Failure to prevent fraud-regelverket med slagside til norske virksomheter

Utgangspunktet er at virksomheter er omfattet dersom de oppfyller to av de tre følgende krav:

• Virksomheten har mer enn 250 ansatte,
• virksomheten har ca. 480 millioner kroner i omsetning (omregnet fra GBP) og
• virksomheten har ca. 240 millioner kroner i sum eiendeler (omregnet fra GBP).

Kriteriene gjelder for hele virksomheten, inkludert datterselskaper, uavhengig av hvor organisasjonen har sitt hovedkontor eller hvor datterselskapene er lokalisert. I tilfeller der mor- og datterselskap kumulativt oppfyller kravene vil hele konsernet omfattes. Ansvar skal i så fall kunne knyttes til det enkelte selskap i konsernet som unnlot å forhindre svindelen. Ansvar kan alternativt knyttes til morselskapet for kriminelle handlinger begått av ansatte i et datterselskap til fordel for morselskapet, dersom morselskapet ikke tok rimelige skritt for å forhindre det.

Ifølge SSB hadde nær 1 000 norske virksomheter mer enn 250 ansatte vinteren 2024, og tallet øker. Brorparten av Norges 500 største virksomheter oppfyller både omsetnings- og ansattkravet med god margin. At den norske økonomien er liten og åpen, med utstrakte knytninger over landegrensene, understøtter at mange norske virksomheter vil være omfattet av lovverket. 

Nøkkelen ligger i det som betegnes som «reasonable procedures defence». Dette innebærer at en virksomhet vil kunne unngå eller få redusert straffereaksjon dersom den er i stand til å bevise at den på tidspunktet den kriminelle handlingen ble begått hadde «rimelige prosedyrer» på plass for å forhindre svindelen.

Regelverket omfatter svindel som kommer en virksomhet til gode, ikke svindel der virksomheten er den svindelutsatte. Dette vil være en uvant vinkling for mange i det praktiske arbeidet med alt fra risikovurdering til implementering av tiltak. Det er ikke påkrevd at vinningen har gitt direkte profitt for virksomheten; det er for eksempel tilstrekkelig å påvise at virksomheten gjennom sin rapportering har gitt en tilstrekkelig uriktig fremstilling. Ønsket om å fremstå i godt ESG-lys kan være et eksempel i tiden. 

Et godt startpunkt for virksomheter kan være å stille følgende spørsmål:

• Hvem er ansvarlig for mislighetsrisiko på ledelsesnivå?
• Tar våre risikovurderinger høyde for risikoen for misligheter som kommer selskapet til gode?
• Hvis de gjør det, hvor bred er denne vurderingen? Er den eksempelvis begrenset til økonomifunksjonen?
• Kan vi vise til en sterk anti-svindelkultur i organisasjonen vår?
• Hvor utbredt og grundig er anti-svindelopplæringen? Er roller og ansvar kjent for våre ansatte og tilknyttede personer?

Det nye regelverket har store likhetstrekk med forgjengerne «Failure to prevent bribery» (UK Bribery Act 2010) og «Failure to prevent the facilitation of tax evasion» (UK Criminal Finances Act 2017), men går noe lenger enn disse. Som eksempel kan det nevnes at definisjonen av tilknyttede personer ser ut til å favne bredere, og ringvirkningene for rapportering, blant annet knyttet til ESG, virker tydeligere.

For å styrke arbeidet mot svindel bør virksomheten ta utgangspunkt i de rutinene og prosedyrene som allerede er etablert og i kraft. Disse bør så evalueres gjennom modenhetsvurderinger for å skape et grunnlag for videre utvikling og utbedring, spesielt sett i lys av ovenstående. Deretter kan man utarbeide eventuelle målrettede tiltak som kan løfte virksomhetens totalforsvar mot svindel, og som i tillegg vil telle positivt i vurderingen av etterlevelse av lovkravene.