Nummer 2, vinter 2012, 20. årgang. Fokus på compliance

Transkript

1 SIRK Styring Internrevisjon Risiko Kontroll Nummer 2, vinter 2012, 20. årgang Fokus på compliance Manglende hodelykt, vernebriller og hørselsvern for å beskytte mot støy fra passerende fly. Manglende hjelm, vernebriller og sikkerhetsbelte. Gaver er ikke tilbørlig sikret. Manglende vernesko med piggsåler. Manglende airbag. Kjære julenissen Vi har identifisert en rekke brudd og mangler etter vår hms-revisjon. Vennligst korriger disse snarest. Etikk - undersøkelse Prosjekt - revisjon Informasjons - sikkerhet Samarbeid med tredjeparter Risiko fra budskap til erkjennelse

2 REDAKTØRENS SPALTE Julen nærmer seg med stormskritt, og nisser, juletrær og pepperkakehus er i ferd med å innta både kontorlandskap og hjem. Vi må imidlertid til en annen del av bibelen for å finne tidenes første registrerte compliance-brudd; nemlig scenen der Adam tar en bit av det forbudte eplet. Avisforskrifter de siste tiår vitner om at det ikke var det siste Internrevisjonsstandardene definerer compliance som adherence to policies, plans, procedures, laws, regulations, contracts and other requirements. Ordet compliance kommer fra det latinske complere som betyr å fylle opp. Hva rollen fylles med og ikke minst hvem som fyller rollen som compliance officer varierer fra virksomhet til virksomhet. Compliance kan begrense seg til etterlevelse av et utvalg lover og forskrifter, via fokus på utvalgte risikoområder som korrupsjon til å dekke etter levelse av interne og eksterne lover og regler for alle virksomhetens prosesser. For noen bransjer krever lovgiver at selskapene har en compliance-funksjon, mens man i andre bransjer står fritt til å velge. I dette nummeret ser vi nærmere på bakgrunnen for utviklingstrekk og trender innenfor compliance, og vi møter compliance officers fra en rekke ulike bransjer. Intervjuene viser bredden i både bakgrunn og fokusområder. Virksomheter står i dag overfor et sett av stadig mer komplekse lover og regler. I tillegg har vi siden Enron og WorldCom sett en gryende tendens til å straffeforfølge virksomheter og individer for handlinger som vurderes som uetiske og ulovlige først i etterpåklokskapens lys. Compliance-brudd kan koste virksomhetene dyrt, enten i form av bøter, tap av omdømme eller til og med fengselsstraff. I tillegg til god risikohåndtering og internkontroll, trekkes kultur og en felles etisk plattform frem av intervju - objektene som elementer som bidrar til å redusere risiko for compliance-brudd. Artikkelen om etikkundersøkelser gir oss verdifull innsikt i hvordan Oslo Børs i samarbeid med Ernst & Young har valgt å måle kjennskap til og etterlevelse av bedriftens etiske retningslinjer, og ansattes oppfatning av ulike etiske dilemmaer som de kan møte i sin arbeidshverdag. Et fellestrekk som er vel verdt å merke seg fra intervjuene er at compliance-miljøet beskriver samarbeidet med intern - revisjonen som godt. I tillegg nevner flere at de savner et forum for diskusjon og mulighet til å dele erfaringer med andre compliance-officers. Dette er gode nyheter for et fremtidig nettverk for compliance, som foreningen arbeider med i disse dager. Redaksjonskomiteen ønsker å takke alle bidragsytere til dette nummeret, og samtidig oppfordre leserne til å ta kontakt dersom dere har innspill til temaer dere ønsker å lese eller skrive om. På vegne av redaksjonskomiteen ønsker jeg dere alle en fredelig adventstid og et riktig god nytt år. REDAKSJONS KOMITEEN Ansvarlig for dette nummeret av SIRK Mari Vonen PricewaterhouseCoopers AS Postboks 748, Sentrum, 0106 Oslo, M: mari.vonen@no.pwc.com Reidar Døli Oslo Børs Tollbugata Oslo reidar.doli@oslobors.no Esa Leporanta Forsvarsdepartementet Glacisgata Oslo esa.leporanta@fd.dep.no Randi Almås Norges Bank Postboks 1179 Sentrum 0107 Oslo M: randi.almas@norges-bank.no Kristoffer Igdun C. J. Hambros plass Oslo Kristoffer.igdun@nav.no Janne Britt Saltkjel Styrets representant Deloitte AS Postboks 347 Skøyen 0213 Oslo M: jsaltkjel@deloitte.no Se mer info på 2 SIRK nr

3 Innhold 2 Redaktørens spalte 4 Styrets leder har ordet Fokus på Compliance 6 Compliance starts at the top 8 Trender innenfor complianceområdet 12 Compliance officer for antikorrupsjon i Multiconsult 16 Intervju med Compliance officer Thales 18 Intervju med Carine Smith Ihenacho 20 Intervju med Compliance funksjonen i DNB Markets 22 Intervju med Frede Aas Rognlien 24 Opprettelse av et Compliance Forum 26 Informasjonssikkerhet underbygger god intern kontroll og motsatt! 29 Samarbeid med tredjeparter en helhetlig og praktisk tilnærming der risikoen er størst 31 Etikkundersøkelse Øvrig stoff 33 Nettverk risikostyring 34 Referat fra halvdagsseminar i regi av Nettverk risikostyring 37 Prosjektrevisjon 42 Internrevisjon av utkontrakterte sentrale prosesser 46 Kvinner i økonomisk kriminalitet 48 Kritikk av Riksrevisjonen riktig eller galt? 50 Bokomtale: Huset Rothschild 51 Bokomtale: Omgitt av løgnere Foreningsnytt 52 Noen inntrykk fra European Conference i Amsterdam 53 Noen inntrykk fra The IIA 2012 International Conference i Boston, USA 54 Tillitsvalgsamlingen Nyheter fra sekretariatet, IIA og andre samarbeidspartnere 63 På tampen NORGES INTERNE REVISORERS FORENING President Martin W. Stevens Gjensidige Forsikring Postboks Lysaker M: martin.stevens@gjensidige.no Informasjons- og promoteringskomitéen Alf Martin Hanssen Statsbygg Postboks 8106 Dep 0032 Oslo J: M: amh@statsbygg.no Konferansekomitéen Carl Gunnar Lunde SG Finans AS Postboks Lysaker M: carl.gunnar.lunde@sgfinans.no Programkomitéen Karl Ludvig Mauland BDO AS Postboks 1704 Vika 0121 OSLO M: karl-ludvig.mauland@bdo.no Redaksjonskomitéen Mari Vonen PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 OSLO M: mari.vonen@no.pwc.com Nominasjonskomitéen Petra Liset PricewaterhouseCoopers AS Postboks 748 Sentrum 0106 OSLO M: petra.liset@no.pwc.com Foreningsekretariat Ellen M. Brataas Generalsekretær M: ellen.brataas@iia.no Svein Stabekk Foreningssekretær M: svein.stabekk@iia.no Postadresse: Norges Interne Revisorers Forening Postboks 1417 Vika, 0115 Oslo post@iia.no Besøksadresse: Munkedamsveien 3 B, 3. etg Oslo SIRK: Publikasjon fra Norges Interne Revisorers Forening, NIRF Antall utgivelser pr. år: 2 Opplag: Meninger og påstander som fremkommer i artikler eller innlegg er ikke nødvendigvis sammenfallende med NIRFs syn. Neste utgave: Juni 2013 Har du bidrag til bladet? Ta kontakt med redaksjonens leder for frister m.m. Årsabonnement: Kr. 150 Annonsepriser: Kr for en helside Kr for en halvside (mva. tilkommer) Grafisk produksjon: Dalby Grafisk Forsidebilde: istockphoto

4 Styrets leder HAR ORDET Lederen har ordet Jeg hadde gleden av å delta på seminaret Risiko fra budskap til erkjennelse som ble arrangert av nettverk risikostyring. Det var en fornøyelse å skue utover den fullsatte salen. Det var tydelig at dette var et tema som fenget både de som har tittel som inneholder ordet risikostyring og andre av oss som bærer internrevisjonstittel, men er levende opptatt av kvaliteten i virksom - hetens risikostyring. Dette er et synlig bevis på vårt formål om å være en forening som er opptatt av alle aspekter ved risiko- og virksomhetsstyring. For meg ville det virket dumt om vi som bor i et relativt lite land om vi som forening ikke skulle ta i mot utfordringen om å gi faglig støtte til alle de som arbeider innenfor det utvidede fagfeltet risiko- og virksomhetsstyring. I tråd med denne tankegangen opprettet NIRF i fjor nettverk risikostyring og den har til de grader nettopp vist sin eksistensberettigelse. Men i tillegg til dette har vi også hatt et oppstartsmøte med medlemmer som arbeider innenfor området compliance eller som av andre grunner er opptatt av videreutvikling av dette fagområdet. Oppstartsmøtet resulterte i nedsettelse av en arbeidsgruppe som skal fremme forslag til styret om videreutvikling av nettopp dette fagområdet. Ikke for å foregripe begivenhetene, men det er mitt håp at Generalforsamling i 2013 kan fremme et forslag om å godkjenne opprettelse av et nettverk compliance innenfor NIRF. På den andre siden mener jeg at en forening som insisterer på å beholde og bevare et snevert interessefelt risikerer å gå ut på dato på samme måten som middel - alderens lauger. Selvfølgelig skal man passe på at man ikke på veien ødelegger de gode verdier som finnes i foreningen i dag, men dette er noe jeg personlig ikke er redd for skal skje når det er kloke internrevisjonshoder som skal styre og overvåke utviklingen! For meg er utviklingen et steg videre på veien der internrevisorer trer frem fra skyggene og synliggjør det som opptar oss, nemlig god risiko- og virksomhetsstyring i de virksomhetene vi jobber i. Derfor gledet det meg også da jeg kunne konstatere at både NIRF sin webside og web - siden til Styreinstituttet annonserer en felles konferanse i Brussel om hvordan styremedlemmer kan få nytte av internrevisjon. På samme konferanse skal det også presenteres en uttalelse om arbeidet våre respektive europeiske foreninger ECIIA og EcoDa har gjennomført om nettopp dette temaet. Det neste må være at dette dokumentet skal være mer kjent i Norge og jeg kan love at vi allerede nå arbeider med planer for dette. Som President for en høyst levende og fremtidsrettet forening er det min glede å ønske dere alle en god jul og et godt nyttår! NIRF går foran i utviklingen, men vi ser etter hvert at andre deler av den internasjonale virksomheten til IIA også begynner å diskutere i samme baner. Det er klart at på sikt må en forening som appellerer også til andre viktige kontrollinstanser som risikostyring og compliance, ta inn over seg konsekvensene dette kan ha for foreningens struktur og organisering. Dette er også noe vi allerede nå begynner å diskutere på styrenivå. På den ene siden kjenner man en viss uro for å endre den gjeldende til - standen. Man vet hva man har og ikke hva man får. 4 SIRK nr

5 Hvordan sikre måloppnåelse? Deloitte Internrevisjon Helhetlig forretningsforståelse og proaktiv risikostyring er avgjørende for virksomheters måloppnåelse. Deloitte kobler strategisk innsikt, bransjeerfaring og spisskompetanse innen risikostyring og internkontroll. Vi vektlegger et fremoverskuende perspektiv og nært samarbeid med våre klienter. Ta gjerne kontakt med våre eksperter for å finne ut hva vi kan gjøre for din bedrift. Kontakt: Eivind Skaug partner Karenslyst allé Oslo Tlf: Deloitte AS SIRK nr

6 Fokus på Complia nce Compliance starts at the top ved Izabella Salicath, KPMG Hvordan ble den såkalte compliance officer så etterspurt og så viktig på så få år? Det er ikke lenge siden begrepet compliance officer dukket opp i norske stillings - annonser, og fortsatt er det få i samfunnet som vet hva en compliance officer egentlig er. Ikke minst sliter mange organisasjoner selv med å definere oppgavene til en compliance officer, og hva en slik funksjon skal ha ansvaret for. Behovet for en compliancefunksjon er der, spørsmålet er hvordan en compliancefunksjon skal finne sin rolle i en organisasjon. Finnes det en fasit på hvordan en compliance officer bør arbeide, rapportere, og hvordan samspillet bør være med øvrige funksjoner i organisasjonen? Historisk tilbakeblikk FCPA og SOX I USA har compliancefunksjonen eksistert lenge, gjerne i svært regulerte industriforetak, for eksempel farma søytisk industri og innen finans. For andre bransjer kom funksjonen seilende inn som en direkte konsekvens av 2000-tallets regnskapsskandaler, med Enron som muligens det største skrekkeksempelet. For å forhindre lignende fadeser innførte amerikanske myndigheter Sarbanes Oxley Act av 2002 (SOX) og behovet for compli - ancefolk ble prekært. Som et resultat av SOX, måtte topp - ledelsen personlig bekrefte nøyaktigheten av finansiell rapportering. Scott Cohen, redaktør og utgiver av Compliance Week, daterer starten av utbredelsen av compliancefunksjonen til år 2002 da en tale ble holdt av SEC (U.S. Securities and Exchange Commission) kommisjonær Cynthia Glassman. Der oppfordret hun bedrifter til å utpeke en "offiser for samfunnsansvar." Ansvarsområdene til funksjonen skulle inkludere etterlevelse, design og implementering av interne kontroller, retningslinjer og prosedyrer for å sikre etterlevelse av lover og regler. Fra hennes tale kan man lese: While the CEO cannot delegate his or her ultimate responsibility, to fully carry out the mandate of Sarbanes-Oxley and the Commission's rules, a company should have an officer with ownership of corporate compliance and ethics issues, and of what Title III of Sarbanes- Oxley broadly refers to as "Corporate Responsibility." Sarbanes Oxley alene er ikke ansvarlig for amerikansk fokus på compliance. Som nevnt har andre strenge ameri kanske lovreguleringer også vært drivkreftene bak compliance - funksjonene. Som et eksempel kan nevnes Foreign Corrupt Practices Act av 1977 (FCPA). Som et resultat av US Securities and Exchange Commission undersøkelser på midten av tallet, innrømmet over 400 amerikanske selskaper å ha utført tvilsomme eller ulovlige utbetalinger i overkant av $ 300 millioner til uten landske offentlige tjenestemenn, politikere og politiske partier. Ett eksempel var bestikkelser foretatt av Lockheed-ansatte, der tjenestemenn fra luftfarts selskapet Lockheed betalte utenlandske tjenestemenn for å favorisere selskapets produkter. Et annet var Bananagate- skandalen der Chiquita Brands hadde bestukket presidenten i Honduras for å innføre lavere skatter. Kongressen vedtok FCPA for å hindre videre bestikkelser av utenlandske tjenestemenn og for å gjenopprette tilliten til integriteten til amerikanske virksom - heter og måten disse virksomhetene drev business på. Kort fortalt er FCPA et regelverk som sammen med SOXregimet er svært utfordrende å etterleve og som gjelder for alle selskaper som er børsnotert i USA, samt deres datterselskaper. Derfor er dette også blitt relevant for norske organisasjoner. Mange selskaper i Norge er omfattet av regelverkene og har håndtert disse i mange år, for eksempel legemiddelindustri. Nå venter man også på implementeringen av UK Bribary Act, som i stor grad er like utfordrende å etterleve som FCPA, om ikke mer. Med blikket mot Europa først bank så forsikring Baselkommittén (The Basel Committe on Banking Supervision) for banktillsyn setter standarder, retningslinjerer og anbefalinger som er normgivende for de fleste tilsyns - myndigheter. Komitéen utgjør et globalt nettverk for tilsyns - myndigheter og kvalitetssikrer det lokale tilsynssamarbeidet gjenom regionale kommitéer. 29. april 2005 publiserte komitèen en veiledning for compliancefunksjonen i banker. Ved hjelp av et sett med prinsipper, illustrerer veiledningen hvordan etterlevelse av lover, regler og standarder som styrer bankvirksomhet bidrar til å opprettholde bankenes tillit hos aksjonærer, kunder, ansatte og markedet generelt. Dokumentet inkorporerer god praksis for å kunne bistå banker i designet og implementeringen av en effektiv compliancefunksjon. Samtidig understreket komitéen at rammeverket er veiledende og ikke begrenser den enkelte bank til å selv definere den organisatoriske eller operasjonelle tilnærming. Kravet er dog at enhver bank må være forberedt på å vise at metoden som ble valgt er effektiv i arbeidet med bankens særskilte utfordringer. Professor Arnold Schilder, medlem av komitèen forklarte bak grunnen for et veiledende dokument: When the Basel Committee issued a first draft of this paper in October 2003, it made a conscious choice to issue a principles-based rather than a pre scriptive document. Thanks to the many constructive comments received, we have further refined and clarified this approach, in particular the operational implications for smaller banks that cannot and do not need to put in place the same structure and processes necessary in larger or more complex institutions. The Committee expects continuing evolution in compliance risk management and will be monitoring future trends and developments with great interest. 6 SIRK nr

7 Fokus på Complia nce På forsikringsområdet har Solvency II Direktivet som beskriver kommende regler for forsikringsbransjen, presisert rollen til compliancefunksjonen ytterliggere. Målet med det nye regelverket er økt beskyttelse for forsikringstakerne, samt å bedre stabiliteten i finansmarkedene. Kravene til styring og kontroll vil også øke med det nye regelverket, herunder kravene til å formalisere og dokumentere styrings- og kontrollprosessene. Direktivets artikkel 46 hjemler kravene til en compliance - funksjon: Article 46 - Internal control 1. Insurance and reinsurance undertakings shall have in place an effective internal control system. That system shall at least include administrative and accounting procedures, an internal control framework, appropriate reporting arrangements at all levels of the undertaking and a compliance function. 2. The compliance function shall include advising the administrative, management or supervisory body on compliance with the laws, regulations and administrative provisions adopted pursuant to this Directive. It shall also include an assessment of the possible impact of any changes in the legal environment on the operations of the undertaking concerned and the identification and assessment of compliance risk. Compliance i norsk regelverk og funksjonens plass i forhold til risikohåndtering, overvåkning og internrevisjon Bortsett fra særskilt lovhjemmel for compliance i verdipapirfondforskriften, er risikostyringsforskriften av 22. september 2008 det nærmeste vi kommer en generell hjemmel for compliancefunksjon innen finans i Norge. Merk at begrepet compliance ikke nevnes i forskriften. Formålet med for - skriften er å bedre foretakenes risikostyring og internkontroll gjennom å utdype styrets og ledelsens ansvar utover det som følger av selskapsrettslige regler og regler i særlovgivningen. Akkurat som Baselkomitèens tilnærming, er forskriften generelt utformet og presiserer at foretakenes risikostyring og internkontroll skal tilpasses virksomhetens art, omfang og kompleksitet, jf. 2. Det er lett å se at vi beveger oss mot koblingen mellom risikostyring og internkontroll og compliancefunksjonen. Vi må heller ikke glemme internrevisjonen. For mange er det en utfordring å finne compliancefunksjonens plass i et virvar av ulike funksjoner og finne en hensiktsmessig organisering for å sikre en effektiv arbeidsfordeling. Tabellen som viser de tre forsvarslinjene er flittig brukt. Kort oppsummert skal risikoene selskapet møter håndteres av de operative ansatte. Støttefunksjonene, deriblant compliance, skal sørge for overvåkning/monitorering. I tillegg kommer internrevisjon på siden for å sørge for en uavhengig bekreftelse til styret. Det er viktig å huske på at disse prinsippene er på god vei inn i statlig virksomhet, særlig gjennom implementeringen av rammeverk for risikostyring. På den måten kan man argumentere for at compliance også finnes i statlig virksomhet. Privat sektor Eier Ekstern revisjon Styret Revisjonsutvalget Konsernledelsen Virksomhetsområde Støttefunksjoner Intern revisjon STABER RISIKOSTYRING INTERNKONTROLL COMPLIANCE Stat Førstelinje forsvaret Andrelinje forsvaret 1 Daglig risiko håndtering 2 Risiko overvåking 3 Stortinget Regjeringen v/dep Ledelsen i virksomheten Tredjelinje forsvaret Uavhengig bekreftelse Riksrevisjonen Virksomhetsområder Støttefunksjoner Intern revisjon STABER RISIKOSTYRING INTERNKONTROLL Førstelinje forsvaret Andrelinje forsvaret 1 Daglig risiko håndtering 2 3 Risiko overvåking Tredjelinje forsvaret Uavhengig bekreftelse Selv om det er fint med billedlige oversikter, viser erfaringene at mange fortsatt har problemer med å finne en god arbeidsdeling mellom de ulike forsvarslinjene. Et eksempel til illustrasjon kan være Finanstilsynets kommentarer i forbindelse med tilsyn av et verdipapirforetak: «Finanstilsynet vil presisere at det er Foretakets Compliance som har ansvaret for kontroll av etterlevelse. Dette er imidlertid ikke til hinder for at også andre i Foretaket eller Konsernet selv har et ansvar for å sørge for etterlevelse av lover og regler. Konsernets internrevisjon kan bistå Compliance, men internrevisjonens hovedoppgave er bl.a. å vurdere om Foretakets compliancefunksjon er tilstrekkelig og effektiv, jf. vpf. 9-10, og slik at ansvaret for kontroll av etterlevelse ligger hos Compliance og ikke internrevisjon» Oppsummering - ulike bransjer, ulik fokus, ulik organisering Det finnes compliancefunksjoner i ulike bransjer i Norge og disse funksjonene har ulik fokus og ulik måte å arbeide på. Noen arbeider med korrupsjon, samfunnsansvar og etikk, andre med konkurranserett. Fokusområdene deres skyldes utvilsomt en mer eller mindre bevisst risikoevaluering av hva de største risikoene for deres bransje er. Det som imidlertid er det aller viktigste for en compliance officer er: Compliance starts at the top. It will be most effective in a corporate culture that emphasises standards of honesty and integrity and in which the board of directors and senior management lead by example. (Basel Committee on Banking Supervision). SIRK nr

8 Fokus på Complia nce Trender innefor complianceområdet Av Eli Moe-Helgesen, PwC PwC har de siste to årene gjennomført en studie sammen med tidsskriftet Compliance Week rettet mot ledere av compliance-funksjoner, primært i USA. I årets undersøkelse deltok compliance-ledere fra 119 selskap. Undersøkelsen har til hensikt å kartlegge trender innenfor compliance-området, og retter fokus mot temaer som innhold i compliance-funksjonen, hvordan funksjonen legger mål og evaluerer måloppnåelse, bruk av teknologi og organisering. Selv om undersøkelsen retter seg mot amerikanske foretak, ser vi likevel trekk og endringer som er av interesse for norsk næringsliv. I denne artikkelen har vi oppsummert de viktigste funnene fra årets compliance-studie, og snakket med noen norske ledere for compliance-funksjoner for å høre om de kjenner seg igjen i funnene fra studien. Compliance-funksjonen er i ferd med å bli fastlege Årets undersøkelse viser at compliancefunksjonens rolle stadig mer ligner fastlegens. Fastlegen gjør helsesjekk, setter mål sammen med pasienten, overvåker symptomer og indikasjoner på problemer, og sender deg videre til spesialist ved behov. Chief Compliance Officer overvåker og leder virksomhetens arbeid med å håndtere etterlevelsesrisikoer, mens det endelige ansvaret for disse oppgavene fortsatt ligger - og bør ligge i de staber og forretningsenheter som har ressurser og kompetanse til å løse den aktuelle risikoen. Undersøkelsen viser at scopet og om - fanget av compliance-ansvarliges oppgaver utvides. For nesten alle risikoer vi har spurt om, herunder anti-korrupsjon, konkurranserett, etikk, import/eksport, leverandørkjedeutfordringer, bruk av sosiale medier, etiske retningslinjer er nå compliancefunksjonen involvert på en eller annen måte. Compliancefunksjonen jobber stadig tetter sammen med andre interne funksjoner som IT, juridisk avdeling, internrevisjon, finansfunksjon og helse/miljø/sikkerhetsfunksjon, og gir veiledning om ulike regulatoriske risikoer og spørsmål. Utfordringer for compliance - funksjonene Undersøkelsen viser at det er fortsatt er hindringer som gjenstår før complianceansvarlig kan sies å lede en effektiv, proaktiv funksjon. De utfordringene som oftest nevnes er fragmenterte IT-systemer, stramme budsjetter, skiftende og økende regulatoriske krav, og ikke minst ut - fordringer med løpende å dokumentere overfor ledelse og styre at complianceområdet er viktig, og at funksjonenes oppgaver løses på en effektiv måte SIRK nr

9 Fokus på Complia nce En problemstilling som tydelig frem - kommer er utfordringer relatert til måling av effektiviteten av complianceaktivitetene, eller mer presist, hvordan en forsikrer seg om at de ansatte i organisasjonen virkelig etterlever viktige lover og retningslinjer. Undersøkelsen viser at det er med god grunn man forventer økt behov fra interessentene for bekreftelse for at organisasjonen følger lover og regler. Man forventer særlig økte forventninger fra regulatører, revisjonsutvalg og virksomhetens viktigste eksterne forretningspartnere. Bruk av teknologi Undersøkelsen viser en generell utfordring knyttet til bruk av teknologi. Et overveiende flertall av virksomhetenes governance/risk/compliance (GRC)- relaterte oppgaver løses ved hjelp av desk top-programmer som Word, Excel og SharePoint. Bare for en håndfull konkrete oppgaver, som ved compliance relatert til finansiell rapportering, etikktrening, medarbeiderundersøkelser og i saks - behandling sier flertallet at de benytter teknologi. Undersøkelsen viser også at de interne funksjonene som vanligvis samarbeider om GRC-relaterte oppgaver, i mindre grad enn forventet deler IT-verktøy. Eksempelvis svarer 47 prosent av respondentene at internrevisjonen bruker ITverktøy som ikke deles med andre funksjoner. Bare 20 prosent har felles verktøy med internrevisjonen. Ad hoc-tilnærming til bruk av teknologi er foruroligende seg selv, ettersom det øker risikoen for silotenkning. Manglende deling kan føre til lite effektiv datafangst, duplisert informasjon eller inkompatible data. Mange forteller at de ikke anvender historiske data eller henter ut effekter fra allerede gjennomførte IT-investeringer. Dette, kombinert med nye utfordringer som cloud computing, bruk av sosiale medier og større datamengder på mobil - telefoner gjør det utfordrende for compliancefunksjonene å få tilgang til relevante data for å evaluere risiko. Hva er erfaringer fra norske compliance-funksjoner Vi har snakket med 6 som jobber med compliance i norske bedrifter. Et klart trekk som kommer frem i våre samtaler er utviklingen mot en mer helhetlig tenkning. De store selskapene tenker ikke bare på utfordringer som antikorrupsjon for seg, hvitvasking for seg, konkurranserett for seg. Stadig flere erkjenner at dette er temaer som griper i hverandre og at virkemidlene for å skape en god intern kultur er å etablere gode ledelseskon - troller, god tone fra toppen, robuste etiske retningslinjer, god opplæring og felles system for monitorering av etterlevelse. Noen forteller imidlertid at de fortsatt har et stykke igjen å gå før man kan si at interne funksjoner som har ett eller annet complianceansvar kan sies å jobbe sammen. Det pekes av noen på at særlig risikovurderinger kan samordnes bedre, eksempelvis mellom internrevisjonen og compliancefunksjonen, og at revisjoner og monitorering også bør gjøres mer enhetlig. Organisering oppleves av noen som ut - fordrende. Flere peker på utfordringen i at det i dag ikke er noen definert standard eller modell for hva som er godt compliance-arbeid. Alle er enige om at compliance handler om å skreddersy organisering, tiltak og prioriteringer til den enkelte virksomhet, slik man sikrer etterlevelse og god etisk atferd tilpasset den enkelte virksomhets ramme - betingelser og risiko. SIRK nr

10 Fokus på Complia nce Ellen-Katrine Thrap-Meyer, Telenor Cecilie Wetlesen Borge, Norske skog Lene Svenne, Kongsberg Gruppen Ellen-Katrine Thrap-Meyer er Group Compliance Officer i Telenor Arbeidet med å etablere en Code of Conduct for Telenor startet i I starten handlet dette om å sette en standard for konsernet, i dag har konsernet kommet langt i å ha en Code of Conduct som er fullt integrert i selskapets strategi og daglige drift, forteller Ellen-Katrine. Etter den første implementeringen har Telenor videreutviklet standarden slik at den inkluderer flere temaer og er stadig tydeligere på hva slags etisk atferd som er viktig for konsernet. Ellen-Katrine forteller at det i Telenor er flere funksjoner som jobber med ulike elementer av compliancearbeidet. Governance-ansvaret har gjennom årene vært forvaltet av juridisk funksjon. Funksjonene som jobber med ulike deler av de interne regelsettene har hele veien jobbet tett, med en felles prosess for ajourhold, publisering og strømlinjeforming. I tillegg har konsernet etter hvert fått på plass et felles regelsett for hvordan man håndterer brudd på interne regelsett og reaksjon på avvik. På konsernnivå er ellers samarbeid på kryss og tvers nå ett av tre særlig prioriterte områder, hvor det gjøres evalueringer og settes opp korresponderende tiltak. Telenor har vært opptatt av viktigheten av at de etiske retningslinjene er eid av og for - ankret i styret, og Ellen-Kathrine mener at dette er avgjørende for at regelsettet skal få den oppmerksomhet som kreves for at den virkelig skal etterleves i organisasjonen. Ellers er en klar trend at der Code of Conduct og etisk atferd tidligere kunne presenteres som noe spesielt, så forventes det i dag rett og slett at dette er på plass, sier Ellen-Kathrine. Det å ha en ansvarlig holdning reflektert gjennom de aksjoner selskapet iverksetter er i dag en forutsetning. Et godt etisk regelverk gir selskapene en tydeligere identitet. For hvem er du hvis du ikke har en Code of Conduct? avslutter hun. Cecilie Wetlesen Borge, Compliance Officer and Company Secretary i Norske Skog Norske Skog det siste halvåret gjort organisatoriske endringer på området for internkontroll. Den tidligere internrevisjonen med selvstendig rapportering til revisjonsutvalget er omdannet til en Business Control Function (BCF). Denne skal rapportere til CFO, og dessuten ha rådgivning og beslutningsstøtte som sentrale oppgaver, til forskjell fra den mer avgrensede revisjonsrollen som internrevisjonen tidligere hadde. Compliancefunksjonen ligger i juridisk avdeling, og samarbeider med både BCF, HMS og IT om compliance - relaterte tema innen deres arbeids - områder. Organisering er vanskelig, men det må ikke ta oppmerksomheten bort fra formålet. Det viktige er at alle tenker helhetlig og unngår siloer, slik at vi holder kontroll over våre verdikjeder og den samlede internkontrollen gjør konsernet mer robust i prosesser, beslutninger og aktiviteter. På denne måten utnytter vi ressursene best mulig, sier Cecilie. Cecilie viser til at compliance er et område der folks bevissthet har utviklet og utvidet seg gjennom de siste årene, og bruker følgende bilde: Dette er omtrent som når vi kaster aviser og glassflasker, sier hun. Til å begynne med var det uvant å kildesortere, men nå kunne det ikke falle oss inn å kaste dette i den vanlige søpla. Og nå kildesorterer vi også lignende søppel, som andre typer glass og papir. På samme måte er det med compliance. Det som var kunstig og strengt for noen år siden er naturlig i dag. Denne økte bevisst - heten er selvforsterkende, og kolleger ser selv nye complianceproblem - stillinger i gamle vaner. Lene Svenne, Corporate Compliance Officer Kongsberg Gruppen Lene Svenne forteller at Kongsberg Gruppen etablerte sin Code of Ethics i I 2009 besluttet konsernet å etablere en Compliance-funksjon som har fokus på vedlikehold og implementering av konsernets etiske regler. Compliance-funksjonen speiler den operative organisasjonen med en ansvarlig for hvert av konsernets 4 forretningsområder. Corporate Compliance Officer rapporterer direkte til CEO, og på hans vegne til revisjonsutvalg og styret. "Vi er en forholdsvis operativ compliancefunksjon", forteller Lene. Compliancefunksjonen jobber etter en handlingsplan som baserer seg på en risikovurdering. Handlingsplanen favner en rekke aktivi - teter, som vedlikehold av retningslinjer, etikk-opplæring for alle ansatte i konsernet, samt spesialtilpasset opplæring ut i fra risiko og den aktuelle ansattes rolle og behov. En sentral aktivitet av implemen - teringen av compliance har vært innføring av rapportering fra forretningsområdene til konsernledelsen, hvor den enkelte leder bekrefter at de etiske retningslinjer er implementert, beskriver risikoområder og forbedrings planer mm. Aggregert statusrapport legges deretter frem for styret. Dette har vist seg som en effektiv måte å bevisstgjøre lederne og skape eierskap og involvering fra hele virksomheten. Konsernet har ikke en egen internrevisjon, men compliance-funksjonen gjennomfører et begrenset omfang av evalueringer og monitorering for å påse etterlevelse av interne og eksterne regler. Med bred erfaring fra internrevisjon har Lene en gjennomtenkt strategi for hvordan revi sjoner gjennomføres på en effektiv måte, og ser generelt fordelen med at compliance og internrevisjon jobber nært hverandre. For å sikre armlengdes avstand og uavhengighet benytter compliance-funsjonen eksterne co-souringspartnere til enkelte av disse internrevisjonene. 10 SIRK nr

11 ET BEVISST VALG BDO har over 40 rådgivere som leverer og utvikler tjenester innen internrevisjon risikostyring, internkontroll, IT-revisjon, informasjonssikkerhet og gransking. Lokal forankring og nærhet til kundene er viktig for oss. Kundene våre liker det. Vi er levende opptatt av faget vårt, og målet er å gi den beste kundeopplevelsen. For mer informasjon om hva vi kan hjelpe deg med, ta kontakt med: Anders Lausund Internrevisjon, risikostyring og internkontroll Erling Grimstad Gransking og forebygging av misligheter Rune Waage Bank og finans Kent M. E. Kvalvik IT-revisjon og -sikkerhet Morten Thuve Offentlig sektor Karl-Ludvig Mauland Tjenesteansvarlig BDO er et av Norges største revisjons- og rådgivningsselskap med ansatte ved kontorer over hele landet. Vi tilbyr tjenester innenfor hovedområdene; revisjon, rådgivning, skatt og avgift samt foretaksservice som regnskap og lønn. SIRK nr

12 Fokus på Complia nce Intervju med compliance officer for antikorrupsjon i Multiconsult Multiconsult er et av Norges og Nordens ledende miljøer innenfor rådgivning og prosjektering. Selskapet har mer enn 1400 ansatte som jobber innenfor fagdisiplinene olje og gass, bygg og eiendom, industri, samferdsel, energi og miljø. I tillegg til oppdrag i samtlige deler av Norge, utfører Multiconsult oppdrag internasjonalt, bl.a. i utviklingsland. Multiconsults virksomhet stiller store krav til samfunnsansvar og etisk standard. Med bakgrunn i skjerpede lovkrav mot korrupsjon og Multiconsults satsing i utlandet, har selskapet de siste par årene jobbet med å styrke selskapets hånd - tering av korrupsjonsrisiko. Som følge av dette arbeidet besluttet Multiconsult å etablere en rendyrket Compliance officer-funksjon med ansvar for virksomhetens antikorrupsjonsprogram. Janne Britt Saltkjel har fra i sommer innehatt rollen som Compliance officer, først som innleid konsulent fra Deloitte og fra 10. desember som fast ansatt. Funksjonen er underlagt leder for Kvalitetsstyring, Trond Kristensen, som inntil Janne Britt ble ansatt, også hadde rollen som Compliance manager. Kan du si litt om bakgrunnen for etablering av denne compliance-funksjonen? Trond: Korrupsjon er en av Multiconsults mest alvorlige risikoer. Vi har oppdrag i regioner med høy korrupsjonsrisiko, og tilfelle eller mistanke om korrupsjon kan i verste fall stenge selskapet ute av markedet. For å sikre etterlevelse av både skjerpede internasjonale lovkrav og intern null - toleranse mot korrupsjon, er det nedlagt et betydelig arbeid i videreutvikling av policier og prosedyrer samt opplæring. Vi erfarte underveis at vi hadde et behov for både tilførsel av kompetanse og kapasitet på området. Deloitte ble januar 2012 engasjert som rådgivere, representert ved Janne Britt Saltkjel som prosjektleder og Albert Wolders som fag spesialist, for å bidra til å operasjonalisere Multiconsults anti - korrupsjonsprogram. Antikorrupsjon er imidlertid ikke en engangsjobb, men et kontinuerlig arbeid som innebærer løpende risikovurderinger, integritetsundersøkelser, dilemmahåndtering, opplæring m.v. Det ble i løpet av våren besluttet å etablere en egen compliance funksjon med ansvar for den videre implementeringen og forvaltningen av det nye antikorrupsjonsprogrammet. Hva er Compliance officers mandat og hvordan er funksjonen organisert? Trond: I Multiconsult er compliance en del av avdeling for Kvalitetsstyring, noe som ikke er uvanlig i virksomheter innen rådgivning og prosjektering. Kvalitets styringsfunksjonen forvalter Multiconsults styringssystem, herunder system for kvalitetsplaner og usikkerhetsstyring i oppdrag, revisjoner for moni - torering av etterlevelse av lover og forskrifter og interne retnignslinjer - inkludert antikorrupsjon. Nyansatt Compliance officer er gitt mandat å forvalte Multiconsults anti korrupsjons - program, herunder gjennomføre og følge opp risikovurderinger og implementering av kontrolltiltak, integritetsundersøkelser og opplæring, oppfølging og overvåking. Mandatet er gitt av administrerende direktør. Arbeidet skal dekke både Multiconsult og datter selskaper. I tillegg er Compliance officer leder av Multiconsults Etikkråd som håndterer etiske dilemmaer av ulik karakter. Compliance officer rapporterer både faglig og administrativt til leder for Kvalitetsstyring, men har rapporteringslinje til administrerende direktør og til styret for å sikre uavhengighet. Hvilke krav stilles til rapporterings - innholdet og er det foretatt noen revisjon av compliance-funksjonen? Trond: Inntil nå har arbeidet vært organisert som et prosjekt med rapportering av fremdrift og risikoer til en styringsgruppe, i tillegg til løpende rapportering til leder for Kvalitetsstyring. Det blir også rapportert fra prosjektgruppen med Compliance officer i spissen til administrerende direktør eller seksjonsledere når det er nødvendig. Den endelige rapporteringsformen er under utvikling, men det er klart at fokuset vil være på de områdene der risikoen er størst. Den rendyrkede compliance funksjonen er for øvrig såpass ny at den ikke har vært gjenstand for egen revisjon. Hvilken faglig bakgrunn var aktuell for Compliance officer og hva er de viktigste kvalifikasjonen? Trond: Da vi utformet Compliance officer-stillingen, var vi åpne for at vedkommende kunne være en ingeniør, økonom eller jurist. Det var videre en forutsetning at Compliance officer hadde minst 10 års fartstid i yrkeslivet etter masterstudier, hvorav mer enn fem måtte være fra risikostyring og internkontroll. De øvrige ansatte i Kvalitetsstyring er enten ingeniører eller økonomer med mange års relevant arbeidserfaring. Compliance officer i denne rollen vil dessuten ha en stor kontaktflate, og skal 12 SIRK nr

13 Fokus på Complia nce man lykkes med implementerings - prosjekter som omfatter mange eller alle medarbeiderne, må man kunne kommunisere på en konstruktiv måte. For Multiconsult var det viktig med en løsningsorientert person med gode kommunikasjonsferdigheter både på norsk og engelsk. Janne Britt: Jeg er selv utdannet siviløkonom, og har sertifisering som CIA og CRMA. Min yrkesbakgrunn er bl.a. fra kredittrisiko og finans, virksomhets - styring, internrevisjon samt rådgivning innen risikostyring og internkontroll. Det siste året har jeg også jobbet med antikorrupsjon bl.a. for Multiconsult. Etter hvert som prosjektet skred frem ble det tydelig at rollen i Multiconsult ikke bare ville være en overvåkende funksjon, men også kreve betydelig operasjonell involvering med både linjen (oppdrags - lederne) og andre deler av organisasjonen. Dette passet meg bra og var med - virkende til at jeg meldte min interesse for stillingen. Hvilke verktøy og metoder benytter dere i compliance- arbeidet? Janne Britt: Compliance-arbeidet i Multiconsult bruker ulike verktøy for risikovurdering et for en overordnet vurdering av risikoen for korrupsjon i oppdrag - en slags screening - og et annet verktøy for et dypdykk dersom den overordnede risikovurderingen tilsier dette. Et slikt dypdykk tar for seg ulike risikoelementer som skal dekkes av et adekvat antikorrupsjonsprogram, bl.a. tiltak for å unngå bestikkelser og smøring, for å håndtere gaver og invitasjoner, innkjøp, tredjeparter osv. Denne risikovurderingen danner fundamentet for arbeidet som gjøres for å håndtere korrupsjonsrisiko i de enkelte opp - dragene. Et annet sentralt element i antikorrupsjonsprogrammet er integritetsunder - søkelse av tredjeparter. Vi har her etablert en metode som identifiserer «røde flagg» basert på diverse fakta opplysninger om tredjeparten. I tillegg gis opplæring der dilemmatrening er et hovedelement. Risikovurderingene, kontrolltiltak, integritetsundersøkelsene og hvem som har gjennomført opplæring, føres i registre og danner grunnlag for rapportering og oppfølging. Kan du si litt mer om hva anti - korrupsjonsprogrammet og complianceoppgavene innebærer i praksis? Janne Britt: I praksis innebærer anti korrupsjonsprogrammet at korrupsjons risiko vurderes både i salg og tilbuds fasen og i gjennomføringen av oppdrag. Tilbudsteamene skal foreta risikoscreening ved vurdering av om man skal levere tilbud. Dersom risikoen for korrupsjon er lav, er Multiconsults vanlige rutiner for styring av oppdrag ansett for tilstrekkelige. Hvis vurderinger konkluderer med moderat eller høy risiko, skal det foretas en grundigere vurdering av risiko for korrupsjon og mulige kontrolltiltak. Hensikten er å sikre at Multiconsult kan iverksette nødvendige og egnede tiltak for å få korrupsjonsrisikoen til et akseptabelt nivå. Slike tiltak kan for eksempel være bruk av spesielt erfarne oppdragsledere, at ansatte og innleide konsulenter i oppdraget er kjent med og aksepterer Multiconsults etiske retningslinjer, at nøkkelpersoner sikres antikorrupsjonsopplæring, at det gjennomføres integritetsundersøkelser, at det er robuste rutiner for innkjøp og fakturering i oppdraget osv. Der det ikke er mulig å få risikoen ned på et akseptabelt nivå, vil det være grunn til ikke å gi tilbud. Det er viktig med tidlige overordnede risikovurderinger, slik at man kan bruke ressursene der risikoen er størst og sette inn forebyggende tiltak tidligst mulig. Dersom Multiconsult går videre og vinner oppdraget, og risikoen anses å være moderat eller høy, vil Compliance officer bistå oppdragsteamet med å få gjennomført en oppdatert og mer detaljert risikovurdering og implemen - terte tiltak for å ta «rest»-risikoen (iboende risiko redusert med kontroll - tiltak) ned til et akseptabelt nivå. For at tilbudsteam og oppdragsteam skal kunne vurdere korrupsjonsrisiko, skal Compliance officer gi opplæring i antikorrupsjon for nyansatte og for ledere, samt innføring i verktøyene som benyttes. Compliance officer vil i sam arbeid med Kvalitetsstyring gjennomføre revisjoner og stikkprøver rettet mot korrupsjons - risiko, for å påse at verk tøyene er riktig brukt og risikoene fornuftig vurdert og at egnede intern kontrolltiltak er besluttet og utøves. Dette innebærer at Compliance Officer samarbeider med flere funksjoner: - Linjed, herunder tilbudsteam og oppdragsteam, for identifisering og håndtering av risikoer SIRK nr

14 Fokus på Complia nce - Kvalitetsstyring i etablering av retningslinjer og oppfølging gjennom revisjoner - HR med hensyn til periodisk opp - læring, samt særskilt opplæring av nyansatte og ledere - Økonomi for overvåking I sum betyr dette at Compliance officer vil ha utstrakt kontaktflate i virksom - heten. Hvilke erfaringer har dere gjort dere så langt, mht utfordringer og suksess - kriterier? Trond: Det tar tid å endre arbeidsvaner og holdninger. Multiconsult har mer enn 1400 ansatte hvorav flere hundre i rollene som oppdragsledere og opp - dragsansvarlige for krevende oppdrag innen energi, olje & gass, samferdsel & infrastruktur, bygg og anlegg. For en vellykket implementering av Multiconsults antikorrupsjonsprogram, er det helt nødvendig med en compli - ancefunksjon som kan bistå med spisskompetanse på risikostyring og internkontroll rettet mot korrupsjonsrisiko, og som kan se oppdragsmengden på tvers og slik bidra til en helhetlig styring av korrupsjonsrisiko og riktig ressursbruk. I tillegg til organisatorisk synlighet, er det avgjørende med klar støtte fra topp - ledelsen. Det er bred forståelse og erkjennelse i organisasjonen av at korrupsjon er en alvorlig risiko som Multiconsult i høyeste grad må forholde seg til og håndtere. Det er likevel helt avgjørende at administrerende direktør Christian Nørgaard Madsen, som til - trådte primo september, har vært og er utvetydig og klar med hensyn til viktigheten av dette arbeidet. I Multiconsult er det nulltoleranse for korrupsjon. Janne Britt: Det er jo slik at noen oppfatter min rolle som Compliance officer som en politi-rolle som først og fremst skal overvåke andre, eller fange opp svikt. Rollen er imidlertid mer operativ og forebyggende. Jeg opplever på mange måter at jeg jobber i grensesnittet mellom risikostyring, internkontroll og internrevisjon. Utfordringen for meg i tiden fremover blir å utvikle en funksjon og rolle som gjør det naturlig for med - arbeidere å trekke på Compliance Officer som en rådgiver og naturlig bidragsyter i tilbuds- og oppdrags - prosessen der korrupsjonsrisikoen krever spesiell håndtering. Hva kunne dere som jobber med compliance ønske var mer tilgjengelig på den faglig siden? Janne Britt: Jeg skulle gjerne utvekslet erfaringer med andre complianceenheter, både om antikorrupsjon spesielt og compliance generelt. Det vil være interessant å få mer innsikt via kurs, seminarer, nettverkssamlinger eller artikler, hvordan den enkelte funksjonen har strukturert arbeidet, hvilke oppgaver de definerer innenfor compliancefunksjonen, metoder, opplegg for rapportering, årshjul og avgrensning mot andre kontrollfunksjoner. Vi ønsker våre lesere en riktig god jul og et godt nytt år! 14 SIRK nr

15 PwC Gransking er Norge es ledende fagmil agmiljø innen forebygging, avdekking og gransking av økonomisk kriminalitet Hvor godt kjenner du egentlig ent g dine forretnings- ngs forbindelser? r? Samfunnet stiller stadig høyere krav til transparens og etikk i næringslivet. Samtidig øker næringslivets eksponering for risiko som følge av økende globalisering, enten gjennom regulatoriske krav eller ulike typer forretningsforbindelser. orbindelser. PwC tilbyr en strukturert og risikobasert tilnærming som gir trygghet til at dine forretnings- forbindelser har en transpare ent struktur, etisk for retningsatferd og at de ikke forbind es med ulo vlige eller uetiske handlinger. Vi har lokale og dedikerte eksperter i Norge og tilg ang til et verdensomspennendensomspennend e nettverk med nasjonale og regionale team verden over. Mads Blomfeldt Direktør mads.blomfeldt@no.pw no.pwc.com Kristian Weydahl Thaysen Direktør kristian.thaysen@no.pwc.com Erik Arvnes Senior Manager erik.arvnes@no.pwc.com 2012 PwC. Med enerett. ett. I denne sammenheng refererer er PwC seg til PricewaterhouseCoopers AS, Advokatfirmaet PricewaterhouseCoopers AS, PricewaterhouseCoopers Accounting AS og PricewaterhouseCoopers Skatterådgivere e AS som alle er separate juridiske enheter og uavhengige e medlemsfirmaer i PricewaterhouseCoopers International Limited. Foto: Bård Gudim SIRK nr

16 Fokus på Complia nce Intervju med Compliance officer Thales Thales Group er et fransk forsvar- og elektronikkselskap med ansatte i over 50 land. Selskapet er en sentral aktør innen forsvar, luftfart, transport og sikkerhetssystemer verden over. Erik Normann Warberg er juridisk direktør og compliance officer i Thales Norge. Han er blant annet leder for foreningen Bedriftsjuristene under Norges Juristforbund, og er medlem av Fagutvalget for God Virksomhetsstyring Juristenes Utdanningssenter (tilknyttet Norges Juristforbund og advokatforeningen). 1. Hvem gir mandatet til compliancefunksjonen? Styret i Thales S.A. (det franske mor - selskapet) som eier 100 % av Thales Norge gir mandatet til compliancefunksjonen på globalt og lokalt nivå. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Ja compliance er et viktig fokus helt ifra toppledelsen i gruppen og gjennom organisasjonen. Compliance-rollen er tett knyttet til toppledelsen i selskapene i gruppen: De største landene har egne compliance direktører som rapporterer til juridisk direktør, mens i mellomstore land dekkes rollen av juridisk direktør selv. I de minste landene (med mindre enn 150 ansatte) fyller som regel administrerende direktør compliancerollen. Det er verdt å merke seg at Thales S.A. sin administrerende direktør også er selskapets styreformann i henhold til mellomeuropeisk praksis. 3. Hva er mandatet/formålet med compliance-funksjonen? Å bidra til at lover/ regler/retningslinjer etc. overholdes i tråd med vårt samfunnsansvar. I praksis betyr dette å kjenne til hva vi skal være compliant i forhold til, ha tett samarbeid med prosesseiere i de ulike fagområdene, sørge for at medarbeidere får opplæring innen området og for så vidt sentralt ifra ved internkontroller osv. Formålet til compliancefunksjonen innebærer derfor å bidra til å skape en kultur som hensyntar mer enn lover og regler. For Thales er etikk et viktig element; det er viktig å sikre at selskapet operer trygt og sikkert, og på betryggende avstand fra gråsoner. Thales ønsker at alle ansatte skal ha gode etiske ryggmargsreflekser og kompetanse. For å sikre dette gjennomføres det omfattende e-læringsprogram, og obligatorisk samtale med Compliance Officer. En viktig del av compliancearbeidet er å tilrettelegge for at informasjon tilgjengeliggjøres og kan frem - skaffes. Selskapet har utviklet en plattform med linker til relevant informasjon, som kontinuerlig holdes oppdatert. Godt trente ansatte skaper trygghet for at det tas riktige valg på alle nivåer i organisasjonen. Selskapet følger en rekke frivillige standarder som Common Industry Standards for European Aerospace and Defense og IFBEC (International Forum on Business Ethical Conduct for the Aerospace and Defence Industry). 4. Hvordan avgrensens compliancefunksjonens oppgaver? Thales har gått fra et lovperspektiv til et ERM-perspektiv. Selskapet har definert risk owners som har hovedansvar for at de ulike prosessene i selskapet er compliant. Compliance-funkjonen samarbeider med risikoeierne, og er en koordinator og tilrettelegger som bidrar til at risikoeierne - med den spesifikke Formålet til compliancefunksjonen innebærer derfor å bidra til å skape en kultur som hensyntar mer enn lover og regler. kompetansen de besitter innen sine fagfelt er compliant med interne og eksterne lover, regler og retningslinjer. Opplæring og kunnskap er alfa og omega for å forhindre compliance-brudd. 5. Hvem rapporterer compliancefunksjonen til? Compliance Officer i Norge rapporter til administrerende direktør for den norske virksomheten, samt til Corporate Compliance Director i Paris. 6. Hvilke krav stilles til rapporteringsinnholdet? En rekke krav til flere dokumenter og rutiner skal tilfredsstilles, både i dybde og bredde; compliance medarbeidere som sådan har sine rapporteringer som i stor grad ivaretar bredde og så er det en rekke rapportering og målinger/ kon troller i de ulike fagaksene. Dette for å ivareta helheten i vårt compliance regime. Prosesseiernes rapportering oppsummeres på landnivå av den lokale compliance-ansvarlig og rapporteres til Corporate Compliance Director. I tillegg identifiseres konkrete compliance-mål på prosessnivå basert på compliancerapporteringen. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? En kombinasjon av selvangivelse innenfor hvert domene, samt felles gjennomgang av svar på flere nivåer. Der det passer har vi også kvantitative målinger. Compliance-ansvarlig gjennomgår selvangivelsen og stiller spørsmål til prosesseier for å sikre kvalitet i svarene. Videre er det utstrakt samarbeid med Corporate i denne fasen. For å sikre compliance i forhold til lover og regler abonnerer vi på Lovdata. Vi 16 SIRK nr

17 Fokus på Complia nce mottar ukentlige oppdatereringer innenfor relevante områder, og oppdaterer interne prosesser ved behov. 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Absolutt globalt sett er også dette en funksjon som er styrket de senere år i forhold til tilføring av ressurser. Som en aktør i forsvarsindustrien, og med hovedkunder fra offentlig virksomhet er det viktig for Thales å ha orden i eget hus. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? Ca % av Compliance Officers i Thales har juridisk bakgrunn, resterende er sivilingeniører og økonomer. Risk Owners som har ansvar for compliance i prosessene har fagbakgrunn i forhold til det angjeldende fagfelt. Compliance Officers trekker på ulike fageksperter ved behov. 10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med compliance? Bred og god erfaring med virksomhetens område, kundens omgivelser og spille - regler. Evne til å se ting på tvers og i sammenheng, samt vurdere reell risiko. Hos Thales er compliance integrert i forretningsprosessene og compliancerollen skal ligge så tett opp mot topp - ledelsen som mulig, og utføres av enten administrerende direktør, finansdirektør eller juridisk direktør. Det er med andre en rolle som ikke kan fylles av en ny utdannet eller personer som ikke har kjennskap til virksomhetsområdet. 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt funksjonene innenfor andre og tredje forsvarslinje? Vi har et tett samarbeid både vertikalt og med andre Thales selskaper om de forskjellige aspekter som vedrører Compliance, herunder etikk og samfunnsansvar. 12. Er det noe fagmiljø som man kan dra nytte av i Norge/internasjonalt? For Thales har vi et omfattende inter - nasjonalt nettverk med 200 jurister og advokater som de lokale Compliance officers benytter seg av. Som Compliance Officer for Thales Norge benytter jeg stort sett interne ressurser. Det er viktig å skille prosess- og fagspørsmål innenfor hvert domene. Eksempelvis ved nasjo - nale spørsmål knyttet til selskapsrett søker jeg råd hos mitt norske nettverk som har ekspertise innenfor dette området. od governance er god business, og dette synet reflekteres i Gvirksomhetens fokus. 13. Hva kunne dere som jobber med compliance ønske var mer tilgjengelig på den faglig siden? Som leder for Bedriftsjuristene i Norges Juristforbund, har vi fokusert på dette i flere år, og vi er blant annet ansvarlig for fagdelen etikk og antikorrupsjon i neste ukes store Juristkongress. I tillegg har vi omrettet en egen CRS-gruppe på Linked-in. Sammenlignet med andre land er fagmiljøet i Norge er fremdeles lite og til dels fragmentert. Compliance-funksjonen påvirkes av bransje- og industri, både med tanke på fokus områder og rapporteringskrav. Bedriftsjuristene favner bredden av ulike bransjer og industrier. 14. Hva er de viktigste utviklings - trekkene i compliance-funksjonen de siste tre årene? Funksjonen har utviklet seg fra det selvsagte - ren overholdelse av lover og forskrifter - til å ta større hensyn til samfunnsansvar og ta inn over seg bedriftens omdømme. Fokuset har med andre ord gått fra shareholder value til stakeholder value. God governance er god business, og dette synet reflekteres i virksom hetens fokus. 15. Har compliance-funksjonen vært gjenstand for revisjon? Vi er kontinuerlig gjenstand for revisjon, både internt og eksternt. Corporate Internal Audit fra Paris gjennomfører flere revisjoner, og selskapet gjenstand for ekstern revisjon innenfor flere ISOstandarder. I tillegg kommer revisjoner fra forsvaret knyttet til kostnadskontrollregimet og nasjonal sikkerhet. SIRK nr

18 Fokus på Complia nce Intervju med Carine Smith Ihenacho Carine leder Statoils Compliance & Ethics team 1. Hvem gir mandatet til compliancefunksjonen? Compliance advdelingen i Statoil er en del av Statoils legal team. Avdelingen består av ca 20 personer, og ledes av Statoils Chief Compliance Officer. Mandatet til funksjonen er forankret i Statoils styrende dokumentasjon, og særlig Statoils etiske retningslinjer, som er godkjent av Statoils styre. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Både Statoils styre og ledelse har aktivt fokus på compliance. Styret har en egen HSE og etikk-komite som møter jevnlig, og hvor etikk og compliance er en del av agendaen. Statoils konsernledelse og de forskjellige forretningsområdene har i tillegg egne etikk-komiteer, hvor compliance og etiske problemstillinger relatert til Statoils virksomhet blir diskutert. Etikk og compliance er også temaer som er sentralt i Statoils beslutningsprosesser og forretnings - virksomhet. 3. Hva er mandatet/formålet med compliance-funksjonen? Formålet med compliance avdelingen er først og fremst å arbeide for å redusere risikoen for korrupsjon i F Statoils virksomhet. Men vi har i tillegg til gruppen for etikk & anti-korrupsjon også to andre grupper i compliance avdelingen. Den ene er gruppen for Integrity Due Diligence (IDD), hvor formålet er å utføre due diligence på Statoils potensielle business partnere, for å sikre at Statoil ikke inngår forretningsforhold med selskaper som kan skade Statoils omdømme eller utsette Statoil for annen risiko. Vi har også en gruppe som dekker hvitvasking, sanksjoner og menneskerettigheter, og som blant annet gir rådgivning på Statoils ansvar i forhold til UNs Guiding Principles for Business & Human Rights. 4. Hvordan avgrensens compliancefunksjonens oppgaver? Compliance arbeidet og ansvar har klare grensesnitt mot andre funksjoner innenfor Statoil, som resten av legal, avdelingen for samfunnsansvar, internrevi sjonen og corporate risk. Rent formelt er oppgavene til de respektive avdelingene klart beskrevet og avgrenset i Statoils styrende dokumentasjon, hvor compliance har et overordnet ansvar for etikk og anti-korrupsjonsprogrammet og ormålet med compliance avdelingen er først og fremst å arbeide for å redusere risikoen for korrupsjon i Statoils virksomhet ellers et rådgivende ansvar, men i praksis er det en flytende overgang hvor personer fra de forskjellige avdelingene jobber tett ammen på ulke prosjekter. Dette er både en styrke for compliance arbeidet i Statoil og gjør arbeidet for oss i compliance mer interessant. 5. Hvem rapporterer compliancefunksjonen til? Lederen for compliance advdelingen, Statoils Chief Compliance Officer, rapporterer daglig til Statoils General Counsel. Chief Compliance Officer rapporterer i tillegg jevnlig til styrets HSE og etikk komite og årlig til Statoils styre. Chief Compliance Officer har i særlige tilfelle også anledning til å rapportere direkte til Statoils CEO, styrets revisjons komite eller styrets formann. 6. Hvilke krav stilles til rapporteringsinnholdet? Rapporteringen fra compliance avdelingen skal både gi en oversikt over de forskjellige elementene av Statoils compliance program, som trening, due diligence, saker fra den etiske hjelpe linjen og oppdatering av policies, men den skal også gi innsyn i viktige eller vanskelige enkeltsaker. Detaljerings graden på rapporteringen vil være avhengig av om det er til styret eller annet sted i organisasjonen. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? Vårt anti-korrupsjons compliance program består av flere elementer. Sentrale områder er kommunikasjon og opplæring, due diligence, risiko-vurderinger, monitorering, utarbeidelse av prosedyrer og policies, involvering av ledelsen og aktiv deltagelse i prosjekt arbeid. I tillegg har vi Statoils etiske retningslinjer, som gjelder for alle ansatte, og Statoils etiske hjelpelinje, hvor ansatte kan ringe eller sende epost for å få råd eller rapportere om even tuelle misligheter eller brudd på de etiske retningslinjene. 18 SIRK nr

19 Fokus på Complia nce 8. Har avdelingen forutsetninger (kompetanse/ressurser/tilgang til informasjon) for å tilfredsstille de krav som stilles i mandatet? Ja. Vi har en kvalifisert avdelingen, med dedikerte ansatte, med ulik bakgrunn, som til sammen har den kompetanse vi mener er nødvendig for å sikre et tilfredsstillende compliance-arbeid i Statoil. 9. Hvilken fagbakgrunn har de ansatte i compliance-funksjonen? Det er mange advokater i compliance avdelingen, som er spesialister innenfor relevant lovgivning på anti-kosrrupsjon og andre rettsområder som omfattes av avdelingens mandat, som sanksjoner, hvitvasking, konkurranse og menneskerettigheter. Vi har i tillegg analyse - personell innenfor vår IDD avdeling, med bakgrunn i innkjøp, finans og kontroll. Vi har også en gruppe av etikk eksperter, som følger opp våre etiske retningslinjer og hjelpelinje. V innenfor 10. Hva er de viktigste kvalifikasjonene som trengs for å jobbe med compliance? Det er selvsagt viktig å ha en god for - ståelse av gjeldende lovgivning innenfor anti-korrupsjon og annen relevant lov - giving. Men det er også utrolig viktig å ha en god forståelse for den virksom - heten selskapet driver, inkludert hele verdikjeden, og generelt forståelse for business. I tillegg så er en del av arbeidet til compliance å gi opplæring og veiledning, og da er det alltid en fordel å være tålmodig, lyttende og ha evne til å omgås andre personer. 11. Hvordan samarbeider man med andre fagområder i selskapet og spesielt funksjonene innenfor andre og tredje forsvarslinje? Vi samarbeider tett med mange andre fagområder i Statoil. Vi har blant annet et nært samarbeid med internrevisjonen på flere områder, som for eksempel granskning. Vi har også godt samarbeid med resten av juridisk avdeling, andre stabs funksjoner som finans og kontroll, men ikke minst med de forskjellige forretningsområdene, og da særlig i de landene vi opplever som mest risiko utsatt. 12. Er det noe fagmiljø som man kan dra nytte av i Norge/internasjonalt? Ja, absolutt. Vi arbeider tett på eksterne rådgivere, og da særlig advokater som er eksperter innenfor anti-korrupsjon. Vår erfaring er at de strengeste kravene til et anti-korrupsjons program følger av engelsk og amerikansk lovgivning, så vi har god kontakt med advokatkontore i arbeider tett på eksterne rådgivere, og da særlig advokater som er eksperter anti-korrupsjon. som dekker disse områdene. I tillegg så ønsker vi å sikre at vi til enhver tid har en compliance avdeling som følger «best practice» på området, og vi har derfor også flere nettverk med compliance avdelinger til andre selskaper, både i Norge og internasjonalt. Vi følger i tillegg opp internasjonale initiativer på anti-korrupsjon, som Global Compact og PACI. 13. Hva kunne dere som jobber med compliance ønske var mer tilgjengelig på den faglig siden? Vi mener at det i utgangspunktet er mye tilgjengelige ressurser på den faglige siden. Når det gjelder kurs og seminarer innenfor anti-korrupsjon, er problemet heller å velge i skogen av tilbud. Det samme gjelder til dels også publiseringer. Et område som kanskje kan utvikles bedre er tilbudet om ekstern sertifisering av compliance funksjoner. 14. Hva er de viktigste utviklings - trekkene i compliance-funksjonen de siste tre årene? Den viktigste utviklingen vi har sett de tre siste årene er de stadig økende kravene til hva som skal omfattes av et «best practice» anti-korrupsjons compliance program. For noen år siden var det kanskje tilstrekkelig for et selskap å vedta en Code of Conduct, men vi ser nå at kravene til et godt implementert compliance program inneholder elementer som due diligence av alle potensielle forretningspartnere, systematisk opplæring av ansatte, compliance som en del av risiko vurdering i alle prosjekter, jevnlig monitorering av prosesser og ikke minst et aktivt engasjement fra ledelsen. 15. Har compliance-funksjonen vært gjenstand for revisjon? Ja, compliance avdelingen var gjenstand for en intern revisjon i år, hvor formålet var å se på effektiviteten til compliance avdelingen og hvorvidt den opererer i henhold til styrende dokumentasjon. Vi har i tillegg i år hatt en gjennomgang av hele vårt anti-korrupsjons compliance program av våre eksterne rådgivere for å sikre at det er i overensstemmelse med krav og forventinger ikke bare etter norsk lov, men også UK Bribery Act og US Foreign Corrupt Practices Act. Korreksjon fra forrige nummer: Det var Jurgita Petkevičiūtė fra SEB Norge som sto for intervjuet i «Audrius Šapola sikkerhet og risikostyring i SEB Bank i Litauen. Artikkelforfatterens navn var dessverre falt ut. SIRK nr

20 Fokus på Complia nce Intervju med Compliance funksjonen i DNB Markets, Hanne Leirbukt Pedersen Hanne Leirbukt Pedersen er leder av Compliance i DNB Markets. DNB Markets er et forretnings område i DNB Bank og teller 740 medarbeidere. Compliancefunksjonen disponerer 9 årsverk inklusive lederen. Verdipapirhande l - loven med forskrift setter spesifikke krav til funksjonen. eksponering, mens Compliance jobber mer mot oppfølging av megleratferd og etterlevelse av god forretningsskikk. Avgrensning til andre funksjoner opp - leves ikke som en stor utfordring for Compliance i DNB Markets. 1. Hvem gir mandatet til compliancefunksjonen? Konsernpolicy for Compliance og konsernets utdypende retningslinjer for Compliance er vedtatt av konsernstyret i DNB. I tillegg er det utarbeidet en skriftlig retningslinje for innholdet i DNB Markets compliancefunksjon. 2. Har styret/revisjonsutvalget/ledelsen i din virksomhet aktivt fokus på compliance? Ja. Group Compliance Officer (GCO) i DNB lager en årlig rapport til styret. Compliance Officer i DNB Markets lager en kvartalsvis rapport til ledelsen i DNB Markets, med kopi til Group Compliance Officer og til konsern - revisjonen i DNB. Det er lagt til rette for at alvorlige hendelser skal rapporteres fortløpende til Group Compliance Officer, som rapporterer videre til aktuelle interessenter. Ellers får leder av Markets løpende informasjon om små og store hendelser. Compliance i DNB Markets har opplevd en økt interesse og fokus de siste årene. 3. Hva er mandatet/formålet med compliance-funksjonen? Compliancefunksjonen er en uavhengig funksjon som identifiserer, vurderer, gir råd om, tester og rapporterer compliancerisiko. Dette innebærer i praksis: Rådgivning, veiledning og opplæring Overvåking av endringer i ramme - betingelser Risikovurdering og plan for compliancearbeidet Utarbeidelse av rapporter Dokumentasjon Compliancefunksjonen har i løpet av de siste årene opplevd en sterkere grad av formalisering med tiltagende dokumen - tasjonskrav til det arbeidet som utføres. Finanstilsynet uttalte i 2010 følgende i sine endelige merknader etter tilsyn i DNB Markets: Foretaket plikter å ha en effektiv og uavhengig kontrollfunksjon med nød - vendig autoritet, ekspertise og ressurser. Kontroll funksjonen skal gjennom løpende kontroll, regelmessige vurderinger og iverksetting av eventuelle tiltak sikre at foretaket oppfyller sine for - pliktelser. Det forventes fra Finanstilsynets side gjennomføring av risikovurderinger og etablering av tiltak, kontroller, logging av hendelser og formell rapportering av compliancesituasjonen. 4. Hvordan avgrenses compliancefunksjonens oppgaver i forhold til andre funksjoner (interne kontroll funksjoner, intern revisjon) Compliance sitter nærmere Forretnings - området enn Internrevisjonen, og Compliance ønsker også i større grad å jobbe forebyggende. Når det gjelder avgrensingen mot andre interne kontrollfunksjoner kan det sies at disse jobber mer mot kontroll av transaksjoner og 5. Hvem rapporterer compliancefunksjonen til? I DNB har GCO det overordnede ansvar for compliancefunksjonen. Det er etablert en complianceansvarlig i hvert forretningsområde, hvor Compliance i DNB Markets er en av disse. Leder for Compliance i DNB Markets rapporterer til leder av en stabsdivisjon, som igjen rapporterer til Konserndirektør. Leder av Compliance har også en parallell rapporteringslinje til GCO. 6. Hvilke krav stilles til rapport - innholdet? Den kvartalsvise compliancerapporten inneholder en vurdering av compliancesituasjonen og beskriver eventuelle trender. Spesielle hendelser, kontroller eller aktiviteter omtales, og eventuelle større klagesaker beskrives nærmere. Aktiviteter mot DNB Markets inter - nasjonale enheter omtales. Videre kommenteres foreslåtte og vedtatte endringer i rammebetingelser. Compliancefunksjonen i DNB Markets mottar også kopi av rapporteringen fra de tilsvarende funksjonene i en rekke utenlandsenheter, som alle har lokale Compliance Officers. 7. Hvilke verktøy og metoder benytter dere i compliance-arbeidet? Compliancefunksjonen gjennomfører egne, halvårlige risikovurderinger som ender opp i en tiltaksplan som beskriver risikoreduserende aktiviteter og kon - troller. Forut for risikovurderingene intervjues ledere for de ulike divisjonene om utvikling og risiko innenfor eget ansvarsområde. Vi benytter oss også av andre kilder når vi vurderer risiko: Strategidokumenter, forslag til nye 20 SIRK nr