Sådan sikrer bestyrelsen selskabets compliance-procedurer

Bestyrelser har fået et øget fokus på compliance-relaterede forhold og på risikoen for at ifalde bestyrelsesansvar, hvis noget i selskabets compliance-procedurer måtte svigte. Advokat og partner i Plesner Jacob Christensen skriver i Børsen Ledelse om Compliance og risikostyring set fra bestyrelsens perspektiv.

Mange bestyrelser har fået et øget fokus på compliance-relaterede forhold og på risikoen for at ifalde bestyrelsesansvar, hvis noget i selskabets compliance-procedurer måtte svigte eller vise sig ikke at være i orden med tab for selskabet eller andre til følge.

Bestyrelsen skal som én af sine grundlæggende opgaver have etableret de fornødne procedurer for risikostyring og interne kontroller. Bestyrelsen skal endvidere sikre sig, at man modtager fornøden rapportering om selskabets finansielle forhold og påse, at direktionen udøver sit hverv på behørig måde og efter bestyrelsens retningslinjer. Dette følger af Selskabsloven.

Men en ting er lov − noget helt andet er praksis. Den store udforing for mange bestyrelser er, hvordan de i det daglige bestyrelsesarbejde får skabt de bedst mulige compliance-procedurer i selskabet.

Identificering af risikoområder

Udviklingen i samfundet med øget og mere kompleks regulering og stigende bødeniveauer på en række områder betyder, at bestyrelserne generelt må dedikere en større del af deres tid på compliance-relaterede forhold. Det er i stigende grad afgørende at foretage en kritisk analyse af, om selskabets regelsæt og kontrolprocedurer er tilstrækkelige til at sikre, at bestyrelsen ikke er eksponeret mod ansvar.
 
Det er vigtigt, at identifikationen af relevante risici sker på grundlag af en generel 360 graders vurdering, så alle relevante forhold inddrages. Eksempelvis kan en grundig analyse af forhold som positionsrisici, modpartsrisici og risikoen for besvigelser, "abnorme skridt" eller menneskelige fejl ofte bringe forhold for en dag, som kan overraske selv en grundig og velinformeret bestyrelse.

Samtidig kan forhold som identifikation af de relevante risikotagere og vurderingen af, om der måtte foreligge en uhensigtsmæssig positiv eller negativ incentivering af disse, måske afsløre hidtil ukendte eksponeringsområder. Visse compliance-relaterede forhold − et eksempel kunne være de børsnoterede selskabers oplysningsforpligtelser − har karakter af "365/24/7"-forpligtelser, hvor der på den ene side skal handles "straks", og hvor på den anden side selv små fodfejl kan udløse store bødestraffe og risiko for endnu større erstatningskrav.

Redskaber til løbende risikostyring

Når de relevante risikoområder er identificeret, kan bestyrelsen benytte sig af en række redskaber:

  1. Interne regelsæt med procedurer, der tilstræber at sikre, at regler overholdes
  2. Dispositionsbeføjelser, der regulerer hvem, der kan forpligte selskabet i forskellige relationer
  3. Organisatoriske tilpasninger, der sikrer, at der er fornøden og kompetent bemanding i "compliance-kritiske" funktioner
  4. Løbende rapportering, der sikrer, at bestyrelsen kan følge med i og kontrollere, at de udstukne rammer overholdes
  5. Systemiske begrænsninger og advarselslamper, der i hvert enkelt tilfælde understøtter den ønskede risikoprofil

Det er selvsagt afgørende, at der så også fra bestyrelsens side føres passende kontrol med, at disse forskrifter så også efterleves, og at rapporteringen til bestyrelsen giver et relevant billede af selskabets ageren og positionering i forhold til de identificerede risici.

Tilpasning af kontrolintensitet

Hvad angår kontrolintensiteten, må bestyrelsen vurdere om eksempelvis kvartalsvis eller månedlig rapportering om et givet forhold er nok, eller om der er tale om en særlig risiko, der kræver en hyppigere rapportering til bestyrelsen eller anden sikring af, at en given eksponering ikke kan "løbe af sporet".
 
Det er også væsentligt for bestyrelsen at sikre sig, at rapporteringen ikke eksempelvis udgør en "nettorapportering", der kan gemme over betydelige modgående "bruttorisici" og at sikre sig en forsvarlig og relevant bemanding af eventuelle "gatekeepere" (f.eks. en compliance- eller kreditstyringsorganisation), som væsentlige kontrolopgaver er delegeret til.
 
Særlig opmærksomhed bør ofres på områder, hvor analysen har afsløret uklare risikoforhold. Det kan f.eks. være på grund af kompleks eller vanskeligt forståelig regulering, eksotiske markeder eller aktører, uklare eller udetaljerede kontraktforhold eller tilfælde, hvor der foreligger indirekte supply chain eller modpartsrisici, som ikke tidligere har været (klart) identificeret.

Alvorligere konsekvenser

For de fleste bestyrelser er livet ikke blevet lettere, særligt ikke hvad angår behovet for fokus på compliance- og risikorelaterede forhold. Samtidig ser man en bevægelse henimod fokus på muligheden for at gøre et ledelsesansvar gældende i de tilfælde hvor manglende håndtering af sådanne forhold har ført til, at nogen har lidt tab. Det vil sige, at ikke bare er kompleksiteten for bestyrelser blevet større − konsekvenserne for bestyrelsen, hvis noget går galt, kan også blive langt mere alvorlige.
 
Der er således god grund til, at bestyrelsesmedlemmerne har fokus på selskabets regulatoriske og risikomæssige univers og sikrer sig, at man har indført relevante og tilstrækkelige retningslinjer og kontrolprocedurer på dette område.

Seneste nyt om Selskabsret og Commercial Contracts

Selskabsret