Compliance – hoitamattomana kivulias?

Compliance ja Compliance Program ovat puhuttaneet hallitusammattilaispiirejä ja neuvonantajia jo jonkun aikaa.Ai­hees­ta on tul­lut muo­ti-ilmiö eri­lai­sis­sa se­mi­naa­reis­sa. On ole­mas­sa mo­nen­lai­sia suo­si­tuk­sia hy­vistä or­ga­ni­soi­tu­mis­mal­leis­ta ja käytännöistä compliance-toi­min­non tii­moil­ta. Compliance-rik­ko­muk­sen sat­tues­sa ti­lan­ne tun­tuu kui­ten­kin aina yhtä tu­ka­lal­ta – oli yri­tyk­sessä val­mius­suun­ni­tel­ma tai ei.

Mik­si compliance-rik­ko­muk­set ovat niin epämiel­lyttäviä? Mi­nul­le tu­lee ai­na­kin kol­me seik­kaa mie­leen in­tui­tii­vi­ses­ti:

1. Compliance-rikkomuksen seuraukset ovat usein laajemmat kuin itse suoraan siihen liittyvä taloudellinen vahinko. Maineriski tai oikeastaan mainevahinko on vaikeasti kvantifioitavissa, mutta usein todellinen ja merkityksellinen – eikä myöskään mainevahingon rajaaminen ole taloudellisesti katsottuna ilmaista.
2. Compliance-rikkomus tuntuu organisaatiossa tukalalta myös siitä syystä, että tällaisessa tilanteessa joudutaan tarkastelemaan myös vastuukysymyksiä, jotka kiteytyvät yksilötasolle. Tämä aiheuttaa organisaatiossa levottomuutta ja vie fokusta liiketoiminnan hoitamiselta.
3. Kolmas tukaluuden aiheuttaja on kysymys, jota ylimmässä johdossa ja hallitustasolla pohditaan: Olisiko rikkomukselta voitu välttyä paremmalla ennaltaehkäisevällä toiminnalla? Onko johdon ja hallituksen huolellisuusvelvoite täyttynyt? Vaikeita ja kipeitä kysymyksiä!

Val­mis­tau­tu­mi­ses­ta on toki aina hyötyä – jos compliance-rik­ko­muk­siin on va­rau­dut­tu etukäteen, voi­daan vai­kut­taa va­hin­gon laa­juu­teen ja ajal­li­seen kes­toon.

Vas­tuu­ky­sy­myk­seen val­mius­suun­ni­tel­ma ei kui­ten­kaan tuo hel­po­tus­ta.

Vas­tuu­ky­sy­myk­seen lie­ven­nystä tuo pe­rus­teel­li­nen ja ob­jek­tii­vi­nen asian sel­vittämi­nen.

Sil­loin pu­hum­me suo­ras­ta vas­tuus­ta – eli kuka on vas­tuus­sa tie­tystä esi­mer­kik­si sääntörik­ko­muk­ses­ta.

Tämäkään ei tuo kuin jos­sain määrin hel­po­tus­ta epäsuo­raan vas­tuuseen eli huo­lel­li­suus­vel­voi­te­ky­sy­myk­seen. Tässä me lii­kum­me ylimmän joh­don ja yri­tyk­sen hal­li­tuk­sen kan­nal­ta tärkeällä alu­eel­la.

Nähdäkse­ni huo­lel­li­suus­vel­voit­tee­seen liit­tyvään vas­tuuseen ei voi oleel­li­ses­ti vai­kut­taa il­man en­nal­taehkäisevää ja do­ku­men­toi­tua compliance-toi­min­taa.

Tässä vältän tie­toi­ses­ti pu­hu­mas­ta compliance-toi­min­nos­ta, kos­ka sen voi järjestää mo­nel­la ta­val­la. Käytän siis sa­naa compliance-toi­min­ta.

Omien ko­ke­mus­ten pe­rus­teel­la voi­si to­de­ta yri­tys­ten ti­las­ta compliance-toi­min­nan suh­teen seu­raa­vaa:

• • Suurimmalla osalla isoista yrityksistä on olemassa kirjattuja sääntöjä ja ohjeistuksia.
  • Suhteellisen moni yritys on jalkauttanut säännöt ja ohjeistukset, joskin vaihtelevin ponnistuksin.
  • Yritysjoukko pienenee vielä jonkun verran kysyttäessä perustuuko compliance-panostus riskikartoitukseen.
  • Kontrollien implementoinnissa käytännöt vaihtelevat suuresti – yllättävän monessa organisaatiossa ajatellaan, että taloudellisen raportointiin liittyvät kontrollit ovat yhtä kuin tehokas compliance-kontrolli. Compliance-kontrolleilla on laajempi merkitys ja laajempi soveltamisala. Niiden tarkoitus on luoda kohtuullista varmuutta, että organisaatiossa noudatetaan lakeja ja omia sisäisiä sääntöjä sekä suojataan yhtiön omaisuutta.
  • Proaktiivinen compliance-asioiden valvonta tai monitorointi esimerkiksi data-analytiikan tai muun raportoinnin kautta puuttuu enemmistöltä yrityksiltä.

Ei ole yleensä ole­mas­sa yk­sittäisiä sääntöjä tai yk­si­tyis­koh­tai­sia suo­si­tuk­sia siitä, mi­hin asioi­hin yri­tyk­sessä tu­lee laa­tia sääntöjä, mi­ten järjes­tetään lii­ke­toi­min­nan kont­rol­lit ja missä määrin järjes­tetään val­von­taa.

Esi­mer­kik­si USA:n FCPA:han ja UK Anti Bribery Actiin liit­tyvät oh­jeis­tuk­set ovat poik­keuk­sia.

Mi­ten sit­ten hal­li­tuk­sen jäsen voi ana­ly­soi­da täyt­tyykö hal­li­tuk­sen huo­lel­li­suus­vel­vol­li­suus?

Tähän ky­sy­myk­seen ei ole yleispätevää vas­taus­ta, vaan rat­kai­su on aina ti­lan­ne­koh­tai­nen.

Compliance-rik­ko­muk­sen sat­tues­sa on kui­ten­kin ole­mas­sa joi­ta­kin peu­ka­losääntöjä, joi­den kaut­ta huo­lel­li­suus­vel­voi­te­ky­sy­mystä voi lähes­tyä:

1. Onko compliance-rikkomuksen aihealueeseen liittyvän compliance-toiminnan laajuus (tai sen puuttuminen) perustunut riskiarviointiin ja näin tietoiseen päätökseen? Esimerkiksi UK Anti Bribery Actiin liittyvät huolellisuusvaatimukset lähtevät selkeästi riskipainotetusta compliance-toiminta-ajattelusta.
2. Jos compliance-rikkomuksen aihealuetta on pidettävä yrityksen toiminnan kannalta riskialttiina (riskikartoituksen tuloksena tai muutoin), niin onko asiaan liittyvät toimenpiteet dokumentoitu, kontrollit implementoitu ja valvonta asianmukaisesti järjestetty?

Ris­kia­jat­te­lun kaut­ta lähes­ty­mi­nen ei pelkästään pa­ran­na hal­li­tuk­sen jäsen­ten tur­val­li­suu­den tun­net­ta, vaan se on myös omi­aan koh­den­ta­maan re­surs­sit eli kus­tan­nuk­set nii­hin aluei­siin, jois­ta compliance-toi­min­nal­la saa­daan suu­rin lisäarvo eli suu­rin ris­kin pie­nen­ty­mi­nen pa­nos­tuk­seen nähden ha­lu­tul­le ta­sol­le.

Onko teidän yhtiönne hal­li­tuk­ses­sa kes­kus­tel­tu ak­tii­vi­ses­ti ja haas­tet­tu joh­toa compliance-ris­kien kar­toi­tuk­sen tii­moil­ta?

Missä pii­levät yhtiönne oleel­li­sim­mat compliance-ris­kit? Kil­pai­lu­lainsäädännön nou­dat­ta­mi­ses­sa? Kor­rup­tios­sa? Eri omai­suuse­rien suo­jaa­mi­seen liit­ty­vissä sääntörik­ko­muk­sis­sa? Suo­jau­tu­mi­ses­sa ky­be­ru­hil­ta – tai muu­toin tie­to­tur­vasääntöjen rik­ko­mi­sis­sa?

Kiin­nos­tuit­ko ai­hees­ta? Tu­tus­tu EY:n Fraud and corruption — the easy option for growth? -raporttiin.