Beskytt bedriften mot misligheter

Mange bedrifter rammes hvert år av ulike typer misligheter, både ved kriminalitet rettet mot bedriften fra eksternt hold, og ved misligheter utført av ansatte. Artikkelen belyser noen gjennomgående årsaker til at bedrifter rammes av økonomisk kriminalitet, og gir innspill til hvilke tiltak bedrifter bør ha på plass for å unngå å rammes.

Publisert:

En gjenganger i svært mange av sakene der bedrifter rammes av økonomisk kriminalitet, er fravær av risikovurderinger og dertil mangelfulle rutiner og retningslinjer. I en undersøkelse i regi av Næringslivets Sikkerhetsråd var det bare 28 % av bedriftene som hadde foretatt en skriftlig risikovurdering av kriminalitet i eller mot virksomheten. En gjennomgående svakhet er også manglende etterlevelse av de rutinene og retningslinjene som er fastsatt.



Enkelte synes å mene at etablering av forsvarlige rutiner og tiltak for å unngå å rammes av misligheter først og fremst er egnet til å påføre bedriften unødvendige kostnader. Dette er en misforstått vurdering av effekten av fornuftige kontrolltiltak. I tillegg til den åpenbare positive effekten ved å sikre bedriften mot å rammes av misligheter, vil gode rutiner også kunne bidra til økt lønnsomhet og høyere effektivitet i bedriften.

Trusselbildet
Det er et stort spenn i hva slags økonomisk kriminalitet bedriftene kan rammes av. Ut fra anmeldelsesstatistikken er ulike typer bedragerier i klar overvekt. Type virksomhet, hvordan bedriften er organisert og hvor virksomheten drives, er eksempler på forhold som påvirker trusselbildet.

Det er viktig å merke seg at trusselbildet som møter den enkelte bedriften, er under stadig forandring. Interne og eksterne risikofaktorer endrer seg over tid, eksempelvis ved bedriftsinterne endringer, ved teknologiske endringer eller ved samfunnsmessige endringer.

Det eksterne trusselbildet har endret betydelig karakter de senere årene. Økt globalisering av næringslivet har eksempelvis økt risikoen for ulike typer arbeidsmarkedskriminalitet. Tilsvarende har økt digitalisering og økt bruk av datateknologi resultert i en vesentlig økning i risikoen for å rammes av ulike typer datakriminalitet.

For bedriften kan konsekvensene av å rammes av datakriminalitet være svært ødeleggende. Virksomhetene har ofte manglende fokus på digitale trusler de kan utsettes for og hvilke tiltak som bør iverksettes for å oppnå forsvarlig datasikkerhet.

Selv om eksterne trusler viser en voksende tendens, bør risikovurderingen selvsagt også dekke bedriftsinterne risikoforhold. Kontrolltiltakene som iverksettes, må etableres ut fra en samlet risikovurdering av både interne og eksterne risikofaktorer.

Hva går galt?
Økonomisk kriminalitet gjennomføres på en rekke måter – eksempelvis i form av eksternt utførte bedragerier, ved underslag utført av ansatte, ved dataskadeverk, ved korrupsjon eller ved hvitvasking. Selv om sakene har mange ulikheter – både i størrelse og metode – er det likevel noen svakheter som går igjen – og som er grunnleggende årsaker til at bedrifter rammes:

  1. Fravær av tydelig ledelse («tonen fra toppen»)
  2. Mangelfull risikoanalyse
  3. Mangelfull internkontroll
  4. Svake rapporteringsrutiner
  5. Mangelfull oppfølging/etterlevelse

Nedenfor vil jeg kort kommentere hvert av disse forholdene.

Fravær av tydelig ledelse
Det er styret og den daglige ledelsen som er ansvarlige for at bedriften etablerer rutiner og kontrolltiltak for å hindre og avdekke misligheter, og for å påse at rutiner og internkontroll etterleves i det daglige. Det er viktig at styret og ledelsen er pådrivere for å sikre at virksomhetens rutiner og retningslinjer overholdes. Fravær av tydelig ledelse med hensyn til å følge rutiner og retningslinjer vil raskt smitte over på øvrige virksomhetsledd i bedriften. Resultatet kan bli betyde-lig svekket internkontroll og økt risiko for å rammes av misligheter. Fastsettelse av etiske retningslinjer kan være et ledd i tydelig ledelse.

Mangelfull risikoanalyse
Mangelfull risikoanalyse er en gjenganger i saker der det avdekkes økonomisk kriminalitet. For å sikre at det etableres forsvarlige og målrettede kontrolltiltak, må det foretas en grundig risikoanalyse. Formålet med risikoanalysen er å kartlegge hvilke mislighetstrusler bedriften er utsatt for. Kartlegging av risiko kan med fordel splittes på bedriftens ulike virksomhetsområder. Det er viktig å involvere de ansatte i risikovurderingen.

Risikobildet vil aldri være statisk. Både eksterne og interne risikoforhold vil endres over tid. Det er derfor viktig at risikovurderingen oppdateres løpende.

Mangelfull internkontroll
I mange saker ser vi dessverre at styret og den daglige ledelsen ikke har sørget for etablering av forsvarlig internkontroll. Svak eller manglende internkontroll gir vesentlig større risiko for å rammes av misligheter enn der forsvarlige kontrollrutiner er på plass. Med basis i en grundig risikovurdering må det utformes og iverksettes forsvarlige kontrolltiltak. Kontrollrutinene etableres ut fra en vurdering av sannsynlighet og konsekvens av de identifiserte risikoene for å utsettes for misligheter.

Kontrollene kan enten virke forhindrende eller oppdagende. Forhindrende kontroller avverger at feil og mangler oppstår, mens oppdagende kontroller skal avdekke misligligheter og feil som ikke er avverget av de for hindrende kontrolltiltakene.

Svikt i grunnleggende internkontroll er en sentral faktor for at gjennomføring av misligheter skal være mulig. Disse svakhetene varierer selvsagt fra sak til sak, blant annet ut fra type virksomhet og hvordan virksomheten er organisert. Noen svakheter dukker imidlertid opp i svært mange saker der det avdekkes misligheter:

  • Enkeltpersoner som disponerer bankkonti alene
  • Mangelfulle attestasjonsrutiner av inngående fakturaer
  • Nøkkelpersoner med vide fullmakter – uten etterfølgende kontroll (dette kan gjelde alt fra kontraktinngåelser, fakturagodkjenning, bankfullmakt, regnskap/rapportering osv.)

Svake rapporteringsrutiner
Bedrifter med manglende fokus på internkontroll kjennetegnes også ofte ved mangelfulle rapporteringsrutiner. Dekkende rapporteringsrutiner sikrer effektiv og målrettet styring av bedriften. I tillegg vil forsvarlige rapporteringsrutiner bidra til å forhindre misligheter. En gjennomtenkt nøkkeltallsrapportering som overvåkes jevnlig, kan bidra til at feil og mislig-heter avdekkes på et tidlig tidspunkt.

Manglende oppfølging og etterlevelse
Fastsatte rutiner og internkontroll har liten verdi hvis de ikke etterleves i det daglige. Styret og daglig ledelse har et betydelig ansvar for å sikre nødvendig etterlevelse.

Det er viktig at det jevnlig gis opplæring/trening i bedriftens rutiner og retningslinjer. Det er også nyttig med praktisk trening som fokuserer på hvordan man skal forholde seg i gitte situasjoner, for eksempel trening i å identifisere røde flagg.

Røde flagg
Ved den løpende driften bør bedriften være aktsom på forhold som peker i retning av mulig økonomisk kriminalitet. Avdekking av slike indikatorer – røde flagg – er ikke ensbetydende med at det er begått misligheter. Avdekking av røde flagg krever imidlertid nærmere undersøkelser og/eller rutinetilpasninger, der den videre tilnærmingen vil være betinget av hva slags røde flagg som avdekkes.

En grundig risikogjennomgang er som nevnt viktig for å få på plass hensiktsmessige kontrollrutiner i virksomheten. God internkontroll er avgjørende for å unngå misligheter, men også for å avdekke misligheter eller mislighetsforsøk på et så tidlig tidspunkt som mulig. I denne sammenhengen er det viktig at ansatte i bedriften har tilstrekkelig kunnskap om hva som er å anse som røde flagg.

Røde flagg kan eksempelvis være:

  • Fakturaer/bilag med mangelfull teksting eller mangelfull dokumentasjon
  • Unødvendig komplisert/uoversiktlig bokføring
  • Manglende vilje til arbeidsdeling
  • Manglende åpenhet rundt kontraktsinngåelser
  • Konsulentavtaler/agentavtaler med uklart oppdragsinnhold
  • Avtaler med bedrifter med uklare eierforhold
  • Unødvendig kompliserte transaksjoner
  • Ekstraordinære utbetalinger med hastepreg
  • Transaksjoner til/fra lavskatteland
  • Mangelfulle ansettelseskontrakter

Listen kan gjøres vesentlig lenger. Hva som er aktuelle røde flagg, må vurderes ut fra en rekke forhold, blant annet ut fra type virksomhet, hvor virksomheten drives og hvordan driften er organisert. Både eksterne og interne risikoforhold vil ha betydning i denne vurderingen.

Varslingsapparat
Undersøkelser viser at økonomisk kriminalitet oftest avdekkes gjennom mottak av tips/varsler. For å sikre at misligheter avdekkes så tidlig som mulig er det derfor viktig med et velfungerende varslingssystem. Et velfungerende varslingsapparat vil også ha en preventiv effekt og kan forhindre at misligheter forsøkes gjennomført.

Arbeidsmiljøloven pålegger virksomheter med minst fem arbeidstakere å ha rutiner for intern varsling om kritikkverdige forhold. For å sikre tillit og forsvarlig behandling av varsler kan bedriften etablere en ekstern kanal for mottak av varsler. Mange revisjons- og rådgivningsfirmaer og advokatfirmaer tilbyr ulike former for varslingstjenester.

Ti sentrale tiltak
Som nevnt er manglende fokus på risiko og dertil mangelfulle kontrolltiltak gjennomgående årsaker til at bedrifter rammes av misligheter.
For å sikre seg mot misligheter må bedriften:

  1. Etablere etiske retningslinjer
  2. Gjennomføre risikoanalyse
  3. Etablere forsvarlig internkontroll
  4. Påse at ledelsen går foran
  5. Gjennomføre prekvalifisering av forretningsforbindelser
  6. Etablere gode rapporteringsrutiner
  7. Etablere antikorrupsjonsregelverk
  8. Innføre varslingsordning
  9. Snakke med revisor
  10. Gjennomføre årlig oppdatering av og opplæring i regelverk/rutiner

Omfanget av tiltakene som iverksettes, må tilpasses den enkelte bedriften.

Styret og daglig ledelse har det overordnede ansvaret
Det er styret og den daglige ledelsen som har det overordnede ansvaret for å sørge for en forsvarlig forvaltning av selskapet. Som del av dette ansvaret påligger det styret og den daglige
l edelsen å etablere rutiner og kontrolltiltak som forhindrer og avdekker økonomisk kriminalitet. Mangelfull ivaretakelse av forvaltningsansvaret kan ha erstatningsmessige og straffemessige konsekvenser.

I boken «Økonomisk kriminalitet – trusler og tiltak», forfattet av Barbro Bruu og undertegnede (Gyldendal, 2019), gis en bredere gjennomgang av hvordan bedriften bør gjennomføre tiltak for å unngå å rammes av misligheter. I boken gjennomgås blant annet konkrete sakseksempler som viser hvordan kontrollmessige svakheter har muliggjort ulike typer økonomisk kriminalitet, og hvordan mislighetene kunne vært unngått hvis konkrete tiltak hadde vært iverksatt.

Har bedriften lav kompetanse på området, kan det være fornuftig å snakke med revisor eller en rådgiver for å sikre at det etableres forsvarlige rutiner og kontrolltiltak i bedriften.