Investerer tungt i compliance, men vet ikke om det virker
Tre av fire av nordiske selskaper mener de har modne compliance-programmer. Likevel tester nesten halvparten aldri om tiltakene faktisk fungerer, viser KPMGs ferske nordiske etikk- og compliance-undersøkelse.
KPMG-rapporten Nordic Ethics and Compliance Survey 2025 viser at 77 prosent av selskapene i Norden mener de har et etablert eller omfattende compliance-program. Men 44 prosent tester aldri effekten av det. 70 nordiske selskaper er med i undersøkelsen.
Nesten halvparten av selskapene flyr nærmest i blinde når de rapporterer på compliance, risiko og internkontroll, står det i rapporten. Partner Beate Hvam-Laheld sier at mange virksomheter oppfatter compliance først og fremst som skriftlige rutiner og rapportering, og er tilfredse når dette er på plass.
– Men da er bare halve jobben gjort. Modenhet handler om å kontinuerlig teste og forbedre systemene. Uten regelmessig testing og oppfølging av faktisk etterlevelse og effekten av tiltakene, risikerer man at compliance-programmet ikke gir reell risikoreduksjon. Vårt klare råd er å prioritere verifikasjon og læring – ikke bare skriftlige rutiner og rapportering, sier hun.
Rapporten peker på en trend der ansvar og risiko flyttes nærmere enkeltpersoner i ledelsen.
Personlig risiko for toppledelsen
Annonse
Rapporten peker også på en juridisk trend CFOer og styremedlemmer ikke kan overse: Nye internasjonale lover og praksisendringer flytter ansvaret fra selskap til leder.
Den britiske Economic Crime and Corporate Transparency Act (ECCTA) gjør at store selskaper kan bøtelegges med ubegrensede beløp dersom tilknyttede personer begår økonomisk kriminalitet til fordel for virksomheten. Ifølge svensk lov kan styremedlemmer holdes personlig ansvarlige dersom over 10 prosent av aksjonærene nekter å frita dem for ansvar.
– Hva betyr denne utviklingen for nordiske ledere? Ser du tegn til at ansvar og risiko nå flyttes tettere på enkeltpersoner i ledelsen?
– Ja, rapporten peker på en trend der ansvar og risiko flyttes nærmere enkeltpersoner i ledelsen. Dette betyr at CFOer, styremedlemmer og andre nøkkelroller som CEO, Legal & Compliance og innkjøpsledere må være enda mer bevisste på sitt ansvar og sikre at compliance er godt forankret i ledelsen. Men man må ikke mistolke dette som at det bare gjelder å innføre et ytterligere lag med rutiner og systemer, da risikerer man tåkelegging av ansvar og liten reell effekt, sier Hvam-Laheld.
Dette stiller nye krav til CFO-rollen, som nå må håndtere både finansiell og ikke-finansiell rapportering med samme grad av presisjon og revisjonssikkerhet.
Blindsone i leverandørkjeden
Rapporten avdekker også et betydelig gap mellom ambisjon og styring i ESG-arbeidet. Selv om 66 prosent av selskapene har en definert risikotoleranse for ESG, er det bare 53 prosent som mener interne kontroller faktisk er tilstrekkelige.
Annonse
Med stadig strengere krav til bærekraftsrapportering under EUs CSRD og CSDDD, betyr dette at mange selskaper ikke kan dokumentere det de rapporterer. CFOer må sikre at bærekraftsdata kan revideres og kontrolleres på lik linje med finansielle tall, mener Hvam-Laheld.
– Dette stiller nye krav til CFO-rollen, som nå må håndtere både finansiell og ikke-finansiell rapportering med samme grad av presisjon og revisjonssikkerhet. CFO må samarbeide tett med compliance og bærekraftsteam for å sikre at rapporteringen er robust og etterprøvbar, sier hun.
Et annet funn som bør vekke oppsikt, er at nesten halvparten av selskapene ikke vet om ESG-brudd er avdekket i leverandørrevisjoner. Selv blant de største virksomhetene – med over 5.000 ansatte – oppga flertallet at de enten ikke kjenner til hvor mange revisjoner som ble gjort, eller at tallet var under ti i løpet av året.
– Dette er en stor sårbarhet. Uten god oversikt over leverandørleddet kan selskaper bli ansvarlige for brudd de ikke har kontroll på, spesielt når EU skjerper kravene til ansvar i hele verdikjeden. Det holder ikke med egenrapportering – selskaper må ut og følge opp leverandørene sine aktivt for å redusere risikoen. Vi i KPMG er tydelig på at selskapene må «ut og se», som innebærer at man må ut i felten og se med egne øyne hvordan situasjonen faktisk er hos leverandørene, sier Hvam-Laheld.
Vår undersøkelse viser at de største barrierene er kompetanse og budsjett. Mange selskaper mangler også intern kompetanse og opplever at tilgjengelige verktøy ikke er tilpasset deres behov.
Compliance på med penn og papir
Selv om stadig flere selskaper snakker om AI og automatisering, viser rapporten at 46 prosent ennå ikke har startet digitalisering av compliance-prosesser. Kun fire prosent bruker kunstig intelligens til beslutningsstøtte, og de største barrierene er kompetanse og budsjett.
Annonse
Dette er ikke bare et teknologisk spørsmål. For CFOer betyr det tapt produktivitet og økte driftskostnader. Når regulatoriske krav vokser eksponentielt, er manuelle prosesser rett og slett for trege og for dyre.
– Hvorfor tror du så mange fortsatt står fast i planleggingsfasen, til tross for at teknologien finnes?
– Vår undersøkelse viser at de største barrierene er kompetanse og budsjett. Mange selskaper mangler også intern kompetanse og opplever at tilgjengelige verktøy ikke er tilpasset deres behov. I tillegg er det ofte utfordrende å få ledelsesforankring og budsjett til digital transformasjon. For å lykkes må selskaper investere i opplæring, sikre strategisk forankring og velge teknologi som er skreddersydd compliance-arbeidet, sier Hvam-Laheld.
Mye innsats – liten effekt
Et gjennomgående funn er at regelverksiveren ikke nødvendigvis gir reell effekt: 74 prosent av selskapene sier at ny lovgivning har økt innsatsen mot menneskerettighetsbrudd, men bare 37 prosent mener den har hatt faktisk positiv effekt. Med andre ord: ressursbruken øker, men verdien av innsatsen er usikker. Hvam-Laheld sier at et er en iboende risiko i compliance-arbeidet at fokus blir på retningslinjer og rapporteringeringer fremfor reell forbedring og påvirkning.
– Nordiske selskaper er underlagt et komplekst regelverk og rapporteringskrav og virksomhetene ønsker forenkling. KPMG støtter dette budskapet, men er samtidig klar på at vi ikke må forenkle oss bort fra intensjonen om at selskaper skal drive forsvarlig og ta ansvar for egen og leverandørenes påvirkning på mennesker og natur, sier hun.
Annonse
Rapporten konkluderer med at mange nordiske selskaper nå investerer tungt i etterlevelse, men uten å vite om det virker.
Det gir CFOer og toppledere et tydelig ansvar. De skal sørge for at compliance ikke blir en rutineøvelse, men en kultur og en investering i reell risikoreduksjon. Hvam-Laheld råder CFO til å la compliance bli en del av gode vaner og faktiske handlinger:
– Invester i testing, digitalisering og kompetanse, og sørg for at compliance-arbeidet faktisk gir reell risikoreduksjon og verdiskaping – ikke bare rapportering. Ledelsen må ta et aktivt ansvar for å sikre at compliance er levende og relevant, og at det kontinuerlig forbedres i takt med nye krav og risikoer, sier hun.
