Compliance-granskning
Definition och klassificering
Compliance-granskning avser en systematisk process för att kontrollera om interna och externa regler, föreskrifter samt etiska principer efterlevs inom en organisation. Begreppet ”compliance” omfattar efterlevnaden av lagstadgade bestämmelser, avtalsenliga skyldigheter samt interna riktlinjer och uppförandestandarder. Inom ramen för en advokatbyrå syftar compliance-granskningen till att identifiera risker för klientuppdrag, organisationen och anställda samt till att tidigt förebygga överträdelser mot gällande regler.
Roll i byråns vardag: Betydelse och typiska tillämpningsområden
I en advokatbyrås vardag är compliance-granskningen av central betydelse. Den skyddar organisationen och dess klientuppdrag mot juridiska, ekonomiska och ryktemässiga risker. De vanligaste användningsområdena omfattar:
- Granskning vid antagande av nya klientuppdrag (klientintagsgranskning)
- Kontroll av intressekonflikter
- Kontroll av efterlevnad av dataskyddsbestämmelser
- Efterlevnad av yrkesrättsliga föreskrifter
- Genomförande och övervakning av interna riktlinjer (t.ex. för att förebygga penningtvätt)
Compliance-granskningen är inte begränsad till större organisationer utan spelar en viktig roll i advokatbyråer av alla storlekar.
Processer, förlopp eller metoder
Klientintag och intressekonfliktsgranskning
Innan ett nytt klientuppdrag påbörjas sker normalt en compliance-granskning. Här kontrolleras om uppdraget är förenligt med interna och lagstadgade krav. En central del är intressekonfliktsgranskningen. Då jämförs befintliga uppdrag eller relationer med andra parter för att identifiera eventuella motstridigheter mot det nya uppdraget.
Anti-penningtvätt-granskning
Särskilt vid vissa uppdrag, exempelvis vid transaktioner, är det föreskrivet att undersöka potentiell penningtvätt. Information om klienters identitet samlas då in och dokumenteras. Indikationer på misstänkta aktiviteter hanteras enligt lagens krav.
Dataskyddsgranskning
Förvaring och behandling av känsliga uppgifter omfattas av strikta regler. En del av compliance-granskningen är att kontrollera att databehandlingsprocesserna uppfyller bestämmelserna.
Ytterligare granskningar
Beroende på uppdragstyp och byråstruktur kan ytterligare områden, såsom sanktionslistor, anti-korruptionsåtgärder eller hållbarhetskrav, ingå i compliance-granskningen.
Ramar och standarder
Organisatoriska riktlinjer
Byråer fastställer interna riktlinjer och processer som utgör grunden för compliance-granskningar. Ofta finns särskilda vägledningar, checklistor eller digitala verktyg till stöd för standardiserade processer. Ansvaret för utförandet kan överföras till utsedda medarbetare.
Tekniska verktyg
För att stödja compliance-granskningen används i allt högre grad digitala lösningar. Typiska exempel är:
- Databassystem för kontroll av klientintag och intressekonflikter
- Elektroniska arbetsflöden för dokumentation av granskningsstegen
- Verktyg för att förebygga penningtvätt och övervaka sanktionslistor
Vanliga tillvägagångssätt
Standardiserade processer säkerställer att tidsfrister hålls och att dokumentationen är fullständig. Resultaten av compliance-granskningen dokumenteras vanligtvis skriftligt eller digitalt och arkiveras.
Praktisk tillämpning: Hantering i byråns vardag
Compliance-granskningen är en väl etablerad rutin i klienthanteringen och är ofta en obligatorisk del av klientintaget. Medarbetare lär sig vilka granskningssteg som krävs i varje situation och använder mallar, checklistor eller digitala verktyg för att genomföra dem.
I praktiken innebär detta att nödvändiga data och information samlas in innan ett uppdrag accepteras eller påbörjas. Under uppdragets gång kan ytterligare granskningar bli aktuella, exempelvis om nya omständigheter uppstår eller nya lagkrav träder i kraft.
Ämnet är även viktigt vid rekrytering och utbildning av personal: Regelbunden introduktion och fortbildning säkerställer att alla inblandade kan identifiera och undvika regelöverträdelser.
Möjligheter och utmaningar i byråns vardag
Möjligheter
- Riskminimering: Compliance-granskningar säkerställer att risker identifieras i tid och att efterlevnad av lagar och standarder kan påvisas.
- Förtroendeskapande: Strukturerade processer stärker förtroendet från klienter, affärspartners och myndigheter.
- Effektivisering: Standardiserade processer och tekniska hjälpmedel förenklar genomförandet och dokumentation av granskningarna.
Utmaningar
- Komplexitet: Mängden regler och ständiga förändringar kan göra genomförandet krävande.
- Tidskrävande: Noggranna granskningar tar tid, vilket kan vara en utmaning vid snäva tidsfrister.
- Fortbildning: Kontinuerliga förändringar kräver regelbunden information och utbildning av alla anställda.
Vanliga frågor
Vad är syftet med en compliance-granskning? Granskningen syftar till att upptäcka och undvika eventuella brott mot lagar, intressekonflikter och andra risker i ett tidigt skede.Vilken information granskas vid en compliance-granskning? Typiskt granskas personuppgifter och uppdragsrelaterade data, relationer till befintliga klienter samt branschspecifika regler och sanktionslistor.Vem är ansvarig för compliance-granskningen? Ansvar ligger vanligtvis på utsedda medarbetare inom organisationen. Ofta är flera personer involverade i processen, särskilt vid intaget av nya uppdrag.När genomförs en compliance-granskning? En granskning sker särskilt vid antagandet av nya klientuppdrag, men även under pågående uppdrag, exempelvis om omständigheterna förändras eller ny information tillkommer.Varför är compliance-granskningen relevant även för nyanställda? Redan under introduktionen får nya medarbetare kännedom om rutinerna, eftersom granskningen är en del av det dagliga arbetet och en viktig förutsättning för säker och regelkonform hantering av klientuppdrag.Hur kan jag förbereda mig inför compliance-granskningarna? Noggrann introduktion, genomgång av interna riktlinjer samt användning av digitala verktyg och regelbunden fortbildning hjälper till att säkert bemästra relevanta processer.
Vanliga frågor
Vem är enligt lag skyldig att genomföra compliance-granskningar?
Skyldigheten att genomföra compliance-granskningar i Tyskland följer främst av olika lagstadgade bestämmelser, vilka är beroende av bolagsform, bransch samt verksamhetens storlek. Bland annat innehåller penningtvättslagen (GwG), aktiebolagslagen (AktG), lagen om kontroll och transparens inom näringslivet (KonTraG), lagen om tillbörlig aktsamhet i leverantörskedjor (LkSG) samt kreditväsendelagen (KWG) bestämmelser som ålägger företag, banker, försäkringsbolag och andra juridiska personer att vidta lämpliga åtgärder för att säkerställa laglig efterlevnad. Compliance-granskningen spelar här en central roll, då den systematiskt granskar och dokumenterar efterlevnaden av lagstadgade och regulatoriska krav. Underlåtenhet kan leda till kännbara böter, straffrättsliga konsekvenser för företagsledningen samt skadeståndsanspråk.
Vilka juridiska skyldigheter finns för dokumentationen av compliance-granskningar?
För dokumentation av compliance-granskningar finns ett lagstadgat krav, t.ex. enligt handelsbalken (HGB), GwG samt branschspecifika lagar. Enligt § 257 HGB och § 8 GwG ska affärshandlingar, granskningsrapporter och bevis på genomförda compliance-åtgärder sparas under en lagstadgad tidsperiod – vanligtvis sex till tio år. Dokumentationen fungerar som bevis gentemot tillsynsmyndigheter, domstolar samt interna och externa granskare att de rättsliga kraven är uppfyllda. Särskilt viktig är spårbarheten i granskningsprocesserna, vidtagna åtgärder samt upptäckta överträdelser och deras åtgärdande, för att säkerställa obruten bevisföring vid kontroll eller tvist.
Vilka juridiska följder kan otillräcklig eller utebliven compliance-granskning få?
Om compliance-granskningar utförs bristfälligt eller uteblir kan betydande juridiska konsekvenser drabba företaget och dess ansvariga. Dessa sträcker sig från tillsynsåtgärder, kännbara böter till straffrättsligt ansvar för företagsledningen enligt §§ 130, 30 OWiG (förvaltningsrätt) eller till och med § 266 StGB (trolöshet). Redan vid oaktsamhet kan civilrättsligt ansvar – exempelvis i form av skadestånd till tredje part – uppstå. Särskilt relevant är det internationella straff- och civilrättsliga området, exempelvis vid överträdelser mot sanktioner eller embargo, där dessutom stora skador på företagets anseende kan uppstå.
Hur ofta ska compliance-granskningar enligt gällande lagstiftning utföras?
Frekvensen av compliance-granskningar beror på specifika lagstadgade krav och riskprofilen för det aktuella företaget. Medan GwG t.ex. föreskriver en lämplig och riskbaserad kontroll och granskning, kräver andra lagar regelbundna, minst årliga kontroller (t.ex. i banksektorn enligt MaRisk och KWG). Vid särskilda tillfällen – som fusioner, förvärv, identifiering av särskilda risker, misstankar om lagbrott – kan extraordinära granskningar behövas. Den konkreta granskningsfrekvensen ska därför fastställas utifrån rättsliga krav, den egna riskbedömningen och om nödvändigt i samråd med tillsynsmyndigheter och dokumenteras.
I vilken utsträckning är externa tjänsteleverantörer tillåtna vid compliance-granskning ur juridisk synvinkel?
Anlitande av externa tjänsteleverantörer såsom revisions- eller advokatbyråer för att genomföra eller bistå med compliance-granskningar är i grunden rättsligt tillåtet och ofta även rekommenderat för att säkerställa expertkunskap och oberoende. Det juridiska ansvaret för genomförandet och särskilt för korrekt implementering och uppföljning av granskningsresultaten ligger dock alltid kvar hos företaget eller företagsledningen. Särskild uppmärksamhet bör fästas vid att avtalen, exempelvis om dataskydd (GDPR), sekretess och instruktioner, är tydligt reglerade. Rättsliga problem kan uppstå om lagenligt föreskrivna granskningar uttryckligen ska utföras av en intern befattningshavare eller särskilda interna funktioner.
Vilken roll har tillsynsmyndigheter vid kontroll och övervakning av compliance-granskningar?
Tillsynsmyndigheter såsom Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA) eller relevanta dataskyddsmyndigheter på delstatsnivå har långtgående befogenheter att kontrollera genomförandet och dokumentationen av compliance-granskningar. De kan begära in granskningsrapporter, interna riktlinjer och bevis, genomföra platsbesök samt utfärda förelägganden eller böter vid överträdelser. Inom vissa branscher är dessutom regelbundna rapporter till tillsynsmyndigheterna obligatoriska. Samarbete med myndigheterna och noggrann, revisionssäker dokumentation av alla compliance-åtgärder är därför avgörande för att uppfylla lagstadgade skyldigheter.