Compliance: hvad betyder det for bestyrelsen?

Det er bestyrelsens ansvar at sikre, at virksomheden overholder den lovgivning, den er underlagt. Derfor er compliance-sporet helt centralt for hvilket som helst bestyrelsesmedlem. Men hvad dækker compliance over, hvordan undgår man problemer, og hvordan sikrer man, at virksomheden overholder den lovgivning, den skal følge, og de politikker, man har fastlagt internt? Til at besvare disse spørgsmål har vi til dette blogindlæg interviewet underviser i Board Institutes Alumni netværk & partner ved Leave a Mark Consulting Group, Claus Thomsen.

  • Hvad er compliance?

Claus: ”Den mest basale definition er at sikre sig, at man overholder lovgivningen. Og det skal bestyrelsen forholde sig til, fordi det i sidste ende er bestyrelsens ansvar, at virksomheden overholder lovgivningen.”

  • Hvordan identificerer man potentielle compliance-risici i sin virksomhed?

Claus: ”Man sørger for at lave risikovurderinger af alle de risici, man har i virksomheden. Det kan være alt lige fra risikovurderinger af en leverandør, et system, en proces eller udefrakommende trusler. Alt kan man jo sige. Risikovurderingen er lidt en disciplin, som man kører sideløbende med compliance. Normalt skiller man dem ad i et risiko-spor og et compliance-spor, hvor compliance er opfølgning på, at man har gjort noget ved de risici, man har fundet.”

  • Hvad hvis man halter lidt i risiko-sporet og ikke får gjort sit arbejde ordentligt? Hvordan kan man rette op på det?

Claus: ”Man kan jo starte med at kigge lidt på, hvad der er best practices. Sjovt nok kommer alle jo i mål med regnskaberne, og regnskabet er jo også compliance – der er lovgivning, du skal følge, og det skal gøres på en bestemt måde, så det er næsten det mest firkantede eksempel på compliance, vi har. Det er jo compliance med finanslovgivningen.”

  • Hvordan sikrer man så som bestyrelsesmedlem, at man følger de best practices, du nævner?

Claus: ”Min anbefaling vil typisk være at finde en standard at holde sig til i stedet for at opfinde den dybe tallerken. Det kommer jo så an på, hvad man vil være compliant indenfor – om det er informationssikkerhed, ESG eller CSR eller hvad det nu end er, så findes der jo stort set standarder på alle områder. Og det giver rigtig god mening at holde sig til en eller anden typisk standard. Det er en fordel, for så kender ens kunder og leverandører ens standard, og så kan de og du nemmere holde overblik over, at I hver især følger lovgivning.”

  • Forestil dig et helt nyt bestyrelsesmedlem står foran dig. Vedkommende har identificeret, at bestyrelsen ikke er tiptop på compliance, og vil derfor gerne rette op på dette. Hvad er dit bedste råd til vedkommende?

Claus: ”Hvis jeg skal være helt ærlig, så er mit bedste råd nok at sikre sig, at man har virkelig godt styr på sin risikovurdering, for det er dét, der sikrer rettidig omhu. Det er også der, vi typisk ser, at det halter mest i de danske bestyrelser.”

  • Hvordan overvåger og efterlever man bedst sine politikker?

Claus: ”En stor del vil være bundet op på lovgivning, hvor man typisk kører en intern eller ekstern årligt overblik – det, man kalder et kontrolrammeværk. Hvor man kontrollerer, at man rent faktisk overholder det, man siger i sine politikker og procedurer. Det sammenlagt med risikovurdering skulle gerne vise, at man har styr på sin virksomhed.”

  • Hvilke udfordringer ser du i fremtiden for compliance i danske virksomheder?

Claus: ”Der bliver mere behov for at have fokus på compliance, netop fordi lovgivningen bliver strammere og strammere på dette område. Der er meget ny lovgivning (NIS2) på vej, som man skal dokumentere, at man overholder. Og ligesom GDPR, så følger der med NIS2, at man har ansvar for hele sin leverandørkæde. Så man skal sikre sig, at ens underleverandører har styr på tingene. Derfor vil der være et større behov for dokumentation, som har ret stor betydning for ret mange virksomheder langt ned i værdikæden. Vi har f.eks. kunder helt ned i størrelsesordenen af 15 ansatte.”

  • Hvad er det bedste compliance-råd, du kan give til vores læsere der gerne vil sikre sig, at compliance ikke bliver et problem?

Claus: ”Det er jo svært at sikre, at det aldrig bliver et problem, men jeg tror, mit bedste råd vil være, at man ikke tænker compliance som en omkostning for virksomheden. Det skal helst være med til at skabe værdi for virksomheden. Der er rigtig mange, der ser compliance som en omkostning, fordi det er lovgivning, der bliver påduttet virksomheden, men rigtig mange gange kan compliance også være med til at strømline og effektivisere processerne rigtig meget. Og hvis man implementerer det rigtigt, så er det ikke nødvendigvis en større arbejdsbyrde, end det var i forvejen. Så mit største og bedste råd er at sikre sig, at compliance bliver implementeret, så det skaber værdi i stedet for bare at være en ekstra omkostning. Vi ved alle sammen, at omkostninger vil vi gerne undgå, og derfor vil de ikke have topprioritet. Så hvis du i stedet kan få det ind som en del af dagligdagen, og det kan skabe værdi og dermed en effektivisering. På den måde sikrer man også, at man rent faktisk overholder kravene, og det ikke bliver noget, man finder ud af, om man gør en gang om året. Et andet råd er, at man skal holde sig godt opdateret på, hvad fremtiden byder. Der kommer rigtig meget ny lovgivning, så som bestyrelsesmedlem er det rigtig vigtigt at holde sig opdateret på mange af de ting her, som kan ramme bestyrelsen direkte.”

Og lad os gribe denne tråd. At holde sig opdateret er noget af det, vi bryster os af med bestyrelsesuddannelsen, så i al ydmyghed kunne en bestyrelsesuddannelse måske være den rette måde for dig at holde dig opdateret på. I så fald er du velkommen til at kontakte CEO Marius Sangild på ms@jackie-phillip.dk