BDO INNSIKT. Økonomisk kriminalitet og korrupsjon

BDO INNSIKT Økonomisk kriminalitet og korrupsjon

2 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON ØKONOMISK KRIMINALITET OG KORRUPSJON MANGE SPØRSMÅL OG FÅ KLARE SVAR Økonomisk kriminalitet og korrupsjon er dessverre et stadig mer aktuelt tema. Vi ser nesten daglig medieoppslag om dette, enten det gjelder erkjente forhold eller mistanke om dette. Spørsmålene på dette området er mange. Hvilke lover og regler gjelder på området, og har det skjedd endringer nylig? Regelverket er i stadig utvikling. Vi skal ikke mange tiårene tilbake før norske bedrifter fikk skattefradrag for kostnader til korrupsjon i enkelte deler av verden. Vi ser også at det ikke bare er detaljerte regler for hva som er og ikke er akseptable handlinger som utvikles. Vi får også regler på områder som forebygging og rapportering på dette området. Men dette dreier seg ikke bare om lover og regler. Det er økende fokus på forsvarlig forretningsetisk adferd, og spørsmål som tåler dette et førstesideoppslag? brukes av mange som en syretest på etisk forsvarlighet. Det er vanskelige valg som må treffes, og som alltid, er det langt enklere å se andres svakheter enn sine egne. Kanskje går noen for langt? Kanskje krysses grensen til en form for paranoia som begrenser et hensiktsmessig, fungerende næringsliv og en målrettet drift av offentlig sektor? Hvordan skal man forebygge på dette feltet? Kunsten å balansere tillit og kontrolltiltak er vanskelig. Det kanskje viktigste tiltaket man kan iverksette er å etablere en kultur som fremmer en ønsket adferd. De fleste slutter seg uforbeholdent til dette, men å gjennomføre det i praksis er alt annet enn enkelt. Og ikke minst hvordan skal man håndtere saker når det avdekkes økonomisk kriminalitet eller korrupsjon, eller når det er klare indikasjoner på at dette har funnet sted? Man kan være under et voldsomt press både internt og eksternt, og ofte er også personlige tragedier inne i bildet. Uetisk adferd kan føre til nye etiske dilemmaer. Vi i BDO har ikke alle svarene, men vi har vurdert og er løpende involvert i vurdering av de fleste spørsmålene fordi vi har dybdekompetanse på mange av de aktuelle områdene. Vi kan derfor jobbe med dette i tverrfaglige team med vår granskingsenhet som en helt sentral ressurs. Vi har derfor valgt å vie dette nummeret av Innsikt til temaet økonomisk kriminalitet og korrupsjon. Vi går inn på aktuelt regelverk og ser på hvordan forebyggende tiltak kan etableres. Vi håper dette kan være til inspirasjon og nytte. God lesning, Terje Tvedt Redaktør BIDRAGSYTERE: Erling Grimstad Leder av BDOs granskingsenhet / advokat Kristian Thaysen Partner i BDOs granskingsenhet Henrik K. Thorrud Advokatfullmektig Vibeke Mørland Fagansvarlig varsling i BDOs granskingsenhet Anne Taran Tjølsen Advokat Solveig Kristine Fosvold Advokatfullmektig Lars Wilberg Leder av Computer Forensics i BDOs granskingsenhet Olav Nysæter BDOs granskingsenhet Henrik Dagestad Advokat MNA / BDOs granskingsenhet Mads Blomfeldt Director i BDOs granskingsenhet Morten Torkildsen Director i BDOs granskingsenhet Andreas Skalin BDOs granskingsenhet Morten Thuve Partner - Rådgivning / Advisory Services Anders Lausund Statsautorisert Revisor/Partner Bjørn Tore Saltvik REDAKTØR: Terje Tvedt Partner / leder fagavdelingen REDAKSJONSRÅD: Terje Tvedt Partner / leder fagavdelingen Morten Thuve Partner - Rådgivning / Advisory Services Reidar Jensen Partner / fagansvarlig regnskap Asle Aftret Partner / Statsautorisert Revisor Bjørn Kleiven Advokat / partner UTGIVER: BDO AS FOTO: Shutterstock.com Einar Aslaksen Geir Mogen TRYKK: Konsis Grafisk AS

INNHOLD Leder: Økonomisk kriminalitet og korrupsjon - mange spørsmål og få klare svar 02 Økonomisk kriminalitet og virksomhetenes samfunnsansvar 05 Hvordan forebygge, avdekke og håndtere økonomisk kriminalitet 06 Integritet som del av bedriftens kultur? 09 Arbeidsdeling er et av virksomhetens viktigste internkontroll virkemidler 11 Fullmakter og internkontroll - Bakgrunnssjekk 14 Integrity Due Diligence 17 Trygg og effektiv varsling en arbeidsgivers ansvar, en arbeidstakers rett 21 Datagransking hva er det? 25 Fra fradragsberettiget utgift til ulovlig kundepleie 27 Lån til aksjonær mv 34 Arbeidsrettslige sanksjoner og fremgangsmåte i mislighetssaker 38 Konkurskriminalitet straffesanksjonert plikt til å begjære oppbud 41 Finansiering av krigsforbrytelser og vitneførsel i internasjonale domstoler 45

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 5 ØKONOMISK KRIMINALITET OG VIRKSOMHETENES SAMFUNNS- ANSVAR Hva er hovedformålet for en virksomhet? Er det kun å sørge for å maksimere avkastning for eierne eller har virksomhetene også andre formål? Det foreligger åpenbare forventninger til at norske virksomheter viser samfunnsansvar, men foreløpig er det få formelle krav. Enkeltområder er detaljregulert gjennom påbud og forbud, men langt på vei er det opp til den enkelte virksomhet å avgjøre i hvilken grad, og på hvilke områder de vil bidra. Det er et misforhold mellom enkeltbestemmelser i Aksjeloven og de forventningene som er gitt gjennom blant annet Stortingsmelding nr 10 (2008-2009), endringen i regnskapsloven 3-3c og den generelle samfunnsdebatten. Mange hevder at bedrifter har en samfunnsoppgave, langt utover det å maksimere profitt for eierne. Denne samfunnsoppgaven omtales som bedriftenes samfunnsansvar eller Corporate Social Responsibility (CSR). Utviklingen har blant annet resultert i en global ISO standard (ISO 26000) hvor det forventes at bedriftene kan vise ansvarlighet, åpenhet, etisk adferd, respekt for stakeholders, respekt for rettssamfunnet, respekt for internasjonale adferdsnormer, og respekt for menneskerettigheter. I tråd med ISO standarden om samfunnsansvar forventes det at bedriften arbeider med samfunnsansvar gjennom følgende seks trinn: 1. Identifisere hva bedriften gjør i dag for å ivareta sitt samfunnsansvar og hvordan dette er kommunisert til ansatte, oppdragsgivere, samarbeidspartnere og omverden. 2. Identifiser de lover, regler og krav som bedriften er berørt av innenfor de angitte prinsippene om bedriftens samfunnsansvar. 3. Beskrive de tiltakene bedriften gjør av betydning for bedriftens samfunnsansvar, og hva bedriften mener med ansvarlig opptreden. 4. Fastsette konkrete målsettinger for bedriftens samfunnsansvar neste år. 5. Måle om resultatmålene for bedriftens samfunnsansvar er oppnådd og sette inn korrigerende tiltak. 6. Rapportere hva bedriften har gjort for å ivareta samfunnsansvar i tilknytning til bedriftens årsrapport eller i eget dokument om bedriftens samfunnsansvar. Stortingsmelding nr 10 (2008-2009) om næringslivets samfunnsansvar i en global økonomi angir en retning som også følger av OECDs retningslinjer for flernasjonale selskaper om blant annet miljøvern, bekjempelse av bestikkelser og krav om at bedriften skal avstå fra konkurransebegrensende avtaler og følge gjeldende konkurranselovgivning. De ti prinsippene i UN Global Compact om menneskerettigheter, arbeidsstandarder, miljø og antikorrupsjon, er FNs initiativ til samarbeid med næringslivet. Dette er et initiativ som mange store bedrifter har gitt sin tilslutning til og rapporterer etter. Endringen i regnskapsloven 3-3c for regnskapsavleggelsen 2013 kan leses som en tydelig oppfølging av den retning som ble gitt i stortingsmelding nr 10. I bestemmelsen fremgår det at store foretak skal redegjøre for hva foretaket gjør for å integrere hensynet til menneskerettigheter, arbeidstakerrettigheter og sosiale forhold, det ytre miljø og bekjempelse av korrupsjon i sine forretningsstrategier, i sin daglige drift og i forholdet til sine interessenter. Idéen om bedrifters samfunnsansvar er selvsagt ikke ny. Topplederen av General Motors på 30-tallet (Wilson) uttalte what is good for General Motors is good for the country. Franklin D. Roosevelt innførte reformprogrammet New Deal omkring samme tidspunkt. Formålet var å få de ca 13 millioner arbeidsledige tilbake i arbeid gjennom en rekke tiltak. Blant annet skulle samfunnet ta større ansvar for arbeidstakerne. Michale E. Porters syn om at Creating Shared Value gir bedriften et konkurransefortrinn dersom de tar samfunnsansvar, tas til inntekt for at god etikk gir god butikk. Bedrifters beskyttelse mot svik, misligheter og korrupsjon begynner med ledelsens fokus på integritet og betydningen av å bygge en sterk organisasjonskultur med ansatte som har god refleks i forhold til etiske dilemmaer. Åpenhet i form av varsling er også et sentralt tiltak for god internkontroll og faktisk den klart viktigste årsaken til at regelbrudd avdekkes i en bedrift. De beskyttelsestiltakene som bedriften velger å innføre bør være forankret i kunnskap om hvilke risikoer bedriften står overfor. ERLING GRIMSTAD erling.grimstad@bdo.no

6 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON HVORDAN FOREBYGGE, AVDEKKE OG HÅNDTERE ØKONOMISK KRIMINALITET

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 7 Å forebygge økonomisk kriminalitet handler ikke bare om å redusere risiko, men også om å ta samfunnsansvar. I tillegg til å ramme den enkelte virksomhet, påvirker ulike former for kriminalitet både samfunnet og enkeltindivider på en negativ måte. Korrupsjon, sosial dumping, hvitvasking og miljøkriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet, og det er de svakeste i samfunnet som rammes hardest. De negative samfunnskonsekvensene av korrupsjon og andre former for økonomisk kriminalitet bør være den viktigste motivasjonen for norske virksomheters forebyggende arbeid. Økonomisk kriminalitet og korrupsjon representerer dessuten et betydelig risikobilde for den enkelte virksomhet, herunder risiko for straff, bøter, tap av omdømme og ikke minst risikoen for å bli utestengt fra anbudskonkurranser. I enkelte tilfeller kan også de direkte økonomiske tapene som følge av misligheter innebære utfordringer for selskapets likviditet, eller påvirke selskapets verdi i en salgsprosess. I tillegg til anbefalinger fra Økokrim, og organisasjoner som Transparency International og OECD, har både amerikanske og britiske myndigheter gitt retningslinjer for hvordan virksomheter skal arbeide med å forebygge og avdekke korrupsjon. Det er enkelte ulikheter både i lovgivningen og hvilke krav som forventes, men de overordnede prinsipper er langt på vei like. Det viktigste er imidlertid å forhindre korrupsjon i vid forstand, og da blir nyansene mindre avgjørende. Et godt utgangspunkt kan for eksempel være å legge Transparency Internationals definisjon til grunn: Korrupsjon er misbruk av makt i betrodde stillinger for personlig gevinst. Økokrim har via Dagens Næringsliv tidligere i år formidlet ni sjekkpunkter både for å unngå foretaksstraff og eventuell unngå etterforskning i forbindelse med korrupsjonshandlinger begått av ansatte. Det vil således kunne være av svært stor betydning om selskapet i sitt arbeid med å forebygge korrupsjon har på plass de elementer som Økokrim fremhever. Økokrim sine ni sjekkpunkter er i all hovedsak i tråd med den etablerte beste praksis, men fortjener en nærmere forklaring for at de som har ansvaret for dette, styret og bedriftsledere, faktisk skal ha mulighet til å vurdere om de er rustet i den grad som forventes. Korrupsjon er bare en av flere typer økonomisk kriminalitet virksomhetene kan rammes av. Annen type kriminalitet som typisk rammer norske virksomheter kan være miljøkriminalitet, underslag og økonomisk utroskap, bedrageri, regnskapsmanipulasjon og ikke minst ulike former for informasjonstyveri eller cyber crime. Det er svært få virksomheter som bare møter korrupsjonsrisikoen i sitt risikobilde. Vi mener derfor at virksomheter bør ha en mer helhetlig tilnærming til temaet og sette fokus på hele bildet knyttet til økonomisk kriminalitet. Noen virksomheter møter en større risiko for korrupsjon enn andre og dette må da selvsagt gjenspeiles i de kontrolltiltak som etableres. I bunn og grunn handler dette om god internkontroll. Det handler om at toppledelsen må sette standarden, det må gjennomføres risikovurderinger og ikke minst er det essensielt at de kontrolltiltak som etableres, adresserer virksomhetens risiko. BDOs rammeverk Gjennom BDOs rammeverk for å forebygge økonomisk kriminalitet og korrupsjon forklarer vi de ni sjekkpunktene på en enkel måte som gjør at leseren kan vurdere om ens foretak er tilstrekkelig rustet. Vårt rammeverk er basert på COSOrammeverket, og er illustrert under. De mest sentrale momentene er ytterligere redegjort for i denne artikkelen, og flere av de mest sentrale elementer er ytterligere redegjort for i egne artikler i dette nummeret av Innsikt. Kontrollmiljø Tone at the top Etisk regelverk Prinsipper og rutiner Varsling Risikovurdering Formalisert Regelmessig Bred og dyp involvering Nye vurderinger ved endringer Kontrollaktiviteter Utganspunkt i risiko Bakgrunnssjekk av tredjeparter Regnskapskontroller Målrettede revisjoner Informasjon og kommunikasjon Opplæring Intern og ekstern kommunikasjon Kunnskapsdeling Teknologi og informasjon Kontinuerlig overvåking og forbedring av tiltak Ledelsens overvåking Styrets overvåking Læring ved hendelser Ekstern evaluering

8 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON Kontrollmiljø Kontrollmiljø handler om kultur, prinsipper og prosedyrer og ikke minst styret og toppledelsen sin kommunikasjon rundt forebygging av økonomisk kriminalitet. Dette er helt avgjørende for å etablere en kultur der korrupsjon blir forhindret. Selskapet må etablere og kommunisere prinsipper knyttet til hva som er akseptabel adferd og ikke minst, konsekvenser dersom ansatte går ut over akseptabel adferd. Virksomhetens risikobilde, herunder korrupsjonsrisikoen må reflekteres i virksomhetens etiske regelverk. Enkelte virksomheter opererer i bransjer og i land der medarbeidere møter på andre problemstillinger enn hva som kanskje er vanlig i Norge. Dette kan for eksempel være krav om betaling av 5000 dollar for å få havnesjefen til å sørge for at skipet med viktige materialer får anledning til å legge til kai umiddelbart. Virksomheten vil kunne risikere å tape betydelig beløp ved forsinkelser og er avhengig av denne materialleveransen. I slike tilfeller må den enkelte medarbeider være godt kjent med selskapets prinsipper og prosedyrer og være trygg på ledelsens støtte i de valg som tas. Gode systemer for varsling er ansett som kanskje det aller viktigste tiltaket for å avdekke økonomisk kriminalitet og korrupsjon. Virksomheten bør legge til rette for varsling både fra ansatte (i tråd med arbeidsmiljølovens krav) og for eksterne. Vi gjør her oppmerksom på personvernlovgivningen og at varslingsordning for eksterne krever konsesjon fra Datatilsynet. Dette vil, i følge Datatilsynet, bli vurdert endret. Varslingskanaler må gjøres kjent på virksomhetens internett og/eller intranett. Gode saksbehandlingsregler og varslervern er svært viktig i denne sammenheng. Vurdering av risikobildet For å kunne ha et velfungerende system for å forebygge økonomisk kriminalitet, herunder korrupsjon, er man avhengig av å kjenne risikobildet. Risikobildet er varierende, alt etter hvilke land man opererer i, hvordan man er organisert, hvilke bransjer man opererer i osv. For å ha god oversikt over hvilken risiko som må adresseres må risikoen kartlegges. Risikoen for korrupsjon bør kartlegges ved å involvere relevante deler av organisasjoner, både i linje og i stab. Spesielt de ansatte som kan være mest berørt, typisk selgere, innkjøpere og andre i tilsvarende funksjoner, bør involveres. Krav til gjennomføring av risikovurderinger bør være formalisert, herunder krav til frekvens. Ved store endringer i virksomhetens omgivelser, f eks, inntreden på nye markeder, ved store omorganiseringer mv., bør det vurderes å gjennomføres særskilte og/eller nye risikovurderinger. Undersøkelser, både Riksrevisjonens undersøkelse 1 og KRISINO-undersøkelsen 2013 2, viser at virksomheter i både offentlig og privat sektor i alt for liten grad gjennomfører risikovurderinger som dokumenteres skriftlig. Kontrollaktiviteter Virksomheten må etablere kontrollrutiner som adresserer viktig risiko, spesielt korrupsjonsrisikoen. Kanskje noe av det viktigste er gode rutiner for sikre at virksomheten har tilstrekkelig kunnskap om sine ulike samarbeidspartnere. Dette sikres gjennom bakgrunnsundersøkelser, såkalte (Ethical) Integrity Due Diligence. Spesielt ved bruk av agenter, salgs- og markedsrepresentanter eller lignende er dette viktig. Ved kjøp av virksomhet er det også viktig å ha god innsikt i transaksjonens motpart. Virksomhetens kontrollaktiviteter må ta utgangspunkt i gjennomførte risikovurderinger. Det er svært viktig at virksomheten har en oversikt som viser sammenhengen mellom identifisert risiko og etablerte kontrollaktiviteter. Informasjon og kommunikasjon Ansatte må få tilstrekkelig opplæring og ofte vil det være hensiktsmessig at ulike kategorier ansatte får ulik opplæring. Ansatte i stillinger som lett kan bli utsatt for krav om bestikkelser, bør få særlig opplæring, herunder dilemmatrening, for å være rustet mot slike situasjoner. Regnskapspersonell bør være trenet til å avdekke faresignaler og indikasjoner på korrupsjonsbetalinger. Virksomheten bør ha klare prosedyrer for intern og ekstern kommunikasjon ved hendelser eller mistanke om hendelser. Ikke minst tror vi det er viktig at virksomhetens ansatte deler kunnskap og erfaringer, også på dette området. Til slutt minner vi om at virksomheten må ha teknologi som understøtter virksomhetens arbeid med å forebygge og avdekke økonomisk kriminalitet. Kontinuerlig overvåking og forbedring av tiltak Virksomhetens arbeid med å forebygge og avdekke økonomisk kriminalitet og korrupsjon må løpende overvåkes for å sikre at det i tilstrekkelig grad adresserer virksomhetens risikobilde og er velfungerende. Tiltak, eksempelvis etablert varslingsordning, må regelmessig evalueres. Både ledelse og styre har ansvar for at virksomheten har etablert et rammeverk som beskrevet i denne artikkelen, dog tilpasset den enkelte virksomhet og dens særegenheter. Kampen mot korrupsjon og økonomisk kriminalitet vil neppe vinnes en gang for alle. Men med et effektivt og helhetlig program for å forebygge og avdekke økonomisk kriminalitet, vil virksomheten kunne bidra til å redusere omfanget, og dermed også skadevirkningene av korrupsjon. Risikoen for virksomheten blir betraktelig redusert, og virksomheten vil, i følge Økokrim, kunne unngå etterforskning og straff. MADS BLOMFELDT / KRISTIAN THAYSEN mads.blomfeldt@bdo.no / kristian.thaysen@bdo.no 1) Riksrevisjonens rapport om den årlige revisjon og kontroll for budsjettåret 2012 2) Kriminalitets- og sikkerhetsundersøkelsen utført av Næringslivets Sikkerhetsråd

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 9 INTEGRITET SOM DEL AV BEDRIFTENS KULTUR? Hvorfor kan ikke de andre gjøre som meg? Bare de ansatte gjør som jeg sier, vil vi ikke ha noen etiske utfordringer. Slike uttalelser fra ledere indikerer manglende forståelse for hvor komplisert og sammensatt menneskenes moralske beslutninger er. Det som er rett moralsk beslutning for lederen, kan oppfattes å være feil beslutning for den enkelte medarbeideren. De enkelte personer i toppledelsen kan ha ulike oppfatning av hva som er riktig moralsk beslutning. Også mellomledere og de enkelte ansatte kan ha forskjellige oppfatninger av hva som er en korrekt beslutning, uten at dette diskuteres på arbeidsplassen eller kommer frem på en slik måte at ulikhetene blir kjent. Som et eksempel på identifisering av ulike moralske valg kan du be dine ledere og kollegaer fortelle deg hvilken beslutning de ville tatt i forhold til følgende dilemma: En ny kunde tar kontakt med salgsavdelingen i bedriften du arbeider i og ber om å få levert varer og tjenester for et betydelig beløp innen en bestemt frist. Kunden forteller deg at de ikke har forespurt andre om leveranse og at din bedrift er den eneste som er bedt om å levere. Du kjenner tilfeldigvis til at denne kunden har interne regler som innebærer at alle kjøp av varer og/eller tjenester som det her er snakk om, skal konkurranseutsettes og at minst tre mulige leverandører skal forespørres om å gi tilbud på pris og øvrige leveringsvilkår. Du har fullmakt til å ta beslutningen om å tilby leveransen og slutte avtalen med kunden. Hva gjør du? Det er ikke usannsynlig at du vil få forskjellige svar blant ledere og medarbeidere i bedriften. Svaret du sannsynligvis vil få på spørsmålet viser at kollegaer vil gi ulike svar. Sannsynligvis vil alle forsvare sine beslutninger som korrekte og i tråd med bedriftens kjerneverdier og visjon, i hvert fall hovedmålsettingen om å bidra til å øke omsetningen og skape fortjeneste enten på kort eller lang sikt. Men hva er den riktige beslutningen med bakgrunn i det bedriften står for og det som utgjør kjennetegnet på bedriftens kultur? Etiske kompass avgjør din beslutning Som en populistisk forenkling og sammenfatning av ulike etiske retninger, kan våre moralske valg sies å være avhengig av hvilket etisk kompass vi styrer etter. Grovt sett benytter vi mennesker oss særlig av følgende etiske kompass : Pliktetikken der valgene styres av det som oppfattes å være pålagt oss som plikter med basis i blant annet trosretning eller livssyn. De plikter skriften pålegger oss, skal følges. Konsekvensetikk der valgene vi tar avgjøres med bakgrunn i konsekvensene av de beslutningene vi tar. Hvilke konsekvenser har beslutningen for meg selv eller for andre personer? Nytteetikk der valgene tas av hensyn til den nytteverdien valget har. Som vi ser av de ulike etiske kompassene vi styrer etter eller tar beslutninger med bakgrunn i, kan helt forskjellige beslutninger forsvares etisk. I realiteten benytter vi oss sannsynligvis av flere ulike etiske kompass, avhengig av blant annet tid, sted, situasjon og påvirkning.

10 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON skal oppnå den ønskede kulturen som gir suksessoppskriften for virksomheten. John Collins skriver i sin bok Good to Great det han mener er suksessoppskriften for de bedrifter som skaper fremragende resultater: Alle selskaper har en kultur, enkelte har disiplin, men få har disiplin som kultur. Når man har disiplinerte mennesker, trenger man ikke hierarki. Når man har disiplinert tenkning, trenger man ikke byråkrati. Når man har disiplinert handling, trenger man ikke særlig mye kontroll. Når man kombinerer en disiplinkultur med foretakets etikk, får man den magiske alkymien som gir fremragende prestasjoner. Det finnes flere konkrete tiltak bedriftens ledelse kan iverksette for å utvikle bedriftens kultur i en ønsket retning som bidrar til å nå målsettingene. Mange av de tiltakene som bidrar til god virksomhetsstyring, og omtalt i flere av artiklene i denne utgaven av Innsikt, er med på å utvikle en sterk organisasjonskultur (bedriftskultur) som gir gode resultater over tid. Beslutningsmodell til hjelp ved krevende valg Etiske dilemmaer handler om valg mellom flere handlingsalternativer hvor det ikke eksisterer helt klare regler som forteller oss hvordan vi skal handle. Det innebærer blant annet at det ikke finnes lovbestemmelser, retningslinjer eller bestemte regler som angir hva som er den beste løsningen. De egentlige etiske dilemmaene overlater til enkeltmenneske å foreta det riktige moralske valget. Hvilket valg den enkelte medarbeider gjør på arbeidsplassen og i fritiden avgjøres av en rekke faktorer. Blant annet hvilket etisk kompass personen styrer etter. Beslutningene påvirkes dessuten av familie, nære venner, arbeidskollegaer og andre som vedkommende har et forhold til. Betyr det egentlig noe om hvilken integritet bedriftens ansatte har? Mange eiere, styrer og bedriftsledere styrer virksomheten med bakgrunn i økonomiske nøkkeltall som viser hvordan bedriften scorer i forhold til fastsatte mål. De ansatte har også en tendens til å ta de valgene som gir dem best uttelling i henhold til de incentiver bedriften har. Bonusmodeller kan dermed påvirke ansattes adferd i betydelig grad. Likevel er det tvilsomt om de goder som bonusmodeller vil gi ansatte, skaper en funksjonell organisasjonskultur. Bonusordningen kan for eksempel få ansatte til å handle i samsvar med hva de personlig tjener på, uten tanke på hva som gir et godt økonomisk resultat for bedriften. Bonusordninger kan utvikle og dyrke ansatte som individuelle primadonnaer og motvirke utvikling av lagånd og et fellesskap hvor de ansatte hjelper hverandre til å oppnå det beste felles resultatet for kunder, samarbeidspartnere og eiere. Bedriftens kultur har sannsynligvis svært stor betydning for om bedriften lykkes over tid. Derfor er det påfallende at mange bedrifter ikke har noen særlig bevissthet om hvilken kultur de ønsker å oppnå i bedriften, eller dersom de vet det, hvordan de 7. Er det etisk og moralsk forsvarlig? 6. Kan det skade omdømmet? 5. Er jeg ærlig? Modellen over viser hvilke spørsmål som er naturlig å stille seg før den endelige beslutningen fattes. ERLING GRIMSTAD erling.grimstad@bdo.no Det er din avgjørelse! 4. Vil jeg fortelle andre om det? 1. Er det lovlig? 2. Er det i samsvar med virksomhetens regler og retningslinjer? 3. Er det fair?

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 11 ARBEIDSDELING ER ET AV VIRKSOMHETENS VIKTIGSTE INTERNKONTROLL VIRKEMIDLER Arbeidsdeling er ansett å være et av de viktigste internkontrolltiltakene en virksomhet har. Prinsippet innebærer at det er minst fire øyne på en økonomisk transaksjon eller disposisjon, og bidrar til å sikre at det ikke gjøres tilsiktede eller utilsiktede feil. Arbeidsdeling gjelder på alle nivåer, og er et begrep alle med ansvar bør ha et forhold til, enten man hører hjemme i økonomiavdelingen, salgsavdelingen, innkjøpsavdelingen, produksjonsavdelingen eller andre steder i organisasjonen, som leder eller mellomleder. Hva er arbeidsdeling? Som revisor og rådgiver opplever vi at bevisstheten knyttet til arbeidsdeling er mangelfull blant mange norske ledere, i offentlig så vel som i privat sektor. Arbeidsdeling kan defineres på flere ulike måter, men handler i praksis om at minst to personer deltar samtidig, eller i sekvensiell rekkefølge, og har ulike roller knyttet til godkjennelse av en transaksjon eller en disposisjon. Arbeidsdeling er like relevant enten man er i offentlig eller privat sektor, eller en stor eller liten virksomhet. Tilsvarende gjelder naturligvis for lag og foreninger eller andre ideelle organisasjoner. Former for arbeidsdeling Arbeidsdeling ser man i praksis i mange ulike former og funksjoner. Det kan for eksempel være at to personer dobbeltsignerer en faktura eller en banktransaksjon. Det kan også være at noen forbereder, mens noen andre vedtar en sak om disponering av penger; for eksempel knyttet til en investeringsbeslutning, kjøp /salg av virksomhet eller kjøp / salg av valuta. Det kan videre være at en person beslutter, mens en annen gjennomfører en bestilling av for eksempel varer eller kontorutstyr. Det er også vanlig å praktisere arbeidsdeling i forbindelse med varemottak, der en attesterer at varen er mottatt og samsvarer med pakkseddel eller lignende, mens en annen godkjenner fakturaen. Videre ser vi ofte arbeidsdeling implementert i form av fullmaktssystemer som bestemmer hvem som kan godkjenne en transaksjon, gjerne ut i fra beløpsstørrelser. Arbeidsdeling kan også være systemtvungen, ved at det er utviklet autorisasjonsregler i innkjøpssystemet og økonomisystemet, slik at to ulike personer må logge seg på og godkjenne før en bestilling eller en banktransaksjon blir godkjent. Dette betyr at det må utarbeides en autorisasjonstabell for hvem som kan få se eller registrere ulike data i ulike programmer. Tilsynelatende tilfredsstillende arbeidsdeling kan overstyres ved at enkelte kan endre autorisasjonstilgangene. Det må derfor innføres kontroll med kritiske applikasjoner. Ved vesentlige investeringer, oppkjøp eller andre strategiske grep et selskap gjennomfører, forekommer også ofte en arbeidsdeling. Dette kan være i form av et samspill mellom selskapets styre, daglig leder og eksempelvis en investerings komité, eller mellom selskapets ledende ansatte. Felles for alle former for arbeidsdeling er hensikten om å styrke prosessene slik at risikoen for uønskede transaksjoner eller

12 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON disposisjoner blir redusert. Eksemplene er ment å illustrere at arbeidsdeling skjer i alle ledd i organisasjonen; fra øverste ledelse til den enkelte ansatte, og i ulike transaksjonsprosesser; fra avtaleinngåelse til oppgjør, uansett om det er for å sikre eiendeler og inntekter, eller kontrollere kostnader og forpliktelser. Hvorfor arbeidsdeling? Arbeidsdeling skal bidra til å hindre at det gjennomføres transaksjoner eller disposisjoner som ikke er ønsket. Konsekvensen av slike hendelser kan være at en taper inntekter, har unødvendige kostnader, pådrar seg unødvendige forpliktelser, taper verdi av eiendeler, eller blir utsatt for underslag. Arbeidsdeling bidrar altså til å sikre at det ikke gjøres tilsiktede eller utilsiktede feil. Hvorfor ser en likevel ofte manglende arbeidsdeling? Det er ofte en realitet at økonomisjefen eller regnskapssjefen i en virksomhet er faglig alene i virksomheten om dette. Salgssjefer, produksjonssjefer, prosjektledere mv. er opptatt av å levere til kundene på tid, kostnad og kvalitet, og liker sjelden hva de oppfatter som administrativt ressurskrevende og unødvendig kontroll. Dette dilemmaet er like gyldig i privat som offentlig sektor, i store som små virksomheter, og i frivillige som næringsdrivende virksomheter. Vi tror ikke dette alene er årsaken. Toppleders fokus er en annen viktig faktor. Daglig leder er ansvarlig for virksomhetens formuesforvaltning i henhold til selskapslovgivningen. I dette ligger også et ansvar for å etablere tilfredsstillende internkontroll. Daglig leder vil ofte peke på økonomiansvarlig for å implementere denne. Vi mener at dette ansvaret på ingen måte bør delegeres ubetinget til økonomisjefen. Dog er økonomisjefen ansvarlig for å etablere, følge opp og evaluere internkontrollen innenfor sine ansvarsområder. Økonomisjefen kan også ha et fagansvar for internkontroll i virksomheten som helhet, men dette fritar ikke alle de andre linje- og stabslederne fra ansvaret innenfor deres områder. Disse er normalt ikke underlagt økonomisjefens styringslinje, og det bør således være daglig leder som har et operativt lederansvar for å følge opp og bevisstgjøre sine ledere om internkontrollens betydning. Dette bør også innarbeides i lederavtaler / stillingsbeskrivelser, og være gjenstand for daglig leders oppfølging av sin ledergruppe. Dessverre ser vi for lite av dette, og det er ikke unaturlig eller uvanlig at daglig leder og hans ledergruppe har begrenset kunnskap innenfor dette området. Den lederen som baserer internkontrollen på tillit alene, gjør ikke jobben sin Arbeidsdelingen mellom administrerende direktør og økonomisjef knyttet til internkontroll kan med fordel avklares i de fleste virksomheter, gjerne i en instruks, økonomihåndbok eller lignende styringsdokument. Styret bør etterspørre og formelt godkjenne denne, minimum på årlig basis. Samtidig kan styret be om en redegjørelse fra daglig leder om virksomhetens internkontroll; det vil si en beskrivelse og vurdering foretatt av ledelsen selv. Det er i denne sammenheng også viktig at administrasjonens forenklinger i internkontrollen i denne sammenhengen blir etterspurt av styret. Forsterket arbeidsdeling i en liten organisasjon kan også i mange tilfeller feiloppfattes som mistillit til en medarbeider. Mange ledere i små organisasjoner kvier seg derfor for å iverksette arbeidsdeling der det kan oppfattes som å overvåke eller kontrollere en annens arbeid. Spesielt også i ideelle organisasjoner, der det ikke sjelden er hardt arbeidende frivillige som jobber med utførende oppgaver innenfor økonomi og regnskap, sponsing, dugnader, arrangementer mv., ser vi at det er en vegring mot å innføre nødvendig arbeidsdeling. Vi vil dog hevde at den lederen som baserer internkontrollen på tillit alene, gjør ikke jobben sin. Hvor ser vi oftest manglende arbeidsdeling? Vi vil ikke her gi en fullstendig oversikt over alle områder hvor en bør implementere arbeidsdeling, men nøye oss med å illustrere noen av de områdene der vi oftest observerer mangler. Mangelfull arbeidsdeling knyttet til inngåelse og gjennomføring av nærstående transaksjoner er noe som dessverre ofte oppdages ved tilfeller av misligheter. Dette gjelder for eksempel tildeling av fordeler og goder (eksempelvis kontrakter), til personer eller firmaer hvor en ansatt har relasjoner, og hvor tildelingen er egnet til å gi en fordel for den ansatte eller dennes nærstående. Mangelfull arbeidsdeling ved bokføring av vesentlige posteringer i regnskapet; dvs. at en og samme person kan bokføre vesentlige transaksjoner i regnskapet, og således lettere kunne manipulere virksomhetens regnskap. Mangelfull arbeidsdeling ved håndtering av banktransaksjoner; dvs. at en og samme person kan gjøre klar en utbetaling og samtidig godkjenne denne. Mangelfull arbeidsdeling knyttet til registrering og avstemming av transaksjoner på bank, kunde- eller leverandørreskontro, i kombinasjon med mangelfull styring av systemtilgang til å endre og registrere kunde- og leverandørdata, resulterer ofte i høy risiko for underslag. Mange underslag skyldes dessverre dårlig arbeidsdeling knyttet til disse oppgavene. Dette skyldes ofte en kombinasjon av lav bemanning i regnskapsarbeidet og lavt kunnskapsnivå om hvilke risikoer som samlet sett ligger i disse funksjonene, herunder også muligheter som finnes i IT-systemet. Vi har gjennom historien blant annet sett alt fra produksjon av falske fakturaer, endring av bankkontonummer, feilføring av innbetalinger for å dekke over underslåtte tidligere innbetalinger og forfalsking av bankavstemminger. Finnes det alternative kontrolltiltak? Det finnes flere muligheter for å kompensere mangelfull arbeidsdeling. Leders tilstedeværelse, innsyn og innsikt i enkelttransaksjoner og kontrakter vil kunne være en viktig kompenserende kontroll. Blindgjengere (fiktive personer) blant lønnsutbetalinger er en ikke uvanlig form for forsøk på underslag. Ved å be eier / daglig leder om å bla igjennom lønnsinnberetningene kan man enkelt redusere risikoen for slike transaksjoner. Det samme gjelder styreleders gjennomgang av

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 13 større enn N per dag kunne rapporteres. Det kan godt være at antall timer er ok, men en slik rapportering gir grunn til å stille spørsmål dersom omfanget er stort. Verdien av kontrollen styrkes ytterligere avhengig av hvilke tilleggsopplysninger som rapporteres; for eksempel avdeling, tidspunkt på døgnet, osv. Sentrale avtalearkiv, logging av transaksjoner, logging av endringer knyttet til leverandører, mv. kan også være en type kompenserende kontroll, men vil være bedre egnet til å oppdage enn å forhindre en transaksjon i å bli gjennomført. administrerende direktørs kostnader, spesielt vedrørende reiser, og gjerne for beløp over en viss størrelse. Vi ser dessverre ofte en praksis, der det er en underordnet som attesterer daglig leders kostnader. En leder, og særlig en mellomleder, bør ikke selv ha for mange funksjoner eller systemtilganger. Det finnes flere mislighetseksempler, blant annet eiendomssjefer som har begått store underslag de siste årene, hvor årsaken langt på vei er at disse selv har hatt operative funksjoner knyttet til internkontrollen, uten at det er etablert gode kompenserende kontroller. Etterkontroll kan delvis kompensere for mangelfull arbeidsdeling og er en type arbeidsdeling i seg selv, der noen andre ansatte, eventuelt en tredjepart (for eksempel internrevisjonen), periodisk ettergår hvilke transaksjoner som er gjennomført. Som revisor og rådgiver opplever vi at bevisstheten knyttet til arbeidsdeling er mangelfull blant mange norske ledere, i offentlig som i privat sektor. Budsjettkontroll er en mildere form for etterkontroll, dog ikke med samme detaljsikkerhet. IT-baserte valideringskontroller i økonomisystemet er en annen mulig kompenserende kontroll. En valideringskontroll kan for eksempel avvise en transaksjon basert på størrelse, kunde, leverandør, pris, rabatt, mv. Valideringskontroller setter rimelige grenser for hva som er korrekt, og varsler dersom det er avvik fra denne rimelighetsgrensen. For eksempel vil registrerte timer Ledelsen bør ha et bevisst forhold til risiko og tilhørende kontrollnivå Det vil være nyttig å klassifisere virksomhetens prosesser og aktiviteter med hensyn til Hva kan gå galt? Deretter bør man gjøre en vurdering av hvilken risiko en er villig til å akseptere knyttet til transaksjoner og disposisjoner som gjøres i disse prosessene og aktivitetene. Riskovilligheten kan for eksempel kategoriseres som Må ikke skje, Kan skje, men må oppdages raskt, Ubetydelig sannsynlighet for at skjer og ubetydelig konsekvens hvis det skjer. En slik kategorisering vil være nyttig for å utforme kontrolltiltakene. Man trenger ikke iverksette samme kontrollregime for å unngå feilkjøp av kontorrekvisita, som for å unngå å forplikte seg i en tapskontrakt med varighet i flere år. Risikovurderinger bør med andre ord ta hensyn til både sannsynlighet og konsekvens, samt kostnaden ved kontrolltiltaket. Et styre bør også etterspørre en slik risikovurdering fra ledelsen minimum en gang i året. Finnes det et minimumsnivå av arbeidsdeling? Det finnes ikke én løsning som passer alle virksomheter. Hver enkel virksomhet må foreta en vurdering av sitt eget risikobilde og virksomhetens karakter, herunder antall ansatte, kunder, leverandører og betalingstransaksjoner, størrelsen på transaksjonene osv. Ofte kan det være nyttig å visualisere arbeidsdelingen i en prosess, og benytte dette bildet til å tenke ulike scenarier for hva som kan gå galt hvis en blander de ulike rollene (det vil si at en eller flere av rollene utføres av en og samme person). Avslutningskommentar Selv om vi i denne artikkelen har omtalt lederen som daglig leder, som ofte assosieres med aksjeselskapsformen, er det særdeles viktig å påpeke at innholdet i artikkelen er like relevant i virksomheter som ikke er organisert som aksjeselskap. Ikke minst gjelder dette virksomheter som ikke har næring som formål, herunder frivillig virksomhet og offentlig sektor. Til tross for at graden av regelstyring er høy i offentlig sektor, ser vi like ofte svakheter i denne sektoren som i privat sektor. Vi synes heller ikke å se at bevissthetsnivået er vesentlig høyere. MORTEN THUVE / ANDERS LAUSUND morten.thuve@bdo.no / anders.lausund@bdo.no

14 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON FULLMAKTER OG INTERNKONTROLL En fullmaktsstruktur handler om mer enn hvem som kan undertegne kontrakter og hvem som har tilgang til nettbanken. Fullmaktssystemet er en del av virksomhetens interne kontrolltiltak. Har din virksomhet et bevisst forhold til sitt fullmaktsystem? Et fullstendig fullmaktssystem består av mer enn formelle fullmakter. Fullmaktene må knyttes sammen med virksomhetens risiko, ledelsesnærhet og etablerte internkontroll med arbeidsdeling, rutiner og tilgangsbegrensninger i systemer. Fullmakter består også av mye mer enn beløpsgrenser knyttet til innkjøp. Få virksomheter har et bevisst forhold til hvordan fullmaktssystemet virker inn på virksomhetens utvikling. Man kan se til noen av det siste årets mediasaker - Holmenkollutbyggingen, Terra-saken, Sykehushotellsaken, Murud-saken er eksempler der helheten i kontrollstrukturen har sviktet, selv om formelle fullmakter kanskje var på plass. Hvordan unngå at det tas beslutninger som påvirker virksomhetens omdømme, inntekter, kostnader og / eller prioriteringer på en måte som ikke er tråd med virksomhetens operative og strategiske mål? Er det sammenheng mellom risikovurderingen og besluttet risikoprofil, strategi, budsjetter, stillingsinstrukser, fullmakter og tilgangsbegrensninger i IT-systemene? Har bedriften definert klart og tydelig hvem i organisasjonen som har hvilke fullmakter innenfor ulike virksomhetsområder, herunder hvilke begrensninger som gjelder? Følges dette opp i systemer og arbeidsrutiner? Er fullmaktsgrensene kun knyttet mot beløp, eller reflekteres også risiko? Hva avgjør for eksempel hvilke kunder som velges og hvilke vilkår den enkelte kunde innvilges? Styret og administrerende direktør i en virksomhet sitter med ansvaret for alle disposisjoner som til enhver tid foretas i virksomheten. Ansvaret kan ikke delegeres, men fullmakter til å iverksette styrets beslutninger delegeres til daglig leder, og daglig leder skal sørge for å organisere utførelsen. Det er således også daglig leders ansvar å sikre et tilstrekkelig fullmaktssystem, og det er styrets ansvar å påse at dette er etablert. Hva som er et tilstrekkelig fullmaktssystem, må utledes av virksomhetens strategi og risikoprofil. Dette må styret og daglig leder ha et bevisst forhold til. Det overordnede målet Det er viktig at virksomheten har et fullmakts- og kontrollsystem som sikrer best mulig forvaltning av virksomhetens verdier. Det er påkrevet å etablere en arbeidsdeling som sikrer en tilfredsstillende kontroll av beslutninger som har en økonomisk konsekvens. Vi snakker om å kvalitetssikre beslutninger slik at man reduserer risikoen for: Tapte inntekter, tapt omdømme, tapt konkurransekraft Økte kostnader Manglende likviditet Ulønnsom prioritering av investeringer Ulønnsom finans- og likviditetsforvaltning Økonomisk kriminalitet Lovbrudd

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 15 Et godt fungerende fullmaktssystem skal øke sannsynligheten for at de etablerte kontrollene fanger opp uønskede hendelser. Hva ligger så i de enkelte elementene som er beskrevet? Ulike virksomheter løser dette ulikt, men vi ser i de mest velfungerende fullmaktssystemene at følgende elementer dekkes: Fullmaktspolicy som beskriver de overordnede retningslinjene for fullmaktssystemet, fullmaktsadministrative bestemmelser, fullmaktsnivåene i virksomheten, beskrivelse av planprosessens (budsjett, strategi) stilling i fullmaktshierarkiet og viktige prinsippavklaringer. En risikopolicy med risikovurdering knyttet til de enkelte fullmaktsområdene, og som legger føringer for hvilket nivå fullmaktene skal ligge på i organisasjonen, og hvilke kriterier som skal gjelde for fullmakten. Økonomirutiner som beskriver krav til arbeidsdeling i de ulike økonomiprosessene. Dette vil påvirke nødvendig fullmaktsnivå og fullmaktskriterier. Fullmaktsmatrise som beskriver alle fullmaktene i en matrise, der den ene dimensjonen er fullmaktsområdet (innkjøp, salg, investeringer, osv.) og den andre er fullmaktsnivåene (konsernstyret, konsernledelsen, selskapsstyre, selskapsledelsen, osv.). Organisasjonskart, lederavtaler / stillingsinstrukser som angir hvilke ansvarsområder den bemyndigede forutsettes å utøve sine fullmakter innenfor. Budsjetter og strategi / virksomhetsplaner som beskriver hvilke grenser en fullmaktshaver kan bevege seg innenfor. Disposisjoner som bryter med strategien eller ikke har budsjettdekning, vil normalt være utenfor en persons fullmaktsområde. Hvilke delelementer består en fullmakt av? Fullmakter bør konkretiseres og formaliseres. Innenfor alle områder hvor beslutninger eller manglende sådanne, er egnet til å påføre organisasjonen en forpliktelse eller binde ressurser, bør ansvar og myndighet konkretiseres. Fullmaktene bør inneholde følgende delelementer: Fullmaktsnivå; konsernstyret, konsernledelsen, selskapsstyre, selskapsledelsen, osv. Fullmaktsområder; investeringer, plasseringer, personal, bank, innkjøp, salg, osv. Fullmaktskategorier; avtaleinngåelser, omposteringer, avstemming, anvisning, osv. Fullmaktsbegrensninger; innenfor/utenfor strategisk satsningsområde, ansvarsområde, geografi, budsjett, osv. Terskelverdi; beløpsgrense, risikogrense, kundekategori, personalkategori (ved lønn / ansettelse), osv. Nivå 1 Nivå 2 Nivå 3 Nivå 3 Nivå 4 Nivå 4 Fullmaktsområde Fullmaktskategori Styre Adm. dir. Avd.leder Særskilt for regnskapsjef Fullmaktsutstedelse Rett til å delegere fullmakt Vedta retningslinjer Budsjett Godkjenne budsjett Godkjenne Godkjenne utover vedtatte rammer Omdisponere Alle saker som medfører vesentlige overskridelser på investeringer Omdisponeringer mellom drift og investeringer Ubegrenset innenfor styregodkjente fullmakter Øvrige forhold delegert fra styret iht. instruks Ubegrenset innenfor driftsbud. og invest. bud. Personal Ansette Adm. dir. Innstille avd. ledere Innstille Godkjenne lønnsrammer Godkjenne lønn innenfor rammer Godkjenne andre lønnsgoder (permisjoner, forsikringer etc) Foreta oppsigelse / Avskjed Godkjenne reiseoppgjør, overtid og fleksitid Godkjenne Innstille Maks ett ledd innenfor styregodkjente fullmakter Innenfor x% av rammen med unntak av lønn og ansettelser For direktør Godkjenne nivå 3-4 Personalansvarlige innstiller Styreleder for adm. Nivå 3 Nivå 4 dir. Adm. dir. Øvrige nivåer Adm. dir. Avd. ledere Personalansvarlige godkjenner Særskilt for regnskapsmedarb. Alle ansatte Eksempel på et lite utdrag av en (nøytralisert) fullmaktsmatrise

16 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON Forankring og oppfølging er avgjørende Skal et fullmaktssystem fungere må det være forankret i ledelsen, satt i et system og kommunisert og forstått av hele organisasjonen. Ansvar for administrasjon og vedlikehold av systemet må være angitt. Rutiner som sikrer løpende kvalitetssikring må være etablert. Det er viktig at informasjon om hvem som til enhver tid innehar hvilke fullmakter er kjent i organisasjonen. Hvordan fullmakter skal tildeles og kan videredelegeres må også avklares. Videre må det beskrives hvilke fullmaktsnivåer som finnes i organisasjonen: Lavere nivåer innstiller, høyere nivåer beslutter Hvilket nivå i organisasjonen gjelder dette? Slike forhold må beskrives i en fullmaktspolicy som er kjent for alle ledere og mellomledere i virksomheten. Internkontroll består av mye mer enn fullmakter. Kontroller som avstemminger, logging, arbeidsdeling, tilgangsbegrensninger med mer er eksempler på kontrolltiltak. Det må være klart for alle at det er den enkelte leders ansvar å etablere et sett med kontrolltiltak som samsvarer med risikoprofilen og de fullmakter som er tildelt dennes ansvarsområde. Uten tilhørende kontrolltiltak, har fullmakter mindre verdi. Et helhetlig fullmaktssystem med gode rutiner gir i seg selv ingen garanti for god internkontroll. Det vil alltid være fare for menneskelige feil, misforståelser av instrukser eller bevisst omgåelse / utnyttelse av fullmakter. Skal systemet fungere etter sin hensikt, er det viktig at det også følges opp med stikkprøver slik at mulig svikt i kontrollrutinene avdekkes. Når organisasjonen er kjent med og opplever at kontroll i ulike former gjennomføres, har det i seg selv en oppdragende og preventiv effekt på oppgaveutførelsen. Kost / nytte må alltid vurderes når kontroller skal etableres. Mange virksomheter har således etablert en intern revisjonsfunksjon eller controller med særskilt fokus og ansvar for oppfølging av internkontrollen i virksomheten. Videre bør linjeledere og mellomledere gjennomføre egenkontroll av internkontrollen innenfor sitt ansvarsområde. Til slutt bør også styret gjennomføre en periodisk evaluering av internkontrollen, gjerne basert på innrapporterte egenkontroller, opplevde hendelser, og/eller internrevisors oppsummeringer. Test din virksomhet (listen er ikke ment å være fullstendig) Har din virksomhet etablert kontrollrutiner som sikrer at: Det kun gjennomføres prioriterte og lønnsomme investeringer? At det ikke inngås salgskontrakter utenfor omforente satsningsområder? At det ikke inngås salgskontrakter med ulønnsomme kunder? At det ikke gis rabatter til kunder ut over forretningsmessige avtalte vilkår? At innkjøpsavtaler inngås til best mulig betingelser? At ansatte kun får lønn, ferie, sykepenger mv. iht. avtalevilkår? At det kun foretas utbetalinger for reelt utført arbeid, eller reelt mottatte varer og tjenester? At konkurransesensitiv informasjon ikke tilflyter uvedkommende? At ansatte som endrer sin funksjon eller fratrer sin stilling fratas sine opprinnelige fullmakter og systemtilganger? At alle transaksjoner belastes rett ansvarssted i rett periode? MORTEN THUVE morten.thuve@bdo.no

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 17 INTEGRITY DUE DILIGENCE - BAKGRUNNSSJEKK Integrity Due Diligence (IDD) er bakgrunnsundersøkelser og informasjonsinnhenting om selskaper og personer for å identifisere opplysninger som kan påvirke risiko knyttet til etikk, integritet, kriminalitet og omdømme. Det handler med andre ord om å fremskaffe et godt beslutningsgrunnlag før man etablerer en forretningsforbindelse, inngår et partnerskap eller kjøper en virksomhet. Særlig for selskaper med internasjonal virksomhet bør bruk av IDD være en naturlig del av virksomhetens beslutningsprosesser relatert til leverandører, kunder og partnere. Gjennom internasjonal korrupsjonslovgivning og etablert beste praksis, er det i mange tilfeller dessuten et krav eller en forventning om at slike undersøkelser gjennomføres. Valg av riktig samarbeidspartner eller investeringsobjekter er i praksis også et verdivalg. I BDO kaller vi denne type undersøkelser for Ethical and Investigative Due Diligence. Når er det aktuelt å gjennomføre IDD En IDD er aktuell å gjennomføre i forkant av alle beslutninger som involverer andre parter. Typiske eksempler der det ofte gjennomføres en IDD er ved: valg av en viktig leverandør valg av joint venture partner engasjement av agenter eller markedsrepresentanter engasjement av konsulenter vurdering av investeringsobjekter eller oppkjøpskandidater viktige ansettelser Krav og forventninger Den primære driveren for standarder innenfor internasjonalt antikorrupsjonsarbeid var lenge den amerikanske Foreign Corrupt Practices Act (FCPA) fra 1977, og måten lovverket ble håndhevet på av amerikanske myndigheter. Gjennom FCPA hevder U.S. Department of Justice (DoJ) og U.S. Securities and Exchange Commission (SEC) jurisdiksjon nær sagt over hele verden, og siden 2004 har over 300 selskaper, herunder Statoil, vært gjenstand for deres håndhevingsregime. I de fleste av disse sakene har korrupsjonshandlinger utført av andre, på vegne av selskapene, vært en sentral del av anklagene. Gjennom kjennelser, kunngjøringer og presentasjoner har DoJ og SEC vært tydelige på risikoen knyttet til andre parters handlinger, og uttrykt en klar forventning om å gjennomføre såkalt «Third Party Due Diligence». I november 2012 ga DoJ og SEC ut sin veileder, FCPA - A Resource Guide to the U.S. Foreign Corrupt Practices Act, og denne type due diligence er et gjennomgående tema i hele veilederen. I juli 2011 trådte Storbritannias nye antikorrupsjonslovgivning, «UK Bribery Act 2010» i kraft, og også britene tok mål av seg å håndheve denne globalt. Loven gjelder for alle virksomheter som driver sin virksomhet eller deler av sin virksomhet i Storbritannia, og er således aktuell for mange norske selskaper. I tillegg til at UK Bribery Act påvirker flere norske virksomheter enn FCPA, er også loven noe annerledes. Særlig aktuelt i denne sammenheng er kriminaliseringen av manglende forebygging av korrupsjon, og prinsippet om at selskapenes eneste forsvar i den sammenheng

18 BDO INNSIKT ØKONOMISK KRIMINALITET OG KORRUPSJON innebære f.eks. handelsforbud, forbud mot import / eksport eller begrensninger i handelen. Noen av de mest sentrale utstederne av sanksjonslister er EU, FN, US Office of Foreign Assets Control (OFAC), US Financial Crimes Enforcement Network (FinCen) og Utenriksdepartementet. Norske sanksjoner skjer typisk gjennom forskrift. er å kunne dokumentere at de har gjort tilstrekkelig arbeid for å forebygge. Dette omtales gjerne som «proportionate» eller «adequate procedures», og i Guidance fra UK Ministry of Justice er det angitt seks prinsipper for hensiktsmessig forebygging. Ett av prinsippene handler om hensiktsmessige og risikobaserte rutiner for due diligence. I tillegg til forventninger fra amerikanske og britiske myndigheter har en rekke organisasjoner gitt anbefalinger eller retningslinjer om bruk av due diligence i antikorrupsjonsarbeidet. Eksempler på slike retningslinjer eller anbefalinger er: OECD: Anti-Corruption Ethics and Compliance Handbook for Business OECD: Good Practice Guidance on Internal Controls, Ethics, and Compliance Transparency International: Business Principles for Countering Bribery World Economic Forum: Good Practice Guidelines on Conducting Third-Party Due Diligence Virksomheter som er underlagt hvitvaskingsloven er pålagt å gjennomføre risikobasert kundekontroll (customer due diligence). Kundekontroll har mange likhetstrekk med IDD, og prosessen er sammenlignbar. Formålet med kundekontrollen er å forstå kundeforholdets formål og tilsiktede art. Dessuten foreligger det konkrete krav om å identifisere reelle rettighetshavere, og å fastslå om kunden er en politisk eksponert person. Det kan også være krav om å fastslå opprinnelsen til en kundes formue, eller kapital knyttet til en konkret transaksjon. Det foreligger også indirekte krav og forventninger til målrettet due diligence gjennom handelsforbud eller restriksjoner. Selskaper og personer kan være underlagt nasjonale eller internasjonale sanksjoner, og å gjøre forretninger med disse innebærer både risiko for straff, og ikke minst vesentlig omdømmetap. En rekke land og organisasjoner innfører sanksjoner, og sanksjonene kan Motivasjon og formål I tillegg til å oppfylle ulike krav og forventninger er det mange gode grunner til å bruke IDD som et verktøy i virksomhetens beslutningsprosesser. Vi mener at IDD kan bidra til langsiktig verdiskaping gjennom å redusere risiko for uheldige investeringer, partnerskap eller ansettelser. Gode beslutninger tas med utgangspunkt i gode beslutningsgrunnlag, og konsekvensene av uheldige beslutninger er uante. Risikoen forbundet med andre parters handlinger og verdier avhenger først og fremst av kontekst. Det vil kunne innebære en vesentlig omdømmerisiko å benytte en leverandør som ikke overholder menneskerettigheter, og dersom man engasjerer en agent som betaler bestikkelser for å vinne kontrakter kan man bli rettslig ansvarlig. På den annen side handler ikke dette bare om å redusere risiko, men også om å etterleve egne verdier, og om samfunnsansvar. Ved å velge samarbeidspartnere, eller investeringsobjekter som gjenspeiler og representerer gode verdier og etisk adferd bidrar man til å styrke den delen av næringslivet som skaper verdier gjennom en positiv samfunnsutvikling. I tillegg til å ramme den enkelte virksomhet, påvirker ulike former for kriminalitet både samfunnet og enkeltindivider på en negativ måte. Korrupsjon, sosial dumping, hvitvasking og miljøkriminalitet har åpenbare negative konsekvenser for både samfunnsutviklingen og konkurransesituasjonen i næringslivet. I tillegg til å redusere egen risiko bør med andre ord de negative samfunnskonsekvensene av korrupsjon og andre former for kriminalitet og uetisk adferd være den viktigste motivasjonen for norske virksomheters forebyggende arbeid og bruk av IDD. Tilnærming og metode Uavhengig av formålet med en IDD er ett prinsipp svært viktig. For å sikre at undersøkelsene er relevante, hensiktsmessige og tilstrekkelige skal tilnærmingen være risikobasert. En risikobasert tilnærming bidrar til at man gjennomfører de undersøkelsene som skal til for å fremskaffe et godt beslutningsgrunnlag, og at man ikke bruker unødvendige ressurser på irrelevant arbeid. Omfanget av en IDD kan derfor variere fra enkle verifiserende undersøkelser til omfattende feltarbeid, vurdering av compliance-programmer og spesialrevisjoner. Hovedregelen bør være at man gjennomfører en IDD som en åpen undersøkelse, og i dialog med den som er gjenstand for vurderingen. I det følgende vil vi beskrive en generisk modell for gjennomføring av IDD, fra den innledende risikovurderingen til implementering av risikoreduserende tiltak.

ØKONOMISK KRIMINALITET OG KORRUPSJON BDO INNSIKT 19 IDD-prosessen 1. Innledende risikovurdering Tilnærmingen skal være risikobasert, og innledningsvis vurderes risikoen ut fra kriterier som: Bransje Type partner / transaksjon/relasjon Geografiske forhold Tidligere erfaringer Kontraktsverdi Andre kjente risikoforhold 2. Definere omfang Ut fra identifisert risiko defineres et hensiktsmessig omfang for undersøkelsene. I denne fasen bør man vurdere i hvilken grad relevant informasjon er tilgjengelig, og fra hvilke kilder. Man må dessuten ta stilling til hvorvidt man skal gjennomføre undersøkelsene i dialog med den som er gjenstand for due diligence. 3. Datainnsamling Med utgangspunkt i det omfanget som er definert for undersøkelsene hentes det inn informasjon fra relevante kilder. Enkeltundersøkelser som kan være aktuelle er: Kartlegging av eierstruktur Kartlegging av personer med roller i selskapets ledelse og styre Kartlegging av relaterte selskaper Identifisere relasjoner til lokale myndigheter Identifisere relevante hendelser der selskapet eller relaterte personer har vært involvert Kartlegge eventuelle rettslige prosesser Kartlegge selskapets arbeid innen antikorrupsjon, samfunnsansvar og forretningsintegritet Kartlegge selskapet og relaterte personers omdømme og oppnådde resultater Kontroll mot ulike sanksjonslister Kontroll mot lister over politisk eksponerte personer (PEPs) og «public officials» Eksempler på relevante kilder / metoder kan være: Interne spørreskjema til de som eventuelt kjenner relasjonen Eksterne spørreskjema til aktøren som er gjenstand for due diligence Databaser med selskapsinformasjon Compliance-databaser, sanksjonslister, lister over politisk eksponerte personer mv Internett- og mediasøk Intervjuer Lokale undersøkelser Stedlige revisjoner Referanser 4. Analyse Formålet med analysen er å trekke ut relevant informasjon for beslutningsprosessen, og sikre at man har tilstrekkelig kunnskap til å fatte en opplyst beslutning. Innsamlet informasjon evalueres og sammenstilles. I evalueringen er det avgjørende å vurdere informasjonskildens pålitelighet og informasjonens gyldighet. Man må med andre ord ta stilling til i hvilken grad man kan vektlegge informasjonen i analysen. I analysen kan det være hensiktsmessig å benytte verktøy for å visualisere relasjoner og hendelsesforløp gjennom relasjonsdiagrammer og tidslinjer. Dersom det avdekkes ytterligere informasjonsbehov, eller motstridende informasjon kan det være behov for ytterligere undersøkelser. Resultatet av analysen bør være et dokument som oppsummerer de undersøkelsene som er gjennomført, og hvilke funn man har gjort gjennom analysen. Dokumentet kan tjene som både beslutningsgrunnlag, og som dokumentasjon på due diligenceprosessen. 5. Beslutning En IDD bør som nevnt være en naturlig del av virksomhetens beslutningsprosesser relatert til leverandører, kunder og partnere. Overordnet er det tre mulige beslutninger: 1. Ikke opprette / avslutte relasjonen 2. Opprette / fortsette relasjonen 3. Opprette / fortsette relasjonen med risikoreduserende tiltak 6. Risikohåndtering Med utgangspunkt i resultatet fra due diligence-prosessen kan det være behov for å håndtere identifiserte risikoforhold. Eksempelvis kan det være behov for å gi nødvendig opplæring innenfor antikorrupsjon, utforme særlige kontraktsvilkår, avtale oppfølging gjennom en spesialrevisjon eller stille særlige krav til overvåking av transaksjoner. MADS BLOMFELDT / ANDREAS SKALIN mads.blomfeldt@bdo.no / andreas.skalin@bdo.no