Compliance – hoitamattomana kivulias?

EY - Tilaajavastuulakimuutos 2015

Compliance ja Compliance Program ovat puhuttaneet hallitusammattilaispiirejä ja neuvonantajia jo jonkun aikaa. Aiheesta on tullut muoti-ilmiö erilaisissa seminaareissa. On olemassa monenlaisia suosituksia hyvistä organisoitumismalleista ja käytännöistä compliance-toiminnon tiimoilta. Compliance-rikkomuksen sattuessa tilanne tuntuu kuitenkin aina yhtä tukalalta oli yrityksessä valmiussuunnitelma tai ei.


Miksi compliance-rikkomukset ovat niin epämiellyttäviä? Minulle tulee ainakin kolme seikkaa mieleen intuitiivisesti:

  1. Compliance-rikkomuksen seuraukset ovat usein laajemmat kuin itse suoraan siihen liittyvä taloudellinen vahinko. Maineriski tai oikeastaan mainevahinko on vaikeasti kvantifioitavissa, mutta usein todellinen ja merkityksellinen – eikä myöskään mainevahingon rajaaminen ole taloudellisesti katsottuna ilmaista
  2. Compliance-rikkomus tuntuu organisaatiossa tukalalta myös siitä syystä, että tällaisessa tilanteessa joudutaan tarkastelemaan myös vastuukysymyksiä, jotka kiteytyvät yksilötasolle. Tämä aiheuttaa organisaatiossa levottomuutta ja vie fokusta liiketoiminnan hoitamiselta.
  3. Kolmas tukaluuden aiheuttaja on kysymys, jota ylin johto ja hallitustasolla pohditaan – olisiko rikkomukselta voitu välttyä paremmalla ennaltaehkäisevällä toiminnalla? Onko johdon ja hallituksen huolellisuusvelvoite täyttynyt? Vaikeita ja kipeitä kysymyksiä!

Valmistautumisesta on toki aina hyötyä – jos compliance-rikkomuksiin on varauduttu etukäteen voidaan vaikuttaa vahingon laajuuteen ja ajalliseen kestoon. Vastuukysymykseen valmiussuunnitelma ei kuitenkaan tuo helpotusta.

Vastuukysymykseen lievennystä tuo perusteellinen ja objektiivinen asian selvittäminen. Silloin puhumme suorasta vastuusta – eli kuka on vastuussa tietystä esimerkiksi sääntörikkomuksesta. Tämäkään ei tuo kuin jossain määrin helpotusta epäsuoraan vastuuseen, eli huolellisuusvelvoitekysymykseen. Tässä me liikumme ylimmän johdon ja yrityksen hallituksen kannalta tärkeällä alueella.

Nähdäkseni huolellisuusvelvoitteeseen liittyvään vastuuseen ei voi oleellisesti vaikuttaa ilman ennaltaehkäisevää ja dokumentoitua compliance-toimintaa. Tässä vältän tietoisesti puhumasta compliance-toiminnosta, koska sen voi järjestää monella tavalla, käytän siis sanaa compliance-toiminta.

Omien kokemusten perusteella voisi todeta yritysten tilasta compliance-toiminnan suhteen seuraavaa:

    • Suurimmalla osalla isoista yrityksistä on olemassa kirjattuja sääntöjä ja ohjeistuksia.
    • Suhteellisen moni yritys on jalkauttanut säännöt ja ohjeistukset, joskin vaihtelevin ponnistuksin.
    • Yritysjoukko pienenee vielä jonkun verran kysyttäessä perustuuko compliance-panostus riskikartoitukseen.
    • Kontrollien implementoinnissa käytännöt vaihtelevat suuresti – yllättävän monessa organisaatiossa ajatellaan, että taloudellisen raportointiin liittyvät kontrollit ovat yhtä kuin tehokas compliance-kontrolli. Compliance-kontrolleilla on laajempi merkitys ja laajempi soveltamisala. Niiden tarkoitus on luoda kohtuullista varmuutta, että organisaatiossa noudatetaan lakeja ja omia sisäisiä sääntöjä sekäa suojataan yhtiön omaisuutta.
    • Proaktiivinen compliance-asioiden valvonta tai monitorointi esimerkiksi data-analytiikan tai muun raportoinnin kautta, puuttuu enemmistöltä yrityksiltä.

Ei ole yleensä olemassa yksittäisiä sääntöjä tai yksityiskohtaisia suosituksia siitä mihin asioihin yrityksessä tulee laatia sääntöjä, miten järjestetään liiketoiminnan kontrollit ja missä määrin järjestetään valvontaa. Esimerkiksi USA:n FCPA:han ja UK Anti Bribery Actiin liittyvät ohjeistukset ovat poikkeuksia.

Miten sitten hallituksen jäsen voi analysoida täyttyykö hallituksen huolellisuusvelvollisuus?
Tähän kysymykseen ei ole yleispätevää vastausta, ratkaisu on tilannekohtainen. Compliance-rikkomuksen sattuessa on kuitenkin olemassa joitakin peukalosääntöjä joiden kautta huolellisuusvelvoitekysymystä voi lähestyä:

  1. Onko compliance-rikkomuksen aihealueeseen liittyvän compliance-toiminnan laajuus (tai sen puuttuminen) perustunut riskiarviointiin ja näin tietoiseen päätökseen? Esimerkiksi UK Anti Bribery Actiin liittyvät huolellisuusvaatimukset lähtevät selkeästi riskipainotetusta compliance-toiminta-ajattelusta.
  2. Jos compliance-rikkomuksen aihealuetta on pidettävä yrityksen toiminnan kannalta riskialttiina (riskikartoituksen tuloksena tai muutoin), niin onko asiaan liittyvät toimenpiteet dokumentoitu, kontrollit implementoitu ja valvonta asianmukaisesti järjestetty?

Riskiajattelun kautta lähestyminen ei pelkästään paranna hallituksen jäsenten turvallisuuden tunnetta, vaan se on myös omiaan kohdentamaan resurssit eli kustannukset niihin alueisiin, joista compliance-toiminnalla saadaan suurin lisäarvo eli suurin riskin pienentyminen panostukseen nähden halutulle tasolle.

Onko teidän yhtiönne hallituksessa keskusteltu aktiivisesti ja haastettu johtoa compliance-riskien kartoituksen tiimoilta? Missä piilevät yhtiönne oleellisimmat compliance-riskit? Kilpailulainsäädännön noudattamisessa? Korruptiossa? Eri omaisuuserien suojaamiseen liittyvissä sääntörikkomuksissa? Suojautumisessa kyberuhilta – tai muutoin tietoturvasääntöjen rikkomisissa?

Kiinnostuitko aiheesta – tutustu EY:n Fraud and corruption — the easy option for growth? -raporttiin.

Markus Nylund


Markus NylyndMarkus Nylund

email


Markus Nylund vastaa EY:n Suomen Forensic Accounting (Fraud Investigation & Dispute Services) -ryhmän toiminnasta. Markuksella on yli 20 vuoden kokemus erilaisista selvitystöistä ja investigaatioista sekä asiantuntijatodistamisesta erilaisissa kaupallisissa riidoissa. Hän on on myös toiminut asiantuntijaratkaisijana ja omaa laajalti kokemusta yritysjärjestelyistä.


Vastaa

Täytä tietosi alle tai klikkaa kuvaketta kirjautuaksesi sisään:

WordPress.com-logo

Olet kommentoimassa WordPress.com -tilin nimissä. Log Out / Muuta )

Twitter-kuva

Olet kommentoimassa Twitter -tilin nimissä. Log Out / Muuta )

Facebook-kuva

Olet kommentoimassa Facebook -tilin nimissä. Log Out / Muuta )

Google+ photo

Olet kommentoimassa Google+ -tilin nimissä. Log Out / Muuta )

Muodostetaan yhteyttä palveluun %s