Annonser

Compliance – vad är det för något och vad är advokatens roll?

Vanligt affärsjuridiskt arbete avser oftast att lösa ett specifikt och isolerat problem. Compliancearbete tar sin startpunkt i det motsatta. Det handlar om långsiktig och strukturerad rådgivning kring hur företaget ska agera processmässigt och systematiskt, snarare än om att lösa ett konkret affärsmässigt problem eller en konkret situation. Hur kan vi motverka korrupt beteende i företaget genom att införa regelverk och utbilda anställda kring önskat beteende?

1. Inledning

Ordet compliance, eller den svenska motsvarigheten regelefterlevnad, används på en mängd olika sätt och i olika sammanhang. Oftast används det för att beskriva efterlevnad av olika typer av lagar eller andra regelverk i samhället eller inom näringslivet. Inom de reglerade delarna av näringslivet, såsom bankvärlden och läkemedelsindustrin, är compliance centralt eftersom efterlevnad av regelverken samt av olika typer av tillstånd är själva förutsättningen för att få vara verksam.

Utanför de traditionellt reglerade delarna av näringslivet har efterlevnad av regelverken också blivit viktigare. Ett exempel på detta är emissionsreglerna inom fordonsindustrin, där Volkswagens så kallade Dieselgate i USA har lett till både höga bötesbelopp utdömda av amerikanska och tyska myndigheter och höga skadeståndskrav från kunder och andra aktörer.

Compliance i det avseende som avses i den här artikeln handlar om att arbeta (i) förebyggande och strukturerat för att (ii) säkerställa att företaget och framför allt dess anställda följer vissa utvalda regelverk där (iii) konsekvenserna av att bryta mot regelverken är allvarliga i form av böter och skadestånd, men även i form av återverkningarna på ett företags varumärke och rykte. De regelverk som compliance i den här bemärkelsen brukar fokusera på är till exempel regelverk avseende antikorruption, konkurrensfrågor och exportkontroll/sanktioner men även GDPR.

Syftet med artikeln är att belysa vad compliancearbete innebär och att i ljuset av detta reflektera över vilka kompetenser som krävs inom ramen för compliancearbetets olika delar och vilken plats som advokaten typiskt sett har inom compliancearbetet. För att konkretisera vad compliancearbetet innebär belyser artikeln också två viktiga delar av compliancearbetet – riskanalysen och implementeringsprocessen.

2. Vad innebär compliancearbete – hur skiljer sig compliance från vanlig affärsjuridik?

Min bild är att skiljelinjen mellan vanligt juridiskt arbete och compliancearbete går mellan fokuseringen på den individuella frågeställningen respektive processorienteringen och systematiken. Vanligt affärsjuridiskt arbete avser oftast att lösa ett specifikt och isolerat problem genom att skriva eller tolka avtal, förhandla med motparten eller liknande. Arbetet är case-baserat och tar sin startpunkt i en isolerad frågeställning, som exempelvis ”kan motparten häva avtalet på grund av force majeure?” eller ”kan jag komma överens med min konkurrent om hur vi ska agera i den kommande upphandlingen?”.

Compliancearbete tar sin startpunkt i det motsatta: Hur kan vi motverka korrupt beteende i företaget genom att införa regelverk och utbilda anställda kring önskat beteende? Det är således en systematisk aktivitet där riktlinjer med mera ska ge vägledning åt de anställda om hur de ska agera i det individuella fallet och om vad man ska göra för att förebygga framtida problem. Detta är också kopplat till att många av de beteenden som complianceprogrammen är tänkta att hantera pågår löpande över hela företaget och därför inte är möjliga att lösa genom individuell rådgivning från företagets jurister. Det är också ofta frågor som, i avsaknad av erfarenhet och utbildning inom området, är svåra att förstå att de utgör en frågeställning över huvud taget.

Compliance och juridik kan således sägas ha två olika utgångspunkter, men de möts ”på mitten” eftersom även compliancearbetet givetvis handlar om att ge råd och stöd till de anställda i specifika compliancerelaterade frågor. Detta gör att det i ett företag kan finnas en viss överlappning mellan juristfunktionen och compliancefunktionen, och där är det viktigt att funktionerna, eller de som arbetar med affärsjuridiken respektive compliancefrågorna, samarbetar och säkerställer att ärendet hanteras på ett bra sätt.

Detta gäller oavsett från vilket perspektiv man lämnar rådgivningen, det vill säga oavsett om man är en anställd bolagsjurist, compliance officer eller verksam på advokatbyrå. Det är nödvändigt att kunna samarbeta och ha förståelse för de olika rollerna man kan ha som bolagsjurist respektive compliance officer för att utfallet ska bli så bra som möjligt.

Innan jag började arbeta med compliancefrågor för drygt tio år sedan hade jag varit både advokat och bolagsjurist i många år och arbetat med allt ifrån corporate governance-frågor till inköpsjuridik via transaktionsjuridik. Dessa erfarenheter från allmän affärsjuridik är enligt min mening nödvändiga när man ska arbeta med compliance-frågor, eftersom compliancearbete förutsätter att man kan förstå affären och kan ha en informerad syn på vad som är rimligt ur ett legalt perspektiv.

Även frågan om vad som är rimligt ur ett complianceperspektiv är värd att lyfta. Det finns en mängd olika checklistor kring vad som utgör ett effektivt complianceprogram. Dessa checklistor innehåller en betydande mängd aktiviteter som ett företag borde genomföra och en betydande mängd processer som ett företag borde ha på plats. Svårigheten när det gäller att ge råd kring compliance är inte att ange dessa aktiviteter. Svårigheten ligger snarare i att våga ta bort aktiviteter eller lägga dessa senare i implementeringsplanen, så att företaget inte drunknar under compliancekraven utan istället simmar framåt mot målet i en hanterbar hastighet. Här har jag genom åren sett advokater lämna dåliga råd eftersom de inte har förstått att företagets förmåga att absorbera complianceprogrammets innehåll är lika viktig som vad programmet innehåller.

3. Två specifika compliance­områden

3.1 Inledning

Nedan är avsikten att behandla två specifika områden som är centrala för uppbyggnaden av complianceprogram, vad dessa innebär och hur man som compliance officer kan hantera dessa. Jag återkommer i sammanfattningen till vilken roll advokaten har att spela inom dessa områden.

3.2 Riskanalys

3.2.1 Att hitta bolagets ”startpunkt” och dess riskprofil

För att ett bolag ska kunna bygga ett framgångsrikt complianceprogram behöver bolaget på ett övergripande plan förstå den miljö som bolaget verkar i och de risker som finns i bolaget och hur de ska hanteras. För att förstå detta på en övergripande nivå behöver man fastställa bolagets ”startpunkt”. Bolagets ”startpunkt” utgör sedan grunden för den mer djuplodande riskanalysen.

Att identifiera bolagets ”startpunkt” utgör alltså det första steget i complianceprocessen. Startpunkten handlar om att förstå några olika förhållanden som tillsammans ger en startpunkt eller en utgångspunkt för compliancearbetet och gör det möjligt för bolaget att förstå var man befinner sig när det gäller compliance både ur ett risk- och ur ett aktivitetsperspektiv.

Den första delen av bolagets startpunkt är att etablera bolagets övergripande riskprofil inklusive bolagets mer subjektiva riskaptit. Riskprofilen är i huvudsak kopplad till fyra olika frågeställningar.

  • Var gör bolaget affärer någonstans?
  • Vilka kunder har bolaget?
  • Hur ser vägen till kunden ut?
  • Hur ser relationen till konkurrenterna ut?

Dessa frågeställningar ger oss i sin tur en bild av vilka compliance-risker som bolaget måste hantera i sitt complianceprogram.

Hur dessa compliancerisker bör hanteras är dock inte skrivet i sten. Det påverkas inte bara av rent legala överväganden utan också av några andra faktorer som är mer kopplade till bolagets riskaptit men också till dess organisation och identitet. Är bolaget ett ”försiktigt” företag som är väldigt månt om att göra rätt, eller är man ett mer ”cowboy”-inriktat bolag som är villigt att ta risker på alla områden och då eventuellt även på complianceområdet? Min erfarenhet är att om ett bolag är villigt att ta stora affärsmässiga risker kommer det med stor sannolikhet också att vara villigt att ta större compliancerisker.

En annan aspekt av detta är hur ett bolag är organiserat. Är bolaget decentraliserat eller är det centraliserat? Detta påverkar också hur bolaget kommer att förhålla sig till beslutsfattande och kontroll inom ramen för complianceprogrammet, och då särskilt till hur man säkerställer att compliancefunktionen är tillräckligt oberoende.

En ytterligare byggsten när det gäller startpunkten är också vilka complianceaktiviteter som redan har genomförts. Finns det någon form av program på plats? Har man genomfört complianceutbildning eller har man gjort någon form av kommunikation kring compliance? Har bolaget andra erfarenheter av compliance, har man varit igenom utredningar eller andra typer av complianceproblem?

Alla dessa faktorer gemensamt ger bolagets startpunkt och den första och kanske viktigaste complianceaktiviteten är att göra denna analys och beskriva bolagets startpunkt. En väl definierad startpunkt är nyckeln till att på ett framgångsrikt sätt beskriva bolagets situation och riskexponering för att kunna sälja in nödvändiga complianceaktiviteter till styrelse, ledning och anställda. Likaså är det nyckeln till att skapa ett complianceprogram som är relevant för bolaget och därmed möjligt att implementera på ett framgångsrikt sätt.

3.2.2 Förutsättningen för en framgångsrik riskanalys är att förstå hur affärer görs i ditt bolag

Innan riskanalysen genomförs behöver man vara medveten om några inneboende begränsningar när en riskanalys genomförs. På ytan låter det enkelt att beskriva hur affärer görs i ditt bolag. Min erfarenhet är dock att detta är lite av en chimär, särskilt i företag av viss storlek.

Det är därför viktigt att förstå att i ett större bolag finns det ett normalt sätt att göra affärer. Det kan vara att sälja lastbilar och andra kommersiella fordon genom tredjepartsdistributörer. Detta normala sätt att göra affärer utgör utgångspunkten för complianceprogrammet och omfattar majoriteten av försäljningen av fordon. Det är dock inte det enda sättet utan det finns en mängd varianter som kan bero på marknadens mognad, lokala skatteregler och liknande. För att få ett heltäckande complianceprogram är det därför nödvändigt att fånga upp dessa variationer, som med största sannolikhet finns i alla bolag.

3.2.3 Det normala sättet att göra ­affärer

Alla företag har vissa standardsätt att göra affärer på. Dessa sätt måste analyseras och utgöra grunden för risk­analysen för att säkerställa att typfallen dokumenteras, men också för att säkerställa att rätt åtgärder vidtas för att hantera dessa grundläggande risker. Inom ramen för denna analys fångas kanske 80 procent av verksamheten upp och de risker som de flesta är medvetna om och förstår.

3.2.4 De resterande 20 procenten, hur hittar man undantagen?

När man gör en riskanalys eller när man bildar sig en uppfattning om hur bolaget bedriver sin verksamhet kan det hända att man inte tränger tillräckligt djupt ner i verksamheten, särskilt om det rör sig om en omfattande och global verksamhet. Det finns en risk att analysen stannar på ett bekvämt avstånd från verksamheten för att helikopterperspektivet ska behållas men också för att det kan vara svårt att få fram information om hur verksamheten bedrivs i hela företaget.

I verkligheten är det dock så att de verkliga riskerna mycket väl kan finnas bortom huvudfåran av hur verksamheten bedrivs. Detta kan bero på att dessa situationer inte är väl definierade eller organiserade utan ses som undantag som inte är intressanta, eftersom de kanske ur ett finansiellt perspektiv inte påverkar det övergripande resultatet på något påtagligt sätt. Ur ett riskperspektiv kan dessa dock vara väl så intressanta beroende på vilken typ av verksamhet det är fråga om. De kan dock vara svårfångade, och det är därför viktigt att i samband med riskanalysen ge sig ut i verksamheten och försöka leta upp även dessa situationer och risker.

3.2.5 Genomförande av riskanalysen

När startpunkten är etablerad och man har skapat en förståelse för hur affären görs, då är det dags att ta sig an själva riskanalysen.

Riskanalysen handlar om att omvandla de övergripande observationerna till en beskrivning av de konkreta compliancerisker som bolaget står inför. Huvudsyftet med denna är att genomlysa verksamheten utifrån de parametrar som definierats i bolagets startpunkt och på så sätt skapa sig en mer detaljerad och konkret bild av complianceriskerna.

Riskanalysen handlar således om att konkretisera de fyra områden som jag angav ovan.

  • Var gör bolaget affärer någonstans? Hur ser korruptionsrisken ut i de aktuella länderna generellt? Har de aktuella länderna aktiva myndigheter som utreder korruption eller eventuella överträdelser av konkurrensreglerna?
  • Vilka kunder har företaget? Har man en kundbas som består av offentliga myndigheter som gör upphandlingar av miljardkontrakt, eller består kundbasen av många små privatägda företag? Ur ett korruptionsperspektiv får du då två helt olika riskprofiler vilka ställer olika krav på regelverk, resurser och uppföljning.
  • Hur ser vägen till kunden ut? Säljer företaget utan mellanhänder till större företag eller säljer man genom distributörer/agenter? Om företaget använder mellanhänder måste complianceprogrammet säkerställa att företaget har möjlighet att styra och kontrollera dessa vad gäller compliancefrågorna.
  • Hur ser relationen till konkurrenterna ut? Är företaget aktivt på en marknad som har identiska produkter, eller har man produkter som har helt skilda egenskaper? Förekommer det täta kontakter inom forskning och utveckling mellan företag eller finns det branschorganisationer?

Själva riskanalysen genomförs genom intervjuer med relevanta personer på olika nivåer och inom olika delar av företaget, genom analys av dokumentation, strategidokument, avtal med mera.

Utifrån de definierade complianceriskerna kan bolaget bygga sina complianceprogram.

3.3 Implementering av complianceprogram

3.3.1 Utgångspunkter

Implementeringen av ditt complianceprogram är nyckeln till framgång, och det är i det dagliga implementeringsarbetet som det verkliga arbetet sker med att förändra och påverka hur ditt företag gör affärer.

Implementeringen av complianceprogrammet förutsätter att (i) startpunkten är definierad, inklusive att en korrekt riskanalys är genomförd, och (ii) complianceprogrammet inklusive processer, riktlinjer och annan dokumentation är framtaget. Implementeringen handlar helt enkelt om att få det att hända rent praktiskt.

Alla företag kan ta fram ett fullständigt complianceprogram som innehåller alla rätta byggstenar och som är baserat på en god riskanalys med rätt uppföljning. Problemet är att om programmet inte implementeras på ett korrekt sätt har du snarare ökat din risk än minskat densamma eftersom företaget är fullt medvetet om verksamhetens risker men gör inte tillräckligt för att komma till rätta med dem.

Implementeringsarbetet bör därför vara i fokus redan när man tar fram programmet, det vill säga när man konstruerar programmet och sätter kraven måste man ha en bild av om det man tänker sig få på plats faktiskt är genomförbart. Går det att implementera och jobba i de tänkta processerna, eller är de skrivbordsprodukter som är omöjliga att jobba med i praktiken?

3.3.2 Förutsättningar

Implementering av complianceprogram kräver att två nödvändiga förutsättningar föreligger:

  • Stöd från ledningen (tone-from-the-top).
  • Resurser.

Den första förutsättningen är alltså stöd från ledningen eller, som det ofta kallas, tone-from-the top. Grunden för detta är att en framgångsrik implementering av complianceprogram bygger på en stegvis förändring av bolagets kultur, det vill säga av hur bolaget gör affärer eller agerar på marknaden. Om denna kultur ska förändras måste ledningen, i form av styrelsen och ledningsgruppen, ge sitt stöd till en sådan förändring. Utan det stödet kommer inte en compliancefunktion ensam att kunna förändra hur bolaget och dess anställda agerar.

Vad innebär då tone-from-the-top i verkliga livet, hur ska detta komma till uttryck? Nyckeln här är kommunikation. Styrelsen och ledningen måste tydligt och kontinuerligt kommunicera att compliance är viktigt och att compliance är en av nycklarna till att företaget kan vara framgångsrikt över tid. Kommunikationen kan ske på olika sätt men behöver ha sin grund i en code of conduct, compliance policy eller liknande dokument. I dessa måste styrelsen och ledningen tydligt ange företagets ståndpunkt i olika frågor, vilka förväntningar styrelsen och ledningen har på de anställda samt vilka potentiella konsekvenser överträdelser därav kan få för anställda och andra.

Den andra nödvändiga förutsättningen är att företaget tillhandahåller tillräckliga resurser för att dels kunna genomföra implementeringsaktiviteterna, dels kunna arbeta fortlöpande med att utveckla och övervaka programmet.

De nödvändiga resurserna består av några olika delar. Det handlar dels om specifika complianceresurser för att kunna skapa och utveckla complianceprogrammet och driva de aktuella processerna och initiativen, dels om att ge tid och utrymme för de anställda att delta i och prioritera utbildning samt att kunna följa de aktuella complianceprocesserna.

3.3.3 Förstå vad som behövs för en framgångsrik implementering

Utöver de två nödvändiga förutsättningarna som nämnts ovan är det några andra frågor som man bör ställa sig inför implementeringen av ett complianceprogram för att implementeringen ska bli framgångsrik.

Den första frågan handlar om den befintliga företagskulturen. Hur ser denna ut och hur mottagliga är anställda för kommunikation kring compliance? Frågan huruvida företagskulturen upplevs som försiktig eller som en ”cowboy”-kultur påverkar hur implementeringen av complianceprogrammet bör genomföras för att vara framgångsrikt.

Den andra frågan handlar om sjukdomsinsikt. Är företagets styrelse, ledning och anställda medvetna om att det föreligger ett problem eller ett potentiellt problem, eller ses compliancearbetet som något som ”bara måste göras” utan att förstå de underliggande syftena eller drivkrafterna?

En annan fråga handlar om trovärdigheten av tone-from-the-top. Är kommunikationen från styrelsen och ledningen trovärdig i allmänhet eller är förtroendet för dem begränsat? Till detta kommer också omständigheterna i vilka kommunikationen görs. Görs compliancearbetet som en del av en ständig pågående utveckling av företagets arbete eller handlar compliancearbetet om att hantera en pågående kris inom detta område? Kommunikationens trovärdighet påverkas givetvis av omständigheterna kring densamma.

Frågan om vad anställda mäts på är också viktig ur det klassiska perspektivet att ”what’s measured gets done”. Mäts anställda enbart på omsättning, försäljning eller sänkning av inköpskostnader, eller finns det ”mjukare” inslag i hur framgång mäts i företaget?

Den sista frågan att ta hänsyn till är frågan om tidshorisont. Har styrelsen och ledningen en realistisk syn på hur lång tid det tar att genomföra en framgångsrik implementering av ett complianceprogram eller vill man ha en quick-fix?

Som framgår av det ovanstående bör man titta nyktert på ett företag och de faktorer som påverkar möjligheten till en framgångsrik implementering, ta med dessa i beräkningen och bygga implementeringsplanen utifrån de aktuella förutsättningarna.

3.3.4 De olika stegen i implementeringen av complianceprogram

Implementeringen av ett complianceprogram sker i olika steg och kan i princip delas in i följande delar:

  • integrering av processer, policies och riktlinjer i ramverket för hur verksamheten bedrivs,
  • utbildning av de anställda för att säkerställa att de nya processerna efterlevs, och
  • uppföljning för att säkerställa att aktiviteterna verkligen genomförs.

Implementeringen är alltså både tidskrävande och resurskrävande och innefattar stora delar av ett företag. För att detta ska fungera behövs således en genomarbetad implementeringsplan som beskriver (i) aktiviteterna, (ii) resurserna och de personer som behöver vara inblandade samt (iii) tidsperspektivet.

När det gäller tidshorisonten för att implementera ett complianceprogram så beror detta väldigt mycket på företagets startpunkt, dess storlek och verksamhetens komplexitet. Min erfarenhet är dock att man bör räkna med treårscykler inom implementeringsarbetet. Det första året handlar om utrullning av nya policies och riktlinjer genom utbildning samt kommunikation från både ledning och compliancefunktion. Det andra året handlar om fortsatt utbildning, komplettering och uppföljning av programmets innehåll baserat på de insikter man fått under det första året. Det tredje året handlar om uppföljning i form av revisioner och andra kontroller, och det är då lämpligt med en kompletterande riskanalys. Därefter fortsätter arbetet med förnyad utbildning och kommunikation, och en ny cykel påbörjas.

Det man kan konstatera är att detta är ett ständigt pågående arbete där complianceprogrammet ständigt utvecklas i ljuset av nya regler och utvecklingen av företags verksamhet. Det innebär också att implementeringen är ständigt pågående.

4. Hur kan man som advokat arbeta med compliance?

Det kan ju förefalla vara en märklig fråga att ställa, men ur mitt perspektiv är det viktigt att reflektera över hur vi som är verksamma på advokatbyrå kan se på vår roll inom complianceområdet. För att förstå frågan måste man gå tillbaka till skiljelinjen mellan juridik och compliance, där compliance tar sin utgångspunkt i processorientering och systematik medan juridiken återigen handlar om att hantera enskilda legala frågeställningar.

Ur det perspektivet är alltså compliance en egen specialitet som kräver kunskap och erfarenhet av vad ett complianceprogram ska innehålla för att leva upp till myndighetskraven (med utgångspunkt i lagstiftningen och riskanalysen) men framförallt hur complianceprogrammet ska implementeras i företaget.

Att arbeta med complianceprogram kräver alltså att advokaten behärskar både vad:et och hur:et, men givetvis även de legala frågor som complianceprogrammen avser att hantera. Complianceprogrammen handlar om att systematiskt applicera schematiska lösningar på legala frågor. Det som blir intressant ur advokatens perspektiv är dock att när complianceprogrammen kommer till användning, det vill säga när en anställd på ett företag har ett konkret problem kring hur man ska agera i det enskilda fallet, då är vi återigen tillbaka i essensen av advokatrollen, att hjälpa klienten med ett konkret juridiskt problem.

Hur ser då den ekvationen ut från en compliance officers perspektiv, vad behöver denne hjälp med? Som konstaterats ovan så består en compliance officers arbetsbeskrivning av två olika delar. En del som handlar om att ta fram policies och riktlinjer, att utbilda och kommunicera samt att utreda eventuella överträdelser. Den andra delen handlar om att lösa enskilda frågeställningar som uppkommer inom ramen för bolagets verksamhet. Dessa frågeställningar kan i princip delas in i två olika delar, en del som handlar om vad som är lagligt eller inte (där givetvis advokatens yrkesroll kommer helt till sin rätt) men också en del där frågeställningen inte är om något är lagligt eller inte utan snarare om något är bra eller dåligt för företaget givet företagets riskbenägenhet, rykte eller självbild. Denna del är som sagt inte strikt juridisk men är ändå något som advokaten i sin roll som rådgivare ofta kommer i kontakt med och något som en erfaren affärsjurist måste kunna hantera. 

Utifrån ovanstående kan vi konstatera att det, såvitt jag vet, är få advokater som har den praktiska erfarenhet och det praktiska kunnande som behövs för att kunna bistå en complianceofficer inom ramen för uppsättandet och implementeringen av complianceprogram, det vill säga kring vad:et och hur:et. I denna del handlar det för advokatens del i första hand om support till bolagets compliance officer och att tillhandahålla de resurser som denne ofta saknar i samband med en riskanalys eller en intern utredning.

Advokatens styrka inom compliance ligger istället i erfarenheten av att utreda och lösa konkreta juridiska och andra frågeställningar inom de områden som complianceområdet täcker.

Bo Berndtsson
Advokat

Bo Berndtsson är advokat och del­ägare i Setterwalls Advokatbyrå i Göteborg. Han har arbetat som bolagsjurist under många år och var under en följd av år chief compliance officer för Volvokoncernen och var då globalt ansvarig för att bygga upp och driva koncernens compliancearbete.