Compliance-gjennomgang
Definisjon og klassifisering
Compliance-gjennomgang betegner en systematisk prosess for å kontrollere om interne og eksterne regler, krav og etiske retningslinjer overholdes i en organisasjon. Begrepet «compliance» omfatter etterlevelse av lovbestemmelser, avtaleforpliktelser samt virksomhetsinterne retningslinjer og standarder for adferd. I en advokatkontorsammenheng har compliance-gjennomgangen som mål å identifisere risikoer for oppdrag, organisasjonen og ansatte, samt å forhindre overtredelser av gjeldende regler på et tidlig stadium.
Rolle i advokatkontorets hverdag: Betydning og vanlige bruksområder
Compliance-gjennomgang har en sentral rolle i det daglige arbeidet ved et advokatkontor. Den beskytter organisasjonen og oppdragene mot juridiske, økonomiske og omdømmerelaterte risikoer. De vanligste bruksområdene er:
- Kontroll ved opptak av nye oppdrag (oppdragsakseptkontroll)
- Kontroll av interessekonflikter
- Kontroll av etterlevelse av personvernregler
- Etterlevelse av yrkesetiske krav
- Implementering og overvåkning av interne retningslinjer (f.eks. for å forhindre hvitvasking)
Compliance-gjennomgang er ikke begrenset til større organisasjoner, men spiller en viktig rolle i advokatkontorer av alle størrelser.
Prosesser, rutiner og metoder
Oppdragsaksept og interessekonfliktkontroll
Før oppstart av et nytt oppdrag gjennomføres det som regel en compliance-gjennomgang. Her kontrolleres det om oppdraget er forenlig med interne og lovpålagte regler. En sentral del er kontroll av interessekonflikter. Det kontrolleres om eksisterende oppdrag eller relasjoner til andre parter kan komme i konflikt med det nye oppdraget.
Anti-hvitvaskingskontroll
Spesielt i forbindelse med visse oppdrag, som for eksempel transaksjoner, er kontroll for potensiell hvitvasking påkrevd. Det innhentes og dokumenteres opplysninger om klientens identitet. Mistanke om mistenkelige aktiviteter behandles etter lovens krav.
Personvernkontroll
Oppbevaring og behandling av sensitive data er underlagt strenge regler. En del av compliance-gjennomgangen er å kontrollere om databehandlingsprosessene er i tråd med gjeldende krav.
Andre kontroller
Avhengig av oppdragstype og kontorets struktur kan også andre områder som sanksjonslistesjekk, anti-korrupsjonstiltak eller krav til bærekraft være en del av compliance-gjennomgangen.
Rammevilkår og standarder
Organisatoriske retningslinjer
Advokatkontorer etablerer interne retningslinjer og prosesser som danner grunnlaget for compliance-gjennomganger. Det finnes ofte egne veiledere, sjekklister eller digitale verktøy som muliggjør standardiserte rutiner. Ansvar for utførelse kan overlates til utpekte medarbeidere.
Tekniske verktøy
Digitale løsninger benyttes i økende grad for å støtte compliance-gjennomgangen. Typiske eksempler er:
- Databasesystemer for kontroll av oppdragsaksept og interessekonflikter
- Elektroniske arbeidsflyter for dokumentasjon av kontrolltrinnene
- Verktøy for forebygging av hvitvasking og overvåking av sanksjonslister
Vanlige fremgangsmåter
Standardiserte rutiner bidrar til å sikre frister og en fullstendig dokumentasjon. Resultatene av compliance-gjennomgangen dokumenteres vanligvis skriftlig eller digitalt og arkiveres.
Praktisk relevans: Håndtering i det daglige arbeidet
Compliance-gjennomgangen er en veletablert del av oppdragsstyringen og er ofte en bindende del ved opptak av nye oppdrag. Ansatte lærer hvilke kontrolltrinn som kreves i den aktuelle situasjonen, og bruker maler, sjekklister eller digitale løsninger ved gjennomføring.
I praksis betyr dette at man innhenter spesifikke data og opplysninger før oppdrag aksepteres eller behandles. I løpet av oppdraget kan det også bli nødvendig med ytterligere kontroller, for eksempel hvis nye forhold oppstår eller nye lovkrav trer i kraft.
Temaet er også vesentlig ved seleksjon og opplæring av ansatte: Jevnlig innføring og videreopplæring sørger for at alle involverte kan identifisere og unngå regelbrudd.
Muligheter og utfordringer i advokatkontorets hverdag
Muligheter
- Risikoreduksjon: Compliance-gjennomganger sikrer at risikoer identifiseres tidlig og at overholdelse av lover og standarder kan dokumenteres.
- Tillitsbygging: Strukturerte prosesser styrker tilliten fra klienter, samarbeidspartnere og myndigheter.
- Effektivisering: Standardiserte prosesser og teknologiske hjelpemidler forenkler gjennomføring og dokumentasjon av kontrollene.
Utfordringer
- Kompleksitet: Det store antallet krav og hyppige endringer kan gjøre gjennomføringen krevende.
- Tidsbruk: Grundige kontroller tar tid, noe som kan være en utfordring ved korte frister.
- Videreutdanning: Løpende tilpasninger krever jevnlig informasjon og opplæring av alle ansatte.
Ofte stilte spørsmål
Hva er målet med en compliance-gjennomgang? Gjennomgangen har som formål å identifisere og unngå mulige lovbrudd, interessekonflikter og andre risikoer på et tidlig stadium.Hvilke opplysninger kontrolleres ved en compliance-gjennomgang? Typisk kontrolleres personopplysninger og oppdragsrelaterte data, relasjoner til eksisterende klienter samt bransjespesifikke regler og sanksjonslister.Hvem har ansvaret for compliance-gjennomgangen? Ansvaret ligger som regel hos utpekte medarbeidere i organisasjonen. Ofte er flere personer involvert, spesielt ved opptak av oppdrag.Når gjennomføres en compliance-gjennomgang? En gjennomgang skjer særlig ved opptak av nye oppdrag, men også underveis i et oppdrag dersom saksforholdet endrer seg eller det kommer til nye opplysninger.Hvorfor er compliance-gjennomgang relevant også for nyutdannede? Allerede under opplæringen blir nye ansatte kjent med rutinene, da kontrollen er en del av det daglige arbeidet og et viktig grunnlag for sikker og regelmessig håndtering av oppdrag.Hvordan kan jeg forberede meg på compliance-gjennomganger? Grundig opplæring, studium av interne veiledere, bruk av digitale verktøy og jevnlig kursvirksomhet hjelper deg å beherske de relevante rutinene.
Ofte stilte spørsmål
Hvem er juridisk forpliktet til å gjennomføre en compliance-gjennomgang?
Plikten til å gjennomføre en compliance-gjennomgang følger i Tyskland i hovedsak av ulike lovbestemmelser, avhengig av selskapsform, bransje og virksomhetens størrelse. Særlig Hvitvaskingsloven (GwG), Aksjeloven (AktG), Loven om kontroll og åpenhet i næringslivet (KonTraG), Lov om aktsomhetsplikt i leverandørkjeder (LkSG) og Kredittvesenloven (KWG) inneholder bestemmelser som pålegger selskaper, banker, forsikringsselskap og andre juridiske enheter å iverksette nødvendige tiltak for å sikre lovmessig virksomhet. Compliance-gjennomgangen har her en sentral rolle, da den systematisk kontrollerer og dokumenterer etterlevelse av lovbestemmelser og forskrifter. Manglende gjennomføring kan føre til betydelige bøter, straffeansvar for ledelsen samt erstatningskrav.
Hvilke lovpålagte plikter gjelder for dokumentasjon av compliance-gjennomganger?
Det foreligger en lovpålagt plikt til å dokumentere compliance-gjennomganger, for eksempel etter Handelslovboken (HGB), GwG og bransjespesifikke lover. Etter § 257 HGB og § 8 GwG må forretningsdokumenter, rapporter og dokumentasjon for compliance-tiltak oppbevares i en lovbestemt periode – vanligvis seks til ti år. Dokumentasjonen fungerer som bevis overfor tilsynsmyndigheter, domstoler og interne samt eksterne revisorer på at rettslige krav er oppfylt. Særlig viktig er det at prosessene, tiltakene og håndteringen av eventuelle brudd er transparente og kan etterprøves, slik at full bevisføring er mulig ved kontroll eller tvist.
Hvilke rettslige konsekvenser truer ved mangelfull eller manglende compliance-gjennomgang?
Dersom compliance-gjennomganger gjennomføres utilstrekkelig eller ikke utføres i det hele tatt, truer betydelige rettslige konsekvenser for virksomheten og dens ansvarlige. Disse varierer fra tilsynsmessige tiltak til betydelige bøter og kan i ytterste konsekvens omfatte strafferettslig forfølgelse av ledelsen etter §§ 130, 30 OWiG (lov om administrative overtredelser) eller § 266 StGB (troskapsbrudd). Allerede ved uaktsomhet kan det utløses sivilt erstatningsansvar – for eksempel i form av erstatningskrav fra skadelidte tredjeparter. Særlig relevant er også internasjonal straffe- og sivilrett, for eksempel ved brudd på sanksjoner eller embargoer, der det i tillegg kan oppstå betydelig omdømmetap for virksomheten.
Hvor ofte må compliance-gjennomganger gjennomføres etter gjeldende lovgivning?
Hyppigheten av compliance-gjennomganger avhenger sterkt av de gjeldende lovkravene og risikoprofilen til den enkelte virksomhet. Mens GwG for eksempel krever en tilstrekkelig og risikobasert overvåking og kontroll, krever andre lover periodiske, minst årlige kontroller (f.eks. i banksektoren etter MaRisk og KWG). Ved spesielle hendelser – som fusjoner, oppkjøp, identifisering av særskilte risikoer eller mistanke om lovbrudd – kan ekstraordinære gjennomganger være nødvendig. Den konkrete kontrollfrekvensen må derfor fastsettes i henhold til lovkrav, egen risikovurdering og, om nødvendig, i samråd med tilsynsmyndigheter, og dokumenteres.
I hvilken grad er bruk av eksterne tjenesteytere juridisk tillatt ved compliance-gjennomgang?
Bruk av eksterne tjenesteytere som revisjons- eller advokatkontorer for gjennomføring eller bistand ved compliance-gjennomgang er i utgangspunktet juridisk tillatt og ofte tilrådelig for å sikre spesialkompetanse og uavhengighet. Det juridiske ansvaret for gjennomføring og særlig for korrekt implementering og oppfølging av kontrollresultatene forblir likevel alltid hos virksomheten eller ledelsen selv. Det må spesielt påses at avtalte forhold, som for eksempel personvern (GDPR), taushetsplikt og instruksjonsmyndighet, er tydelig regulert. Det kan være juridiske utfordringer å bruke eksterne tjenesteytere dersom lovpålagte kontrollplikter uttrykkelig er forbeholdt et organ i virksomheten eller spesifikke interne funksjoner.
Hvilken rolle har tilsynsmyndigheter i kontroll og overvåking av compliance-gjennomgang?
Tilsynsmyndigheter som Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eller de ansvarlige statlige personvernmyndighetene har omfattende fullmakter til å kontrollere gjennomføring og dokumentasjon av compliance-gjennomganger. De kan kreve fremleggelse av rapporter, interne retningslinjer og dokumentasjon, gjennomføre stedlige inspeksjoner og gi pålegg eller ilegge bøter ved brudd. I enkelte bransjer er også regelmessig rapportering til tilsynsmyndighetene påbudt. Samarbeid med myndighetene og samvittighetsfull, revisjonssikker dokumentasjon av alle compliance-tiltak er derfor avgjørende for å oppfylle lovpålagte forpliktelser.