Compliance-gennemgang
Definition og klassificering
Compliance-gennemgangen betegner en systematisk procedure til at kontrollere, om interne og eksterne regler, krav samt etiske principper overholdes i en organisation. Begrebet „Compliance” omfatter overholdelse af lovmæssige forskrifter, kontraktlige forpligtelser samt interne retningslinjer og adfærdsstandarder i virksomheden. I en advokatpraksis har compliance-gennemgangen til formål at identificere risici for klientopdrag, organisationen og medarbejdere samt at forebygge overtrædelser af gældende regler på et tidligt stadium.
Rolle i advokatpraksissens dagligdag: Betydning og typiske anvendelsesområder
Compliance-gennemgangen har en central rolle i en advokatpraksis’ dagligdag. Den beskytter organisationen og dens klientopdrag mod juridiske, økonomiske og omdømmemæssige risici. De hyppigste anvendelsesområder omfatter:
- Gennemgang ved optagelse af nye klientopdrag (opdragsoptagelseskontrol)
- Kontrol af interessekonflikter
- Kontrol af overholdelse af databeskyttelsesregler
- Overholdelse af fagretslige bestemmelser
- Implementering og overvågning af interne retningslinjer (fx til forebyggelse af hvidvask)
Compliance-gennemgangen er ikke kun forbeholdt større organisationer, men spiller en væsentlig rolle i advokatpraksis’ af enhver størrelse.
Processer, procedurer eller metoder
Opdragsoptagelse og kontrol af interessekonflikter
Før et nyt klientopdrag påbegyndes, foretages der som regel en compliance-gennemgang. Her kontrolleres, om opdraget er foreneligt med de interne og lovmæssige krav. Et centralt element er kontrollen af interessekonflikter. Her sammenlignes det, om eksisterende opdrag eller relationer til andre parter kan stå i konflikt med den nye opgave.
Anti-hvidvask-gennemgang
Især ved visse opdrag, fx i forbindelse med transaktioner, er gennemgang for potentielle hvidvaskaktiviteter påkrævet. Her indhentes og dokumenteres oplysninger om klientens identitet. Indikationer på mistænkelige aktiviteter håndteres i overensstemmelse med lovgivningen.
Databeskyttelsesgennemgang
Opbevaring og behandling af følsomme data er underlagt strenge krav. En del af compliance-gennemgangen er at kontrollere, om databehandlingsprocesserne lever op til kravene.
Yderligere kontroller
Afhængigt af typen af opdrag og advokatpraksissens struktur kan yderligere områder som sanktionslistetjek, anti-korruptionsforanstaltninger eller bæredygtighedskrav være en del af compliance-gennemgangen.
Rammer og standarder
Organisatoriske krav
Advokatpraksisser fastlægger interne retningslinjer og processer, som danner grundlag for compliance-gennemgangene. Ofte findes der specifikke vejledninger, tjeklister eller digitale værktøjer, der muliggør standardiserede procedurer. Ansvaret for gennemførelsen kan overdrages til udpegede medarbejdere.
Tekniske værktøjer
Digitale løsninger anvendes i stigende grad til at understøtte compliance-gennemgangen. Typiske eksempler er:
- Databasesystemer til kontrol af opdragsoptagelse og interessekonflikter
- Elektroniske workflow-systemer til dokumentation af kontroltrin
- Værktøjer til hvidvaskforebyggelse og overvågning af sanktionslister
Typiske procedurer
Standardiserede procedurer understøtter overholdelse af frister og sikrer fuldstændig dokumentation. Resultaterne af compliance-gennemgangen bliver som regel dokumenteret skriftligt eller digitalt og arkiveret.
Praksis: Håndtering i advokatpraksissens dagligdag
Compliance-gennemgangen er en fasttømret del af opdragsstyringen og ofte en obligatorisk del af opdragsoptagelsen. Medarbejdere lærer, hvilke kontroltrin der er nødvendige i den konkrete situation og benytter skabeloner, tjeklister eller digitale værktøjer til at gennemføre kontrollerne.
I praksis betyder det, at man før accept eller behandling af et opdrag målrettet indhenter bestemte data og informationer. I løbet af opdraget kan der komme yderligere kontroller, fx hvis nye omstændigheder opstår eller nye lovbestemmelser træder i kraft.
Også ved udvælgelse og oplæring af medarbejdere spiller emnet en rolle: Regelmæssig introduktion og efteruddannelse sikrer, at alle kan identificere og undgå regelbrud.
Muligheder og udfordringer i advokatpraksissens dagligdag
Muligheder
- Risikominimering: Compliance-gennemgange sikrer, at risici identificeres tidligt, og at overholdelse af lov og standarder kan dokumenteres.
- Tiltro og troværdighed: Strukturerede procedurer styrker tilliden fra klienter, forretningspartnere og myndigheder.
- Effektivisering: Standardiserede processer og teknologiske hjælpemidler letter gennemførsel og dokumentation af kontrollen.
Udfordringer
- Kompleksitet: Mangfoldigheden af regler og løbende ændringer kan gøre gennemførelsen krævende.
- Tidsforbrug: Grundige kontroller tager tid og kan udgøre en udfordring ved korte tidsfrister.
- Efteruddannelse: Løbende tilpasninger kræver regelmæssig information og oplæring af alle medarbejdere.
Ofte stillede spørgsmål
Hvad er formålet med en compliance-gennemgang? Kontrollen har til formål at identificere og undgå mulige lovovertrædelser, interessekonflikter og andre risici på et tidligt tidspunkt.Hvilke oplysninger kontrolleres ved en compliance-gennemgang? Typisk kontrolleres persondata og opdragsrelaterede oplysninger, relationer til eksisterende klienter samt branchespecifikke regler og sanktionslister.Hvem har ansvaret for compliance-gennemgang? Ansvarsområdet ligger typisk hos udpegede medarbejdere i organisationen. Ofte er flere personer involveret i processen, især ved optagelse af nye klientopdrag.Hvornår gennemføres en compliance-gennemgang? En kontrol udføres især ved optagelse af nye klientopdrag, men også undervejs i et opdrag, hvis omstændighederne ændrer sig eller ny information tilgår.Hvorfor er compliance-gennemgang også relevant for nyuddannede? Allerede under oplæringsperioden introduceres nye medarbejdere for procedurerne, da kontrollen er en væsentlig del af det daglige arbejde og en vigtig forudsætning for en sikker og lovlig håndtering af opdrag.Hvordan kan jeg forberede mig på compliance-gennemgange? Grundig oplæring, gennemgang af interne vejledninger samt brug af digitale værktøjer og jævnlig efteruddannelse hjælper med at sikre korrekt håndtering af relevante procedurer.
Ofte stillede spørgsmål
Hvem er juridisk forpligtet til at gennemføre en compliance-gennemgang?
Forpligtelsen til at gennemføre en compliance-gennemgang følger i Tyskland primært af forskellige lovbestemmelser afhængigt af virksomhedsform, branche samt virksomhedens størrelse. Især hvidvaskloven (GwG), aktieselskabsloven (AktG), loven om kontrol og transparens i erhvervslivet (KonTraG), Lieferkettensorgfaltspflichtengesetz (LkSG) samt kreditvæsensloven (KWG) indeholder bestemmelser, der pålægger virksomheder, banker, forsikringsselskaber og andre juridiske personer at træffe passende foranstaltninger for at sikre lovlig adfærd. Compliance-gennemgangen har her en central betydning, idet den systematisk kontrollerer og dokumenterer overholdelse af lovmæssige og regulatoriske krav. Manglende gennemførelse kan føre til betydelige bøder, strafferetlige konsekvenser for virksomhedsledelsen samt krav om erstatning.
Hvilke juridiske forpligtelser gælder ved dokumentation af compliance-gennemgange?
Der gælder lovpligtige krav om dokumentation af compliance-gennemgange, fx efter handelsloven (HGB), GwG samt branchespecifikke love. Ifølge § 257 HGB og § 8 GwG skal forretningsdokumenter, kontrolrapporter og beviser for compliance-foranstaltninger opbevares i en lovbestemt periode – normalt seks til ti år. Dokumentationen fungerer som bevis over for tilsynsmyndigheder, domstole og internt samt eksternt kontrollanter for, at retskravene er overholdt. Særlig vigtigt er sporbarhed af kontrolprocesser, trufne foranstaltninger samt konstaterede overtrædelser og deres udbedring, så en fuldstændig bevisførelse kan sikres i kontrol- eller tvisttilfælde.
Hvilke juridiske konsekvenser truer ved utilstrækkelig eller manglende compliance-gennemgang?
Hvis compliance-gennemgange udføres utilstrækkeligt eller helt undlades, kan det føre til alvorlige juridiske konsekvenser for virksomheden og dens ansvarlige. Det kan spænde fra tilsynsforanstaltninger og betydelige bøder til strafferetlig forfølgelse af ledelsen efter §§ 130, 30 OWiG (lov om administrative forseelser) eller endda § 266 StGB (troløshed). Også ved uagtsomhed kan civilretligt ansvar – fx erstatning til skadelidte tredjemand – opstå. Især inden for international straffe- og civilret, fx ved overtrædelse af sanktioner eller embargoer, kan der derudover opstå betydelige omdømmeskader for virksomheden.
Hvor ofte skal compliance-gennemgange foretages ifølge gældende lovgivning?
Frekvensen af compliance-gennemgange afhænger meget af de konkrete lovkrav og risikoprofilen for den enkelte virksomhed. Mens GwG fx kræver passende og risikobaseret overvågning og kontrol, kræver andre love periodiske, mindst årlige kontroller (fx i banksektoren efter MaRisk og KWG). Ved særlige begivenheder – såsom fusioner, overtagelser, konstatering af særlige risici, mistanke om lovovertrædelser – kan ekstraordinære kontroller være nødvendige. Den konkrete kontrolfrekvens skal fastlægges på baggrund af lovkrav, egen risikovurdering og eventuelt i samråd med tilsynsmyndigheden samt dokumenteres.
I hvilket omfang må eksterne tjenesteudbydere inddrages i compliance-gennemgangen ud fra en juridisk betragtning?
Inddragelsen af eksterne tjenesteudbydere såsom revisions- eller advokatfirmaer til at udføre eller ledsage compliance-gennemgange er som udgangspunkt juridisk tilladt og ofte endda anbefalelsesværdigt for at sikre specialviden og uafhængighed. Det juridiske ansvar for udførelse og især for korrekt implementering og opfølgning af kontrolresultaterne ligger dog altid hos virksomheden eller dens ledelse. Det skal især sikres, at kontraktlige aftaler om fx databeskyttelse (GDPR), tavshedspligt og instruktionsbeføjelser er klart reguleret. Juridiske problemer kan især opstå, hvis lovbestemte kontrolforpligtelser eksplicit er forbeholdt virksomhedens organer eller særlige interne funktioner.
Hvilken rolle spiller tilsynsmyndighederne ved kontrol og overvågning af compliance-gennemgange?
Tilsynsmyndigheder som Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eller de relevante regionale datatilsynsmyndigheder har vidtgående beføjelser til at føre kontrol med udførelse og dokumentation af compliance-gennemgange. De kan kræve fremlæggelse af kontrolrapporter, interne retningslinjer og beviser, foretage inspektioner på stedet og ved konstaterede overtrædelser udstede påbud eller pålægge bøder. I visse brancher er der også pligt til regelmæssige rapporter til tilsynsmyndighederne. Samarbejdet med myndighederne samt omhyggelig, revisionssikker dokumentation af alle compliance-foranstaltninger er derfor afgørende for at opfylde lovkravene.