Det tetter seg til med stadig nye krav og plikter som pålegges virksomheter i kampen mot svindel, og svindellandskapet i seg selv er også i rivende utvikling. Å holde seg godt nok oppdatert er viktig, både for å beskytte virksomheten og med tanke på det viktige samfunnsbidraget det er å bekjempe svindel.
Stadig nye krav og plikter i kampen mot svindel
Her ligger mye av utfordringen. Den økende utbredelsen av svindel som trussel gjør det helt nødvendig å skjerme egen virksomhet så godt det lar seg gjøre. Med samfunnsaspektet medfølger lover og reguleringer som gir pålegg og plikter for å beskytte fellesskapets interesser. Disse kan være sammenfallende, men de kan også sprike. Samlet sett utgjør dette et tveegget sverd som er like skarpt i begge ender.
I det siste er det særlig på den regulatoriske fronten at mye har skjedd. Her tar vi for oss noe av det viktigste.
Høyesterettsdom om direktørbedrageri
Da Høyesterett, før sommeren 2024, vurderte spørsmål om bankens erstatningskrav ved direktørbedrageri, ga det viktige føringer. Banken det gjaldt ble ilagt delvis erstatningsansvar i både tingretten og lagmannsretten for en overføring på rundt 130 millioner kroner, men ble frifunnet av Høyesterett.
Dommen gir oss viktige prinsipielle uttalelser om rekkevidden av ansvaret, og hvilke momenter som skal være sentrale i vurderingen. Blant disse er om gjeldende transaksjon(er) var autorisert(e) eller uautorisert(e), og hvilken aktsomhet virksomheten for øvrig har vist.
Det særlig interessante ved dommen er at den synes å gå mot den strømmen vi i senere år har sett på svindelområdet. En stund har mye pekt i retning av et stadig økt ansvar hos finansinstitusjoner og et tilsvarende økt forbrukervern. Det var nok en nødvendig trend i en periode der samfunnet gradvis har avlært seg tidligere tiders naivitet og rigget seg for en stadig økende trussel. Kanskje er det like naturlig dersom pendelen nå snur, og at alle aktører må gå sammen om ansvaret i større grad.
Vi bør likevel være varsomme med å tillegge dommen et bredere anvendelsesområde enn det er grunnlag for. Dommen gjelder autoriserte transaksjoner der skadelidte er en profesjonell part. Uavhengig av hva man måtte mene om dette er dommen et faktum, og den medfører at det for norske virksomheter vil være viktigere enn før å innrette seg på en slik måte at skadeomfanget av svindel begrenses.
Britisk lovgivning med internasjonal rekkevidde
Også utenfor Norges grenser ser vi at kravene til selskapenes forebygging og avdekking av svindel og tilsvarende kriminalitet økes. Det siste i rekken av såkalte «failure to prevent»-rammeverk er i ferd med å tre i kraft i UK som følge av forrige høsts vedtakelse av Economic Crime and Corporate Transparency Act 2023.
Fra tidligere foreligger det regulering av «failure to prevent bribery offence» innført av UK Bribery Act i 2010 og «failure to prevent the facilitation og tax evasion offence» innført av UK Criminal Finances Act i 2017. Sistemann ut er «failure to prevent fraud offence», og formålet er økt ansvarliggjøring av virksomheter i svindelsaker slik forgjengerne gjorde det for korrupsjon og skatteunndragelse.
Når regelverket trer i kraft, vil det som etter britiske Companies Act 2006 defineres som en stor virksomhet kunne bli tiltalt og potensielt bøtlagt der en «tilknyttet person», for eksempel en ansatt, agent eller et datterselskap, begår en svindelhandling som er ment å være til fordel for virksomheten eller enhver person som den «tilknyttede personen» leverer tjenester til på vegne av virksomheten. Dette vil gjelde uavhengig av om ledelsen var klar over at lovbruddet ble begått og, kanskje aller viktigst, kan dette gjelde selv om virksomheten og den «tilknyttede personen» er basert utenfor Storbritannia. Dette er følgelig et regelverk som kan og vil treffe norske virksomheter.
Virksomheter som oppfyller to av tre krav om
- mer enn 250 ansatte,
- rundt 480 millioner kroner i omsetning (omregnet fra GBP) og
- rundt 240 millioner kroner i sum eiendeler (omregnet fra GBP)
vil som et utgangspunkt være omfattet. Ifølge SSB hadde nær 1 000 norske virksomheter oppfylt dette ansattkravet vinteren 2024opens in a new tab, og tallet øker. Brorparten av Norges 500 største virksomheter oppfyller både omsetnings- og ansattkravet med god margin.
Der mor- og datterselskap kumulativt oppfyller kravene vil hele konsernet omfattes. Ansvar skal i så fall kunne knyttes til den enkeltenheten i konsernet som unnlot å forhindre svindelen. Ansvar kan alternativt knyttes til morselskapet for kriminelle handlinger begått av ansatte i et datterselskap til fordel for morselskapet dersom morselskapet ikke tok rimelige skritt for å forhindre det. Nøkkelen ligger i hvorvidt svindelhandlinger som definert i britisk lovgivning, eller svindelhandlinger med britiske skadelidte, er begått.
Den norske økonomien er kjent som en åpen og internasjonal økonomi med omfattende knytninger over landegrensene. Samlet sett tegnes et bilde av et relativt sett ukjent lovverk med bred kontaktflate i norsk næringsliv.
Status i Norge
Skyld- og erstatningsansvar for norske virksomheter som følge av ansattes handlinger er ikke nytt. Arbeidsgiver kan blant annet holdes ansvarlig for ansattes korrupsjonshandlinger. Dette følger av skadeerstatningsloven § 1-6 første ledd. Av særlig interesse her er at dette regelverket oppstiller en internasjonal vinkling med mange likhetstrekk som failure to prevent-rammeverket ved at erstatningsansvaret også kan gjelde tilfeller der «korrupsjonen skjer i utlandet eller der skaden oppstår i utlandet, så fremt den ansvarlige eller dennes arbeidsgiver er hjemmehørende i Norge», slik Erling Grimstad formulerer det.
Tilsvarende kan arbeidsgiver fritas for erstatningsansvaret dersom «alle rimelige forholdsregler» kan påvises å være iverksatt. Hva som vil omfattes av arbeidsgiverbegrepet er trolig noe snevrere enn det britiske begrepet «tilknyttet person», men likhetene er mange.
Slik kan eksponerte selskaper møte kravene
Hvordan kan eksponerte selskaper imøtegå og etterleve kravene failure to prevent-rammeverket stiller? Nøkkelen ligger i det som betegnes som «reasonable procedures defence». Dette innebærer at en virksomhet vil kunne unngå eller mildne straffeforfølgelse dersom den er i stand til å bevise at den på tidspunktet den kriminelle handlingen ble begått hadde «rimelige prosedyrer» på plass for å forhindre at denne typen svindel skulle oppstå.
Denne vurderingen har likhetstrekk med reglene for foretaksstraff i straffelovens § 28, som stipulerer at det ved straffeutmåling skal tas hensyn til «om foretaket ved retningslinjer, opplæring, kontroll eller andre tiltak kunne ha forebygget lovbruddet». Veiledning om hva som utgjør «rimelige prosedyrer» skal publiseres av den britiske regjeringen før lovgivningen trer i kraft, og forventes i løpet av høsten 2024. Prosedyrene bør være aktivt integrert i og tilpasset virksomhetens sektor, bransje og prosesser, og der de bærer preg av å være en skrivebordsøvelse vil dette trolig ikke anses som tilstrekkelig.
For noen vil en slik øvelse kreve et skifte i perspektiv. Tradisjonelt har de fleste virksomheters risikovurderinger og kontroller handlet om hvordan virksomheten kan beskytte seg selv mot kriminelle handlinger. I konteksten av «failure to prevent fraud»-rammeverket er vurderingen om virksomheten har gjort nok til å hindre kriminell virksomhet utført av deres nærstående mot andre. Virksomheter må vurdere hvilke prosedyrer de har på plass, og kan blant annet stille følgende spørsmål:
- Hvem er ansvarlig for mislighetsrisiko på ledelsesnivå?
- Gjennomgår våre nåværende risikovurderinger risikoen for misligheter som kommer selskapet til gode?
- Hvis de gjør det, hvor bred er denne vurderingen? Er den eksempelvis begrenset til økonomifunksjonen?
- Kan vi demonstrere en sterk anti-svindelkultur i organisasjonen vår?
- Hvor utbredt og grundig er svindelopplæringen? Forklares det hva ansvaret til våre ansatte og tilknyttede personer er?
For internasjonale virksomheter som er godt kjent med «failure to prevent» som generelt rammeverk er det viktig å være klar over at det går noe lenger enn sine to forgjengere. Definisjonen av tilknyttede personer ser ut til å favne bredere, og ringvirkningene for rapportering, blant annet knyttet til ESG, virker tydeligere.
Det vil likevel være slik at virksomheter kan og bør bygge på etablerte prosedyrer når de nå går i gang med opprustingen. Her vil modenhetsvurderinger og oversikt være et godt utgangspunkt. Deretter vil eventuelle målrettede tiltak kunne løfte virksomheten ytterligere. Som med enhver forsikringsordning er håpet at den ikke aktualiseres. Både i Norge og internasjonalt er imidlertid andelen virksomheter og privatpersoner som utsettes for svindel stigende, og det er anslått at virksomheter i gjennomsnitt kan tape så mye som fem prosent av årlig inntekt som følge av svindel. Dette er vår nye virkelighet, men det er mye du kan gjøre for å unngå å bli en del av statistikken.
Relevante tjenester
Fraud alert nyhetsbrev
Nyhetsbrevet som gir deg innsikt i kriminalitetstrender, ferske rapporter, og nyttige tips for å vurdere risiko.