Økonomisk kriminalitet i energibransjen. Veileder KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 1 BEDRE KLIMA, SIKKER FORSYNING, GRØNN VEKST

Transkript

1 Veileder Foto: Askild Mikael Jerstad Økonomisk kriminalitet i energibransjen BEDRE KLIMA, SIKKER FORSYNING, GRØNN VEKST KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 1

2 Forord For energibedriftene er det viktig å kunne redusere og håndtere risiko på en rekke områder. Energi Norge har tatt initiativet til å utarbeide denne veilederen mot økonomisk kriminalitet i energibransjen, som en støtte for selskapene i dette arbeidet. Forebygging av økonomisk kriminalitet handler i stor grad om å forstå det økende risikobildet, utarbeide rutiner og systemer for forebygging av kriminalitet, og etablere systemer for å oppdage og håndtere økonomisk kriminalitet hvis så allerede har skjedd. Veilederen beskriver et risikoregister over de vanligste typer av økonomisk kriminalitet, eksempelvis underslag, økonomisk utroskap, korrupsjon og påvirkningshandel, regnskapsmanipulasjon, arbeidslivskriminalitet og miljøkriminalitet. Alle disse vil kunne forsterkes gjennom en økt digitalisering. Veilederen har et sterkt fokus på forebygging, hvor bedriftenes egne etiske retningslinjer, varslingsrutiner, risikoanalyse og leverandørkontroll er viktige temaer. Veilederen er utviklet gjennom tett samarbeid med våre medlemmer gjennom en spørreundersøkelse, dybdeintervjuer og arbeidsmøter med et representativt utvalg av medlemmer, hvor BDO AS har ledet arbeidet. Energi Norge vil gjerne takke alle medlemmer som har bidratt i prosessen. Veilederen skal være et dynamisk dokument, og Energi Norge vil sette pris på innspill og tilbakemeldinger på erfaringer og mulige forbedringer av veilederen. Oslo, 25. april 2017 Oluf Ulseth Administrerende direktør ISBN Publikasjonsnr KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

3 INNHOLD 1 INNLEDNING Økonomisk kriminalitet Bakgrunn Bransjens interessenter Veilederens formål og målgruppe Utarbeidelsen av veilederen STYRING OG KONTROLL - ROLLER OG ANSVAR Eiers rolle Styrets rolle og ansvar Daglig leders rolle Internrevisjonens rolle Revisors rolle ØKONOMISK KRIMINALITET Innledning Overordnet om risikobildet Mislighetstriangelet Risikoregister Underslag Økonomisk utroskap Konkurskriminalitet Bedrageri Subsidiebedrageri Korrupsjon og påvirkningshandel Regnskapsmanipulasjon Dokumentforfalskning Arbeidslivskriminalitet Hvitvasking og heleri Innsidehandel Miljøkriminalitet Konkurransekriminalitet Digitale trusler Informasjonstyveri Direktørsvindel / CEO-fraud Løsepengevirus HVORDAN FOREBYGGE Innledning Kontrollmiljø Tonen fra toppen Roller og ansvar Prinsipper og rutiner Etisk regelverk Varsling Risikovurdering Formalisert Bred og dyp involvering Vurderinger ved endringer og spesielle hendelser Kontrollaktiviteter Utgangspunkt i risiko Bakgrunnssjekk Finansielle kontroller Ikke-finansielle kontroller Informasjon og kommunikasjon Opplæringsprogrammer Intern og ekstern kommunikasjon Kunnskapsdeling Teknologi Kontinuerlig overvåking og forbedring av tiltak Læring ved hendelser Ledelsens overvåkning Styrets overvåkning Ekstern evaluering KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 3

4 Foto: Helene Nynæs, NVE 1 Innledning 1.1 ØKONOMISK KRIMINALITET Økonomisk kriminalitet er et betydelig samfunnsproblem. For en som blir utsatt for dette kan konsekvensene være dramatiske. Ulike former for økonomisk kriminalitet påvirker både samfunnet og enkeltindivider negativt. Korrupsjon, sosial dumping, «svart arbeid», prissamarbeid og miljøkriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet. De negative samfunnskonsekvensene av korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste motivasjonen for norske virksomheters forebyggende arbeid. Økonomisk kriminalitet representerer en betydelig risiko for den enkelte virksomhet, herunder risiko for straff, bøter, tap av omdømme og risiko for å bli utestengt fra fremtidige anbudskonkurranser. I enkelte tilfeller kan også de direkte tapene som følge av økonomisk kriminalitet føre til utfordringer for selskapets likviditet og, i verste fall, utfordringer ved fortsatt drift. Den som blir rammet av økonomisk kriminalitet opplever ofte å måtte benytte store ressurser på å håndtere situasjonen. I mange tilfeller er også konsekvensene for den som begår økonomisk kriminalitet dramatiske, enten om det er for kun personlig vinning eller om det er andre motiver som ligger til grunn. Å forebygge økonomisk kriminalitet handler ikke bare om å redusere risiko, men først og fremst om å ta samfunnsansvar. 1.2 BAKGRUNN Energiforsyningen er blant landets aller viktigste infrastrukturer. Bransjen forvalter betydelige verdier i form av ressurser og anlegg, med store finansielle verdier gjennom en årlig omsetning på milliarder kroner 1 og omfattende anleggsverdier. Aktørene er tradisjonelle, teknologifokuserte og vant til stabile konkurranse- og markedsforhold. Energiselskapene har tradisjonelt operert i et forutsigbart marked preget av få og langvarige leverandørforhold. Bransjen står i dag overfor store endringer som påvirker risikobildet for økonomisk kriminalitet. Energibransjen påvirkes av mange av de samme forholdene som annen næringsvirksomhet, herunder en omfattende digitalisering som skaper muligheter for mer effektiv drift, bedre kundeløsninger og styrket beredskap. Digitaliseringen medfører samtidig at man eksponeres for nye trusler og blir potensielt mer sårbare for uønskede hendelser, slik som ulike former for økonomisk kriminalitet gjennom bruk av informasjonsteknologi. Energibransjen har videre enkelte særtrekk som øker risikoen for økonomisk kriminalitet. I løpet av den kommende tiårsperioden skal bransjen investere for flere titalls milliarder kroner i vedlikehold, modernisering og utbygging av nett og produksjonsanlegg. En stor del av investeringene vil være knyttet til digitalisering, herunder implementeringen av KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

5 AMS og utvikling av nye digitale løsninger innen både produksjon og nettstyring. Energiselskapene er med dette inne i en periode med betydelig aktivitet knyttet til planlegging, innkjøp og gjennomføring av ulike typer bygg- og anleggsvirksomhet, samt etablering av nye teknologiske løsninger. Store investeringer og mange parallelle prosjekter, stiller energibransjen overfor store utfordringer både når det gjelder kompetanse, HMS og risikostyring. De senere årene har vi sett en stadig sterkere globalisering av leverandørindustrien, og det er rimelig å anta at det vil være stor konkurranse om kontraktene innenfor energibransjen fremover. Leverandører benytter ofte ulike underleverandører. En slik struktur innebærer utfordringer knyttet til kontroll i anskaffelsesfasen, og ikke minst styring og kontroll med leverandører og samarbeidspartnere under selve prosjektgjennomføringen. Med stor konkurranse om attraktive kontrakter, vil det erfaringsvis være økt risiko for forsøk på å påvirke valget av leverandører, herunder forsøk på bestikkelser. I tillegg er både bygge- og anleggsindustrien og IKT-leverandørindustrien i stor grad globalisert, noe som gir ytterligere utfordringer knyttet til kontroll og oppfølging. Mange av virksomhetene i energibransjen har eller har hatt sterke lokale bindinger gjennom energiselskapets posisjon, herunder nærhet mellom selskap og eiere og nærhet mellom lokale beslutningstakere og ansatte i energiselskapet. Dette påvirker også risikobildet. Ulikheter i energiselskapenes størrelser og aktiviteter gjør at risiko og eksponering for økonomisk kriminalitet vil variere. Det er mange forhold som trekker i retning av at energibransjen står overfor økende utfordringer med hensyn til risiko for økonomisk kriminalitet. 1.3 BRANSJENS INTERESSENTER Flere, ut over virksomhetene selv, forventer at virksomheter i energibransjen har høy bevissthet samt systemer og rutiner for å redusere risikoen for økonomisk kriminalitet: Eierne forventer trygghet for at virksomhetenes arbeid med økonomisk kriminalitet er tilstrekkelig ivaretatt. Myndighetene (NVE, Konkurransetilsynet, Datatilsynet, m.fl.) stiller flere krav, blant annet til virksomhetenes arbeid med å forebygge økonomisk kriminalitet. Regjeringen skriver i Stortingsmelding nr. 10 ( ) - Næringslivets samfunnsansvar i en global økonomi at «Regjeringen forventer at selskapene aktivt motarbeider korrupsjon gjennom etablerte varslingsordninger, interne retningslinjer og informasjonsarbeid» Det skrives i samme Stortingsmelding at «det forventes at selskapene utviser størst mulig grad av åpenhet knyttet til pengestrømmer». Offentlige myndigheter anbefaler videre at virksomhetene politianmelder forhold hvor det er grunnlag for politianmeldelse 2. Samarbeidspartnere har forventninger om at virksomhetene de samarbeider med har tilstrekkelige tiltak for å forebygge økonomisk kriminalitet. Banker og forsikringsselskaper vil ha forventninger til virksomhetenes arbeid med å forebygge økonomisk kriminalitet, gjennomføre leverandørkontroller mv. Svakheter ved virksomhetens internkontroll kan føre til avkortning av eventuell forsikringsdekning ved et eventuelt underslag e.l. Media og kunder, både bedriftskunder og privatkunder, vil ha forventninger til virksomhetenes arbeid. Manglende bevissthet og forutseenhet kan ha store konsekvenser for selskapenes rennommé og merkevare, og indirekte også fremtidig inntjening. Ansatte vil være opptatt av at virksomheten gjennom sitt arbeid med forebygging, avdekking og håndtering av økonomisk kriminalitet reduserer risikoen for at ansatte skal kunne komme i posisjoner der de begår økonomisk kriminalitet, enten for personlig vinning, på vegne av virksomheten eller av andre årsaker. Det er også forventninger blant ansatte om at arbeidsgiver tar samfunnsansvar. 1.4 VEILEDERENS FORMÅL OG MÅLGRUPPE Veilederens formål er å bidra til økt fokus på forebygging av økonomisk kriminalitet i energibransjen gjennom bevisstgjøring og kompetanseheving. Videre skal veilederen gi aktørene veiledning og verktøy for å bedre forstå risikobildet for økonomisk kriminalitet samt forståelse for hvordan forebygge, avdekke og håndtere økonomisk kriminalitet eller mistanke om dette. Veilederens hovedmålgruppe er den eller de som har et særlig ansvar i virksomheten for forebygging av økonomisk kriminalitet. Veilederen, særlig utvalgte deler av den, vil trolig være til inspirasjon og god nytte for flere andre i virksomheten. Veilederens første kapitel gir en kort introduksjon til bakgrunn og formål med veilederen. Kapittel to gir en grunnleggende innføring i ansvaret for ulike roller i virksomheten. Kapittel tre beskriver de ulike typetilfellene av økonomisk kriminalitet, og er ment å kunne benyttes som et hjelpemiddel for virksomhetene i sitt arbeid med å sikre at risikoen for økonomisk kriminalitet i tilstrekkelig grad blir tatt hensyn til i virksomhetens risikovurderinger. Det siste kapittelet beskriver viktige elementer knyttet til hvordan den enkelte virksomhet bør arbeide med å forebygge, avdekke og håndtere økonomisk kriminalitet. I vedlegg til veilederen finnes eksempler som kan benyttes som utgangspunkt for videre arbeid med tematikken og informasjon om hvor det finnes ytterligere informasjon og veiledning om de temaer som er belyst gjennom veilederen. 2 KRIPOS har i 2017 vært tydelig på viktigheten av at datakriminalitet politianmeldes, og har utarbeidet et eget veiledningsskjema som skal forenkle dette. ( KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 5

6 1.5 UTARBEIDELSEN AV VEILEDEREN Arbeidet med å utvikle veilederen ble initiert av Energi Norge. BDO AS (BDO) har på oppdrag fra Energi Norge ledet arbeidet, gjennomført workshops og utarbeidet veilederen. I fase én ble det gjennomført flere intervjuer med aktører i bransjen, det ble gjennomført en spørreundersøkelse og det ble avholdt en workshop med representanter fra bransjen. Hensikten med fase én var å fastslå om det var behov for en veileder. Basert på fase én ble det besluttet at veilederen skulle utarbeides. Det har vært gjennomført totalt tre workshops hvor det viktigste formålet har vært å diskutere risikobildet bransjen møter og få innspill fra bransjen på hvordan veilederen bør utformes mv. Ved sammensetning av deltagere til workshops har det vært søkt å sikre god bredde i deltagelse fra bransjen, både hva gjelder geografi, størrelse på virksomhet, type virksomhet og kompetanse/erfaring til den enkelte deltager. Et utkast til veilederen ble sendt til de som har deltatt i de gjennomførte workshops og relevante tilbakemeldinger mv. fra disse er innarbeidet i veilederen. Følgende virksomheter har vært representert i de gjennomførte workshops: Agder Energi AS Austevoll Kraftlag SA Hafslund ASA Infratek AS Kragerø Energi AS Ringeriks-Kraft AS Skagerak Energi AS Statkraft AS Statnett SF TrønderEnergi AS Energi Norge og BDO ønsker å takke alle som har bidratt i arbeidet. Foto: Camilla M. Granheim, Energi Norge 6 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

7 Foto: Statnett 2 Styring og kontroll - roller og ansvar Styret og virksomhetens ledelse har det overordnede ansvaret for implementering og etterlevelse av tiltak for å redusere risiko for økonomisk kriminalitet. Ledelsen skal forsikre seg om at ansvaret for ulike roller er definert og kommunisert. Ledere på hvert nivå er ansvarlig for å sikre at tiltak er implementert og etterleves innenfor egen avdeling eller funksjon. Styret, ledelse og alle ansatte har ansvar for å selv forstå, følge og gjennomføre tiltakene for å redusere risiko for økonomisk kriminalitet som følger av deres rolle i virksomheten. Nedenfor er en kort beskrivelse av ulike roller og deres ansvar når det gjelder styring og kontroll av en virksomhet. Kapittel 2.1, 2.2. og 2.3 under er utarbeidet med utgangspunkt i aksjelovens bestemmelser. Det vises også til NUES anbefalinger for eierstyring og selskapsledelse. Anbefalingen retter seg primært mot børsnoterte selskaper, men kan også være hensiktsmessig for ikke-børsnoterte selskaper med spredt eierskap. I NUES er det fremhevet at Styret bør klargjøre selskapets verdigrunnlag og i samsvar med dette utforme retningslinjer for etikk og samfunnsansvar. Etterlevelse av anbefalingen skal skje på bakgrunn av et følg eller forklar prinsipp. Det heter videre at Selskapets verdigrunnlag bør være et viktig premiss for selskapets eierstyring og selskapsledelse. Kjernen i begrepet bedrifters samfunnsansvar er selskapets ansvar for mennesker, samfunn og miljø som påvirkes av virksomheten og omhandler typisk menneskerettigheter, antikorrupsjon, arbeidstakerforhold, HMS, diskriminering, samt miljømessige forhold. Styrets rolle og den daglige ledelsens rolle når det gjelder forebygging, avdekking og håndtering av økonomisk kriminalitet er videre redegjort for i forskjellige delkapitler i veilederens kapittel fire. Rollen til en compliance-funksjon eller tilsvarende er viktig når det gjelder forebygging, avdekking og håndtering av økonomisk kriminalitet. Formelt vil dette normalt være en rolle med delegerte fullmakter fra den daglige ledelse. Denne rollen er ikke redegjort for nærmere i veilederens kapittel to. Det vises i den sammenheng særlig til veilederens kapittel EIERS ROLLE Eiers rolle kan ofte være begrenset til deltakelse på den årlige generalforsamlingen. Eierne bør synliggjøre sine forventninger til virksomhetens mål, vekst og utvikling til styremedlemmer som velges av generalforsamlingen. Generalforsamlingen er virksomhetens øverste myndighet og har myndighet til å blant annet instruere øvrige organer og omgjøre beslutninger, kreve innsyn i virksomhetens saker og iverksette gransking, vedta årsregnskap og årsberetning, herunder vedta utdeling av utbytte, velge revisor og godkjenne styrehonorar. Det er av stor betydning at generalforsamlingen velger et styre som totalt sett besitter tilstrekkelig kompetanse til å ivareta styrets ansvar når det gjelder risikobildet for økonomisk kriminalitet. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 7

8 2.2 STYRETS ROLLE OG ANSVAR Styret har i det fleste virksomheter det øverste og formelle ansvaret for forvaltningen av selskapet. Styret kan delegere den daglige ledelse og drift til daglig leder som skal lede selskapet i tråd med de retningslinjer som er gitt av styret. Styrets ansvar deles ofte inn i styrets forvaltningsansvar og styrets tilsynsansvar/påseansvar. Styrets forvaltningsansvar omfatter blant annet at styret skal sørge for en forsvarlig organisering av virksomheten, i nødvendig utstrekning fastsette planer og budsjetter, samt fastsette retningslinjer for virksomheten. Videre skal styret holde seg orientert om selskapets økonomiske stilling og plikter å påse at dets virksomhet, regnskap og formuesforvaltning er gjenstand for betryggende kontroll. Styrets tilsynsansvar omfatter blant annet å føre tilsyn med den daglige ledelse og selskapets virksomhet. Styret har det overordnede ansvaret og dermed en plikt til å påse at virksomheten har etablert betryggende internkontroll, herunder at tiltak for å forebygge økonomisk kriminalitet er implementert. I dette inngår også at det tilføres tilstrekkelig ressurser til dette arbeidet. En betryggende internkontroll er helt essensielt for å redusere risikoen for økonomisk kriminalitet. Virksomhetens styre må ha risikobildet for økonomisk kriminalitet på agendaen og dette må dokumenteres. For mer informasjon om styrets rolle vises det særlig til veilederens kapittel 4.2.3, 4.2.4, og DAGLIG LEDERS ROLLE Daglig leder skal drive virksomheten i den strategiske retning som styret har vedtatt og innenfor de fullmakter som styret har fastsatt. Daglig leder skal blant annet rapportere til styret slik styret ønsker, gi styret underretning om virksomheten, resultatutvikling mv., legge frem beslutninger som er av særlig stor betydning, samt sørge for at selskapets regnskap er i samsvar med lov og forskrifter, og at formuesforvaltningen er ordnet på en betryggende måte. Ledelsen må sette «tonen fra toppen» gjennom å demonstrere betydningen av betryggende internkontroll og behovet for at risikoen for økonomisk kriminalitet tas på alvor. For mer informasjon om daglig leders rolle vises det til veilederens kapittel fire i sin helhet, især kapittel og INTERNREVISJONENS ROLLE Internrevisjon er en uavhengig, objektiv bekreftelses- og rådgivningsaktivitet som har til hensikt å tilføre merverdi og forbedre organisasjonens drift. Den bidrar til at organisasjonen oppnår sine målsettinger ved å benytte en systematisk og strukturert metode for å evaluere og forbedre effektiviteten og hensiktsmessigheten av organisasjonens prosesser for risikostyring, kontroll og governance 3. Virksomhetens arbeid med ledelse, etikk og korrupsjon inngår også i internrevisors revisjonsunivers. Profesjonell utøvelse av internrevisjon innebærer blant annet at internrevisor har tilstrekkelig kunnskap til å vurdere risikoen for økonomisk kriminalitet og hvordan risikoen håndteres i organisasjonen. Internrevisjonen bør også samhandle og koordinere arbeid med compliance-funksjonen og andre kontrollenheter i virksomheten 4. For de fleste virksomheter er det frivillig å etablere en internrevisjonsfunksjon. Flere og flere norske virksomheter etablerer slike funksjoner. Det vises i denne sammenheng til reglene fra Norsk utvalg for eierstyring og selskapsledelse (NUES) 5 og innspill fra Norges Interne Revisors Forening til NUES anbefalingene i 2016 om internrevisjon for store og viktige sektorer i Norge REVISORS ROLLE 7 En av revisors roller er å være en tillitsmann for brukerne av årsregnskapet, det være seg investorer/eiere, ansatte, offentlige myndigheter og kreditorer. En av flere målsettinger med selve revisjonen er å bidra til både å forebygge og avdekke misligheter. At regnskapet revideres vil i utgangspunktet i seg selv virke forebyggende. For å kunne bidra til å forebygge og avdekke misligheter må revisor gjøre en god vurdering av risikoen for at det kan foreligge feilinformasjon i årsregnskapet som følge av misligheter. Revisorloven stiller også krav til at revisor har tilstrekkelig grunnlag for å kunne vurdere om det foreligger brudd på lover og forskrifter av vesentlig betydning for årsregnskapet. Det fremgår videre av revisorloven at revisor skriftlig skal påpeke «feil og mangler ved organiseringen av og kontrollen med formuesforvaltningen», «misligheter og feil som kan medføre feilinformasjon i årsregnskapet» og «forhold som kan føre til ansvar for medlemmer av styret, bedriftsforsamlingen, representantskapet eller daglig leder». Det er likefult virksomhetens fulle ansvar både å avlegge et riktig årsregnskap og sørge for en betryggende formuesforvaltning og internkontroll. Både styret og daglig ledelse bør ha en dialog med virksomhetens revisor om hvordan virksomheten er eksponert for økonomisk kriminalitet og hva virksomheten gjør for å håndtere denne risikoen Basert på innlegg skrevet av Jørgen Bock, internrevisor NAV og president i NIRF, til NIRFs nyhetsblogg, også publisert i SIRK nr Avsnittet er basert på artikkelen «Misligheter og revisors rolle» publisert i Revisjon og Regnskap nr KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

9 Foto: Shuttestock 3 Økonomisk kriminalitet 3.1 INNLEDNING Økonomisk kriminalitet kan defineres som profittmotiverte, ulovlige handlinger som begås i relasjon til en virksomhet som er, eller fremstår som legitim 8. I veilederen er begrepet økonomisk kriminalitet benyttet. I denne sammenheng skal begrepet økonomisk kriminalitet forstås bredere, i den forstand at uregelmessigheter mv. som ikke nødvendigvis kan defineres som økonomisk kriminalitet omfattes av begrepet. Økonomisk kriminalitet kan i første omgang utgjøre en stor trussel mot enkeltpersoner og strukturer i næringslivet, men kan også være ødeleggende for viktige strukturer i Norge, som velferdsstaten og demokratiet. 3.2 OVERORDNET OM RISIKOBILDET Økokrim publiserer trussel- og risikovurderinger for økonomisk kriminalitet og miljøkriminalitet annet hvert år. Ifølge Økokrims risikovurdering fra er økonomisk kriminalitet mer utbredt enn anmeldelsesstatistikken tilsier. At Norge er et av verdens rikeste land, med stabile politiske forhold, en relativt jevn fordeling av inntekt og en stor middelklasse, gjør Norge til et utsatt land for bedragerier rettet mot privatpersoner. I tillegg er Norge et attraktivt land for arbeidsinnvandring. Disse grunnleggende forholdene ved norsk økonomi og samfunn legger forutsetningene for den økonomiske kriminaliteten og miljøkriminaliteten i Norge. Trusselen for økonomisk kriminalitet vil ifølge Økokrim være stor og kompleks også de neste årene. Siden 2000-tallet har det vært en klar trend med med arbeidsinnvandrere fra land med svakere økonomisk utvikling enn Norge og en påfølgende utnyttelse av mange av disse arbeiderne i det norske arbeidsmarkedet. Norsk økonomi er preget av en stor tjenesteytende næring preget av lavt kompetansekrav og stort prispress. Potensialet for å sysselsette «underbetalte» arbeidere er stort. Norsk økonomi er preget av store internasjonale bedrifter og tette bånd til utlandet. Ifølge Økokrims trusselvurdering 10 øker dette trusselen for alvorlig økonomisk kriminalitet, som korrupsjon og skatte- og avgiftsunndragelser. Et kjennetegn er at de samme aktørene begår flere typer lovbrudd og at de samme aktørene begår både økonomisk kriminalitet og miljøkriminalitet. Næringer hvor begge typer kriminalitet kan utføres blir derfor spesielt utsatt. Økokrim skriver i sin trusselvurdering 10 at de har sett økt økonomisk kriminalitet og miljøkriminalitet, inkludert økt utnytting av sårbare utenlandske arbeidere, i de delene av arbeidsmarkedet som er 8 Basert på Økokrims definisjon 9 ØKOKRIM: Risikovurdering 2015/2016- Økonomisk kriminalitet 10 ØKOKRIM: Trusselvurdering 2015/2016 Foto: Camilla M. Granheim KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 9

10 preget av stor andel ufaglært arbeidskraft. EØS-avtalen, og særlig etter inkluderingen av ti nye land fra Øst-Europa og Balkan i 2004, har ført til en betydelig tilstrømming av arbeidstakere til det norske arbeidsmarkedet. En stor andel av de utenlandske arbeidstakerne kommer fra land med betydelig dårligere lønns- og arbeidsvilkår enn i det norske arbeidsmarkedet. Økokrim har sett en tendens til omfattende og systematiske brudd på arbeidsmiljøloven og allmenngjøringsloven i deler av det norske arbeidsmarkedet som benytter utenlandske arbeidere. 3.3 MISLIGHETSTRIANGELET «Mislighetstriangelet» er en ofte brukt tilnærming til å forklare hvorfor ansatte begår økonomisk kriminalitet. Triangelet består av tre hovedelementer som til sammen er med på å forklare årsaken til at noen begår økonomisk kriminalitet. Ifølge teorien kan man minimere risikoen for økonomisk kriminalitet ved å eliminere minst én av faktorene: Motivasjon Mulighet Rasjonalisering handlinger for å løse problemet. De ulovlige handlingene kan være å stjele penger eller forfalske et regnskap. Det finansielle problemet kan være personlig, for eksemplet at personen kan være høyt forgjeldet, eller profesjonelt ved at jobben for eksempel står i fare. Under følger noen eksempler på faktorer som kan føre til økonomisk kriminalitet: Manglende evne til å betale regninger Spilleavhengighet Avhengighet av rusmidler Forventning om å oppnå produksjonsmål på jobb Forventning om å oppfylle inntektsmål for å opprettholde investors tillit Ønske om status og/eller statussymboler Mulighet handler om mulighetsrommet til å begå kriminalitet. Individet må identifisere en måte det kan bruke sin posisjon til å løse sitt «finansielle problem»/motivet med en lav risiko for å bli tatt. Det er kritisk at den som utfører økonomisk kriminalitet klarer å gjennomføre handlingen uten å bli avslørt. Mange gjennomfører økonomisk kriminalitet for å opprettholde en sosial status, for eksempel kan det stjeles for å skjule spilleavhengighet. Hvis den som gjennomfører handlingen blir avslørt i å stjele eller forfalske finansiell informasjon, vil dette ødelegge dens status mer enn det underliggende problemet. Handlingen søkes derfor gjennomført slik at personen ikke kan bli tatt og slik at forbrytelsen i seg selv ikke blir oppdaget. Mislighetstriangelet Økokrim rapporterer i sin trusselvurdering fra 2015/2016 at det i dag ikke er unormalt at medhjelpere er involvert. Kriminelle benytter seg av profesjonelle aktører for å tilrettelegge for både kriminelle handlinger og for handlinger som er i gråsonen mellom kriminalitet og ekstrem tolkning av regelverket til egen fordel. Innen økonomisk kriminalitet, sees ofte at kompetansen til profesjonelle aktører som regnskapsførere, revisorer, meglere og advokater er nødvendig for å begå lovbrudd. Økokrim skriver i deres rapport at bruk av profesjonelle medhjelpere fører til at det utvikles kompliserte forretningsstrukturer og avtaler. Kilde: Cressey, 1973 Motivasjon handler om insentivet et individ har til å begå kriminelle handlinger. Individet kan ha et finansielt problem som det ikke klarer å løse på lovlig vis, så det begynner å vurdere og utføre ulovlige Rasjonalisering er hvordan lovbryteren rasjonaliserer sine handlinger mot sosiale standarder. De aller fleste som begår økonomisk kriminalitet er personer uten kriminell historikk, og de anser ikke seg selv som kriminelle. De ser på seg selv som ordinære, ærlige mennesker som sitter fast i en vanskelig situasjon. Som en konsekvens av dette, vil den som gjennomfører en økonomisk kriminalitet rettferdiggjøre handlingen overfor seg selv og andre og på denne måten gjøre det til en akseptabel og berettiget handling. 10 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

11 3.4 RISIKOREGISTER I det følgende redegjøres det kort for ulike typer økonomisk kriminalitet. De fleste av disse typetilfellene kan ramme de fleste virksomheter uavhengig av type virksomhet, størrelse, bransje mv. De ulike typetilfellene er beskrevet gjennom å vise til relevante straffebestemmelser og ved behov gi en nærmere beskrivelse, herunder eksempler på de ulike typetilfeller. Videre knyttes eksempler fra bransjen til de ulike typetilfellene der dette er særlig relevant. Dette er søkt gjort i alle tilfeller der typetilfellet er vurdert særlig relevant for bransjen Underslag Underslag rammes av straffeloven 324 eller 325 (grovt). For underslag straffes den som med forsett om en uberettiget vinning for seg selv eller andre rettsstridig a) selger, forbruker eller på annen måte tilegner seg en løsøregjenstand eller pengefordring som han besitter, men som tilhører en annen, eller b) forføyer over penger han har innfordret for en annen, eller som. på annen måte er betrodd ham. Underslag skiller seg fra tyveri ved at den ansatte allerede er i besittelse av gjenstanden. Den største risikoen for underslag ligger derfor hos ansatte som har tilgang og ansvar for betalinger (kasse) eller ansatte som besitter utstyr tilhørende virksomheten, eksempelvis en montør som har store mengder verktøy. Videre kan underslag (eventuelt økonomisk utroskap) foregå dersom en ansatt (i omsetningsselskap) sletter en kundefordring registrert på seg selv eller en bekjent, urettmessig justerer forfallsdato, eller urettmessig nedjusterer strømpris eller manipulerer forbruk ifm. fakturering. Underslag handler om personlig vinning. Ulovlig bruk av løsøre kan også rammes av straffeloven 343 og 344 (grov) Økonomisk utroskap Økonomisk utroskap straffes etter straffeloven 390 og grov økonomisk utroskap etter 391. For økonomisk utroskap straffes «Den som handler mot en annens interesser som han styrer eller har tilsyn med, med forsett om å oppnå en uberettiget vinning for seg eller andre eller om å skade» Dette kan typisk være en økonomisjef som har fullmakt over virksomhetens bankkonti og benytter denne fullmakten til å urettmessig utbetale penger til seg selv, juks med reiseregninger, overtid o.l. Ved byggeprosjekter kan det være risiko for at det inngås avtale om salg av restmaterialer, kabler mv. og at «fortjenesten» ikke går til virksomheten, men til vedkommende privat. Andre scenarioer kan være kjøp av private varer og tjenester og som blir belastet energibedriften, eller at en leder i et omsetningsselskap inngår avtale om «kick-back» ifm. kjøp av telefonsalgstjenester e.l. Et nettselskap betaler i enkelte tilfeller erstatning ifm. strømbrudd. I slike tilfeller kan det tenkes at det gjøres avtale om «kick-back» e.l. mellom den som forhandler på vegne av nettselskapet og den som skal motta erstatning Konkurskriminalitet Konkurskriminalitet er straffbare handlinger som normalt begås i forbindelse med eller i forkant av konkursbehandling. Konkurskriminalitet straffes etter bestemmelsene i straffeloven kap. 31. Et vanlig eksempel på slik kriminalitet er at en person eller et foretak som er slått konkurs eller står i fare for å bli slått konkurs skjuler/fjerner verdier når konkursen er åpnet eller i forkant av dette, slik at kreditorene ikke får dekket fordringene sine Bedrageri Bedrageri som benevnelse blir brukt for mange ulike lovbrudd. I denne veilederen ansees bedrageri som at noen forsøker å lure virksomheten for å oppnå en økonomisk gevinst. Bedrageri straffes etter bestemmelsen i straffeloven 371 og grovt bedrageri etter 372. Digitale flater er spesielt utsatt. Et eksempel på bedrageri kan være at noen lurer selskapet til å betale for en vare eller tjeneste som selskapet aldri mottar. Utbredt bruk av informasjonsteknologi gir utfordringer i form av stort nedslagsfelt, profesjonelle nettsider og falsk dokumentasjon Subsidiebedrageri Subsidiebedrageri er dekket av straffelovens 371, jf. 372, i tillegg blir ofte straffelovens 221 benyttet. Mange av subsidieordningene fra myndighetene er basert på tillit og dokumentasjon fra søkeren. Subsidiebedrageri er når virksomheten oppgir feilaktige opplysninger til myndighetene for å få utbetalt urettmessige subsidier. Det offentlige overfører hvert år betydelige summer til næringslivet som skal støtte opp om politiske mål som blant annet spredt bosetning og et levende samfunn. Svindel i forbindelse med slike ordninger har et betydelig gevinstpotensial og noen av Økokrims straffesaker har vist at det har blitt gitt uberettigede tilskudd på flere titalls millioner kroner. Støtteordningene er i stor grad tillitsbaserte og derfor sårbare for misbruk. I tillegg er ikke alltid kontrollrutinene tilfredsstillende. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 11

12 Det har vist seg at det offentlige til dels har uklare retningslinjer for tildeling av støtte. Dette har betydning både for riktig tildeling, mulighet for uaktsomme feil og muligheten for straffeforfølging. SkatteFunn-ordningen gjennom Forskningsrådet og Olje- og energidepartementets ENOVA er eksempel på en statlig subsidieordning som er relevant for energibransjen. såkalt «utilbørlig». Ifølge forarbeidene til endringen av straffeloven i 2003 defineres fordelsbegrepet som «alt den passive bestikker ser seg tjent med eller kan dra nytte av». Denne definisjonen er svært vid og omfatter både økonomiske fordeler som betaling av kontanter, gratisreiser eller oppvarting og ikke-økonomiske fordeler som ikke har direkte materiell verdi. Dette kan være løfter om medlemskap i en eksklusiv klubb eller privatskoleplass til barna Korrupsjon og påvirkningshandel Transparency International definerer korrupsjon som «misbruk av makt i betrodde stillinger til privat fordel». På bakgrunn av implementeringen av Europarådets konvensjon mot korrupsjon, ble det i Norge i 2003 innført tre nye straffebestemmelser om korrupsjon. De tre straffebestemmelsene omhandler «korrupsjon», «grov korrupsjon» og «påvirkningshandel». For energibransjen er korrupsjon særlig relevant i forbindelse med innkjøp, men også ifm. tillatelser, konsesjon mv. kan korrupsjon og påvirkningshandel være svært relevant. En innkjøper kan bli forsøkt bestukket for å velge en bestemt leverandør. Videre kan energibedriften selv bestikke noen, enten for å komme i posisjon til å inngå en avtale eller ifm. nødvendig omregulering eller bestikke en kontrollør ved et tilsyn. For å kunne dømmes for korrupsjon må fordelen man f.eks. har mottatt i anledning av sin stilling som daglig leder, være «utilbørlig». Relevante momenter i en slik utilbørlighetsvurdering vil blant annet være hensikten med fordelen, hvilken stilling giveren eller mottakeren har, fordelens verdi, hvorvidt giverens eller mottakerens overordnede har godkjent fordelen som er tilbudt eller mottatt og om det har forekommet brudd på interne regler (etisk regelverk mv.). For å kunne straffes for korrupsjon må det foreligge et klart klanderverdig forhold. Det er for eksempel ikke tilstrekkelig at forholdet bare er kritikkverdig. Økokrim forventer at korrupsjon i norske virksomheter vil øke noe. De peker på at Norge har en stor grad av lokal forvaltning, og små forhold som kan gi grobunn for kameraderi og korrupte relasjoner. Energibransjen skal i den nærmeste tiden investere vesentlige summer i infrastruktur og vil i den anledning inngå store kontrakter med ulike leverandører. Et annet scenario kan være at en ansatt som har tilgang til informasjon om kritisk infrastruktur, nøkler, tegninger mv. kan bli bestukket av en kriminell aktør for å gi fra seg denne informasjonen. I den nye straffeloven 387, er korrupsjon definert som det å gi, tilby eller kreve, motta, akseptere en «utilbørlig fordel» i anledning av utøvelsen av stilling, verv eller utføringen av oppdrag. Både den som tilbyr en utilbørlig fordel (aktiv korrupsjon) og den som aksepterer et slikt tilbud (passiv korrupsjon) kan dermed straffeforfølges. Strafferammen for korrupsjon spenner fra bøter til fengsel inntil 10 år (ved grov korrupsjon jf. 388). For å forstå hva som kan være korrupsjon bør man vite hva som ligger i begrepet «utilbørlig fordel». I dette begrepet ligger både at det må være en fordel av en eller annen art og at fordelen må være Korrupsjons- og påvirkningshandelsreglene i straffeloven 387, 388 og 389 setter begrensninger for avtaler mellom aktørene og kommunene. Straffelovens bestemmelser for påvirkningshandel rammer korrupsjonshandlinger mellom to personer for å påvirke en tredjeperson. Bestemmelsene om ulovlig påvirkningshandel utvider området for korrupsjon og finnes i straffelovens 389. Bestemmelsen dekker tilfeller der en person gir eller tilbyr en mellommann en «utilbørlig fordel» for å påvirke en beslutningstaker, uten at beslutningstakeren i seg selv oppnår noen fordel. Straffebestemmelsen om påvirkningshandel omfatter både privat og offentlig sektor. Det kan oppstå vanskelige avgrensningsspørsmål i grenseområdet mellom straffbar og lovlig påvirkningshandel. Det avgjørende i grensedragningen mellom for eksempel legitim lobbyvirksomhet og korrupsjon vil som regel være om påvirkningsagenten har vært åpen overfor beslutningstakeren om de reelle forhold. Foto: Camilla M. Granheim, Energi Norge 12 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

13 Gaver, representasjon og utgiftsdekking Norsk lov gir ingen beløpsgrense for hva som defineres som en «utilbørlig fordel» når det gjelder beløp for gaver, representasjon eller utgiftsdekning. Avgjørelsen vil bero på en konkret helhetsvurdering og man må se hen til norsk rettspraksis for å få veiledning. Eksempler på saker fra norske domstoler som omfatter problemstillinger knyttet til temaet er Ruter-saken (2014), Unibuss-saken (2012/2016) og Onninen-saken (2006). For mer informasjon og veiledning vises det til Transparency International Norges domsamling 11 samt NHOs veileder om gaver og representasjon 12. Interessekonflikter Interessekonflikter kan oppstå i mange ulike situasjoner, blant annet ifm. rekruttering, valg av leverandører, ved investeringer, ved valg av trasé for kabler, plassering av trafo mv. Mange aktører i energibransjen som nå opererer som egne virksomheter har tidligere vært en del av annen virksomhet. Dette gjør at det kan være tette relasjoner mellom ansatte i virksomheter som nå er to forskjellige juridiske enheter. Samhandling mellom slike virksomheter må håndteres varsomt for å unngå risiko knyttet til interessekonflikter, men også brudd på innkjøpsregler, gi enkelte leverandører fordeler mv. Sponsing Sponsing kan være at virksomheten betaler for å knytte sitt navn til en person, organisasjon eller aktivitet/arrangement. Sponsing kan være korrupsjon dersom det foreligger en gjenytelse på betalerens eller mottakerens side. Dersom sponsingen eksempelvis gis til noen få utvalgte personer i det skjulte, kan det oppfattes som en utilbørlig fordel. Politiske bidrag Politiske bidrag kan både være økonomisk støtte direkte til partier eller til kandidater eller til andre personer med verv eller indirekte økonomisk støtte via organisasjoner eller foreninger som støtter politiske partier. Et bidrag kan knyttes til korrupsjon dersom bidraget blir gitt for å påvirke beslutninger som for eksempel lisenser, konsesjoner, tillatelser eller andre kontrakter fra myndighetene. Frivillige samfunnsbidrag / Ytelser til vertskommune Et frivillig samfunnsbidrag eller en ytelse til vertskommune kan være i form av penger, varer eller tjenester eller en kombinasjon av dette. Eksempel på slike ytelser kan være at kraftselskapene sponser bygging av en sykkelvei eller et idrettsanlegg for lettere å få et vedtak om utbygging av et prosjekt for eksempel utbygging av linjenettet eller utvidelse av et anlegg. Slike bidrag har korrupsjonsrisiko knyttet til seg og ytelser til kommune eller kommunens ansatte/politikere rammes av korrupsjonslovgivningen. I Energi Norges veileder fra 2013 «Ytelser til vertskommuner fra vindkraftselskaper» beskrives problemstillinger knyttet til bidrag til vertskommune i detalj. Det vises til Energi Norges veileder for nærmere informasjon om grensene mellom bidrag til vertskommuner og korrupsjon og påvirkningshandel. Veldedige gaver Gaver til ideelle organisasjoner er vanligvis ikke problematisk. En veldedig gave kan rammes av korrupsjonsloven dersom den veldedige organisasjonen drives av beslutningstakere for eksempel hos myndighetene og gaven blir gitt for å påvirke deres beslutninger som kan gi virksomheten en utilbørlig fordel/gjenytelse Regnskapsmanipulasjon Brudd på regnskapsloven blir straffet etter straffelovens , regnskapsloven 8-5, eller bokføringsloven 15. Virksomhetens regnskap gir et grunnlag for beslutningene til eierne, investorene, långiverne eller kreditorene. Uriktige eller ufullstendige opplysninger kan føre til tap eller fare for tap for slike interessenter. Beregningen av direkte skatter, merverdiavgift, arbeidsgiveravgift og særavgifter til det offentlige bygger på selskapenes regnskap. Manglende eller mangelfulle regnskaper øker risikoen for skatte- og avgiftstap og reduserer de offentlige kreditorenes kontrollmuligheter. Kryssubsidiering er en særlig aktuell problemstilling. Det vises i den sammenheng til kravene etter «Forskrift om økonomisk og teknisk rapportering, inntektsramme for nettvirksomheten og tariffer» 13. Når et energiselskap har et nettselskap med monopol i sitt område og samtidig driver konkurranseutsatt virksomhet, kan det blant annet oppstå spørsmål om ulovlig kryssubsidiering mellom de forskjellige delene av virksomheten. Motivasjon for regnskapsmanipulasjon kan også oppstå dersom selskapets ledelse eller andre har bonusordninger basert på resultat e.l Dokumentforfalskning Dokumentforfalskning rammes av straffeloven og 370. Dokumentfalsk kan være forfalskning av underskrift, endring av et dokuments innhold eller misbruk av skriftlig fullmakt. Å bruke falsk legitimasjon regnes også som dokumentfalsk. Dokumentfalsk inkluderer også utstedelse av dokumenter med falske navn og falske adresser. Motivet for dokumentforfalskning er ofte å oppnå økonomisk gevinst, gjennom å bevise en rett, tillatelse, eller at en transaksjon har skjedd. For energibransjen er det en økende risiko for dokumentforfalskning ved bruk av leverandører og underleverandører KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 13

14 Falske bankgarantier er et annet eksempel på dokumentforfalskning som har vært oppdaget av aktører i bransjen Arbeidslivskriminalitet I regjeringens strategi mot arbeidslivskriminalitet fra 2015 er arbeidslivskriminalitet definert som: «Handlinger som bryter med norske lover om lønns- og arbeidsforhold, trygder, skatter og avgifter, gjerne utført organisert, som utnytter arbeidstakere eller virker konkurransevridende og undergraver samfunnsstrukturen». Arbeidslivskriminalitet omfatter et bredt spekter av aktiviteter og brudd på ulike regelverk. Arbeidslivskriminalitet omfatter både svart økonomi og sosial dumping. En stor del av arbeidslivskriminaliteten finner ifølge Økokrim sted fordi norske privatpersoner, næringslivsaktører og det offentlige er langt mer opptatt av pris enn seriøsitet. Store og veletablerte virksomheter bidrar også til denne kriminaliteten. Økokrim har også sett en økt organisert utnyttelse av arbeidstakere, fra svart arbeid, til sosial dumping og i de mest alvorlige tilfellene menneskehandel. Utstrakt økonomisk kriminalitet og utnytting av utenlandske arbeidstakere fører til at de som driver ulovlig får en vesentlig konkurransefordel fremfor de lovlige virksomhetene. At pris har blitt vektlagt både i offentlige anbud og i privatmarkedet for en rekke tjenester har bidratt til at utenlandske useriøse firmaer, som priser seg lavt, har fått innpass på det norske arbeidsmarkedet. Risikoen for arbeidslivskriminalitet øker ved bruk av leverandører og underleverandører, særlig innenfor bygg- og anleggsvirksomhet og renholdstjenester Hvitvasking og heleri Hvitvasking og heleri rammes av straffelovens Heleri handler om å motta eller skaffe seg eller andre del i utbytte av en straffbar handling. Hvitvasking er handlinger som gjøres for å få utbytte av straffbare handlinger til å framstå lovlig. For at kriminelle skal kunne nyte fordelene av ulovlig utbytte må det integreres i den legale økonomien. Det er derfor viktig for lovbryteren å finne en måte å forvalte utbyttet på uten at det vekker mistanke. Ofte gjøres dette ved enten å tilsløre midlenes opprinnelse, endre midlenes form eller ved å flytte utbyttet Innsidehandel Ulovlig innsidehandel straffes etter verdipapirhandelloven. Det er en iboende risiko for innsidehandel i bransjen knyttet til ansatte som handler på kraftmarkedet herunder for virksomheter som er notert på børsen. Videre kan innsidehandel representere en risiko ifm. fusjoner, oppkjøp e.l Miljøkriminalitet Miljøkriminalitet kan defineres som belastning på miljøet som kommer i tillegg til den belastningen som lovlig virksomhet utgjør. Den rammer som regel fellesgodene mer enn enkeltpersoner. Miljøkriminalitet kan ramme helt lokalt, men det kan også få globale konsekvenser. Motivene for å begå miljøkriminalitet kan være forskjellige, men ofte er motivet økonomisk profitt i form av besparelser. Miljøkriminalitet innen energibransjen kan være knyttet til brudd på manøvreringsreglementet og krav til minstevannføring, samt bygging i strid med konsesjonsvilkår, eksempelvis i strid med krav satt for å verne om landskaps- og miljøinteresser. Brudd på kulturminneloven kan også representere en risiko for energibransjen, særlig ifm. gravearbeider/utbyggingsarbeider. Videre kan enkelte aktører være pålagt restriksjoner og rapportering av forurensing. Slik rapportering kan manipuleres for å unngå bøter mv. I forbindelse med anleggsprosjekter o.l. kan farlig avfall, forurensede masser mv. identifiseres. Ulovlig deponering av slike masser kan også representere et relevant scenario for energibransjen. Miljøkriminalitet kan være særlig relevant ifm. utfasing av utstyr med PCB-holdige produkter og håndtering av kreosotimpregnerte stolper. Det finnes eksempel på saker om tømming av vannmagasiner og brudd på aktsomhetsparagrafen i vannressursloven. En kjent sak knyttet til miljøkriminalitet er en sak der et kraftselskap ble dømt for ulovlig kraftutbygging. Saken gikk helt til Høyesterett og daglig leder og byggeleder ble dømt Konkurransekriminalitet Konkurransetilsynet har hovedansvaret for å håndheve konkurranselovens bestemmelser. Konkurranseavgrensende avtaler som for eksempel prissamarbeid, samarbeid og påvirkning av avanser, rabatter og tilbuds- og markedsdelingssamarbeid er forbudt jf. Konkurranselovens 10. Ifølge Økokrim er det grunn til å anta at Norge er mer sårbar for kartellvirksomhet enn mange andre land. Energibransjen er preget av relativt få, men store etablerte aktører på leverandørsiden. Dette gjør markedene oversiktlige for leverandørene slik at de lettere kan samarbeide. Markedet har også geografiske utfordringer som kan gjøre at aktørene i bransjen kan dele områder mellom seg. Energibransjen og dens underleverandører har hatt flere saker innen konkurransekriminalitet. Et eksempel er saken fra 1999 der to aktører 14 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

15 Foto: esmart Systems ble ilagt foretaksstraff på til sammen 20 millioner kroner for brudd på konkurranselovgivningens bestemmelser om ulovlig anbuds-, tilbuds- og prissamarbeid i forbindelse med produksjon og overføring av elektrisk kraft. Det kan også tenkes at energibransjen selv, kanskje særlig omsetningsselskapene, kan inngå prissamarbeid eller på andre måter samarbeide for å bedre deres fortjeneste. 3.5 DIGITALE TRUSLER Trusselbildet knyttet til informasjonssikkerhet er i stadig endring, og spesielt øker datakriminalitet i omfang. Angrepene blir stadig mer sofistikerte, og avanserte verktøy er blitt svært tilgjengelig. Politiets sikkerhetstjeneste (PST) og Nasjonal Sikkerhetsmyndighet (NSM) utgir årlig hver sin åpne trusselvurdering. NSM beskriver i sin trusselvurdering for 2017 at cyberangrepene er mer avanserte og blir mer profesjonelt utført. Vanlige mennesker blir i økende grad ofre, og store økonomiske verdier går tapt hvert år. Overordnet nasjonal strategi for bekjempelse av datakriminalitet (Datakrimstrategien) 14 beskriver et komplekst trusselbilde, trusselaktører mv. som også er svært relevant for energibransjen. PST uttaler i sin vurdering at utenlandske etterretningstjenester vil fortsette sitt omfattende arbeid i og mot Norge i Deres mål er blant annet å få tilgang til sensitiv og skjermingsverdig informasjon, for å kunne sabotere kritisk infrastruktur ved en eventuell fremtidig konflikt. Dette må også sees i sammenheng med det som blant annet er beskrevet i kapittelet om korrupsjon der det beskrives et scenario der en ansatt mottar betaling for å gi sensitiv og skjermingsverdig informasjon til en mulig trusselaktør, eksempelvis for å kunne komme i posisjon til å gjennomføre terrorhandlinger. Energibransjen har ansvaret for en av landets mest kritiske infrastrukturer, og forvalter store verdier for samfunnet. Energibransjen forvalter også betydelige mengder personopplysninger, markedssensitiv informasjon og sensitiv informasjon knyttet til drift og kunder. Både driftskontrollsystemer, AMS-systemer, kundesystemer og personalregister er eksempler på informasjonssystemer som inneholder denne type kritisk og sensitiv informasjon, og som vil kunne være utsatt for uønskede hendelser. Denne type informasjon kan være svært attraktive for trusselaktører, enten det er fremmede stater som ønsker å kartlegge strømforsyningen eller aktører som ønsker å bedrive industrispionasje, oppnå økonomisk vinning eller å innhente informasjon om enkelte personer. I 2014 ble deler av energibransjen utsatt for forsøk på avansert innhenting av sensitiv informasjon fra sine nettverk. I de siste årene har man også sett en trend internasjonalt at angrep mot virksomhetene skjer via leverandører som har tilgang til virksomhetens IKT-system - for eksempel via fjerntilgang. Energibransjen er en bransje som er svært avhengig av leverandører, og noen av disse er globale konserner. NSM nevner i sin trusselvurdering at denne type angrep bør virksomhetene være mer oppmerksom på KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 15

16 Gitt hvordan trusselbildet ser ut, må alle virksomheter i energibransjen regne med i det minste - å bli forsøkt svindlet eller utsatt for andre sikkerhetstruende hendelser på en eller annen måte via Internett. I det følgende redegjøres det nærmere for tre særlig aktuelle metoder for digital økonomisk kriminalitet Informasjonstyveri Informasjonstyveri er uberettiget tilegnelse av andres informasjon. Virksomhetens informasjon er beskyttet i lovverket gjennom markedsføringsloven 25, 28 og 29 og gjennom straffeloven 207. En rekke lovverk stiller krav også til at virksomheter beskytter sin sensitive informasjon. Lov av 14. april 2000 nr. 31 om behandling av personopplysninger (personopplysningsloven) og forskrift av 15. desember 2000 nr (personopplysningsforskriften), stiller krav til beskyttelse av personopplysninger. Energiloven og beredskapsforskriften stiller krav til beskyttelse av kraftsensitiv informasjon 15. Trusselaktører som stjeler informasjon kan ha ulike former for motivasjon. Ved industrispionasje kan formålet være å oppnå et konkurransefortrinn, for eksempel ved å innhente informasjon om ny teknologi, strategi, kontraktsforhandlinger etc. Informasjonstyveri kan også ha utpressing som formål. Videre er en rekke aktører ute etter personopplysninger, for eksempel for å gjennomføre identitetstyveri basert på informasjonen. Eksempler på slike opplysninger kan være brukernavn, passord, kredittkortnummer etc. For energibransjen kan også særlig kraftsensitiv informasjon være utsatt for informasjonstyveri. Bruk av e-post er den mest vanlige angrepsvektoren for informasjonstyveri i det digitale rom. En såkalt «phishing-epost» har som formål å lure bruker til å trykke på et vedlegg infisert med skadevare, eller på en link til en side som serverer ondsinnet kode. Ved å utnytte sårbarheter kan trusselaktør på denne måten få tilgang til virksomhetens systemer og informasjon. Slike eposter kan også bruke sosial manipulasjon, for å lure bruker til å gi fra seg brukernavn og passord. Såkalte «vannhullsangrep» er en annen kjent fremgangsmåte. Her kompromitterer en trusselaktør en internettside med mål om å infisere besøkende på nettsiden med skadevare Direktørsvindel / CEO-fraud I den senere tid er det rapportert stor økning i antall forsøk på å ramme virksomheter med løsepengevirus eller såkalt «CEO-svindel». Særlig har CEO-svindel bredt om seg, og det antas at det svindles for milliarder hvert år. CEO-svindel kan typisk skje ved at en økonomiansatt blir forledet av vedkommende han tror er økonomisjefen, til å utbetale en større sum penger til en bankkonto. Ofte skjer dette på sofistikerte måter, eksempelvis ved å få tak i påloggingsinformasjon til økonomisjefens e-postkasse og deretter benytte seg av informasjon i e-postkassen i prosessen med å forlede økonomimedarbeideren Løsepengevirus Løsepengevirus er et virus som krypterer alle filer viruset identifiserer i offerets datamaskin eller på filområder tilgjengelig via datamaskinen. Trusselaktøren krever deretter betaling for å dekryptere filene. For energibransjen kan særlig markeds- eller kundedatabasen være svært kritisk om den blir usatt for en slik handling. Siden økonomisk kriminalitet gjennom digital svindel og utpresning er svært innbringende for aktørene, legges det også ned store ressurser på å utvikle systemer for kartlegging av virksomhetene i forkant, slik at svindel-e-post, eller løsepengevirus blir utformet så troverdige som mulig. Dette øker risikoen for at ofrene, som gjerne er vanlige brukere, åpner vedleggene eller trykker på linkene. 15 Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskapsforskriften) 6-2 og Lov om produksjon, omforming, overføring, omsetning, fordeling og bruk av energi m.m. (energiloven) KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

17 Foto: Shuttestock 4 Hvordan forebygge 4.1 INNLEDNING Forebygging av økonomisk kriminalitet handler om å ta samfunnsansvar. Det handler om å sikre virksomhetens verdier og det handler om å verne om sine medarbeidere. I dette ligger også å redusere virksomhetens risiko for uønskede hendelser. I tillegg til å ramme den enkelte virksomhet, påvirker ulike former for kriminalitet både samfunnet og enkeltindivider på en negativ måte. Korrupsjon, sosial dumping, hvitvasking og miljøkriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet, og det er de svakeste i samfunnet som rammes hardest. I de fleste tilfeller hvor ansatte enten alene eller i samarbeid med andre begår økonomisk kriminalitet vil den ansatte, både underveis og når forholdet blir avdekket, være utsatt for en betydelig påkjenning. Hensynet til virksomhetens ansatte, i den forstand at det er viktig å forebygge på en god måte for å forhindre at ansatte har muligheten og «faller for fristelsen», er derfor også svært viktig. De negative samfunnskonsekvensene av korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste motivasjonen for norske virksomheters forebyggende arbeid. Økonomisk kriminalitet og korrupsjon representerer dessuten et betydelig risikobilde for den enkelte virksomhet, herunder risiko for straff, bøter, tap av omdømme og ikke minst risikoen for å bli utestengt fra anbudskonkurranser. I enkelte tilfeller kan også de direkte økonomiske tapene som følge av misligheter innebære utfordringer for selskapets likviditet, påvirke selskapets verdi og aksjekurs. Virksomheter som blir rammet av økonomisk kriminalitet erfarer i tillegg at det medgår betydelig med ressurser fra ledelsen til å håndtere situasjonen. I det følgende beskrives hvordan en virksomhet bør arbeide med å forebygge, avdekke og håndtere økonomisk kriminalitet. Fremstillingen følger i all hovedsak de samme prinsipper som følger av COSO-rammeverket og organisasjonen Association of Certified Fraud Examiner (ACFE).Beskrivelsen som følger er også er også i all hovedsak i overenstemmelse med annen relevant veiledning knyttet til forebygging av økonomisk kriminalitet mv., eksempelvis veiledning fra Økokrim, Transparency International, KS, ISO (ledelsessystem for anti-korrupsjon) og tilsvarende veiledning. 4.2 KONTROLLMILJØ Kontrollmiljø handler om klare roller og ansvarsforhold, prinsipper og rutiner og ikke minst styret og toppledelsens kommunikasjon rundt forebygging av økonomisk kriminalitet. Dette er helt avgjørende for å etablere en kultur der økonomisk kriminalitet blir forhindret. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 17

18 4.2.1 Tonen fra toppen Virksomhetsledelsen har det overordnede ansvaret for implementeringen og etterlevelsen av tiltak mot økonomisk kriminalitet. Tonen fra toppen handler om ledelsens vektlegging av overordnet håndtering av risiko for økonomisk kriminalitet. Ved å ha risiko for økonomisk kriminalitet som tema på ledermøter og ved øvrig oppfølging kan ledelsen sette en standard for virksomhetens arbeid med temaet. En tydelig «tone fra toppen» er helt avgjørende dersom en virksomhet skal lykkes i sitt arbeid med å forebygge økonomisk kriminalitet. Styret bør også bidra med dette blant annet gjennom å etterspørre informasjon om risikobildet og hvordan virksomheten håndterer dette. Det vises videre til kapittel 2.2 om styrets ansvar, samt øvrig veiledning i kapittel fire om styrets involvering ved godkjenning av compliancepolicy, etiske retningslinjer og involvering i risikovurderinger. Ledelsen skal ha det overordnede ansvaret for implementeringen og etterlevelsen av tiltak mot økonomisk kriminalitet. Ledelsen skal forsikre seg om at ansvaret for de relevante rollene er tildelt og kommunisert i hvert nivå i organisasjonen. Virksomheten representert ved toppledelsen bør tydelig kommunisere sin holdning til risikobildet. Det er viktig at ledelsen går foran som tydelige eksempler når det gjelder åpenhet, etikk og fokus på risikoen for økonomisk kriminalitet Roller og ansvar Styret og daglig leders formelle ansvar knyttet til internkontroll generelt er kort beskrevet i veilederens kapittel to og er ikke nærmere redegjort for i denne delen av veilederen. Nedenstående om det operasjonelle ansvaret må sees i sammenheng med det som er beskrevet i veilederens kapittel to. Det operasjonelle ansvaret for håndtering av risikobildet bør være klargjort ved at dette ansvaret ligger hos en bestemt rolle eller funksjon i selskapet, eksempelvis en «compliance-funksjon» eller tilsvarende. Vedkommende som har rollen som compliance-ansvarlig eller tilsvarende bør regelmessig rapportere til de som har overordnet ansvar for styring og kontroll med virksomheten, i de fleste tilfeller virksomhetens styre. Vedkommende bør når som helst kunne rapportere fritt til øverste ansvarlige i virksomheten (normalt styreleder). I de tilfeller virksomheten ut i fra en risikovurdering ikke finner det riktig å ha en dedikert ansatt i en slik rolle, kan denne funksjonen ivaretas av en ansatt med andre roller. I de tilfeller er det viktig at vedkommende som blir tildelt rollen for å ivareta compliance-funksjonen ikke har roller som lett kan komme i konflikt med rollen som compliance-ansvarlig. Dette innebærer at en innkjøpsdirektør i en virksomhet hvor det er risiko for korrupsjon/smøring e.l. fra leverandører, ikke bør inneha rollen som ansvarlig for compliance-funksjonen. Foto: Steinar Johansen, NTE HMS 18 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

19 Ledere på hvert nivå bør normalt være ansvarlige for å kreve at tiltak er gjennomført og etterlevd innenfor deres avdeling eller funksjon. Styret, ledelse og alle ansatte har ansvaret for å forstå, etterleve og kontrollere etterlevelse i tråd med deres ansvar som følger av deres rolle i organisasjonen Prinsipper og rutiner Prinsipper og rutiner må være etablert for å ha en helhetlig og dokumentert tilnærming til arbeidet med å forebygge, avdekke og håndtere økonomisk kriminalitet. Virksomhetens tilnærming bør være dokumentert gjennom en compliance-policy eller tilsvarende. Dette dokumentet bør behandles/godkjennes av virksomhetens styre og bør på overordnet nivå beskrive virksomhetens holdning til risikobildet og dens arbeid med å forebygge, avdekke og håndtere økonomisk kriminalitet. Dokumentet bør som et minimum kort beskrive de samme forholdet som beskrevet i veilederens kapittel fire og hvordan disse forholdene er ivaretatt av den enkelte virksomhet Etisk regelverk Et tydelig etisk regelverk er viktig for å forebygge økonomisk kriminalitet. Det etiske regelverket bør bygge på en forståelse av virksomheten og dens risikobilde. Dette innebærer at det må være tilpasset den enkelte virksomhet. De etiske retningslinjene må forankres i ledelsen og bør godkjennes av virksomhetens styre. I vedlegg til veilederen gis det en liste over momenter som normalt bør medtas i et etisk regelverk. Virksomheten må etablere rutiner som sikrer at alle nye ansatte blir gjort kjent med etiske retningslinjer og at øvrige ansatte regelmessig får opplæring eller på annen måte blir minnet på de etiske retningslinjer. Flere virksomheter har innført rutiner, understøttet av IT-systemer, som sikrer at ansatte må gjennomgå etisk regelverk årlig og hvor den ansatte samtidig må bekrefte at de har lest, forstått og vil følge de etiske retningslinjer. Det bør også fremgå klart at brudd på de etiske retningslinjene vil medføre konsekvenser for arbeidsforholdet for den enkelte arbeidstaker Varsling Å varsle er å si ifra om kritikkverdige forhold på arbeidsplassen. Kritikkverdige forhold kan omfatte svindel, korrupsjon, diskriminering, trakassering, mobbing, uetiske handlinger eller andre regelstridige forhold. For de fleste virksomheter er det viktig å skille mellom håndtering av avvik og varsling jf. bestemmelsene om varsling som følger av arbeidsmiljøloven. For mange virksomheter vil det ikke være riktig å benytte eksisterende avvikssystemer for håndtering varslinger. Det er likevel viktig å benytte en eventuell positiv kultur for avvikshåndtering i arbeidet med å utvikle en god varslingskultur. Undersøkelser viser at en stor andel av alle saker knyttet til økonomisk kriminalitet blir avdekket ved at en varsler sier ifra. I arbeidsmiljøloven stilles det krav til virksomheter i det private næringsliv og offentlig sektor om varslingsrutiner. Etter bestemmelsene, som trådte i kraft 1.januar 2007, plikter arbeidsgiver å legge til rette for varsling, og arbeidstaker gis rett til å varsle samtidig som varslere beskyttes mot gjengjeldelse. Reglene fremgår av arbeidsmiljøloven 2-4, 2-5 og 3-6. Loven setter per i dag ingen krav til hvilke konkrete varslingsrelaterte tiltak en arbeidsgiver skal utarbeide og iverksette. Det er arbeidsgivers ansvar å fremme et klima som styrker ytringsfrihet og åpen kommunikasjon på arbeidsplassen. Dette kan for eksempel omfatte å utarbeide faste rutiner for intern varsling og iverksette tiltak som gir arbeidstakere en håndfast fremgangsmåte å forholde seg til ved varsling av kritikkverdige forhold. En fastsatt rutine for varsling gir arbeidstaker veiledning og trygghet i en ofte krevende prosess. Rutiner for varsling kan omfatte retningslinjer, instrukser, informasjon om hvem det skal varsles til, hvordan varsler håndteres, osv. Arbeidsgiver må selv ta ansvar for å tilpasse tiltak etter behovet for den enkelte virksomhet. Etter anmodning fra Stortinget har regjeringen oppnevnt et bredt sammensatt ekspertutvalg som skal gjøre en helhetlig gjennomgang av dagens varslingsregelverk og foreslå de tiltak utvalget måtte vurdere som hensiktsmessige, enten lovendringer og/eller andre tiltak. Utvalget skal levere sin innstilling innen 1. mars 2018 i form av en offentlig utredning (NOU). Regjeringen har allerede våren 2017 foreslått enkelte endringer i arbeidsmiljøloven relatert til varsling. Ut over å samle reglene om varsling i et kapittel foreslås det blant annet å utvide reglene til å også gjelde innleide arbeidstakere. Videre er det lagt frem forslag om å klargjøre når arbeidsgiver har plikt til å ha rutiner for varsling og at varslingsrutinenes innhold skal tilfredsstille visse minimumskrav. Det legges også frem forslag om å beskytte varslerens identitet ved varsling til offentlige myndigheter 16. I vedlegg til veilederen gis det eksempel på varslingsrutiner for en virksomhet. Mange virksomheter lar sine varslingsordninger også være tilgjengelige for eksterne, typisk leverandører og andre samarbeidspartnere. Det er også mange som benytter en ekstern aktør som varslingsmottak, enten i stedet for eller i tillegg til internt mottak. 16 Prop. 72 L ( ) Proposisjon til Stortinget (forslag til lovvedtak) Endringer i arbeidsmiljøloven (varsling og arbeidstid). KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 19

20 4.3 RISIKOVURDERING For å kunne ha et velfungerende system for å forebygge økonomisk kriminalitet er man avhengig av å kjenne og forstå risikobildet. Undersøkelser viser at virksomheter i både offentlig og privat sektor i alt for liten grad gjennomfører risikovurderinger som dokumenteres skriftlig 17. Risikobildet er varierende, alt etter hvilke land man opererer i, hvordan man er organisert, hvilke bransjer man opererer i osv. For å ha god oversikt over hvilken risiko som må adresseres må risikoen kartlegges. I Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen (beredskaps-forskriften) stilles det krav om gjennomføring av risiko- og sårbarhetsanalyser knyttet til ekstraordinære forhold. Risikovurderinger knyttet til økonomisk kriminalitet kan gjerne inkluderes som en del av de samlede risikovurderinger som virksomhetene må gjøre, og som også inkluderer sikkerhet, beredskap og personvern. For å ha god oversikt over hvilken risiko som må tas hensyn til må risikoen kartlegges. Risikoen for økonomisk kriminalitet bør kartlegges ved å involvere relevante deler av organisasjoner, både i linje og i stab. Spesielt de ansatte som kan være mest berørt bør involveres. I utgangspunktet bør kartlegging og vurdering av risiko for økonomisk kriminalitet inngå i virksomhetens ordinære risikovurderingsprosesser på lik linje med vurdering av annen type operasjonell risiko. Dersom virksomheten ikke har gjennomført gode prosesser for å kartlegge og vurdere risikoen for økonomisk kriminalitet bør virksomheten gjennomføre en slik prosess for å sikre at risikobildet er oppdatert og så fullstendig dekkende som mulig. Dette kan typisk gjennomføres gjennom separate risikoworkshops e.l. med fokus på risikoen for økonomisk kriminalitet. Det er viktig at noen med god kompetanse og erfaring fra kartlegging og vurdering av risiko for økonomisk kriminalitet er med på denne type prosesser. Slike prosesser har ofte en verdi ut over selve resultatet av prosessen; de som er involvert får en god forståelse av risikobildet og behovet for å etablere nødvendige kontroller og rutiner. For ytterligere veiledning om gjennomføring av risikoanalyse vises det til veilederens vedlegg samt veiledningen rundt risikokartlegging mv. (kapittel seks) gitt av KS i heftet «Rådmannens internkontroll Hvordan få orden i eget hus» Formalisert Virksomheten bør formalisere krav til gjennomføring av risikovurderinger og ha rutiner for hvordan risikovurderinger skal gjennomføres, hvor ofte de skal gjennomføres, hvem som har ansvaret for gjennomføring, hvordan risikovurderingene skal dokumenteres samt hvem som skal godkjenne virksomhetens risikovurderinger, eksempelvis ved styrebehandling. Det bør benyttes standardiserte maler for å sikre enhetlig gjennomføring og lik dokumentasjon av vurderinger Bred og dyp involvering Når risikovurderinger blir gjennomført bør en sikre bred involvering fra virksomhetens medarbeidere. Dette innebærer at både toppledelse, mellomledere, fagspesialister og andre medarbeidere på ulike nivåer bør inkluderes Vurderinger ved endringer og spesielle hendelser Ved endringer internt i selskapet eller i selskapets omgivelser eller rammebetingelser, eksempelvis ved omorganisering av virksomhet eller i forbindelse med ny aktivitet, nye tjenester, forretningsområder mv., bør nye vurderinger gjennomføres for å sikre at risikobildet er oppdatert. 4.4 KONTROLLAKTIVITETER Virksomheten må etablere kontroller som reduserer risiko til et akseptabelt nivå for virksomheten. Kontrollene må ta utgangspunkt i risiko identifisert gjennom risikovurderinger. Det er svært viktig at virksomheten har en oversikt som viser sammenhengen mellom identifisert risiko og etablerte kontrollaktiviteter; en såkalt risikokontroll-matrise. For eksempel på en enkel risiko-kontroll matrise vises det til kapittel 7.2 i «Rådmannens internkontroll Hvordan få orden i eget hus». Kontrollaktiviteter i denne sammenhengen kan deles inn i finansielle og ikke-finansielle kontroller. Med finansielle kontroller menes gjerne kontroller som retter seg mot prosessene knyttet til regnskapsproduksjonen som for eksempel dualkontroll (to ulike godkjennere) ved godkjenning av inngående fakturaer og utbetalinger fra bankkonto, arbeidsdeling, avstemmingskontroller mv. Med ikke-finansielle kontroller menes gjerne kontroller som bakgrunnsundersøkelser ifm. inngåelse av samarbeid og ved rekruttering, krav til dobbel signering av avtaler over et definert beløp og gjennomføring av leverandørrevisjoner Utgangspunkt i risiko Selskapet bør ha en internkontroll basert på risikobildet. Sammenhengen mellom identifisert risiko og implementerte kontroller bør være dokumentert. 17 Næringslivets sikkerhetsråd: KRISINO 2015 Kriminalitets- og sikkerhetsundersøkelsen i Norge KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

21 Foto: Shuttestock Uten en god oversikt (risiko-kontroll-matrise) over risikobildet og hvilke kontroller som skal bidra til å redusere risiko er det vanskelig å vite om de rette og mest effektive kontroller er etablert. Uten en slik oversikt er det også vanskelig å vurdere om det er etablert overlappende (og dermed unødvendige) kontroller. Flere risikostyringssystemer har funksjonalitet for å ivareta dette, men slik oversikt kan også enkelt utarbeides ved bruk av Excel eller tilsvarende. I det følgende følger en kort beskrivelse av kontroller som er særlig relevant ifm. forebygging og avdekking av økonomisk kriminalitet Finansielle kontroller Med finansielle kontroller menes gjerne kontroller som retter seg mot prosessene knyttet til regnskapsproduksjonen som for eksempel dualkontroll (to ulike godkjennere) ved godkjenning av inngående fakturaer og utbetalinger fra bankkonto, arbeidsdeling, avstemmingskontroller mv. Flere viktige slike kontroller er kort beskrevet nærmere under. Det presiseres at det kan være andre kontroller som for enkelte virksomheter kan være av større betydning enn kontrollene beskrevet under må ikke anses som en uttømmende liste over nødvendige kontroller. Den enkelte virksomhet må etablere kontroller basert på sitt eget risikobilde. Arbeidsdeling er ansett å være en av de viktigste internkontrolltiltakene for en virksomhet. Arbeidsdeling er relevant når det gjelder flere andre kontrolltiltak og ofte vil kontroller forsterkes dersom arbeidsdeling også inngår som et element. Arbeidsdeling handler om å sørge for at prosesser håndteres av to ulike personer for å redusere risiko for urettmessige disposisjoner mv. Et eksempel på dette er at vedkommende som har anledning til å endre bankkontonummer til en leverandør i regnskapssystemet ikke skal ha anledning til å forestå utbetalinger og godkjenne disse. Et annet eksempel er at det vedkommende som har ansvaret for å gjennomføre bankavstemminger ikke har mulighet til å selv forestå utbetalinger. Avstemmingskontroller er viktig for å sikre korrekt regnskapsrapportering, men er også svært viktig for å redusere risikoen for at regnskapsmedarbeidere eller andre med tilgang til regnskapssystemet kan «skjule» underslag eller andre urettmessige transaksjoner i regnskapet. Det er også viktig at avstemminger dokumenteres og i alle fall i større virksomheter bør avstemmingsskjemaer kontrolleres av en annen enn den som utfører selve avstemmingen. Tilgangsstyring er viktig for å hindre uautorisert endring av masterdata og annen manipulasjon av regnskapsinformasjon. Det er svært viktig at kun den eller de som har behov for dette har «administratorrettigheter» i regnskapssystemet og/eller i andre forsystemer. Ved manglende fokus på tilgangsstyring (og arbeidsdeling) kan en ansatt eksempelvis registrere en «falsk» person i lønnssystemet og generere uriktige utbetalinger etter å ha å deaktivert «loggen» for å «skjule spor» mv. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 21

22 Dualkontroll handler om at to personer skal godkjenne inngående fakturaer og at det kreves to personer for å gjennomføre en utbetaling fra bank. For virksomheter av litt størrelse vil det også være fornuftig å innføre krav til dualkontroll ved større manuelle posteringer/korreksjoner mv. i regnskapet Ikke-finansielle kontroller Med ikke-finansielle kontroller menes gjerne kontroller som bakgrunnsundersøkelser ifm. inngåelse av samarbeid og ved rekruttering og målrettede revisjoner eksempelvis gjennomføring av leverandørrevisjoner. Ved bakgrunnsundersøkelser vil det normalt kunne bli behandlet personopplysninger, herunder potensielt sensitive personopplysninger. Det er viktig at den enkelte virksomhet, før slike undersøkelser gjennomføres, har vurdert de personvernrettslige sidene ved dette. Flere viktige slike kontroller er kort beskrevet nærmere under. Det presiseres at det kan være andre kontroller som for enkelte virksomheter kan være av større betydning enn kontrollene beskrevet under må ikke anses som en uttømmende liste over nødvendige kontroller. Den enkelte virksomhet må etablere kontroller basert på sitt eget risikobilde. Bakgrunnsundersøkelser av leverandører/samarbeidspartnere mv. er helt avgjørende for å ha tilstrekkelig kontroll med risikobildet for økonomisk kriminalitet. Gjennomføring av bakgrunnsundersøkelser handler om informasjonsinnhenting for å identifisere opplysninger som kan påvirke risiko knyttet til etikk, integritet, kriminalitet og omdømme. Det handler om å fremskaffe et godt beslutningsgrunnlag før man etablerer en forretningsforbindelse, inngår et partnerskap eller kjøper en virksomhet. Særlig for virksomheter med internasjonal virksomhet bør gjennomføring av bakgrunnsundersøkelser være en naturlig del av virksomhetens beslutningsprosesser relatert til leverandører, kunder og andre forretningspartnere. Gjennom internasjonal korrupsjonslovgivning og etablert beste praksis er det i mange tilfeller et krav eller en forventning om at slike bakgrunnsundersøkelser gjennomføres. Valg av forretningspartnere er også et verdivalg. Bakgrunnsundersøkelser ved rekruttering har i Norge historisk vært gjennomført i svært begrenset grad. Spesielt ved rekruttering til viktige stillinger er det viktig å kunne ha full tillitt til at vedkommende som skal rekrutteres har de formelle kvalifikasjoner, erfaring mv. som fremgår av CV, vitnemål mv. En slik bakgrunnsundersøkelse kan blant annet omfatte verifikasjon av vedkommendes identitet, akademiske resultater, sertifiseringer, arbeidserfaring samt kartlegging av vedkommendes næringsinteresser (eierforhold og roller). Målrettede revisjoner/internrevisjoner bør gjennomføres for å kontrollere særlige risikoområder. Dette kan gjennomføres på flere måter og på flere «områder». Eksempelvis kan det være fornuftig å gjennomføre målrettede revisjoner for å kontrollere at innkjøp blir foretatt i tråd med interne retningslinjer (og eventuelle eksterne regler) for innkjøp, herunder at fullmakter blir overholdt og at innkjøp dokumenteres i tråd med retningslinjer. Leverandørkontroller er viktig for å belyse spørsmål og risiko knyttet til arbeidslivskriminalitet, herunder sosial dumping. Dette er særlig relevant ifm. bygg- og anlegg, renholdstjenester og eventuelt ved IT-drift i lavkostland. Det vises for øvrig til Difis «Seriøsitetsbestemmelser for bygg- og anleggskontrakter» 19 for anbefalinger og begrensninger i antall underleverandører ved bruk av underleverandører og innleid arbeidskraft. 4.5 INFORMASJON OG KOMMUNIKASJON Informasjon og kommunikasjon er viktig for å forebygge økonomisk kriminalitet. I dette ligger opplæring av ansatte, intern og ekstern kommunikasjon om forebygging og ved hendelser. Videre hvordan sikre organisatorisk læring, kunnskapsdeling ved hendelser og ikke minst at teknologi er tilrettelagt for å støtte opp under forebyggende og avdekkende aktiviteter Opplæringsprogrammer Arbeid med å forebygge økonomisk kriminalitet krever et grundig informasjons- og opplæringsopplegg rettet mot alle ansatte i virksomheten. Opplæringen må tilpasses de utfordringene og risikoen de ulike ansatte i virksomheten står overfor. Ansatte i stillinger som lett kan bli utsatt for krav om bestikkelser (eksempelvis innkjøpere, ansatte i kontrollørrelatert virksomhet mv., bør få særlig opplæring, herunder dilemmatrening, for å være rustet mot slike situasjoner. Regnskapspersonell bør være trent i å avdekke faresignaler og indikasjoner på inngående fakturaer som ikke vedrører virksomheter, reiseregninger som kan representere «smøring» og spørsmål om unaturlige korreksjoner av regnskapsopplysninger. I den grad virksomheter benytter seg av samarbeidspartnere, leverandører mv. til å håndtere prosesser, arbeidsoppgaver mv. bør det vurderes om også disse skal gis nødvendig opplæring i relevante temaer knyttet til økonomisk kriminalitet. Dette kan eksempelvis være dersom virksomheten benytter seg av en ekstern konsulent/ rådgiver som byggeleder i et byggeprosjekt. Da vil det være viktig at virksomheten er sikker på at vedkommende har nødvendig kompetanse til å identifisere og vurdere risiko knyttet til arbeidslivskriminalitet Intern og ekstern kommunikasjon God informasjon, både internt og eksternt, vil være viktig for å demonstrere «tonen fra toppen» og bygge en sterk kultur med fokus på god håndtering av risikobildet. Kontinuerlig fokus på risikobildet vil også bidra til økt bevissthet om KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

23 Foto: Camilla M. Granheim, Energi Norge dette og bidra til å forebygge hendelser og samtidig gjøre ansatte i stand til å identifisere andre ansatte som er i fare for «å trå feil». Eksempler på «kommunikasjonskanaler» hvor det bør settes fokus på tematikken er «allmannamøter», egne nettsider, eventuelle «interne magasiner», intranett, gjennom opplæring av ansatte, ledelseskurs, seminarer og ledermøter. I ekstern kommunikasjon til kunder og leverandører bør virksomhetens verdier, etiske retningslinjer, anti-korrupsjonsprogram o.l. formidles. Relevante rutiner og retningslinjer bør gjøres tilgjengelig på virksomhetens nettsider og formidles til forretningsforbindelser og andre parter som selskapet samarbeider med. Selskapet bør ha skriftlige rutiner for rapportering, herunder intern og ekstern kommunikasjon ved hendelser. En slik rutine bør inneholde informasjon om hvem som skal varsles (ledere, styre, ansatte, pårørende) på hvilken måte, hvem som skal kommunisere og noen overordnede prinsipper om hva det skal varsles om. Mange virksomheter har «aksjonskort» eller lignende beskrivelser som en del av deres kommunikasjonsberedskap for hvordan virksomheten skal rapportere og kommunisere eksempelvis dersom en mulig korrupsjonssak skulle oppstå Kunnskapsdeling Det er avgjørende at ansatte deler kunnskap og erfaringer når det gjelder hendelser og tema knyttet til forebygging, avdekking og håndtering av økonomisk kriminalitet. Dette innebærer at det er viktig at informasjon om eventuelle situasjoner som oppstår bør deles i organisasjonen for å sikre at tilsvarende ikke skjer i andre deler av organisasjonen. Dette vil kunne bidra til økt risikoforståelse (oppdatering av risikobildet), bevissthet om muligheten og dermed også større forutsetninger for å kunne forsterke internkontrollen eller iverksette andre forebyggende eller avdekkende tiltak. Fokus på kunnskapsdeling og organisatorisk læring vil også være viktig for å bygge en ønsket kultur med fokus på risikoen for økonomisk kriminalitet Teknologi Arbeid med sikkerhet og forebygging av økonomisk kriminalitet er en aktiv og kontinuerlig prosess. Det er viktig med en kombinasjon av menneskelige, teknologiske og organisatoriske tiltak. Mennesker kan være en virksomhets største verdi, men også utgjøre en stor sårbarhet. En virksomhets ansatte kan brukes som inngang- KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 23

24 Foto: NTE sport for trusselaktører, enten det er gjennom å trykke på falske e-poster, eller ulike former for press og manipulering. Bevisstgjøring av ansatte og ledelse er svært viktig for å beskytte sensitiv og virksomhetskritisk informasjon, og forebygge mot økonomisk kriminalitet. Alle virksomheter bør derfor inkludere jevnlige kurs og bevisstgjøringskampanjer for de ansatte, som en del av sitt kontinuerlige arbeid med sikkerhet. Man kan for eksempel gjennomføre en falsk «phishing-kampanje», hvor man tester ansattes villighet til å trykke på falske lenker etc., og videre følger dette opp med opplæring i interne rutiner og beste praksis. Det er også svært viktig at teknologi er tilfredsstillende sikret, i tillegg til å være tilrettelagt for å støtte opp under forebyggende og avdekkende aktiviteter. Selv om denne veilederen ikke er en veileder i informasjonssikkerhet og hvordan beskytte seg mot eksterne digitale angrep, er det viktig at virksomheten har teknologi som understøtter rutinene og bevisstgjøringen rundt informasjonssikkerhet. Erfaringer NSM har gjort viser at fire konkrete, tekniske tiltak vil kunne stoppe prosent av alle angrepsforsøk, og i sin veileder "S-01 Fire effektive tiltak mot dataangrep" beskrives disse. Disse fire tiltakene er: 1. Oppgrader program- og maskinvare. Nyere produktversjoner har tettet flere sikkerhetshull enn gamle, og er bedre på sikkerhet. 2. Vær rask med å installere sikkerhetsoppdateringer. Kunnskap om nye sårbarheter sprer seg raskt. Derfor bør systemeiere være tilsvarende raske med å oppdatere, før noen bruker sårbarhetene til å bryte seg inn. 3. Ikke tildel sluttbrukere administrator-rettigheter. De fleste vanlige brukere har ikke behov for å installere programvare på maskinen. Overlat administrasjon og distribusjon av programvare til de som kan det. 4. Blokker kjøring av ikke-autoriserte programmer. Bare la brukerne kjøre godkjente programmer ved å bruke verktøy som Windows AppLocker. Ut over dette anbefales det at virksomheten vurderer en rekke andre tiltak, slik som sikkerhetsovervåkning og penetrasjonstester. Her henvises det også til krav til tiltak gjennom NVEs beredskapsforskrift. Det er videre viktig at virksomheten har aktivert relevant registrering av brukeraktivitet (logger), som viser endring av relevante masterdata eksempelvis endring av leverandørenes bankkontonummer. Videre er det viktig at virksomheten har et bevisst forhold til ansattes bruk av kommunikasjonsverktøy som ikke tilhører virksomheten (eksempelvis dersom ansatte eier smart-telefoner privat) samt bruk av applikasjoner, skylagringstjenester mv. som ikke inngår som en del av virksomhetens IT-infrastruktur. I mange situasjoner der det er mistanke om økonomisk kriminalitet, særlig begått av virksomhetens ansatte, vil det være behov for sikring og innsyn i elektronisk lagret informasjon i datautstyr stilt til arbeidstakers disposisjon. Slikt innsyn må gjennomføres i tråd med personopplysningsloven og «e-postforskriften». Det anbefales at virksomheten utarbeider tydelige retningslinjer for gjennomføring av eventuelt slikt innsyn som er tilpasset virksomheten. Gitt hvordan trusselbildet ser ut, må alle virksomheter i energibransjen regne med i det minste - å bli forsøkt svindlet eller utsatt for andre sikkerhetstruende hendelser på en eller annen måte via Internett. 24 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

25 4.6 KONTINUERLIG OVERVÅKING OG FORBEDRING AV TILTAK Virksomhetens arbeid med å forebygge, avdekke og håndtere økonomisk kriminalitet må løpende «overvåkes» for å sikre at det i tilstrekkelig grad er tilpasset virksomhetens risikobilde og er velfungerende. Ved hendelser må en sikre at rutiner, kontroller mv. oppdateres. Virksomheten må gjennomføre nødvendige tiltak og gjennomgå effektiviteten av forbedringstiltakene. Videre bør virksomheten gjøre endringer i tiltakene som allerede finnes hvis nødvendig. Forbedringstiltak skal være tilpasset det forholdet som har oppstått. Virksomheten bør dokumentere tiltakene som er utført som følge av hendelsen og resultatene av tiltakene. Tiltak, eksempelvis den etablerte varslingsordning må regelmessig evalueres. Både ledelse og styre har ansvar for at virksomheten har etablert et overordnet styringssystem/rammeverk som beskrevet i veilederens kapittel fire, dog tilpasset den enkelte virksomhet og dens særegenheter Læring ved hendelser Dersom økonomisk kriminalitet har oppstått, bør virksomheten evaluere behovet for tiltak for å eliminere årsaken til hendelsen og sørge for at risikoen for at det skjer igjen reduseres. Evalueringen bør skje ved å gjennomgå hendelsen, fastslå årsaken til hendelsen, fastslå om tilsvarende hendelse finnes eller potensielt kan oppstå. Virksomheten kan systematisk bruke ulike former for øvelser for å bevisstgjøre om sårbarheter, trene på dilemmaer og bruke dette i arbeidet med å forebygge og begrense risikoen for økonomisk kriminalitet Ledelsens overvåkning Ledelsen bør gjennomgå virksomhetens tiltak mot økonomisk kriminalitet ved gitte tidsintervaller for å sikre at de fortsatt er egnet, tilstrekkelige og effektive. Resultatet av ledelsens gjennomgang skal omfatte beslutninger knyttet til kontinuerlige forbedringsmuligheter og behov for eventuelle endinger i tiltakene. Et sammendrag av resultatene fra ledelsens gjennomgang bør bli rapportert til styret. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 25

26 Virksomheten bør dokumentere resultatene fra ledelsens gjennomgang, herunder tiltak som blir iverksatt Styrets overvåkning Virksomhetens styre bør periodisk gjennomgå og evaluere om tiltakene mot økonomisk kriminalitet er tilstrekkelige og om de synes å fungere og etterleves i tråd med hensikten. Denne evalueringen bør gjøres på informasjon fra ledelsen og compliance-ansvarlig og bør dokumenteres og inngå som egen sak for virksomhetens styre Ekstern evaluering Selskapet bør ved jevne mellomrom, eksempelvis hvert annet eller hvert tredje år, innhente en ekstern evaluering av hele eller deler av virksomhetens arbeid med å forebygge, avdekke og håndtere økonomisk kriminalitet, eksempelvis selskapets varslingsordning, etiske regelverk, risikovurdering, sikkerhet i IT-systemer eller liknende. Omfanget av en slik evaluering bør tilpasses ut ifra graden av «modenhet» for den enkelte virksomhet, herunder om slike evalueringer er gjennomført tidligere, resultatet av eventuelle slike evalueringer mv. Foto: Kristofer Ryde/Lyse 26 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

27 Foto: Pål Bentdal Vedlegg KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 27

28 INNHOLD VEDLEGG 1: Innhold etiske retningslinjer 29 VEDLEGG 2: Eksempler på etiske retningslinjer 30 VEDLEGG 3: Introduksjon til praktisk risikoanalyse 33 VEDLEGG 4: Program for beskyttelse mot økonomisk kriminalitet 36 VEDLEGG 5: Leverandørkontroll i praksis 38 VEDLEGG 6: Eksempler på varslingsrutiner 40 VEDLEGG 7: Fremgangsmåte ved interne undersøkelser om mistanke om regelbrudd 44 VEDLEGG 8: «Etiske dilemmaer»- noen relevante eksempler fra bransjen 45 VEDLEGG 9: Kontraktsformuleringer 47 VEDLEGG 10: Kilder til mer informasjon om økonomisk kriminalitet KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

29 Foto: Cecilie Lillehagen Welo Last ned PDF: vedlegg1.pdf Word-dokument: vedlegg1.docx Vedlegg 1 INNHOLD ETISKE RETNINGSLINJER Under følger noen overordnede råd for et etisk regelverk og en stikkordsbasert oversikt over temaer og problemstillinger et etisk regelverk bør inneholde. Et regelverk bør:.ha en tydelig formålsbeskrivelse og virkeområde/målgruppe (hvem gjelder regelverket for) Være enkelt å forstå / kortfattet Være konkret Være tilpasset Være relevant Signeres på ved mottak for å bekrefte forståelse av innhold Regelverket bør dekke følgende tema, herunder spesifisere/beskrive: Om det også gjelder innleide ressurser, mellomledd, lobbyister, konsulenter og styremedlemmer Eventuelle sanksjoner ved brudd Hensynet til virksomhetens omdømme.lojalitet, dog med presisering av at lojalitet ikke innebærer at man skal følge pålegg om å gjøre noe ulovlig eller uetisk Ansattes ytringsfrihet vs. lojalitetsplikten Rapporteringsplikt (jf. arbeidsmiljøloven 2-3) Føring av journaler/arkivering Arbeidstakerrettigheter, f.eks. sosial dumping Krav om riktig rapportering av både finansiell og ikke-finansiell informasjon Beskyttelse og bruk av virksomhetens eiendeler Behandling av andre (kunder, leverandører, samarbeidspartnere) Likeverd og mangfold, herunder diskriminering på bakgrunn av rase, kjønn, alder, handikapp, seksuell legning, religion, politisk standpunkt, nasjonal eller etnisk opprinnelse Informasjonssikkerhet, herunder nedlasting av pornografi, opphavsbeskyttet materiale og annet ulovlig eller upassende materiale Overgang til annen virksomhet Kontakt med tidligere kolleger Habilitet Interessekonflikt Bierverv/ekstraverv Forretningsskikk Innkjøp og innkjøpsprosedyrer Korrupsjon og påvirkningshandel Konkurranse Kjøp av seksuelle tjenester Økonomisk kriminalitet Representasjon, turer, bevertning og utgiftsdekning Mottak av gaver og andre fordeler Tilbud om gaver og andre fordeler (fra virksomheten) Varsling, herunder varslerens beskyttelse Konfidensialitet Forhold til medier Forhold til sosiale medier Natur / miljø Rus Internkontroll KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 29

30 Vedlegg 2 Last ned PDF: vedlegg2.pdf Word-dokument: vedlegg2.docx EKSEMPLER PÅ ETISKE RETNINGSLINJER Under følger et eksempel på etiske retningslinjer. Dette er kun ment som et eksempel. Som beskrevet i veilederen anbefales det at hver virksomhet utarbeider etiske retningslinjer tilpasset virksomheten og virksomhetens risikobilde. ETISKE RETNINGSLINJER FOR ENERGISELSKAP AS Formål Formålet med Energiselskap AS etiske retningslinjer er å skape et rammeverk for etisk og korrekt opptreden. Retningslinjene skal virke holdningsskapende og tydeliggjøre hva som forventes. Hvem er omfattet av de etiske retningslinjene? Enhver som utfører arbeid på vegne av Energiselskap AS plikter å etterleve retningslinjene som fremgår av dette dokumentet når de opptrer på vegne av selskapet. I tillegg til heltids- og deltidsansatte, omfatter dette blant annet vikarer, innleide konsulenter og styremedlemmer samt andre som utfører oppdrag på vegne av Energiselskap AS. De som er omfattet av de etiske retningslinjene skal signere på at de har mottatt og forstått virksomhetens etiske retningslinjer. Generelle retningslinjer Medarbeidere skal utføre sine arbeidsoppgaver etter beste faglige skjønn og evne, og i alle sammenhenger opptre på en måte som er til det beste for virksomheten, dens omdømme og interesser. Medarbeidere skal ikke velge minste motstands vei, men heller «gå den ekstra mila» for å sørge for at ting blir gjort på riktig måte. Alle former for økonomisk kriminalitet, herunder korrupsjon og påvirknings-handel er strengt forbudt og aksepteres ikke i Energiselskap AS. Medarbeidere skal følge instrukser og pålegg fra overordnede, så sant dette ikke innebærer at vedkommende må utføre en ulovlig eller uetisk handling. Kravene i de etiske retningslinjene er minimumskrav. Energiselskap AS skal under enhver omstendighet overholde gjeldende lover og regler. Det er den enkelte ansattes personlige ansvar å overholde de krav og regler som bedriften fastsetter. Ved tvil om hvordan virksomhetens etiske retningslinjer skal forstås eller praktiseres, eller hvordan en medarbeider skal forholde seg til en konkret situasjon, skal spørsmålet forelegges nærmeste leder. Interessekonflikter Ansatte i Energiselskap AS skal som utgangspunkt ikke være ansatt i, utføre arbeid for, eller sitte i styret for en konkurrerende virksomhet, kunde eller leverandør. Alle bierverv og styreverv skal skriftlig klareres med nærmeste leder. Ingen medarbeidere skal forberede eller ta del i forhandlinger med forretningsforbindelser dersom han, eller noen av hans nærstående (ektefelle, barn, foreldre etc.), har en økonomisk- eller annen interesse i virksomheten det forhandles med. Dersom interessekonflikt skulle oppstå, plikter medarbeideren på eget initiativ å varsle nærmeste leder. Forhold til forretningsforbindelser Ansatte i Energiselskap AS skal til enhver tid opptre profesjonelt overfor kunder, leverandører og konkurrenter. Konkurrenter skal behandles og omtales på en respektfull måte. Leverandører skal behandles på en rettferdig og åpen måte. Medarbeidere i virksomheten må ikke bruke sin stilling til å oppnå fordeler hos leverandører. Innkjøp av varer, tjenester eller annet fra leverandører eller andre tredjeparter skal gjennomføres i tråd med virksomhetens retningslinjer for innkjøp. Alle avtaler for kjøp av varer, tjenester eller annet skal inneholde bestemmelser om at leverandøren forplikter seg til å gjøre seg kjent med, og etterleve, Energiselskap AS etiske retningslinjer. Avtaler skal inngås skriftlig. 30 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

31 GAVER OG REPRESENTASJON Gaver og representasjon fra Energiselskapet AS: Det skal ikke gis tilbud om noen former for gaver til nåværende eller potensielle fremtidige kunder, leverandører, eller andre forretningsforbindelser uten at dette er godkjent av ledelsen i Energiselskapet AS. Ledelsen avgjør om gaven/representasjonen kan oppfattes som urimelig på bakgrunn av en konkret vurdering av gavens/representasjonens verdi, relevans for mottaker og situasjonen for øvrig. Representasjon skal ha en forretningsmessig begrunnelse og skal ikke overstige det som er vanlig bransjepraksis. Energiselskapet AS skal aldri tilby gaver eller representasjon i forkant av eller under en forhandlingssituasjon, med den hensikt å påvirke en beslutningstager, eller for å oppnå personlige fordeler. Gaver og representasjon bør fortrinnsvis tilbys virksomheten som sådan og ikke enkeltpersoner. Ved tilbud om gaver eller representasjon til forretningsforbindelser skal det påses at dette ikke bryter med dennes etiske retningslinjer. Gaver og representasjon fra forretningsforbindelser: Energiselskapet AS regler om gaver og representasjon fra forretningsforbindelser gjelder også gaver/representasjon som tilbys den medarbeiderens nærstående dersom tilbudet har sin bakgrunn i relasjonen til Energiselskapet AS. Gaver, herunder tilbud om varer og tjenester til sterkt rabattert pris, fra nåværende eller potensielt fremtidige kunder, leverandører, sponsorer eller andre forretningsforbindelser skal ikke aksepteres dersom disse, i løpet av ett år, har en antatt verdi over 500 NOK. Mottak av vareprøver og testprodukter skal overleveres nærmeste leder som bestemmer hvordan Energiselskapet AS skal benytte seg av disse. Tilbud om representasjon, herunder reiser, hotellopphold, restaurantbesøk, deltagelse på underholdningsarrangementer (f.eks. konserter og idrettsarrangementer), deltagelse på seminarer mv. skal godkjennes av ledelsen i forkant av deltagelse. Alle kostnader utover selve arrangementet skal dekkes av Energiselskapet AS. Private utgifter skal dekkes av vedkommende selv. Det er ikke anledning til å medbringe ledsagere på slike arrangementer, med mindre kostnadene for dette dekkes av den ansatte eller ledsageren selv. Alle gaver/fordeler som mottas skal rapporteres til nærmeste leder. Rapportering av finansiell og ikke-finansiell informasjon: Offentlig informasjon om virksomheten skal kun gis av ledelsen, eller etter avtale med ledelsen. Energiselskapet AS skal gi alltid gi korrekt og etterrettelig informasjon, herunder rapportering av både finansiell og ikke- finansiell informasjon, både internt og eksternt. LOJALITETSPLIKT Taushetsplikt: Alle som utfører arbeid på vegne av Energiselskapet AS har taushetsplikt om opplysninger av forretningsmessig eller personlig karakter, som de blir kjent med i sitt arbeid for Energiselskapet AS, Energiselskapet AS samarbeidspartnere eller virksomhetens kunder. Vedkommende plikter å oppbevare slik informasjon fortrolig og i henhold til gjeldende lover og retningslinjer fastsatt av virksomheten. Taushetsplikten gjelder også etter opphør av arbeidsforholdet. Ved arbeid for en konkurrerende virksomhet plikter den ansatte å avstå fra å bruke eller benytte seg av forretningssensitiv informasjon (forretningshemmeligheter), som f.eks. salgsstrategier, informasjon om kritisk infrastruktur og lignende, som vedkommende er blitt kjent med i sitt arbeid for Energiselskapet AS. Rapportering og varsling: Medarbeidere plikter å rapportere om forhold, feil eller mangler som kan føre til fare for liv eller helse, eller ved trakassering/diskriminering av ansatte i selskapet. Arbeidstaker har rett til å varsle om kritikkverdige forhold i virksomheten etter arbeidsmiljøloven 2-4. Det oppfordres til å varsle om øvrige forhold/hendelser hvor Energiselskapet AS etiske regelverk ikke har blitt fulgt. Gjengjeldelse mot arbeidstaker som varsler i samsvar med 2-4 er forbudt. Dersom arbeidstaker fremlegger opplysninger som gir grunn til å tro at det har funnet sted gjengjeldelse i strid med første punktum, skal det legges til grunn at slik gjengjeldelse har funnet sted hvis ikke arbeidsgiveren sannsynliggjør noe annet. Rapportering eller varsling kan gjøres til nærmeste leder eller daglig leder. PERSONLIG OPPTREDEN Bruk av bedriftens utstyr og eiendeler: Utstyr som Energiselskapet AS har stilt til medarbeiderens disposisjon til bruk i arbeidet (f.eks. telefon og PC/Mac) kan benyttes i private sammenhenger så lenge dette ikke forhindrer utførsel av arbeidsoppgaver. Personlig bruk av Energiselskapet AS utstyr, lokale eller øvrige eiendeler og utstyr skal godkjennes skriftlig av ledelsen. Energiselskapet AS utstyr skal ikke benyttes til ulovlig nedlasting KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 31

32 eller streaming av opphavsrettet materiale eller annet ulovlig eller upassende materiale, herunder pornografi. Sosiale medier: Energiselskapet AS oppfordrer til aktiv bruk av sosiale medier når dette er hensiktsmessig og har sammenheng med den ansattes arbeidsoppgaver. Bruk av sosiale medier til private formål skal ikke gå utover medarbeiderens arbeidsoppgaver. Ved bruk av sosiale medier skal personvernhensyn ivaretas på best mulig måte. Det skal utvises aktsomhet ved publisering av bilder av personer eller andre personopplysninger på nettet. Media: Ansatte skal ikke uttale seg til media uten at dette er klarert med ledelsen på forhånd. Ved henvendelse fra media skal vedkommende henvise til ledelsen. Rus: Energiselskapet AS har en nulltoleranse for bruk av narkotiske stoffer på jobb. Energiselskapet AS oppfordrer sine ansatte til å heller ikke benytte seg av narkotiske stoffer privat og vi kan bistå dersom man ønsker støtte og hjelp dersom dette er problem på det private plan. Medarbeidere skal ikke under noen omstendigheter opptre beruset på jobb eller i andre sammenhenger med kunder og andre forretningsforbindelser. Arbeidsplassen: Energiselskapet AS forplikter seg til å etterleve alle relevante arbeidsrettslige forpliktelser. Det skal ikke under noen omstendigheter benyttes svart arbeidskraft, og alle former for sosial dumping skal aktivt motarbeides. Energiselskapet AS skal være en inkluderende arbeidsplass. Alle former for trakassering og diskriminering på bakgrunn av rase, kjønn, alder, religion seksuell legning mm. skal motarbeides. Energiselskapet AS skal ha en aktiv miljøprofil, og etterleve alle relevante krav og plikter som knytter seg til miljøvernlovgivning. Sanksjoner: Opptreden i strid med de etiske retningslinjene vil bli fulgt opp av ledelsen og kan få arbeidsrettslige konsekvenser for den ansatte, herunder muntlige eller skriftlige advarsler, oppsigelse eller avskjed. Alle former for økonomisk kriminalitet, herunder korrupsjon og påvirkningshandel, og andre alvorlige lovbrudd vil bli politianmeldt 32 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

33 Foto: Martin NH Last ned PDF: vedlegg3.pdf Word-dokument: vedlegg3.docx Vedlegg 3 INTRODUKSJON TIL PRAKTISK RISIKOANALYSE Energisektoren er underlagt strenge krav til sikkerhet og beredskap, deriblant å gjennomføre risikoanalyser. Virksomheter i energisektoren bør gjennomføre risikoanalyser for økonomisk kriminalitet for å kartlegge risiko for misligheter og definere og iverksette nødvendige tiltak. Risikovurderinger for tilsiktede uønskede handlinger, slik som økonomisk kriminalitet, kan gjøres på forskjellige måter og det eksisterer ingen omforent fremgangsmåte for slike risikovurderinger. I norsk sammenheng er to standarder for risikovurdering ofte brukt, henholdsvis; NS 5814 som definerer risiko som kombinasjonen av sannsynligheten for, og konsekvensen av, en uønsket hendelse, og NS 5832 som definerer risiko for tilsiktede uønskede hendelser som et samspill mellom trussel, verdi og sårbarhet, hvor lavfrekvente hendelser med stort skadepotensiale ivaretas spesielt. Manges erfaring er at rammeverket i NS 5832 (ofte referert til som «trefaktormodellen») er den modellen som egner seg best til å beregne risiko for økonomisk kriminalitet, fordi dette er hendelser med potensielt store konsekvenser og hvor det foreligger stor usikkerhet knyttet til sannsynlighet for forekomst. NS 5814, derimot, egner seg bedre for hendelser hvor det foreligger mye empiri og hvor det er enklere å regne ut sannsynlighet for forekomst. Nedenfor presenteres en fremgangsmåte for gjennomføring av risikovurdering for økonomisk kriminalitet etter NS 5832, heretter kalt «sikringsrisikoanalyse». I veilederens kapittel tre er det beskrevet en rekke ulike kriminalitetstyper mv. som kan ramme virksomheten. Disse er beskrevet for at virksomheten skal kunne ta utgangspunkt i disse ulike kriminalitetstypene når risikovurderingen gjennomføres og ulike scenarioer skal identifiseres og vurderes. Uavhengig av hvordan risikokartleggingen skal gjennomføres er det helt sentrale å få oversikt over risikobildet. Dette for å kunne være i stand til å vurdere om det er etablert tilstrekkelig kontroll mv. for å redusere risikoen til et nivå som er akseptabelt for virksomheten. For mange virksomheter vil veiledningen rundt risikokartlegging mv. gitt av KS i heftet «Rådmannens internkontroll Hvordan få orden i eget hus» 1 være et godt utgangspunkt for arbeid med risikovurderinger. Under følger en overordnet tilnærming på gjennomføring av sikringsrisikoanalyser basert på NS 5830-serien. For en mer detaljert beskrivelse på definisjoner, styring og gjennomføringsmodell, se hhv. NS 5830, -31 og -32. FØR EN SETTER I GANG Kontekst: Definere mål og avgrensninger En forutsetning for gode sikringsrisikoanalyser er klare mål og avgrensninger. En bør ha klart for seg hvorfor analysen skal gjennomføres og hva analysen skal omfatte. 1 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 33

34 Målet med en sikringsrisikoanalyse for økonomisk kriminalitet kan for eksempel være å kartlegge hvor og hvordan misligheter kan oppstå, samt hvilke strategier og tiltak som bør iverksettes for å håndtere risiko. Å avgrense analysen handler om å ta stilling til hvilket detaljnivå sikringsrisikoanalysen bør ha for å ivareta virksomhetens sikringsbehov. Hvilke scenarioer bør inngå? Vurderer vi både fysiske, sosiale og logiske fremgangsmåter som kan benyttes av trusselaktører? Skal analysen omfatte hele eller deler av virksomheten? Akseptkriterier En vil aldri kunne fjerne all risiko. Med akseptkriterier menes kriterier virksomheten setter for hva virksomheten aksepterer av risiko, basert på sammenstillingen av verdi, trussel og sårbarhet. Disse bør utarbeides før en igangsetter analysen. Eksempler på akseptkriterier kan være: R Risiko Aksepterium Tidligere utførte risikoanalyser Relevante beredskapsplaner. Sikringsrisikoanalysen bør dokumenteres slik at en kan bygge videre på arbeidet på et senere tidspunkt. Det er hensiktsmessig å avgjøre hvordan analysen skal dokumenteres før en igangsetter analysen. I den forbindelse må det også foretas en vurdering av om informasjonen som utarbeides er skjermingsverdig etter sikkerhetsloven, beskyttelsesinstruksen, beredskapsforskriften og/eller andre relevante regelverk med bestemmelser relatert til gradering eller annen form for merking av informasjon. Organisering og arbeidsgrupper Det kan være hensiktsmessig å gjennomføre sikringsrisikoanalysen i tverrfaglige arbeidsgrupper bestående av nøkkelpersonell fra virksomheten med forskjellig bakgrunn og kompetanse. SIKRINGSRISIKOANALYSEN ETTER NS Svært høy 3 Høy Sammenstillingen verdi, trussel og sårbarhet er uakseptabel for risikoeier. Tiltak skal vurderes og bør implementeres umiddelbart. Sammenstillingen verdi, trussel og sårbarhet er uakseptabel for risikoeier. Tiltak skal vurderes og bør implementeres. Nedenfor beskrives kort den praktiske gangen i en sikringsrisikoanalyse. 1. Verdivurdering En sikringsrisikoanalyse tar utgangspunkt i at vi har noe av verdi (materielle eller immaterielle eiendeler) som vi ønsker å beskytte. En verdivurdering innebærer å identifisere, kartlegge og rangere virksomhetens verdier, slik at vi best mulig kan beskytte og dermed hindre at disse skades, stjeles eller på andre måter går tapt. Relevante verdier i en økonomisk kriminalitet-kontekst, kan eksempelvis være: 2 Moderat Sammenstillingen verdi, trussel og sårbarhet kan være uakseptabel for risikoeier. Tiltak bør vurderes og bør implementeres. Finansielle verdier Slik som penger og verdipapirer 1 Lav Sammenstillingen verdi, trussel og sårbarhet er akseptabel for risikoeier. Tiltak kan vurderes og kan implementeres. Informasjonsinnhenting og dokumentasjon Før en setter i gang med sikringsrisikoanalysen er det viktig å innhente mest mulig relevant informasjon om analyseobjektet. For å styrke analysens gyldighet og pålitelighet bør en basere seg på ulike typer informasjonskilder, som for eksempel: Erfaringsdata om økonomisk kriminalitet og om tidligere hendelser mot tilsvarende virksomheter.bransjespesifikk erfaringsdata og veiledning, slik som denne veilederen Trusselvurderinger og andre relevante undersøkelser fra ulike myndighets- og næringsorganer, som for eksempel ØKOKRIM, KRIPOS og Næringslivets Sikkerhetsråd (NSR) Informasjonsverdier Slik som personopplysninger, kontraktsforhandlinger, kundedatabaser, sensitive transaksjoner, forretningshemmeligheter, markedsstrategier m.m. Omdømme Som påvirkes indirekte gjennom at de ovennevnte verdiene skades, stjeles eller på ande måter går tapt. Ingen virksomhet kan sikre alle verdiene sine mot alle tenkelige trusler og hendelser. Det er derfor avgjørende å forstå hvilke verdier som er kritiske, slik at disse prioriteres og sikres tilstrekkelig iht. velfunderte akseptkriterier. 34 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

35 2. Sikringsmål Basert på verdivurderingen bør det utarbeides sikringsmål som beskriver en ønsket eller akseptabel tilstand for verdiene under eller etter uønskede hendelser. To eksempler er «virksomheten aksepterer ingen tap av personopplysninger» eller «grunnsikringen vår skal beskytte oss mot tap av forretningshemmeligheter». Sikringsmålene må være tilstrekkelig forankret hos risikoeier i virksomheten. Videre bør sikringsmålene revideres underveis i prosessen, for eksempel etter at man har vurdert den totale risikoen og utarbeidet en sikringsstrategi. Målene virksomheten setter for sikring, har betydning for hvor mye det koster å beskytte seg. 3. Trusselvurdering Trusselvurderingen skal beskrive det gjeldende trusselbildet for de verdiene vi ønsker å beskytte, og innebærer å kartlegge potensielle trusselaktørers kapasitet til, og intensjon om, å ramme de verdiene som er identifisert i verdivurderingen. Det meste av informasjonen en trenger for å gjøre egne trusselvurderinger finnes i åpne kilder, eksempelvis i Økokrims årlige Trusselvurdering. Sårbarhetsvurderingen er en beskrivelse av virksomhetens sårbarhet overfor de identifiserte truslene mot de identifisere verdiene. I en sårbarhetsvurdering identifiseres, analyseres og evalueres det i hvilken grad virksomhetens verdier er eksponert for trusselaktører i hvert enkelt scenario. Det gjøres en vurdering av hvorvidt eksisterende sikrings- og beredskapstiltak, isolert og samlet sett, er i stand til å forhindre ulike former for økonomisk kriminalitet og begrense skadeomfanget. 6. Sikringsrisikovurdering Sikringsrisikovurderingen sammenstiller resultatet av verdi-, trussel- og sårbarhetsvurderingen. Merk at sikringsrisikoene er scenariospesifikke, og derfor er vanskelig å aggregere til én overordnet risiko som vil gi merverdi for videre sikringsarbeid i virksomheten. Sikringsmål og/eller akseptkriterier er avgjørende for å identifisere akseptabel/uakseptabel sikringsrisiko og for utarbeidelsen av påfølgende anbefalinger. Sikringsrisikovurderingen gir virksomheten et godt grunnlag for å fatte beslutninger og strategiske valg om hvordan de kan fjerne eller redusere risikoen for økonomisk kriminalitet. 7. Strategi og tiltak På bakgrunn av sikringsrisikovurderingen vil uakseptable risikoer analyseres og forslag til sikringsstrategier og eventuelle tiltak utarbeides. Detaljeringsgraden vil være avhengig av sikringsrisikoanalysens kontekst og virksomhetens behov. Vanligvis består tiltak av en kombinasjon av menneskelige, organisatoriske og teknologiske tiltak. 4. Scenarioanalyser Trusselaktørenes mulige fremgangsmåter vil sammen med de mest kritiske verdiene danne grunnlaget for utarbeidelse av relevante scenarioer. Med scenarioer menes forestilte situasjonsbeskrivelser som beskriver hvordan ulike trusselaktører kan gå frem for å gjennomføre økonomisk kriminalitet (altså å stjele eller skade verdiene). Det kan ofte være relevant å ta utgangspunkt i tidligere hendelser mot egen eller lignende virksomheter. 5. Sårbarhetsvurdering De scenarioene som ansees som mest relevante inkluderes i sårbarhetsvurderingen. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 35

36 Foto: Katrine Lunke, EnergiAkademiet Vedlegg 4 Last ned PDF: vedlegg4.pdf Word-dokument: vedlegg4.docx PROGRAM FOR BESKYTTELSE MOT ØKONOMISK KRIMINALITET Under følger et eksempel på hvordan virksomheten kan dokumentere hvordan de arbeider med å forebygge, avdekke og håndtere økonomisk kriminalitet. Hos enkelte virksomheter vil et slikt dokument beskrives som en «policy for compliance» eller tilsvarende. COMPLIANCE POLICY FOR ENERGISELSKAPET AS Virksomhetens compliance policy er utarbeidet for å redusere risikoen for brudd på lover og retningslinjer. Policyen tar utgangspunkt i virksomhetens risiko og er forholdsmessig, tilstrekkelig, og i samsvar med de forventninger som stilles til virksomheten som samfunnsansvarlig aktør. Virksomheten har nulltoleranse overfor brudd på lover og retningslinjer, herunder korrupsjon og annen økonomisk kriminalitet. Eventuelle mistanker om brudd på lover og retningslinjer vil håndteres i tråd med konsernets retningslinjer for gjennomføring av undersøkelser. Dersom det avdekkes forhold som gir grunnlag for anmeldelse og/eller «selvrapportering» til relevante myndigheter, skal som hovedregel anmeldelse inngis og relevante myndigheter informeres. I det følgende vil de tiltak som til sammen danner virksomhetens compliance policy kort beskrives. Innenfor aktuelle områder er det henvist til ytterligere retningslinjer. Beskrivelsen av virksomhetens compliance policy er inndelt i fem dimensjoner: Kontrollmiljø Risikovurderinger Kontrollaktiviteter Informasjon og kommunikasjon Overvåking og forbedring Kontrollmiljø Virksomhetens ledelse er opptatt av at det er en høy etisk standard i all forretningsdrift. Ledelsens fokus på å forebygge, avdekke og håndtere eventuelle brudd på lover og retningslinjer skal være synlig for både ansatte og eksterne. Virksomheten har definert klare roller og ansvarsforhold for de oppgaver som følger av denne policyen. Virksomhetens styre har det øverste ansvaret for at virksomhetens compliance policy er tilpasset virksomhetens risikobilde og tilført tilstrekkelige ressurser. Ledelsen har det daglige ansvaret for at virksomhetens compliance policy fungerer tilfredsstillende, mens compliance funksjonen har det operasjonelle ansvaret for dette. Etiske retningslinjer Virksomheten har etiske retningslinjer for de ansatte for blant annet å forebygge korrupsjon. De etiske retningslinjene inngår i den obligatoriske opplæringen for alle ansatte. De etiske retningslinjene er også tilgjengeliggjort for eksterne via selskapets internettside. Det er utarbeidet etiske retningslinjer for leverandører som vedlegges kontrakter der risikovurderingen viser at det er en risiko for økonomisk kriminalitet, herunder korrupsjon. 36 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

37 Varslingskanal Virksomheten oppfordrer ansatte til å si ifra om eventuelle kritikkverdige forhold til ledelsen. Det er etablert en varslingskanal der ansatte kan henvende seg med bekymringer eller mistanker om brudd på lover og retningslinjer og/eller andre kritikkverdige forhold. Virksomheten har retningslinjer for mottak og håndtering av innkomne varsler. Varslingsordningen, og informasjon om denne er lett tilgjengelig på virksomhetens intranett. Det er utarbeidet egne varslingsplakater (på flere språk) som er gjort tilgjengelig på relevante steder på ulike lokasjoner. Undersøkelse av mistanker mv. Ved varsel og/eller ved andre opplysninger om mulige brudd på lover og retningslinjer, skal dette undersøkes i tråd med virksomhetens retningslinjer for undersøkelser, herunder retningslinjer for innsyn i e-post og annet. Belønning og sanksjoner Eventuelle belønningssystemer i virksomheten skal ikke bidra til å øke risikoen for brudd på lover og retningslinjer. Etterlevelse av compliance policy, lover og retningslinjer skal ilegges vekt ved evalueringer, lønnsfastsettelse og forfremmelser o.l. Etterlevelse av virksomhetens etiske retningslinjer er et vilkår for ansettelse i virksomheten, og brudd på disse gir virksomheten rett til å iverksette disiplinære tiltak, herunder oppsigelse og avskjed. Disiplinære tiltak skal håndheves konsistent i hele virksomheten, uavhengig av tittel og funksjon. Risikovurderinger Virksomhetens skal gjennomføre risikovurderinger regelmessig, og minst årlig, for å sikre at eventuell ny risiko blir identifisert og at eventuelle hendelser som avdekker risiko som ikke tidligere har vært omfattet av vurderingene blir kartlagt. Et oppsummert risikobilde hvor også risiko for økonomisk kriminalitet inngår behandles årlig av ledelsen og av styret i virksomheten. Kontrolltiltak Virksomhetens kontrolltiltak er basert på risiko og sammenhengen mellom risiko og kontrolltiltak er dokumentert i en risiko-kontroll matrise. Følgende viktige kontrolltiltak er etablert: Finansielle kontrolltiltak Internkontrollen består blant annet av definerte fullmakter, arbeidsdeling, økonomireglement, kontrollerfunksjon og rutiner for periode- og årsavslutning. Fullmaktsstruktur beskriver anvisningog attestasjonsfullmakter, samt beslutningsmyndighet knyttet til innkjøp, godkjennelse av fakturaer og investeringsbeslutninger. Virksomhetens finansielle kontroller er beskrevet i virksomhetens økonomihåndbok. Ikke-finansielle kontrolltiltak Det er etablert flere ikke-finansielle kontrolltiltak i virksomheten, blant annet skriftlig prosedyre for gjennomføring av bakgrunnssjekk av leverandører og ved rekruttering. Gjennomføring av bakgrunnssjekk er basert på en risikovurdering. Kurs og opplæring er en viktig del av ikke-finansielle kontrolltiltak. Dette er nærmere beskrevet i eget avsnitt. Informasjon og kommunikasjon Opplæring Alle ansatte skal gjennomgå obligatorisk opplæring som omhandler temaer som varsling, etiske retningslinjer og økonomisk kriminalitet. I tillegg gis det, basert på en risikovurdering, ytterligere opplæring til enkelte ansatte, blant annet til innkjøpere. Hele virksomheten skal ta læring av eventuelle hendelser gjennom kunnskapsdeling. Kommunikasjon Virksomhetens etiske retningslinjer, etiske retningslinjer for leverandører, og virksomhetens compliance policy er tilgjengelig på virksomhetens intranett og internett. Dokumentene er også tilgjengelig på engelsk. Virksomhetens fokus på risiko for økonomisk kriminalitet og forebygging av dette, herunder toppledelsens fokus, skal kommuniseres tydelig både internt og eksternt. Alle hendelser knyttet til brudd på lov og retningslinjer skal rapporteres via virksomhetens varslingskanal eller til nærmeste leder. Nærmeste leder er ansvarlig for å rapportere dette videre til compliance funksjonen. Compliance funksjonen registrerer alle relevante hendelser for å sikre kunnskapsdeling, læring og at hendelser som inntreffer blir tatt hensyn til ved oppdatering av risikovurderinger. Compliance funksjonen skal regelmessig rapportere forhold til ledelsen. Daglig leder orienterer styrets leder om eventuelle forhold i tråd med virksomhetens kriseberedskapsplan. Overvåking og forbedring Styret har det øverste ansvaret for at virksomhetens compliance policy til enhver tid er tilpasset konsernets risikobilde og fungerer tilfredsstillende. Ledelsen har det daglige ansvaret for dette, mens compliance funksjonen har det operasjonelle ansvaret. Dette innebærer at compliance funksjonen løpende skal sikre at compliance policy og relevante retningslinjer er oppdatert og at compliance policy og relevante retningslinjer revideres dersom hendelser som inntreffer identifiserer svakheter ved disse. Eksterne evalueringer Minst hvert tredje år skal det gjennomføres en ekstern evaluering av virksomhetens compliance policy. Formålet med dette er å kartlegge hensiktsmessigheten av policyen, om den er implementert og påse at relevante regulatoriske endringer og/eller faglig utvikling blir tatt hensyn til. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 37

38 Vedlegg 5 Last ned PDF: vedlegg5.pdf Word-dokument: vedlegg5.docx LEVERANDØRKONTROLL I PRAKSIS Når man skal vurdere omfanget av leverandørkontroller er det hensiktsmessig å skille mellom selskapskontroll, ansattkontroll og kontroll av informasjons- og påseplikt. Kontrolløren må i forkant og underveis av leverandørkontrollen vurdere behovet for å supplere med intervjuer av ledelse og ansatte i virksomheten. Hvilke kontroller kontrolløren faktisk velger å utføre vil bero på resultatene fra risikovurderingene som er gjennomført. Leverandørkontroller gjennomføres ved hjelp av ulike metoder, gjerne i kombinasjon: Varslede stedlige kontroller Uanmeldt kontroller på arbeidssted Intervjuer av ansatte Bostedskontroller Utvidede kontroller, herunder gransking Når det er bestemt hvilke kontroller som skal gjennomføres må utvalgsstørrelse og periode for kontroll avgjøres. Når det gjelder valg av utvalgsstørrelse er det ulike metoder som kan legges til grunn. De mest benyttede metodene er tilfeldige eller risikobaserte utvalg. I de tilfeller det ikke er en kjent risiko knyttet til leverandøren vil et tilfeldig utvalg kunne være hensiktsmessig. I tilfeller der det er identifisert økt risiko ved et bestemt område vil et risikobasert utvalg være å anbefale. Forhold som tilsier en økt risiko i energibransjen ville kunne være omfattende bruk av utenlandsk arbeidskraft, ufaglært arbeidskraft og innleie samt perioder med økt aktivitet, som eksempelvis ved innspurt og forsering. Revisjonskriterier som ligger til grunn for kontrollene: Arbeidsmiljøloven Forskrift om lønns- og arbeidsvilkår i offentlige kontrakter Internkontrollforskriften Allmenngjorte tariffavtaler Nasjonale overenskomster Lokale avtaler Arbeidsreglement Arbeidsavtaler Byggherreforskriften Vikarbyrådirektivet ved bruk av innleid arbeidskraft Utlendingsloven med forskrifter ved bruk av utenlandsk arbeidskraft NB! Ut over dette vil energibransjen også måtte følge opp kravene til informasjonssikkerhet som følger av Energiloven og Forskrift om forebyggende sikkerhet og beredskap i energiforsyningen. Under følger et eksempel på skjema som kan benyttes for kontroll av entreprenør: Skjema for kontroll av entreprenør i energibransjen Kontroll av Kontroller på selskapsnivå Utført Avvik* Observasjon** Kommentar [Sett kryss] [Sett kryss] [Sett kryss] [avvik/observasjon] 1 Har entreprenøren tegnet yrkesskadeforsikring og pensjonsordning for sine ansatte? 2 Har entreprenøren utarbeidet arbeidsreglement? Har entreprenøren HMS-plan i tråd med gjeldende regler? Benytter entreprenøren et tilfredsstillende timeregistreringssystem som gir selskapet tilstrekkelig informasjon til å føre kontroll over arbeidet tid? Har entreprenøren rutiner for å kontrollere om utenlandske arbeidstakere har gyldig arbeidstillatelse og oppholdstillatelse? 38 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

39 Kontroller på ansattnivå Utført Avvik* Observasjon** Kommentar 1 Er arbeidskontraktene i tråd med arbeidsmiljøloven? [Sett kryss] [Sett kryss] [Sett kryss] [avvik/observasjon] Er avtalte lønnsbetingelser for den enkelte ansatte i tråd med gjeldende tariff eller overenskomst? Overholder entreprenøren gjeldende krav til utbetaling av lønn? Overholder entreprenøren krav til samlet arbeidstid og arbeidsfri i henhold til arbeidsmiljøloven og gjeldende tariff eller overenskomst? Overholder entreprenøren kravene i lov om ferie til korrekt beregning og utbetaling av feriepenger? Dersom entreprenøren tilbyr bolig til sine ansatte; hvilke betingelser gjelder og er boforholdene tilfredsstillende? Har ansatte i underentreprenørfirmaet/ underleverandør godkjente sertifikater for arbeidet som skal utføres? Dersom entreprenøren benytter seg av underleverandører: Kontroller av informasjons- og påseplikt Utført Avvik* Observasjon** Kommentar [Sett kryss] [Sett kryss] [Sett kryss] [avvik/observasjon] 1 Overholder entreprenøren informasjonsplikten? 2 Overholder entreprenøren påseplikten? *Avvik er definert som brudd på kontraktsvilkår og/eller lovverk. **Observasjoner er definert som uheldig praksis som er observert, men som ikke er å betrakte som brudd på kontraktsvilkår og/eller lovverk. Dette kan for eksempel være forhold som kan utvikle seg til å bli et brudd. Totalvurdering av den kontrollerte entreprenøren: Kontroll utført av Dato KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 39

40 Foto: Trygve Mellvang-Berg Vedlegg 6 Last ned PDF: vedlegg6.pdf Word-dokument: vedlegg6.docx EKSEMPLER PÅ VARSLINGSRUTINER Hensikten med varslingsrutiner er å øke sannsynligheten for at ansatte eller andre varsler til virksomhetens ledelse dersom de er kjent med, eller mistenker kritikkverdige forhold i tilknytning til virksomheten. Virksomhetens varslingsrutiner bør beskrive:.«saksbehandlingsreglene» som gjelder for virksomheten ved mottak av et varsel, Hva som normalt vil skje med varselet, Angi de ulike kanalene for varsling, Spesifisere tiltak som er iverksatt for å beskytte den ansatte mot represalier og andre spørsmål som varsleren normalt vil stille før det inngis et varsel. Under følger et eksempel på varslingsrutiner. I tillegg til dette dokumentet anbefales det at bedriften utarbeider: Varslingsplakat Informasjonsskriv om varsling, varslingsprosessen og hva varsling innebærer for den som varsler VARSLINGSRUTINER FOR ENERGISELSKAP AS Mottak av varsel Alle innkomne meldinger/varsler registreres umiddelbart av varslingsmottaket hos ENERGISELSKAP (heretter «varslingsmottaket») og tildeles unikt saksnummer. Dette gjelder også varsler som er mottatt via ekstern varslingskanal som ENERGISELSKAP benytter. Varslingsmottaket har ansvar for saksbehandlingen av mottatt varsel, herunder utarbeidelse av rapport om varslingssaken. Varslingsmottaket skal også påse at opplysningene i varslersaker behandles og oppbevares på en betryggende måte i henhold til krav til personvern og informasjonssikkerhet. Varslingsmottaket skal påse at uvedkommende ikke får tilgang til informasjon fra varslersaker. Informasjon om varsler som sendes per e-post skal sendes kryptert. ENERGISELSKAP AS varslingsmottak består av <navn på person eller stilling> og <navn på person eller stilling>. Dersom et varsel er mottatt via Energiselskaps eksterne varslingstjeneste og gjelder 40 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

41 den eller de som normalt håndterer varslingssaker, vil det varsles til administrerende direktør i ENERGISELSKAP AS, eventuelt til styrets leder. Rapportering Det skal utarbeides rapport i hver enkelt varslersak. Varslingsmottaket har ansvar for å utarbeide eller påse at det utarbeides rapport etter hver varslingssak. Formålet med rapporten er å ha et beslutningsgrunnlag for endelig avgjørelse i den enkelte varslersak. Rapporten skal normalt inneholde en gjengivelse av hovedpunkter i den informasjonen som er mottatt fra varsler. Rapporten skal angi eventuelle forslag til ytterligere undersøkelser som bør gjennomføres med bakgrunn i varselet med mindre saken kan avsluttes uten ytterligere undersøkelser. Varslingsmottaket i ENERGISELSKAP AS skal normalt informeres om mottatt varsel senest dagen etter at varselet er mottatt av eksternt varslingsmottak, med mindre det er åpenbart at varselet gjelder forhold som kan vente. Undersøkelser Det skal gjennomføres undersøkelser om de faktiske forhold saken gjelder innenfor de rammer som følger blant annet av arbeidsmiljøloven og personvernlovgivningen. De innledende undersøkelsene som foretas i hver varslersak skal primært bidra til å: Vurdere hva varslet gjelder Vurdere varslets karakter og alvorlighetsgrad Avklare om varselet er saklig begrunnet og om umiddelbare tiltak er påkrevet.klargjøre hvilke undersøkelser som kan utføres for ytterligere å belyse forholdet som varselet gjelder Gi grunnlag for å utforme en kortfattet vurdering og anbefaling om hvordan saken skal håndteres av ENERGISELSKAP Saksbehandlingen skal omfatte undersøkelser som er nødvendige for å avdekke de faktiske forhold det er varslet om, og avklare relevante konsekvenser av de faktiske forhold som avdekkes. I forbindelse med slike undersøkelser kan det være aktuelt å innhente dokumentasjon eller gjennomføre samtaler. Dersom varsler velger å være anonym, skal varslersaken håndteres så langt dette er mulig. Søk og sikring av elektronisk lagret informasjon skal kun gjøres dersom det er saklig grunn til det, og dersom de lovbestemte vilkår for å gjennomføre slike undersøkelser er oppfylt. Eventuell analyse av elektronisk lagret informasjon skal kun gjennomføres når vilkårene for slike undersøkelser er oppfylt. Ved undersøkelser av elektronisk lagret informasjon skal det utarbeides rapport som viser hvordan elektronisk lagret materiale er sikret og hvilke undersøkelser som er gjort av elektronisk lagret informasjon. Avgjørelse i varslingssaker Virksomhetens avgjørelser i varslingssaker, vil normalt gå ut på: Avslutning av saken Henvisning av saken til rette vedkommende hos ENERGI- SELSKAP for videre håndtering Oversendelse av saken til offentlig kontrollmyndighet eller annen offentlig myndighet Informasjon til varsler og den det er varslet om Varslingsmottaket eller den varslingsmottaket delegerer ansvaret til, har ansvar for å informere: Varsleren om at varsel er mottatt så snart varselet er mottatt og registrert av varslingsmottaket, Varsler om resultatet av saken såfremt varsleren ikke er anonym, Den personen som det er varslet om, så langt dette kan gjøres uten å skade formålet med undersøkelsene. Informasjon til den det er varslet om skal gis slik at varsleren ikke risikerer gjengjeldelse/ represalier. Informasjonsplikt etter Personopplysningsloven I tråd med kravene i Personopplysningsloven skal ENERGISELSKAP AS følgende informasjon om behandlingsansvarliges behandling av personopplysninger ifm. varsling: a) Behandlingsansvarlige for ENERGISELSKAP AS er <navn på person eller stilling>. b) Formålet med behandlingen er å oppfylle arbeidsmiljølovens bestemmelser om varsling, samt å legge forholdene til rette for forebygging og avdekking av kritikkverdige forhold, herunder økonomisk kriminalitet. c) Opplysningene som samles inn vil etter omstendighetene kunne bli utlevert til påtalemyndigheten dersom det besluttes å anmelde forholdet, eller dersom påtalemyndigheten begjærer utlevering. d) For den registrerte er det frivillig å gi fra seg opplysningene e) Den registrerte har rett til å kreve innsyn og rett til å kreve retting/ sletting, se ytterligere informasjon i egne punkter i denne rutinen. Ved mottatte varsler skal ENERGISELSKAP AS informere den/de varselet gjelder om hvilke opplysninger som samles inn, samt opplysningene som fremgår i punkt a-e ovenfor. Dette skal gjøres så snart opplysningene er innhentet/mottatt med mindre: 1) innsamlingen eller formidlingen av opplysningene er uttrykkelig fastsatt i lov, 2) varsling er umulig eller uforholdsmessig vanskelig, eller 3) det er på det rene at den registrerte allerede kjenner til informasjonen varslet skal inneholde 4) opplysningene er påkrevd å hemmeligholdes av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgelse av straffbare handlinger (POL 23 første ledd bokstav b). KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 41

42 Når det unnlates å gi informasjon fordi det er umulig eller uforholdsmessig vanskelig, skal informasjonen likevel gis senest når det gjøres en henvendelse til den registrerte på grunnlag av opplysningene. Overordnet rapportering Varslingsmottaket utarbeider, minst en gang pr år, en overordnet rapport til styret i ENERGISELSKAP AS som oppsummerer: Antall varsler mottatt i perioden Type forhold det er varslet om uten å beskrive enkeltsaker Avgjørelsesmåtene i sakene Beskrivelse av tiltak som er iverksatt for å motvirke eventuelle kritikkverdige forhold det er varslet om Tilbakemeldinger og kommentarer varslingsmottaket har fått som kan beskrive tilliten til varslingsmottaket og effekten av varslingsordningen Eventuelle påstander om at varsler er utsatt for gjengjeldelse som følge av varslingen.all overordnet rapportering skal ta hensyn til varsleren, slik at enkeltsaker ikke identifiseres eller at det blir kjent hvem som har varslet. Konfidensialitet Dokumenter som gjelder varsling vil normalt være interne dokumenter som er konfidensielle. Registrering/arkivering av varsler Meldingen registreres og arkiveres i eget arkivsystem med begrenset tilgang hos varslingsmottaket. Saken skal arkiveres og for øvrig behandles i samsvar med det til enhver tid gjeldende regelverk og godkjente saksbehandlingsrutiner. Saksopplysningene skal lagres på kryptert område hos ENERGISELSKAP AS og eventuelt Databehandler. Saksopplysningen skal kun være tilgjengelig for de ansatte som har et tjenstlig behov for slik tilgang, dvs. kun de som arbeider med varslingssaker. Sletterutiner Rapporter og dokumenter i varslersaker skal normalt slettes senest tre måneder etter at saksbehandlingen er avsluttet med mindre særlige forhold gjør det nødvendig å oppbevare opplysningene utover dette. Oppbevaring utover tre måneder krever skriftlig begrunnelse i hver enkelt sak. Denne begrunnelsen oppbevares sammen med rapporten av varslingsmottaket. Ansvarlig for at dette gjøres er kontaktpunkt for varslingssaker i ENERGISELSKAP. Databehandler skal slette opplysningene senest tre måneder etter at varsel/rapport er oversendt ENERGISELSKAP. Ansvarlig for at dette gjøres er databehandlers kontaktpunkt for varslingssaker. Personopplysninger skal slettes i det informasjonssystemet som benyttes ved behandlingen av personopplysninger i varslingssaker. ENERGISELSKAP skal som et minimum én gang pr. år gjennomgå sine informasjonssystemer for å påse at all informasjon er slettet i henhold til sletterutinene som beskrevet ovenfor. Innsynsrett for den eller de som varselet gjelder Den som varselet gjelder skal informeres om forholdet med mindre slik informasjon kan ødelegge formålet med undersøkelsene. Dersom forholdet gjelder mistanke om regelbrudd som tilsynsmyndigheter eller politiet/ påtalemyndigheten vil kunne tenkes å forfølge, skal vedkommende som varselet gjelder, ikke informeres før nevnte myndigheter er orientert. Enhver som ber om det, skal få vite hva slags behandling av personopplysninger en behandlingsansvarlig foretar, og kan kreve å få følgende informasjon om en bestemt type behandling: a) Navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) Hvem som har det daglige ansvaret for å oppfylle den behanlingsansvarliges plikter, c) Formålet med behandlingen, d) Beskrivelser av hvilke typer personopplysninger som behandles, e) Hvor opplysningene er hentet fra, og f) Om personopplysningene vil bli utlevert, og eventuelt hvem som er mottaker. Dersom den som ber om innsyn er registrert, skal den behandlingsansvarlige opplyse om: a) Hvilke opplysninger om den registrerte som behandles, og b) Sikkerhetstiltakene ved behandlingen så langt innsyn ikke svekker sikkerheten Den registrerte kan kreve at den behandlingsansvarlige utdyper informasjonen i første ledd bokstav a - f i den grad dette er nødvendig for at den registrerte skal kunne ivareta egne interesser. Før det gis innsyn skal den registrerte levere inn en skriftlig og undertegnet forespørsel. Av hensyn til kravet om konfidensialitet, må den registrerte også levere en bekreftet kopi av legitimasjon. Informasjon skal sendes skriftlig til den registrerte. Hvis informasjonen skal sendes elektronisk, for eksempel ved bruk av e-post, må informasjonen krypteres eller sikres på annen måte. Dersom informasjonen sendes pr. post skal dette fortrinnsvis sendes til vedkommendes folkeregistrerte adresse. Postsendinger som inneholder fødselsnummer skal være utformet slik at nummeret ikke er tilgjengelig for andre enn adressaten. Det kan ikke kreves betaling for å gi informasjon etter forespørsel om innsyn. Retting og/eller sletting av mangelfulle opplysninger Dersom det er behandlet personopplysninger som er uriktige, ufullstendige eller som det ikke er adgang til å behandle, skal den behandlingsansvarlige av eget tiltak eller på forespørsel av den registrerte, 42 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

43 rette de mangelfulle opplysningene. Den behandlingsansvarlige skal om mulig sørge for at feilen ikke får betydning for den registrerte, f.eks. ved å varsle mottakere av utleverte opplysninger. Retting av uriktige eller ufullstendige personopplysninger som kan som kan benyttes som dokumentasjon, skal skje ved at opplysningene tydelig markeres og suppleres med korrekte opplysninger. Sletting bør suppleres med registrering av korrekte og fullstendige opplysninger. Dersom dette ikke er mulig, og dokumentet som inneholdt de slettede opplysningene av den grunn gir et åpenbart misvisende bilde, skal hele dokumentet slettes. Avviksmeldinger Bruk av informasjonssystemet som er i strid med fastlagte rutiner, og sikkerhetsbrudd, skal behandles som avvik. <navn på person eller stilling> hos Energiselskap AS er ansvarlig for at det føres oversikt over avviksmeldinger og at avviksmelding sendes Datatilsynet dersom avviket har medført uautorisert utlevering av særlig verneverdige personopplysninger. Disse retningslinjene er fastsatt av daglig leder i ENERGISELSKAP AS, den <sett inn dato>. Arbeidsmiljøloven 2-5. Vern mot gjengjeldelse ved varsling 1) Gjengjeldelse mot arbeidstaker som varsler i samsvar med 2-4 er forbudt. Dersom arbeidstaker fremlegger opplysninger som gir grunn til å tro at det har funnet sted gjengjeldelse i strid med første punktum, skal det legges til grunn at slik gjengjeldelse har funnet sted hvis ikke arbeidsgiveren sannsynliggjør noe annet. 2) Første ledd gjelder tilsvarende ved gjengjeldelse mot arbeidstaker som gir til kjenne at retten til å varsle etter 2-4 vil bli brukt, for eksempel ved å fremskaffe opplysninger. 3) Den som er blitt utsatt for gjengjeldelse i strid med første eller andre ledd, kan kreve oppreisning uten hensyn til arbeidsgivers skyld. Oppreisningen fastsettes til det beløp som retten finner rimelig under hensyn til partenes forhold og omstendighetene for øvrig. Erstatning for økonomisk tap kan kreves etter alminnelige regler. Arbeidsmiljøloven 3-6. Plikt til å legge forholdene til rette for varsling Arbeidsgiver skal, i tilknytning til det systematiske helse-, miljø- og sikkerhetsarbeidet, utarbeide rutiner for intern varsling eller sette i verk andre tiltak som legger forholdene til rette for intern varsling om kritikkverdige forhold i virksomheten i samsvar med 2-4, dersom forholdene i virksomheten tilsier det. RELEVANTE LOVER OG REGLER Arbeidsmiljøloven 2-4. Varsling om kritikkverdige forhold i virksomheten 1) Arbeidstaker har rett til å varsle om kritikkverdige forhold i virksomheten. 2) Arbeidstakers fremgangsmåte ved varslingen skal være forsvarlig. Arbeidstaker har uansett rett til å varsle i samsvar med varslingplikt eller virksomhetens rutiner for varsling. Det samme gjelder varsling til tilsynsmyndigheter eller andre offentlige myndigheter. 3) Arbeidsgiver har bevisbyrden for at varsling har skjedd i strid med denne bestemmelsen. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 43

44 Vedlegg 7 Last ned PDF: vedlegg7.pdf Word-dokument: vedlegg7.docx FREMGANGSMÅTE VED INTERNE UNDERSØKELSER OM MISTANKE OM REGELBRUDD Ingen situasjoner er like, og gjennomføringen av en undersøkelse må derfor tilpasses den enkelte situasjon. En undersøkelse vil likevel normalt alltid inneha et sett av elementer som vil danne et metodisk utgangspunkt for gjennomføring. I det følgende presenteres noen overordnende prinsipper og rammer for gjennomføring av en slik undersøkelse. En undersøkelse bør være basert på og ivareta viktige prinsipper og hensyn som: Retten til privatliv Kravet til rettferdig rettergang Uskyldspresumsjonen Vern mot selvinkriminering Forutsigbarhet Likebehandling Kontradiksjon Det er viktig at den eller de som gjennomfører en undersøkelse ved mistanke om økonomisk kriminalitet har tilstrekkelig kompetanse og erfaring til å gjennomføre slike undersøkelser. Dersom virksomheten ikke selv besitter denne kompetansen bør det vurderes å hente inn slik kompetanse gjennom bruk av eksterne rådgivere. Slik ekstern bistand kan hentes inn enten for å ta ansvar for hele undersøkelsen, bistå som en rådgiver for virksomhetens egne ressurser eller en form for kombinasjon. Dersom eksterne rådgivere engasjeres er det viktig at mandatet for undersøkelsene er tydelig avtalt og at virksomheten har løpende kontroll på ressursbruk mv. Undersøkelse av alvorlige regelbrudd bør gjennomføres innen rimelig tid. Tiden det tar å gjennomføre en undersøkelse vil variere fra sak til sak. En undersøkelse vil i de fleste tilfeller omfatte innsamling og analyse av informasjon fra elektroniske systemer (regnskap, arkiver, e-post mv.) papirbasert dokumentasjon og gjennom intervjuer. Personer som antas å ha relevant informasjon, bør gis muligheten til å gjøre de som undersøker saken kjent med denne informasjonen. Sentrale personer i saken skal gis anledning til å supplere/korrigere de opplysninger som fremgår av de skriftlige informasjonskildene. Undersøkelsesrapporten bør beskrive de faktiske forhold og beskrive saken på en objektiv måte med respekt for alle de berørte personer. Antallet personer som er nevnt ved navn i rapporten bør reduseres til det nødvendige. Alle personer som er mistenkt for å ha begått et avvik/regelbrudd bør få mulighet til å forklare seg om «saken» før en endelig rapport utarbeides. Personvernlovgivningen må etterleves i forbindelse med gjennomføring av slike undersøkelser. 2 Innledningsvis er det viktig å kartlegge om oppdragsgiver har lidd noe tap og/eller fare for tap og om det skal iverksettes tiltak for å sikre økonomiske verdier. Slike tiltak vil normalt være midlertidig forføyning eller arrest i formuesgode. Dernest er det viktig å iverksette tiltak for å sikre informasjon og dokumentasjon slik at denne ikke forsvinner eller kan manipuleres. Dette gjelder både papirdokumentasjon, elektronisk lagret informasjon (regnskapsmateriale, e-post mv.) og eventuell annen type informasjon. Sikring av elektronisk lagret informasjon for senere gjennomgang må utføres forsvarlig, slik at det ikke er tvil om at sikret informasjon er identisk med opprinnelig informasjon. Tilgangen til, og håndteringen av elektronisk lagret informasjon i undersøkelsessaker i Norge (eksempelvis ved mistanke om økonomiske misligheter) vil i de fleste tilfeller reguleres av bestemmelsene i personopplysningsloven med tilhørende forskrift. Det er svært viktig at personvernlovgivningen (særlig kapittel ni i «Forskrift om behandling av personopplysninger») 3 følges ved innsyn i e-post og/ eller annen elektronisk lagret informasjon. For mer veiledning om gjennomføring av undersøkelser vises det til Advokatforeningens retningslinjer for private granskinger Forskrift om behandling av personopplysninger (personopplysningsforskriften) KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

45 Last ned PDF: vedlegg8.pdf Word-dokument: vedlegg8.docx Vedlegg 8 «ETISKE DILEMMAER» - NOEN RELEVANTE EKSEMPLER FRA BRANSJEN Etikk handler om urettferdighet og vårt behov for å gripe inn når vi oppdager noe som oppfattes som galt eller krenker noen. Genteknologiens utvikling, bruk av legemiddelindustriens oppfinnelser av nye og ofte kostbare medisiner som kan gi enkelte mennesker flere år å leve, inngripen i naturen som er motivert av økonomisk gevinst og sosialt ansvar for mennesker som lider er noen eksempler på moderne etiske dilemmaer. Å velge riktig i etiske dilemmaer handler ofte om å ha evnen til å reflektere over sin egen handling og innse hvilke konsekvenser valget vil få. Det er to grunnleggende etiske prinsipper som er enkle å huske; likhetsprinsippet og offentlighetsprinsippet. Likhetsprinsippet innebærer at like situasjoner skal løses mest mulig likt. Derfor kan det ikke være en moral som gjelder for sjefene og en annen for de andre på arbeidsplassen. Offentlighetsprinsippet innebærer at du skal kunne forsvare ditt valg dersom forholdet blir kjent, uten å måtte forandre på deler av fakta. Noen omtaler dette som «Dagbladtesten» og viser til at deres egen handlemåte skal tåle å stå på trykk i Dagbladet uten at man skammer seg over sitt eget valg. Med disse to prinsippene er det mulig å løse mange av de etiske dilemmaene du vil møte i ditt arbeid. Når nye regler kommer, er det ikke bare nødvendig å lære disse å kjenne. Det er også nødvendig å avlære praksis som ikke er i tråd med det nye regelverket eller anbefalt opptreden. Eget brudd på offentlig regelverk er normalt ikke etisk dilemma. Det kan imidlertid oppfattes som dilemma hvordan en skal opptre når en er kjent med at andre bryter slikt regelverk. Et utgangspunkt når en står overfor dilemmaer, er å kunne svare på spørsmål som: Er det lovlig? Skader det noen? Er det rimelig og fornuftig? Er jeg ærlig? Kan jeg leve med meg selv? Vil jeg publisere min avgjørelse? Hva hvis alle gjør det? Av og til lar etiske dilemma seg løse, andre ganger forblir de uløselige, selv etter grundige overveielser. Da ligger utfordringen i likevel å våge å handle, slik at etiske dilemma ikke fører til handlingslammelse. Dilemmaer kan i energibransjesammenheng være knyttet til flere typer faser og situasjoner, både generelle og knyttet til prosjekter. I noen situasjoner kan det derfor være nyttig å diskutere de valgmulighetene man står overfor og hvilke konsekvenser de ulike valgene vil få, før man tar beslutningen om hvilken løsning som velges. I det etterfølgende er det noen eksempler på situasjoner som kan oppfattes som dilemmaer. UTVALGTE DILEMMA Anskaffelser Du er en del av et team som jobber med anskaffelse av nytt IT-system for din bedrift. Anskaffelsen er verdt fem millioner kroner over tre år, og det blir laget en anbudskonkurranse som leverandøren System X, vinner. Tre måneder etter at kontrakten er signer blir du invitert på besøk til kontoret til System X i Sveits. System X tilbyr seg å dekke både reise og opphold for deg og din ektefelle. Hva gjør du? Leverandørkontakt Du blir av en leverandør invitert på en tur til Asia for å se på produksjonen av et nytt produkt leverandøren har utviklet. Produktet vil kunne være av interesse i et prosjekt du er involvert i, noe som er kjent for leverandøren. Du har kontrakt for prosjektering, men anbudsprosessen er ikke startet. Hva gjør du? Miljø Din virksomhet graver rundt et knutepunkt i byen for å legge nye kabler. Prosjektet er forsinket og dette har kostet bedriften unødvendig mye penger. Prosjektlederen har fått beskjed fra ledelsen om at dere må gjøre det dere kan for å unngå ytterligere forsinkelser ettersom bedriften taper penger hver dag. KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 45

46 Underveis i gravingen oppdager du at dere har støtt på noe treverk, og noe som kan ligne på gamle mynter. Du vet at det tidligere har vært oppdaget rester etter vikingtiden i dette området, og at dersom du sier ifra om funnet vil dette høyst sannsynlig medføre at prosjektet må stoppes opp for å undersøke funnet videre. Samtidig vet du at dersom du graver videre vil ingen finne ut av dette. Du gir beskjed til prosjektlederen og spør hva dere skal gjøre. Prosjektlederen gir deg beskjed om at dette mest sannsynlig bare er gammelt drivved og at prosjektet ikke skal stoppes av den grunn. Han sier videre at prosjektet er så viktig for bedriften at dere har fått beskjed fra ledelsen om å stå på ekstra for å få dette i havn. Hva gjør du? Gaver Du har vært tungt involvert i et krevende prosjekt for en virksomhet som endelig er ferdigstilt med et meget godt resultat. Kunden er svært godt fornøyd, særlig grunnet din betydelige innsats det siste halve året. Lille julaften kommer det et bud på døren med en fruktkurv. Fruktkurven er fra Kunden og du tenker at dette var hyggelig og setter fruktkurven på kjølerommet. På nyttårsaften skal du ha selskap og du tar en titt på innholdet i «fruktkurven» for å se hva som kan fortæres i løpet av kvelden. Du blir overrasket da du ser at fruktkurven inneholder flere dyre champagner og dyre rødviner. Du skjønner at her er det snakk om en gave til en verdi av flere tusen kroner. Du setter frem drikken og alt «forsvinner» i løpet av kvelden. Når du kommer på jobb uken etter får du vite at to av dine kolleger også fikk samme type «fruktkurv» i julegave. Begge disse reagerte umiddelbart på dette og ringte kunden som hentet fruktkurven tilbake. Begge dine kolleger hadde også umiddelbart gitt beskjed til administrerende direktør i virksomheten om hva som hadde skjedd og at fruktkurven var tilbakelevert. Hva gjør du? Samhandling Din sjef har en lederstil der han ofte kommer med små kommentarer og fleiper om ansatte. Du har et godt forhold til sjefen din og vet at han ikke mener noe vondt med dette. Slik du oppfatter det er det bare uskyldig moro. Din eldre kollega, Per Persen, har fortalt deg at han oppfatter dette som belastende og at han i fjor sendte inn et varsel via bedriftens varslingskanal, der han anklagde sjefen for trakassering. I etterkant har du lagt merke til at Per får færre arbeidsoppgaver enn tidligere. Sjefen kommer oftere med kommentarer om Per, blant annet om hans høye alder og manglende evne til å henge med i utviklingen. Du har også fått signaler fra sjefen om at han kommer til å gi den forfremmelsen som Per venter på, til deg fordi Per «ikke er til å stole på». Hva gjør du? Forretningshemmeligheter En av dine kolleger har akkurat sluttet og begynt i konkurrerende virksomhet. Du mistenker at vedkommende har tatt med seg både kalkulasjonsverktøy og prosjektstyringsverktøy som ditt selskap har brukt store ressurser på å utvikle. Dine mistanker er begrunnet i hva vedkommende selv har sagt til deg, men han har ikke sagt dette helt konkret. Hva gjør du? Privat bruk Du skal gjøre endringer på El-anlegget hjemme og ønsker å benytte deg av en seriøs aktør for å sikre at arbeidet blir gjort med kvalitet og i rett tid. Du får avklart fra din overordnede at det er i orden at du benytter en av de leverandører som Energiselskapet AS har benyttet i en rekke prosjekter til ditt private prosjekt. Når du får regningen fra leverandøren skjønner du at leverandørens representant har latt være å fakturere for store deler av arbeidet som er utført. Hva gjør du? Det vises til Transparency Internationals «Antikorrupsjon Dilemmasamling» for eksempler på flere etiske dilemma. kursdeltakere_web-002.pdf 46 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

47 Foto: Ruhne Nilssen, Skagerak Energi Last ned PDF: vedlegg9.pdf Word-dokument: vedlegg9.docx Vedlegg 9 KONTRAKTSFORMULERINER Alle innkjøp bør skje etter reglene om objektivitet, konkurranse, forutberegnelighet, gjennomsiktighet og etterprøvbarhet gjennom hele anskaffelsesprosessen. Det anbefales at det benyttes standardvilkår ved anskaffelse av varer og tjenester. Eksempel på slike standardvilkår er: Statens standardavtaler for IKT-anskaffelser benyttes ved kjøp og utvikling av programvare, samt service og vedlikeholdsavtaler av IKT-systemer NS 8405, NS 8406, NS 8407 brukes ved anskaffelse av byggeog anleggsarbeider NS 8401, NS 8402, NS 8403 benyttes ved anskaffelse av rådgivende ingeniører Andre standardvilkår som bør legges til grunn ved kjøp av varer og tjenester: Alminnelige kjøpsvilkår Alminnelige betingelser for kjøp av tjenester Kontraktsbestemmelser for levering og montering. Det er viktig at kontrakter for kjøp av leverandørtjenester inneholder klausuler knyttet til etisk forretningsdrift. I tillegg bør kontraktene gi revisjonsrett og muliggjøre sanksjoner ved brudd. Følgende kontrakter og vedlegg til kontrakter bør sees på i den sammenheng: Spesielle kontrakts-bestemmelser som skal sikre seriøsitet i bygg-og- anleggskontrakter: sites/anskaffelser/files/ _seriositetskrav_-_bestemmelser.pdf «KOLEMO» Kontraktsbestemmelser for levering og montering av elektromekanisk utstyr DIFI Krav til lønns- og arbeidsvilkår versjon : www. anskaffelser.no/verktoy/kontraktskrav-lonns-og-arbeidsvilkar DIFI Kontraktsvilkår Etiske krav: standard-kontraktsvilkar-etiske-krav KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 47

48 Vedlegg 10 KILDER TIL MER INFORMASJON OM ØKONOMISK KRIMINALITET Norsk Standard: NS- ISO 37001:2016 Ledelsessystemer for antikorrupsjon Krav og veiledning Økokrims nettsider: Økokrims trendrapport 2015/2016: Økokrims risikovurdering: Fighting Corruption in the Supply Chain: A Guide for Customers and Suppliers (UN Global Compact): UK Bribery Act 2010: TI «Global Corruption report»: IIAs Veileder for compliance-funksjonen Fremskritt gjennom deling av kunnskap: TI Norges håndbok Antikorrupsjonstiltak i leverandørkjeden: TI Norges håndbok Beskytt kommunen: TI Norges håndbok Beskytt din virksomhet: TI Norges Domsamling: TI Norges webside: NHOs veileder om gaver og representasjon «over streken?»: 48 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

49 NHOs veileder om varslingsrutiner «Når sant skal sies» NHOs webside om samfunnsansvar FNs Global Compacts e-læringsopplegg og veiledere: PwCs gjennomgang av korrupsjonsregelverk, antikorrupsjonstiltak og eierstyring for Nærings- og fiskeridepartementet: KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 49

50 Foto: Statnett 50 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER

51 KRAFTNÆRINGENS ANBEFALTE RETNINGSLINJER 51