begreppet ”failure to prevent” har kommit för att stanna och att det kommer att spridas till fler områden av affärslivet.

Startpunkten är som sagt rent historiskt i den amerikanska (anti-)korruptionslagstiftningen där den utvecklats i praxis. Eftersom den amerikanska jurisdiktionen på detta område är vid – i korthet räcker det att mutbrottet befrämjats genom användning av det amerikanska post-, tele- och banksystemet – finner amerikanska myndigheter ofta att de har jurisdiktion, något som ett antal svenska företag har fått erfara dyrt. Den amerikanska lagstiftningen och praktisk hantering har snabbt spritt sig till andra länder – UK Bribery Act (2012) är ett exempel där också principen om failure to prevent inkluderats i lagstiftningen. Enligt denna skall företagsledning vidta alla de åtgärder som är ”rimliga” (reasonable actions) för att förhindra att anställda begår brott mot lagstiftningen. Även Sverige har på sitt lite udda sätt (också 2012) inkluderat F2P-principen i brottet ”grov vårdslös finansiering av mutbrott” där det föreskrivs en skyldighet för företagsledningen att säkra kunskap om med vem man gör affärer och hur finansiella medel därvid används. Om företaget brister i denna så kallade due diligence av sina samarbetspartners/kunder kan företaget göras ansvarigt för detta brott. Med denna utveckling bör man som företagare och affärsrådgivare utgå ifrån att principen i varje fall på korruptionsområdet är väl etablerad rent globalt.

Vad har detta då inneburit när det gäller mutbrott? Sett ur ledningens synvinkel har problemet när brottet kommer till ytan historiskt hanterats genom att man pekat på en viss anställd – gärna långt borta – som då påstås ha struntat i regelsystem, lagstiftning eller interna policies. Kanske också att man möjligen har anpassat till den lokala kulturen. Detta fungerar dock inte i dag – ledningen måste kunna visa att man rent faktiskt har vidtagit alla (rimliga) åtgärder för att förhindra brott mot reglerna – genom en tydlig etisk kod såväl som kunskap och efterlevnad av lagregler. Det innebär i praktiken att företagsledningen måste säkerställa att det finns en etablerad kultur inom företaget att ”göra rätt”, det vill säga en kultur grundad på integritet och trovärdighet som inte tillåter brott mot lag och intern policy. Till detta måste det kopplas en struktur av olika åtgärder som alla syftar till att stötta denna kultur – policies, utbildning med mera. Vidare måste företagsledningen ha säkrat att det finns en etablerad visselblåsarfunktion där också anmälningar om påstådda brott tas på allvar, och där visselblåsaren inte riskerar att bestraffas – en tyvärr alltför vanlig händelse. Ovanstående får nog betecknas som ett minimikrav i de företag som förstått behoven av åtgärder. Alltfler företag har också utvecklat sina interna etiska policies att inkludera fler – för att inte säga alla – områden för ett etiskt agerande såväl internt och externt.

Nedan en kort beskrivning över andra områden där varianter av failure to prevent har etablerats – direkt eller indirekt.

Penningtvätt
Lagstiftningen om penningtvätt har inom EU grundats på ett antal direktiv och har förstärkts mer och mer dels genom att ålägga banker, finansiella institutioner och aktörer som normalt är involverade i finansiella transaktioner att införa interna rutiner som upptäcker, rapporterar och förhindrar penningtvätt. Penningtvättsregler gäller givetvis också de affärsdrivande företagen som tvingas ta fram policies för hur företagets anställda skall agera. Underlåtenhet att vidta de grundläggande åtgärderna eller brister i dessa rutiner kan förorsaka stora finansiella straff oavsett om skada inträffat. Penningstvättsreglerna bryter också advokatsekretessen genom skyldigheten för rådgivare – inklusive advokat – att rapportera misstänkt penningtvätt i ärenden som handläggs.

Data privacy/GDPR
Ett område som – för många överraskande – kom upp på F2P-radarn är GDPR, det vill säga det EU-direktiv som trädde i kraft den 25 maj 2018 och som riktar sig mot skyddet av persondata. I detta direktiv (och lokal lagstiftning) läggs ett omfattande ansvar på företagsledningen att tillse att regler rörande skyddet av personuppgifter tas på allvar, inte bara som en kulturfråga utan även rent tekniskt. Och att persondata inte sparas onödigtvis – jämför ”bra att ha” vs ”nödvändigt för verksamheten”. Och här kommer F2P-poängen – kostnaden vid brott mot dessa regler kan bli mycket hög oavsett eventuell skada. Detta innebär att företagsledningen måste säkra att alla åtgärder vidtas för att företaget och de anställda anpassar sitt agerande till GDPR-reglerna.

Skatterådgivning
På skatteområdet har utvecklingen gått från en generell acceptans att skattskyldiga planerar för att reducera skattekostnaden inom ramen för de regler och villkor som lagstiftningen ställer upp, till kravet i dag dels att skatteplanering som sådan i alltfler fall anses oetisk och dels att skattebetalaren (eller skatterådgivaren) måste redogöra för sina åtgärder att minska skatten för myndigheterna. Tydligast framgår detta synsätt i det så kallade BEPS-projektet (”Base Erosion Profit Shifting”) där man under OECD:s ledning har tagit fram 15 olika handlingsplaner vilka alla åsyftar att förhindra vad som kan samlas under begreppet ”otillåten skatteplanering”. Dessa 15 handlingsplaner innefattar allt från enskilda förändringar av olika skatterättsliga företeelser, åtgärder för att förhindra ”skatte-arbitrage”, informationsutbyte mellan stater till ett multilateralt skatteavtal; allt för att öka informationsflödet och därmed minska möjligheterna att skatteplanera. EU har hakat på denna trend genom bland annat ett nytt direktiv rörande skatteundandragande åtgärder (Anti-Tax Abuse Directive – ATAD) liksom ett direktiv riktat mot skatterådgivare och skyldigheten för dessa och/eller företaget att anmäla vad som populärt kallas ”aggressiv skatteplanering”. Denna anmälningsplikt stöttas naturligtvis av ett högt finansiellt ansvar i händelse av underlåtelse. Åter ett exempel på en variant av F2P där dessutom statens intresse av information bedömts viktigare än till exempel advokatsekretessen.

Arbetsrätt
Att andra områden kommer att inkluderas i denna tillämpning är uppenbar – ett utmärkt exempel är arbetsplatsfrågor där det successivt ställs allt högre krav på arbetsgivarens agerande för att förhindra olika ageranden, där den mest uppenbara är den utveckling som skett efter #metoo. Den företagsledning som i dag inte aktivt ser över företagskulturen så att denna inte tillåter mobbning, trakasserier – vare sig sexuella eller andra – eller andra oacceptabla ageranden kommer med hög sannolikhet att få betala dyrt för denna underlåtelse.

Sammanfattning
F2P är enligt min uppfattning en princip som helt enkelt bedöms som alldeles för effektiv för att både lagstiftare och rättstillämpande myndigheter ska avstå från denna. Genom denna kan ”rättvisa” utkrävas genom att man konstaterar att företagsledningen har brustit i ett eller annat avseende – till exempel inte antagit en tillräckligt omfattande etisk kod eller genomfört utbildning i tillräcklig omfattning av de anställda på områden rörande uppförande som många gånger borde sitta i ryggmärgen på de flesta anställda.

De ovanstående exemplen är sannolikt bara en början. Det innebär att företagsledningarna måste börja tänka mer på hur regelefterlevnaden fungerar i företaget och skapa procedurer och rutiner för att följa upp denna. Och att rådgivare – alla kategorier inklusive advokater – redan i dag måste inkludera frågor rörande regelefterlevnad i sin rådgivning och agerande.

Peter Utterström, advokat

Peter Utterström är advokat sedan 1984 med särskild inriktning på bolagsbeskattning och compliancefrågor.