Kravet er ubønhørligt, og det vokser: Virksomheder skal kende og implementere et stadigt mere omfattende regelsæt. I dag er efterlevelsen af regler, compliance, blevet en faglig disciplin i sin egen ret, og der er historisk stor efterspørgsel efter compliance-medarbejdere.

Den helt store aftager er finanssektoren, der traditionelt er underkastet reguleringer for at forhindre skattesnyd, hvidvask, terrorfinansiering og andre dårligdomme. En finanskrise afløses normalt af øget regulering, og det er også tilfældet i denne omgang. Financial Times kunne for et par år siden fortælle, hvordan storbanker på begge sider af Atlanten brugte milliarder af dollar på compliance. Fx voksede den britiske finanskoncern HSBC’s compliance--afdeling i årene efter finanskrisen fra 2.000 til 5.000 ansatte.

”Hvis Danske Bank skulle have ansat procentuelt lige så mange medarbejdere som HSBC, ville det svare til halvdelen af en årgang på kandidatuddannelsen i jura på KU,” forklarer Nikolaj Klein, adm. direktør i rådgivningsvirksomheden Financial Compliance Group (FCG).

I dag har HSBC mere end 7.000 ansat i compliance, og sidste år meddelte Nordea, at man oprustede fra 400 til 1.000 medarbejdere på dette område.

Find fejlene på forhånd

Men det er ikke kun i omfang, disciplinen har ændret sig. Det er også arbejdets betydning og karakter.

”I gamle dage var compliance måske en støvet funktion i et baglokale, men i dag er den tættere på forretningen og på topledelsen. Det er den eneste funktion, der har en direkte linje til bestyrelsen,” siger Nikolaj Klein.

Hos revisionsvirksomheden PwC ser man samme udvikling.

”Vi har i de sidste 15 år set en tydelig trend væk fra den ’gamle’ compliance--skole, hvor du kun var en intern revisor. Du skal i dag være i stand til at tolke og formidle lovgivningens formål og principper og få dem til at gælde for forretningen. Og din tilgang skal være risikobaseret,” siger Jørgen Sørensen, partner hos PwC Danmark.

Risikovurdering er et centralt element i moderne compliance. Det handler om at forhindre fejl, og derfor skal virksomhed og myndighed identificere de størst mulige afvigelser og dermed risici for forretningen.

”Risikobaseret compliance har været på vej længe og bliver nu tydeligt udmøntet i nye reguleringer som persondataforordningen. Du skal også bruge compliance som et prioriteringsværktøj, hvor du fokuserer indsatsen dér, hvor den har den største konsekvens for objektet, det vil sige borger eller kunde,” lyder det fra Jørgen Sørensen.

Da konsekvenserne kan være enorme for en finansvirksomhed, er compliance i dag en meget vigtig del af forretningen.

”I Sverige bliver der givet bøder op til 50 millioner kroner. Én ting er bødernes størrelse, men også omdømmerisikoen og dermed konkurrenceevnen vejer meget tungt,” siger Nikolaj Klein fra FCG.

Compliance er en mesterlære

Moderne compliance handler derfor om at forstå ikke kun reglerne, men også den virkelighed, hvor de skal efterleves.

”Du skal selvfølgelig kunne teorien, men det er ikke tilstrækkeligt. Du skal også være en god forhandler. En dygtig compliance officer kan opretholde både compliance og en god konkurrenceevne. Det kræver både overblik, integritet og gennemslagskraft at sidde med nogle aktiehandlere og få dem til at navigere på den rigtige måde,” siger Nikolaj Klein.

Hvem arbejder så med compliance? Den mest populære kategori er ikke overraskende jurister fulgt af revisorer, men der findes ingen skræddersyet baggrund, siger Nikolaj Klein, der betegner compliance som en mesterlære, fordi jobbet omfatter så meget mere end kun det juridiske.

Den vurdering deler Heidi Højmark Helveg, partner hos advokatfirmaet Horten. Jura er ikke nok, men det er trods alt en god begyndelse, hvis man har compliance-ambitioner.

”Når man nu er uddannet til at forholde sig til lovstof, så er jura en værdifuld basiskompetence. Derfor har mange virksomheder også forankret compliance i den juridiske afdeling. Det er imidlertid også her, der kommer nogle udfordringer, fordi compliance handler om mere end regler. Din tilgang skal være, at der skal findes en løsning. I stedet for bare at sige nej, så sig ’nej, men hvad med at prøve denne model?’ Forretningen skal se dig som en sparringspartner.”

Derfor er den vigtigste enkeltstående kvalitet hos den juridisk kompetente compliance-medarbejder evnen til formidle, siger Heidi Højmark Helveg.

”Du skal være rigtig god til at kommunikere. I virkeligheden skal du bare forklare tingene til forretningen. Mange har en fordom om jurister, at de helst vil sige det på den sværest mulige måde. Hvis du kan bevise det modsatte, er du kommet langt med compliance.”

Kunstig intelligens skal hjælpe

En afgørende rammebetingelse for compliance-faget er den allestedsnærværende digitalisering. Her handler udfordringen i høj grad om automatisering.

RegTech (Regulatory Technology) hedder åbenbaringen, som compliance-ramte virksomheder, specielt i finanssektoren, sætter deres lid til. Kunstig intelligens i avanceret software kan verificere oplysninger hurtigere og mere sikkert, end det er menneskelig muligt. Der er dog grænser for, hvor meget der kan automatiseres, siger Nikolaj Klein fra FCG.

”Automatiske kontroller og påmindelser er gode værktøjer, men du kan ikke lære en maskine at drive en forretning. Der skal et menneske til for at forstå reglernes indvirkning på fx en bank.”

Og som om det ikke var nok, venter en endnu større omvæltning, en helt ny slags verificering: Blockchain. Det er teknologien bag den digitale valuta Bitcoin og af The Economist udråbt som den største begivenhed i finansverdenen siden opfindelsen af debet og kredit. Blockchain tilbyder en unik dokumentationsform, hvor data efter registrering hverken kan blive slettet eller ændret.

Finanssektoren er opmærksom på teknologien, og bl.a. Deutsche Bank forventer at lancere de første løsninger i slutningen af 2017. World Economic Forum forventer, at blockchain vil tegne sig for 10 procent af den globale økonomi i 2027.

Persondataforordningen truer

På den korte bane er den største compliance-udfordring af alle dog nok EU’s persondataforordning, som træder i kraft den 25. maj 2018. Mens det traditionelt er forbeholdt brancher som finans og medico at skulle indrette forretningen i henhold til reguleringer, gælder persondataforordningen nemlig virksomheder over en bred kam. Den markerer et nyt paradigme for håndtering af persondata, idet virksomheden principielt kun låner eller lejer brugerens data i en begrænset periode, hvor de skal håndteres ansvarligt og sikkert. 

Samtidig er bødestørrelsen op til fire procent af den globale omsætning. Indtil videre har overtrædelser af persondataloven højst kostet i størrelsesordenen 25.000 kroner. For mange virksomheder er persondataforordningen en ny oplevelse og derfor en udfordring, siger Jørgen Sørensen, partner hos PwC.

”Der har ikke tidligere været samme slags lovgivning, og mange virksomheder skal løfte sig rigtig meget, når det kommer til compliance og persondataforordningen. Den stiller nogle strenge krav, og lige nu er der et meget stort modenheds-gap, der skal lukkes. Derfor er der ekstremt stor efterspørgsel efter jurister med forstand på persondata.” 


Foto: Jacob Nielsen

”Ikke en sur pligt”

Compliance er i sin kerne god governance og skal være solidt forankret i ledelsen, mener cand.merc.jur. Line Mølgaard Henriksen.

Mens de tunge finansvirksomheder pr. definition er udstyret med store interne compliance-afdelinger, skal små og mellemstore firmaer ofte finde en balance mellem interne funktioner og outsourcing. Hos Formuepleje A/S valgte man insourcing, og Line Mølgaard Henriksen er Head of Legal and Compliance.

”Vi havde outsourcet compliance til et advokatkontor, men besluttede at blive selvkørende,” fortæller den 30-årige cand.merc.jur., hvis afdeling består af i alt fire personer, hvoraf de to primært arbejder med compliance hos Danmarks største privatejede kapitalforvalter med 70 medarbejdere.

”Compliance spiller en vigtig rolle i en virksomhed som vores, og jobbet er meget varieret. Vi arbejder ud fra en risikobaseret tilgang og med udgangspunkt i et compliance-årshjul for så vidt angår de løbende kontroller, risikovurderinger og stikprøver. Men der er altid noget på ad hoc-basis som etablering af nye produkter og samarbejdspartnere eller nye reguleringer som hvidvaskloven eller persondataforordningen.”

For Line Mølgaard Henriksen er compliance lige så meget et spørgsmål om kommunikation som kontrol.

”Compliance skal ikke ses som en sur pligt, men som god governance. De fleste regler giver mening, når de bliver forklaret ordentligt, også ud fra et forretningsperspektiv. Det handler ofte om god skik og om at beskytte forbrugeren, det vil sige kunderne. Det er mit job at forklare rationalet bag reglerne og sammen med forretningen finde den bedste løsning i praksis.

Derfor skal compliance inddrages fra starten og fra toppen, siger Line Mølgaard Henriksen.

”Udviklingen inden for compliance stiller stadig større krav til den øverste ledelse om at forstå mekanismerne og giver dem et værdimæssigt afsæt. Det er en del af forretningen, og det skal vi bruge. Fx bliver vi inddraget på et tidligt tidspunkt i processen i forbindelse med nye samarbejdspartnere eller produktudvikling. Dermed minimerer vi utilsigtede problemer senere i processen.” 

Foto: Jacob Nielsen

”Du skal have en stærk integritet”

Bjørn Wegener har arbejdet med compliance, stort set siden han blev cand.jur. i 2002. For ham handler det ikke kun om regler, men i høj grad også om adfærd.

Den compliance-ansvarlige hos Nordea Danmark, Bjørn Wegener, har altid godt kunnet lide krydsfeltet mellem økonomi og jura. Og han sætter pris på at være generalist med mange berøringsflader.

”Compliance er risikoen for, at vi ikke lever op til interne såvel som eksterne regler. Hvis vi ikke gør det, kan vi skade vores kunder, samfundet og os selv. Vi arbejder med at skabe rammer, så vi ikke bliver eksponeret til den risiko.”

Banker har altid arbejdet med compliance, men disciplinen har ændret sig meget i det nye årtusind. Der er sket en markant professionalisering af funktionen med bedre kompetencer og mere effektive værktøjer, påpeger Bjørn Wegener. Hos en storbank som Nordea er compliance da også en omfattende affære med indbyggede sikkerheder. ”Banken er indrettet med ’three lines of defense’. Den første forsvarslinje er forretningen, der har ansvar for at leve op til reglerne. Den anden forsvarslinje er kontrolfunktioner som Group Compliance og Group Operational Risk, der refererer til ledelsen, og den tredje forsvarslinje er Group Internal Audit, der refererer direkte til bestyrelsen.”

De tre forsvarslinjer skal identificere fejl, men det er bedre at undgå fejlene i første omgang, og derfor handler compliance også om formidling, siger Bjørn Wegener.

”Vores udgangspunkt er en kombination af lovgivningen og forretningen. Vi oversætter lovgivningen til standarder og procedurer, som vi uddanner og træner forretningen i.”

Empati og integritet

Det er også oversættelsesfunktionen, iblandet en god portion etik, der er omdrejningspunktet i samarbejdet med forretningsenhederne i banken.

”På den ene side skal vi forklare lovgivningen til forretningen. På den anden side skal vi kunne sætte os ind i deres arbejdssituation og sammen skal vi finde en løsning. Derfor skal du have empati og gode kommunikationsevner. Men du skal også have en stærk integritet, en principfasthed, når nu man har identificeret nogle risici i forretningen.”

God compliance er derfor ikke kun et spørgsmål om regler, men også om adfærd.

”Hele grundlaget for risk og compliance management er at have en stærk kultur i organisationen, gennem hele værdikæden. Det skal være en del af medarbejderens DNA at forholde sig til kravene og de risici, de indebærer. En stærk compliance-kultur er kendetegnet ved transparens og læring af fejl.”