Pohdin ajankohtaisten tapausten – Nokia Renkaiden kohun ja Panama-vuodon – innoittamana vaatimustenmukaisuuden perusperiaatteita ja pyrin kuvamaan, ”miten tässä näin on päässyt käymään”.
Vaatimustenmukaisuus (Compliance), ja sen seuranta, on keskeinen osa yrityksen sisäisen valvonnan ja riskienhallinnan prosesseja, joilla pyritään varmistamaan yrityksen toimialaan liittyvien lakien ja asetusten sekä viranomaismääräysten noudattaminen.
Vaatimusten mukainen toiminta kattaa myös yhtiön sisäiset ohjeistukset ja politiikat, joiden tarkoituksena on varjella yhtiön mainetta sekä luoda viitekehykset yrityksen luotettavalle hallinnolle sen kaikissa toiminnoissa. Sisäisen valvonnan ja siihen liittyvän vaatimustenmukaisuuden tarkoituksena on varmistaa, että yhtiön toiminta on tuloksellista, riskejä hallitaan asianmukaisesti, toiminta on sekä tehokasta että luotettavaa ja noudattaa lakeja, asetuksia, sääntelyä ja yhtiön sisäisiä ohjeita.
Ylimpänä valvontaelimenä on yrityksen ylin johto.
Vaatimustenmukaisuuden hallinnan varmistaminen edellyttää toimintamallia, jossa systemaattisesti suunnitellaan ja seurataan yrityksen vaatimustenmukaisuutta sen eri valvontaelinten toimesta. Ylimpänä valvontaelimenä on yrityksen ylin johto – hallitus ja johto – joiden suhtautuminen sääntöjen ja vaatimusten noudattamiseen ja niiden valvontaan ratkaisevasti vaikuttavat yrityksen prioriteetteihin ja toimintakulttuuriin.
Vaatimustenmukaisuuteen liittyen yrityksen hallituksen tulisi:
- vahvistaa sisäisen valvonnan ja siihen liittyvän vaatimuksenmukaisuuden kuvaus
- arvioida ja valvoa valvonnan tarkoituksenmukaisuutta, kattavuutta ja luotettavuutta
- päättää linjauksista, joilla varmistetaan, että yritys toimii ulkoisen sääntelyn ja sisäisten toimintaohjeiden mukaisesti (compliance)
- vahvistaa sisäisen tarkastuksen sekä compliance toiminnan toimintaperiaatteet ja toimintasuunnitelma.
Päivitetyt politiikkaesitykset on syytä käsitellä vähintään kerran vuodessa yrityksen hallituksessa.
Ensisijainen ja laajamittaisin sisäinen valvonta toteutetaan operatiivisessa liiketoiminnassa, jossa vaatimustenmukaisuuden valvonta on jatkuvaa toimintaa ja osa päivittäisiä rutiineja. Ylintä toimivaa johtoa avustavat vaatimustenmukaisuuden varmistamisessa useimmiten liiketoiminnoista riippumattomat, konsernitoimintoihin keskitetyt, riskien valvonta, talouden ohjaus, laadunhallinta sekä laki- ja henkilöstötoiminnot. Konsernitoiminnot yleensä myös vastaavat oman vastuukenttänsä sisäisten ohjeiden juoksevasta päivittämisestä. Päivitetyt politiikkaesitykset on syytä käsitellä vähintään kerran vuodessa yrityksen hallituksessa.
Suurissa ja keskisuurissa pörssiyhtiöissä vaatimustenmukaisuus yleensä liitetään hallituksen tarkastusvaliokunnan vastuukenttään osana yrityksen kokonaisvaltaista sisäistä ja ulkoista valvontaa. Vaatimustenmukaisuuden valvonta perustuu eri valvontaelinten tarkastuskertomuksiin, joissa todetaan tarkastetun kohteen toimivuus ja/tai sen puutteet. Valvontaelinten suorittaman tarkastuksen tulisi olla riippumatonta ja objektiivista arviointi-, varmistus- sekä konsultointitoimintaa. Havaittujen puutteiden kriittisyysluokituksen apuvälineenä usein käytetään liikennevaloja, joiden avulla työ esimerkiksi tarkastusvaliokunnassa on kohdistettavissa havaittuihin eniten kriittisiin puutteisiin.
Valvontaraportit sisältävät toiminnan parantamiseen tähtääviä suosituksia ja myös näiden suositeltujen toimenpiteiden toteutusta tulisi systemaattisesti seurata. Muun muassa finanssialan yrityksissä vaatimustenmukaisuutta valvoo erillinen ”compliance-organisaatio” eräänlaisena ylimpänä vaatimustenmukaisuuden koordinaattorina yhdistäen yrityksen sääntelyn ja politiikkojen noudattamisen, riskienhallinnan, sisäisen ja ulkoisen tarkastuksen sekä valvontaviranomaisten katsaukset yrityksen kokonaisvaltaiseen sisäisen valvontaan.
Silti jatkuvasti ilmenee tilanteita, joissa näin ei kaikilta osiltaan olla toimittu.
Vaatimustenmukaisuuden seuranta on hyvä rytmittää kvartaalipohjaisen vuosikellon muotoon. Tarkastusvaliokunnan jokaisen kokouksen vaatimustenmukaisuuteen liittyviä aiheita ovat sisäiseen valvontaan, riskeihin ja sääntelyyn liittyvät vakioseurantaraportit.
Ensimmäisen kvartaalin aikana on käsiteltävä edellisen vuoden tilinpäätös sekä siihen liittyvä päivitetty CG-Statement. Tämän kvartaalin aikana on myös luontevaa arvioida valvonnan riittävyyttä sekä riskienhallinnan toimivuutta.
Vuoden viimeisen kvartaalin aikana on syytä käsitellä päättyvän vuoden tilinpäätösperiaatteet ja tähän liittyen arvioida tilintarkastajien työn laatu, tilintarkastus sekä muut neuvontapalvelut. Viimeisen kvartaalin aikana on myös käsiteltävä tulevan vuoden valvontaan sekä vaatimustenmukaisuuteen liittyvät toimintasuunnitelmat – sisäinen ja ulkoinen tarkastus sekä compliance. Toisen ja kolmannen kvartaalin luontevia erillisteemoja voisivat olla keskeisten konsernipolitiikkojen päivitys.
Yritysten toimikenttään liittyvien sisäisten ja ulkoisten pelisääntöjen ehdoton noudattaminen on lähes jokaisen yrityksen keskeisiä prioriteetteja – yrityksen arvojen keskiössä. Silti jatkuvasti ilmenee tilanteita, joissa näin ei kaikilta osiltaan olla toimittu ja seuraukset kyseisen yrityksen maineen ja luottamuksen osalta voivat olla dramaattisia – Telia, Telenor, Industrivärlden, VW, Nokia Renkaat, Nordea.
Osaselitys tälle lähes käsittämättömälle todellisuudelle voi olla noudatettavien pelisääntöjen valtava määrä ja jatkuva kiristyminen. Monilla toimialoilla on lisäksi vuosien mittaan muodostunut ”alan tapa toimia”, ja kun säännökset muuttuvat/kiristyvät vanhojen tapojen muuttaminen ja sopeuttaminen uuteen säännöskehikkoon on ilmeisen haasteellista.
Houkutus jatkaa usein kannattavaa vanhan mallin mukaista toimintaa näyttää yllättävän monessa tapauksessa olevan suuri. Uuteen sopeutumisen hitauteen vaikuttanee myös olemassa olevat asiakassitoumukset, joiden purkaminen voi vaatia aikaa, maksaa maltaita ja edellyttää usein hyvin hankalia neuvotteluja. Monessa tapauksessa uuteen normaaliin siirtyminen voi vaatia ylimmältä johdolta poikkeuksellista jämäkkyyttä ja hyvin selkeitä ohjeita organisaation kaikille tasoille.
