Advokaten 1
PRAKTISK JURIDIK lyseras och utgöra grunden för r
iskanalysen för att säkerställa att typfallen dokumenteras, men också för att säkerställa att rätt åtgärder vidtas för att hantera dessa grundläggande risker. Inom ramen för denna analys fångas kanske 80 procent av verksamheten upp och de risker som de flesta är medvetna om och förstår. 3.2.4 De resterande 20 procenten, hur hittar man undantagen? När man gör en riskanalys eller när man bildar sig en uppfattning om hur bolaget bedriver sin verksamhet kan det hända att man inte tränger tillräckligt djupt ner i verksamheten, särskilt om det rör sig om en omfattande och global verksamhet. Det finns en risk att analysen stannar på ett bekvämt avstånd från verksamheten för att helikopterperspektivet ska behållas men också för att det kan vara svårt att få fram information om hur verksamheten bedrivs i hela företaget. I verkligheten är det dock så att de verkliga riskerna mycket väl kan finnas bortom huvudfåran av hur verksamheten bedrivs. Detta kan bero på att dessa situationer inte är väl definierade eller organiserade utan ses som undantag som inte är intressanta, eftersom de kanske ur ett finansiellt perspektiv inte påverkar det övergripande resultatet på något påtagligt sätt. Ur ett riskperspektiv kan dessa dock vara väl så intressanta beroende på vilken typ av verksamhet det är fråga om. De kan dock vara svårfångade, och det är därför viktigt att i samband med riskanalysen ge sig ut i verksamheten och försöka leta upp även dessa situationer och risker. 3.2.5 Genomförande av riskanalysen När startpunkten är etablerad och ADVOKATEN NR 7 • 2021 man har skapat en förståelse för hur affären görs, då är det dags att ta sig an själva riskanalysen. Riskanalysen handlar om att omvandla de övergripande observationerna till en beskrivning av de konkreta compliancerisker som bolaget står inför. Huvudsyftet med denna är att genomlysa verksamheten utifrån de parametrar som definierats i bolagets startpunkt och på så sätt skapa sig en mer detaljerad och konkret bild av complianceriskerna. Riskanalysen handlar således om att konkretisera de fyra områden som jag angav ovan. l Var gör bolaget affärer någonstans? Hur ser korruptionsrisken ut i de aktuella länderna generellt? Har de aktuella länderna aktiva myndigheter som utreder korruption eller eventuella överträdelser av konkurrensreglerna? l Vilka kunder har företaget? Har man en kundbas som består av offentliga myndigheter som gör upphandlingar av miljardkontrakt, eller består kundbasen av många små privatägda företag? Ur ett korruptionsperspektiv får du då två helt olika riskprofiler vilka ställer olika krav på regelverk, resurser och uppföljning. l Hur ser vägen till kunden ut? Säljer företaget utan mellanhänder till större företag eller säljer man genom distributörer/ agenter? Om företaget använder mellanhänder måste complianceprogrammet säkerställa att företaget har möjlighet att styra och kontrollera dessa vad gäller compliancefrågorna. l Hur ser relationen till konkurrenterna ut? Är företaget aktivt på en marknad som har identiska produkter, eller har man produkter som har helt skilda egenskaper? Förekommer det täta kontakter inom forskning och utveckling mellan företag eller finns det branschorganisationer? Själva riskanalysen genomförs genom intervjuer med relevanta personer på olika nivåer och inom olika delar av företaget, genom analys av dokumentation, strategidokument, avtal med mera. Utifrån de definierade complianceriskerna kan bolaget bygga sina complianceprogram. 3.3 Implementering av complianceprogram 3.3.1 Utgångspunkter Implementeringen av ditt complianceprogram är nyckeln till framgång, och det är i det dagliga implementeringsarbetet som det verkliga arbetet sker med att förändra och påverka hur ditt företag gör affärer. Implementeringen av complianceprogrammet förutsätter att (i) startpunkten är definierad, inklusive att en korrekt riskanalys är genomförd, och (ii) complianceprogrammet inklusive processer, riktlinjer och annan dokumentation är framtaget. Implementeringen handlar helt enkelt om att få det att hända rent praktiskt. Alla företag kan ta fram ett fullständigt complianceprogram som innehåller alla rätta byggstenar och som är baserat på en god riskanalys med rätt uppföljning. Problemet är att om programmet inte implementeras på ett korrekt sätt har du snarare ökat din risk än minskat densamma eftersom företaget är fullt medvetet om verksamhetens risker men gör inte tillräckligt för att komma till rätta med dem. Implementeringsarbetet bör därRISKANALYSEN HANDLAR OM ATT OMVANDLA DE ÖVERGRIPANDE OBSERVATIONERNA TILL EN BESKRIVNING AV DE KONKRETA COMPLIANCERISKER SOM BOLAGET STÅR INFÖR. » 57