Compliance undersøkelse 2016 Benchmark av compliancefunksjonen. selskaper

Transkript

1 Benchmark av compliancefunksjonen i store norske selskaper

2 Innhold Side Bakgrunn og hovedobservasjoner 3 Årsverk i compliancefunksjoner 6 Ansvarsområder 7 Direkte ansvar compliance-funksjonens omfang Andre roller og oppgaver Forankring hos toppledelse 10 Mandat / instruks Møtedeltagelse Dialog med styre og ledelse Risikobasert compliancearbeid 14 Compliance planer Koordinering Oversikt over lover og regler Organisasjonen 17 Tilhørighet og rapporteringslinjer Godtgjørelse Rapporteringsfrekvens Om compliance undersøkelsen Ti store norske selskaper har deltatt i undersøkelsen. Selskapene som har deltatt er store børsnoterte foretak eller store offentlige virksomheter i Norge, og deres svar presenteres i denne rapporten. Alle svar er behandlet anonymt i analysearbeidet og i presentasjon av resultater. Det refereres i rapporten til funn fra to internasjonale -undersøkelser «State of compliance for Moving beyond the baseline» og «State of compliance for Laying a strategic foundation for strong compliance risk management». Link til disse finnes på side 24. Fokusområder 21 2

3 Bakgrunn Økende omfang og kompleksitet i regulatoriske krav Strengere sanksjoner fra tilsynsmyndigheter for manglende etterlevelse Compliance funksjonens rolle er mer aktuell og mer krevende enn noen gang Økende forventninger til etisk og bærekraftig virksomhet fra samfunnet generelt Brudd på lover og regler kan føre til at investorer, forbrukere, kunder og leverandører mister tillit til virksomheten 3

4 Økte regulatoriske krav er en stor risiko for alle virksomheter 79% of CEOs around the world view increasing regulation as the top threat to business growth Kilde: Annual global CEO survey

5 Hovedobservasjoner fra undersøkelsen Hovedkonklusjoner fra undersøkelsen 1. Compliance-funksjonens arbeid i norske virksomheter er godt forankret i styret og toppledelsen. Styret og toppledelsens involvering i rapportering og godkjennelse av compliance-funksjonens mandat og planer understøtter dette. 3. Det er fremdeles mange av compliance-funksjonene som har bonus som del av medarbeideres godtgjørelse. Dette er i strid med anbefalt praksis. 2. Flere av selskapene mangler oversikt over de forpliktelser virksomheten skal etterleve og compliance-funksjonen skal kontrollere/overvåke. 4. Anti-korrupsjon og verifikasjon av etterlevelse er (naturlig nok) hovedprioritet og fokusområde for compliance-funksjoner fremover. 5

6 Størrelse på compliance-funksjonen Sammenligning av årsverk er utfordrende Antall årsverk knyttet til compliancefunksjonen må alltid sees i sammenheng med compliance-funksjonens ansvar og oppgaver. Antall årsverk vil variere avhengig av bransje, ettersom omfang og kompleksitet i regulatoriske krav varierer. Noen hovedtrekk Norske selskaper ser ut til å ha færre årsverk knyttet til compliance-funksjoner sammenlignet med internasjonale selskaper. Forskjellene i antall årsverk mellom selskapene i den norske og den internasjonale undersøkelsen skyldes primært virksomhetenes størrelse og kompleksitet. 40% av norske selskaper har mindre enn 3 årsverk i compliance funksjonen, mens 23% av internasjonale selskaper ligger på dette nivået. Hele 25 % av internasjonale selskaper har mellom ansatte i sine compliancefunksjoner, mens så mange som 11% har over 100 årsverk. 50% 40% 30% 20% 10% 0% For å utføre compliance-oppgavene er det vesentlig å skape et godt fagmiljø. I selskap med en eller få ansatte bør man kompensere ved å delta i fagnettverk, samarbeide med andre relevante stabsfunksjoner i virksomheten eller på annen måte skape et fagmiljø for medarbeiderne. Antall årsverk i compliance-funksjonen >3 årsverk 3-5 årsverk 6-10 årsverk årsverk Norske selskaper Internasjonale selskaper Over 100 årsverk 6

7 Compliance-funksjoners ansvarsområder varierer, men vi ser noen fellestrekk Generelt ser vi at compliancefunksjonen har et bredere ansvar enn utelukkende kontroller av etterlevelse. På de gjeldende områdene er det viktig å være bevisst at det vurderes kompenserende uavhengige kontrolltiltak (kan for eksempel gjennomføres av intern revisor). Samtlige compliancefunksjoner som har deltatt i undersøkelsen har et ansvar i forbindelse med utarbeidelse og vedlikehold av styrende dokumenter. De fleste er også tildelt ansvar for anti-korrupsjon (90%) og utarbeidelse/etterlevelse av etiske retningslinjer (80%). Det er betryggende at ingen av compliance-funksjonene i de norske selskapene har ansvar for internrevisjon. Vi mener et skille mellom 2. og 3. linjen er god praksis. Fellestrekkene gjenspeiles også globalt. Forskjellene sees spesielt ved at de internasjonale compliancefunksjonene har ansvar for granskninger, men vi ser ikke tilsvarende for de norske selskapene. Det er heller ikke alle globale virksomheter som har ansvar i forbindelse med utarbeidelse av styrende dokumenter. Globale virksom -heter* Utarbeidelse/vedlikehold av styrende dokumenter 100 % 63 % Compliancekontroller 90 % 68 % anti-korrupsjon 90 % 76 % Utarbeidelse av Etiske retningslinjer/code of conduct 80 % 86 % Etterlevelse av Etiske retningslinjer/code of conduct 80 % 84 % Norske virksomheter Tredjeparts-/leverandørcompliance 70 % 52 % Anti-hvitvask 70 % - Varslingskanal 60 % 68 % Granskninger 40 % 71 % Personvernopplysninger 40 % 60 % Risikostyring (ERM) 20 % 43 % Internrevisjon 0 % 31 % Datalagring 0 % 49 % * Data fra State of compliance

8 Compliance-funksjonens omfang og avgrensing mot andre funksjoner Det er ofte flere funksjoner som fører tilsyn med risiko (2.linjen), herunder risikostyring, compliance, HMS, sikkerhet, eller kvalitetsmiljøer m.fl. Compliance har et overordnet ansvar for å sikre at virksomheten etterlever sine forpliktelser og må derfor ha oversikt over hvordan helheten sikrer dette. Diagrammet vist her er et eksempel på verktøy som kan brukes til å kartlegge omfanget til compliance-funksjonen versus andre kontroll-funksjoner og bidrar til risikobasert compliance-arbeid. Bildet kan endres over tid. For eksempel kan compliance ta et mer direkte ansvar i forbindelse med etterlevelse av nytt regelverk frem til førstelinjen blir moden nok til å overta. Direkte Monitrering ansvar Overvåkning «Line of sight" Eksempler Direkte eierskap Etiske retningslinjer Anti-korrupsjon Styringssystemet Personvern Interessekonflikter Overvåkning Utkontraktering Helse miljø og sikkerhet Sosiale medier og teknologi Innsidehandel Tredjepart-due dilligence Line of sight M&A / investeringsprosess Kontinuitetsplanlegging og kriseberedskap Arbeidsmiljølov Produktmerking Utenfor scope Internkontroll over finansiell rapportering Etterlevelse av skatteregler 8

9 Andre roller og oppgaver som ivaretas av compliance-funksjonen Personvernombud I 40% av selskapene ivaretar compliance rollen som personvernombud. Hvitvaskingsansvarlig For 5 av 7 selskaper det er relevant for ivaretar compliance-funksjonen rollen som selskapets hvitvaskingsansvarlig Nye produkter/markeder I 30 % av selskapene har compliance en formell rolle i forbindelse med godkjenning eller utvikling av nye produkter, eller ved inntreden i nye markeder. Det anses som god praksis at compliance konsulteres når forretningen utvider produktspekteret som tilbys, eller utvider de markeder de opererer i, ettersom dette kan medføre stor endring i virksomhetens compliance risiko. Andre oppgaver utenfor de klassiske compliance oppgavene I to av selskapene kombineres compliance-ansvaret med virksomhetsstyring, og ansvarsområder som vanligvis tilhører juridisk avdeling, herunder kontraktsrett, arbeidsrett og personvern. Dersom compliance-funksjonen har operativt ansvar mister funksjonen muligheten for uavhengig kontroll. I slike situasjoner må det vurderes å etablere kompenserende tiltak. Ofte kan dette løses ved at internrevisjonen eller andre kontrollfunksjoner får ansvar for oppfølging av etterlevelse på det relevante området. 40% 71% 30% er også selskapets personvernombud er også selskapets hvitvaskingsansvarlig (der dette er relevant) har en formell rolle ved utvikling eller godkjennelse av nye produkter / markeder 9

10 Hvem fastsetter mandat for compliance funksjonen? Funksjonens forankring hos ledelsen Compliance funksjonens rolle bør være tilstrekkelig forankret hos styret og ledelsen. God praksis er at mandat, instruks eller policy er styregodkjent, for å sikre tilstrekkelig fokus. Hos 5 av 10 virksomheter i undersøkelsen er det styret som har fastsatt mandatet. Hos fire av virksomhetene er mandat fastsatt av CEO og en er fastsatt av leder for juridisk avdeling. Hvem har fastsatt compliancefunksjonens mandat? Leder Juridisk avdeling 10 % CEO 40 % Styret 50 % 10

11 Retningslinje for compliance-funksjonen Virksomhetens retningslinjer for compliance-funksjonen bør omfatte følgende (ikke uttømmende): - Funksjonens plassering i selskapets organisering og styringsstruktur - Krav til uavhengighet - Funksjonens oppgaver - Prinsipp for godtgjørelse - Tilgang til informasjon - Kompetanse og ressurser - Rapportering - Husk plikt til umiddelbar rapportering til ledelse og styret ved alvorlige brudd Praktisk verktøy NIRFs veileder for compliance-funksjonen 11

12 Dialogen mellom compliance-funksjonen og virksomhetens styre Presentasjon i styremøtene For samtlige av selskapene i undersøkelsen, deltar leder av compliance funksjonen i styremøtene når rapporteringen fra compliance presenteres. God praksis tilsier at compliance rapporterer direkte til CEO/toppledelsen og med en rett og plikt til å rapportere til styret ved behov. Ved å presentere rapporter direkte i styremøtet tilrettelegges det for en direkte dialog mellom leder for compliance og styrets medlemmer, og sikrer styret en mer nyansert formidling av status på compliance for virksomheten, samt tilrettelegger for at styremedlemmer kan stille spørsmål og gi tilbakemeldinger til leder for compliance direkte. 12

13 Bør compliance være fast deltager i ulike møtearenaer? Virksomhetens ledergruppe Møte fast i styret? Enkelte argumenterer for at compliancefunksjonen bør delta/sitte i virksomhetens ledergruppe for å sikre tilgang til informasjon. 30% av selskapene i undersøkelsen rapporterer at leder for compliance-funksjonen sitter i virksomhetens ledergruppe. Etter vår mening innebærer slik deltakelse en risiko for at leder av compliancefunksjonen får eierskap til de beslutninger som tas i ledergruppen, og at dette kan medføre en interessekonflikt og dermed redusere funksjonens uavhengighet. Vi anser det derfor ikke som beste praksis å sitte permanent i ledergruppen, men at compliance har møterett ved behov. Dersom compliance-funksjonen skal møte fast i ledergruppens møter bør ikke vedkommende ha stemmerett. Kravet til uavhengighet gjør at vi anbefaler at compliance ikke skal møte fast i styremøter, men ha en rett og plikt til å møte ved behov. Dersom det likevel vurderes at virksomheten er best tjent med at compliance-funksjonen møter fast i ledergruppen eller i styret, anbefales det at denne vurderingen dokumenteres og at leder for compliance er bevisst mulige interessekonflikter. 30% av compliancefunksjonens ledere deltar i virksomhetens ledergruppe 13

14 Compliancearbeidet er risikobasert og koordineres med andre kontrollfunksjoner Compliance-plan som bygger på risikovurderinger Samtlige selskaper oppgir at compliance planen bygger på risikovurderinger. For å sikre at god vurdering av compliance risiko er det viktig at disse risikovurderingene avstemmes med resten av virksomheten. Den globale undersøkelsen viser at de fleste risikovurderingene gjøres gjennom intervjuer med ledelsen (59%) eller innspill fra styret og ledelsen (55%). Innhentes informasjon fra flere nivå i organisasjonen øker sannsynligheten for at compliance risiko identifiseres, og gir en mer nyansert forståelsen av risikoen. anbefaler at det gjennomføres både top-down og bottom-up risikoanalyser. Bottom-up risikoanalyser kan gjennomføres gjennom intervjuer eller spørreundersøkelse til mellomledere og operativt ansatte. Koordinering av arbeidet med andre kontrollfunksjoner 9 av virksomhetene koordinerer arbeidet aktivt med andre kontrollfunksjoner som internrevisjon og/eller risikostyringsfunksjon der de har slike funksjoner. En god koordinering med andre kontrollfunksjoner bidrar til mer effektiv overvåkning av etterlevelse i virksomheten som helhet og sikrer en mer helhetlig kommunikasjon med forretningsområdene. 90% 9 av 10 Har en compliance plan for arbeidet Koordinerer compliancearbeidet aktivt med leder for risikostyring og internrevisjon 14

15 Planlegging og forankring av compliance-planer Compliance-plan 90% av virksomhetene i undersøkelsen fastsetter en årlig compliance-plan som styrer arbeidet. anbefaler at virksomheter utarbeider compliance-planer med et roterende fokus på forebyggende tiltak og ulike verifikasjonsprosjekter over flerårig tidshorisont. En mer strukturert tilnærming i planleggingen av arbeidet vil heve kvaliteten på compliance-funksjonens arbeid. Godkjenning av compliance-planen I 4 av virksomhetene i undersøkelsen godkjennes compliance-planen av CEO 4 av selskapene har compliance-planen oppe til styrebehandling Hos et av selskapene er compliance planen godkjent av leder for juridisk avdeling. Vi mener at compliance-planen bør forankres hos styret og ledelsen ettersom styret har det overordnede kontrollansvaret for virksomheten. Forankring av compliance-planen synliggjør funksjonens arbeid ovenfor toppledelsen, gjør det mulig for styret å presisere risikotoleranse og bidrar generelt til økt fokus fra toppledelsen og styret. Hvem behandler og godkjenner compliance-planen? 44% 12% Styret CEO Leder juridisk avdeling 44% 15

16 Virksomhetens forpliktelser, lover og regler Oversikt over forpliktelser Kun 60% av virksomhetene i undersøkelsen har utarbeidet en oversikt over hvilke forpliktelser i form av lover, regler og retningslinjer virksomheten skal etterleve. Vi anser det som god praksis å etablere og vedlikeholde en oversikt over de lover, regler og retningslinjer som skal etterleves. En slik kartlegging danner utgangspunkt for vurdering av compliance risiko, og bidrar til effektiv planlegging av arbeidet. Oversikten avgrenses til de områder compliance-funksjonen har ansvar for å overvåke. Utarbeider og vedlikeholder compliancefunksjonen en oversikt over hvilke lover og regler virksomheten er underlagt? Nei 40 % Ja 60 % 16

17 Organisatorisk plassering og rapporteringslinjer varierer og må tilpasses den enkelte virksomhet Skille mellom faglig og personalmessig rapporteringslinjer I undersøkelsen har vi skilt mellom faglig og personalmessige rapporteringslinjer. Med faglig rapportering menes rapportering på status av etterlevelse i virksomheten. Personalmessig rapportering omfatter eksempelvis oppfølging av kostnader og budsjett og medarbeideroppfølging. Hovedobservasjoner I 40 % av selskapene som har deltatt rapporterer leder for compliance faglig til CEO, og 10% rapporterer direkte til styret 50% rapporterer personalmessig til leder for støttefunksjoner (40%) eller til CFO (10%) Ett av selskapene rapporterer både faglig og personalmessig til HR-sjef I 40 % av selskapene rapporterer leder for compliance både faglig og personalmessig til leder for juridisk avdeling. I den internasjonale undersøkelsen rapporterer til sammenligning 31% til leder juridisk avd. Tilhørighet eller rapportering til juridisk avdeling har fordeler, som at det dras nytte av juridisk ekspertise som allerede eksisterer, og dermed bidrar til effektiv ressursutnyttelse. Både juridisk avdeling og compliance-funksjonen skal beskytte virksomheten mot risikoer, men det kan være vanskelig for en kombinert funksjon å jobbe mot økt transparens, og samtidig å beskytte virksomheten mot juridisk risiko. Vi mener at compliance-funksjonen faglig bør rapportere til konsernsjef, med en rett og plikt til å rapportere til styret ved behov. Personalmessig må man være bevisst interessekonflikter som kan ha betydning for compliance-funksjonens uavhengighet. Stabsdirektør / CAO CFO HR-Sjef Leder juridisk avdeling CEO Styret * Rapporteringslinjer 10% 10% 10% 10% 40% 40% 40% 40% * CAO er chief administrative officer Personalmessig Faglig 17

18 Ordninger for godtgjørelse til medarbeidere i compliance-funksjonen Godtgjørelse og uavhengighet Et viktig prinsipp for en velfungerende compliance-funksjon er at den skal være uavhengig av de enheter den kontrollerer. Variable bonuser og insentivordninger kan skape interessekonflikter for medarbeidere i compliance-funksjonen, og hindre funksjonens uavhengighet og medarbeideres objektivitet. I denne undersøkelsen har 50% av respondentene oppgitt at medarbeidere i compliance-funksjonen mottar bonus. I fire av fem tilfeller er det styret som fastsetter kriterier og størrelser på bonusordningen. Vi mener bonusordninger for medarbeidere i compliance-funksjoner er uheldig og bør unngås. Dette støttes av nyere forskning* som viser at riktig * Bård Kuvaas, BI, Journal of Organizational Behaviour fastlønn er mer motiverende og prestasjonsfremmende enn bonusutbetalinger for kompetansekrevende yrker. Dersom virksomheter likevel velger å tildele bonus, bør dette være del av kollektiv bonusordning, der størrelsen og kriteriene er fastsatt av styret. 50% av selskapene har bonus til ledere/ansatte i compliance funksjonen Hvem fastsetter kriterier for og størrelser på bonusordningen? 1 4 Styret Leder for juridisk avdeling 18

19 Rapporteringsfrekvens Rapporteringshyppighet Månedlig Kvartalsvis Tertialvis Halvårlig Årlig 0% 10% 20% 30% 40% 50% Styret CEO/Ledergruppa Rapportering til CEO/Ledergruppa Undersøkelsen viser at 50% av selskapene har kvartalsvis rapportering til CEO/ledergruppen. Dette er i samsvar med funn i den globale undersøkelsen der 47% rapporterer til CEO/ledergruppen kvartalsvis. Rapportering til styret 40% av selskapene rapporterer årlig til styret, 30% rapporterer halvårlig til styret, mens 20% rapporterer kvartalsvis. To av selskapene har hyppigere rapportering til styreutvalg ved at status fra compliance er fast agendapunkt. Den globale compliance-undersøkelsen fra 2016 viser at hele 58% rapporterer til styret kvartalsvis. Vurdering av hva som er tilstrekkelig hyppighet på rapportering må sees i sammenheng med selskapets størrelse og kompleksitet. God praksis for større virksomheter er at styret eller styreutvalg mottar rapportering på compliancerisiko kvartalsvis. 19

20 Fokusområder for compliance-funksjonen fremover 1. Anti-korrupsjonsprogram Hele 7 av selskapene nevner Antikorrupsjon som et fokusområde. Fokusområder for compliance-funksjonen de neste 12 månedene Opplæring 2. Verifisering av regulatorisk etterlevelse 4 av selskapene uttaler at de vil fokusere på regulatorisk etterlevelse og vil prioritere verifikasjon av etterlevelse fremover. Drift av varslingsmottak Styrket rammeverk for compliancearbeidet Personvern Leverandøroppfølging Nye produkter / nye markeder Virksomhetsstyring og styringsmodell Regulatorisk etterlevelse Anti-Korrupsjon Antall virksomheter 20

21 Fokusområder for compliance-funksjonen fremover 3. Styrket rammeverk og infrastruktur for compliancearbeidet I den globale undersøkelsen kommer det frem at compliance-funksjoner vil fokusere på en styrket infrastruktur med bedre nettverk av dedikerte compliance-koordinatorer i forretningsområdene. I tillegg vil det fokuseres på et mer effektivt samarbeid med andre kontrollfunksjoner. Dette fremheves ikke som fokusområde i den norske undersøkelsen. 4. Manglende fokus på hvitvasking Selv om 7 av selskapene oppgir at hvitvaskings-regelverket er relevant for dem, er det likevel ingen av compliancefunksjonene som oppgir at de vil fokusere på dette de neste 12 månedene. Forklaringer på dette kan være at regelverket ble innført i Norge i 2009, som et av de strengeste regulatoriske krav globalt. Det er derfor ikke forventet at EUs 4. hvitvaskingsdirektiv vil medføre store endringer for norske virksomheter. 5. Ny personvernforordning Det er få av selskapene i undersøkelsen som fokuserer på personvern. Etterlevelse av kravene til personvern i EUs nye personvernforordning som skal implementeres i nasjonal rett fra Februar 2018 forventes å ha stor påvirkning på de fleste virksomheter. Noen av de nye kravene kan medføre behov for omfattende endringer i f.eks. IT-systemers funksjonalitet. 21

22 Trender for strukturelle endringer i compliance-funksjoner* Trend #1: Etablering av nettverk Etablering av nettverk med dedikerte compliance- og etikkansvarlige i førstelinjen. Dette legger tilrette for at forretningsområdene tar et større ansvar for etterlevelse av gjeldende krav. Samtidig som nettverket kan bidra til implementering av etikk- og compliance-initiativ fra sentralt hold. Trend #2: Skreddersøm Organisasjoner skreddersyr i større grad compliance- og etikkprogrammene til sine spesifikke risikoområder. Trend #3: Ansvar for nye risikoområder Compliance-funksjonen har ofte en bedre forståelse for nye risikoområder, og tar derfor et større ansvar for risikoreduserende aktivitet på et tidlig stadium. Etter hvert som førstelinjen er klar til å overta ansvaret for de spesifikke risikoene overføres ansvaret. Trend #4: Compliance- og etikk-komittee Økt bruk av bredt sammensatte interne compliance- og etikkkomitteer fremfor økning i compliance ressurser. Medlemmene i komitteen brukes til følge opp viktige complianceaktiviteter i virksomheten. Dette er kostnadseffektivt og bidrar til å styrke relasjoner og samarbeide med de operative forretningsområdene (førstelinjen). Trend #5: Samarbeid Et større samarbeid mellom compliance-funksjonen og andre funksjoner bidrar til at prioriterte og kritiske risikoer og risikoreduserende aktiviteter er mer fremtredende og synlige for virksomheten. *Fra Trends in Compliance organizational structures

23 Generelt om observasjoner fra den internasjonale complianceundersøkelsen 23

24 Andre publikasjoner State of Compliance Study 2016 Laying a strategic foundation for strong compliance risk management Redefining business success in a changing world CEO Survey Moving beyond the baseline Leveraging the compliance function to gain a competitive edge Trends in Compliance organizational structures

25 Vil du vite mer? Eli Moe-Helgesen Partner T: (+47) Jonas Gaudernack Partner T: (+47) Petra Liset Partner T: (+47)