– Når ingen ser hele bildet, må CFO stille de ubehagelige spørsmålene
Innsidekorrupsjon oppstår sjelden fordi én kontroll mangler. Den oppstår når ingen ser helheten, men økonomi, HR, compliance, IT-sikkerhet og internkontroll ser hver sin del av risikoen, mener advokat og gransker Nicolai Skridshol.
Neste uke deltar Nicolai Skridshol i en panelsamtale om innsidekorrupsjon på Antikorrupsjonskonferansen. Temaet er ubehagelig, men praktisk: Hva skjer når tillit, ansvar og økonomiske fullmakter blir utnyttet av personer på innsiden av virksomheten?
– Innsidekorrupsjon oppstår ofte i blindsonene mellom funksjoner. Derfor må noen i ledergruppen insistere på helheten, og denne noen blir ofte CFO, særlig i mellomstore virksomheter. Ikke fordi CFO skal eie all risiko alene, men fordi CFO sitter nær pengene, systemene og kontrollene, sier han.
Skridshol er partner, advokat og gransker i Flemmen & Co Advokatfirma, og har gjennom en årrekke i Haavind, PwC og SANDS arbeidet med saker der virksomheter forsøker å finne ut hva som faktisk har skjedd når mistanken først har oppstått.
En CFO må rett og slett stille seg spørsmålet: Får jeg de naturlige tilgangene som forventes i min stilling, eller gjør jeg det ikke?
Den nye CFOen har et fortrinn
Annonse
– En CFO må rett og slett stille seg spørsmålet: Får jeg de naturlige tilgangene som forventes i min stilling, eller gjør jeg det ikke? Hvis du ikke gjør det, må du tørre å utfordre ledelsen på hvorfor, sier Skridshol.
Han skiller mellom to situasjoner: CFOen som allerede er godt etablert i virksomheten, og CFOen som kommer inn utenfra. Den nye CFOen har et ubehagelig, men verdifullt fortrinn: Vedkommende kan stille spørsmål ved etablerte sannheter.
– Blir du invitert inn i de riktige møtene? Får du tilgang til systemene du naturlig skal ha tilgang til? Får du innsikt i historiske data, avtaler, fullmakter og eksterne relasjoner? Eller blir du i praksis behandlet som en person med tittel, men uten reell posisjon?
Han mener CFO må være spesielt på vakt dersom økonomifunksjonen ikke får reell adgang til å forstå hvordan pengene faktisk beveger seg gjennom virksomheten.
Hyppige systembytter bør få alarmklokkene til å ringe
Et annet signal Skridshol ber CFOer merke seg, er uvanlig hyppige bytter av økonomi- og regnskapssystemer.
Annonse
Systembytter kan selvsagt være helt legitime. Virksomheter vokser, kjøper selskaper, bytter ERP-plattform og rydder opp i gamle løsninger. Men hyppige bytter kan også gjøre det vanskeligere å følge historiske spor.
– Poenget er ikke at systembytter i seg selv er mistenkelige. Poenget er at CFO må forstå konsekvensen: Kan historiske data verifiseres? Finnes dokumentasjonen? Hvem har hatt tilgang? Er det mulig å følge en transaksjon bakover i tid? Hvis man registrerer at økonomi- og regnskapssystemene har blitt byttet ut unormalt hyppig, må man undersøke hvorfor det har vært behov for å skifte systemer så ofte, sier han.
Skridshol peker også på betydningen av eksterne relasjoner. Hvor lenge har virksomheten brukt samme regnskapsfører og revisor? Har de tilstrekkelig profesjonell avstand? Har de noen gang funnet noe uvanlig?
– Hvis de aldri har funnet noe som helst, verken stort eller smått, må man også stille spørsmål ved hvorfor det er tilfelle, sier Skridshol.
Vi vet at det er vesentlig lettere å manipulere prosesser dersom fullmaktsmatrisen forblir statisk over lang tid.
Når fullmaktsmatrisen blir en oppskrift som kan manipuleres
Mange virksomheter har fullmaktsmatriser som ser betryggende ut på papiret. Problemet oppstår når de blir statiske. Da kan en innsider lære seg grensene, mønstrene og svakhetene.
Annonse
– Vi vet at det er vesentlig lettere å manipulere prosesser dersom fullmaktsmatrisen forblir statisk over lang tid, sier Skridshol.
Et typisk mønster, sier han, er avtaler som legges akkurat under terskelverdier for ekstra godkjenning. Beløpene er ikke nødvendigvis oppsiktsvekkende hver for seg, men kan over tid bli betydelige. Særlig dersom kontraktene inngås med leverandører der relasjonen mellom intern bestiller og ekstern motpart er for tett.
– Det kan ikke være slik at det alltid er de samme personene som kontrollerer hverandre over tid. CFO bør være opptatt av rullering av både fullmakter og kontrollører, sier han.
Den enkle CFO-testen er brutal: Betaler vi for noe vi faktisk ikke har fått? Det høres banalt ut. Det er det ikke.
Leverandøren er ofte der risikoen blir konkret
For CFO blir innsidekorrupsjon særlig praktisk i grensesnittet mellom ansatte og leverandører. Det er her innkjøp blir til fakturaer. Det er her en bestilling blir til en betaling. Og det er her tillit, hastverk og gamle relasjoner kan bli farlige.
– CFO må forstå hvordan økonomisystemene faktisk henger sammen. Hvem kan opprette innkjøpsordrer? Hvordan kommuniserer innkjøpssystemet med regnskap? Er det en reell kobling mellom bestilling, mottak, kontrakt og betaling?
Annonse
Han har sett situasjoner der personer med innkjøpsfullmakt kan foreta kjøp uten at regnskapsavdelingen har reell innsikt i hva som ligger bak. Regnskapsavdelingen ender da med å betale fakturaer, mens kontrollen med om varen eller tjenesten faktisk er levert, er for svak.
– Hvis organisasjonen er veldig hierarkisk oppbygd, vil de på regnskap sjelden eller aldri utfordre ledere med høy innkjøpsmyndighet. På den måten kan betydelige summer forsvinne ut av systemet uten at man har reell oversikt, sier han.
– Den enkle CFO-testen er brutal: Betaler vi for noe vi faktisk ikke har fått? Det høres banalt ut. Det er det ikke, sier Skridshol.
Han har sett eksempler på saker hvor ansatte har etablert selskaper, enten formelt eller i realiteten, sammen med eksterne aktører. Det inngås avtaler med disse selskapene, men det leveres ingenting – det utstedes kun fakturaer for utbetaling.
– Da hjelper det lite at fakturaen ser pen ut. CFO må ned i kontraktsporteføljen, se på mønstre, leverandører, avtaletyper og hvem som har godkjent hva, sier han.
Også salget må kontrolleres
Innsidekorrupsjon handler ikke bare om innkjøp. Risikoen kan også ligge på salgssiden, særlig der bonus og provisjon er tett knyttet til kontrakter. Skridshol forteller om en gransking i et internasjonalt selskap der den mest feirede selgeren i virksomheten viste seg å ha manipulert kontrakter:
– Vedkommende hadde høy status, sterke resultater og stor intern tillit. Personen ble tatt opp på scenen på kick-off og trukket frem som en stjerne. Nettopp derfor sviktet kontrollen.
– Det ble ikke gjennomført noen reell dualkontroll fra CFOs side overfor denne selgeren. Vedkommende hadde opparbeidet seg så enorm stjernestatus, ansiennitet og et så godt rykte at den uavhengige kontrollfunksjonen i praksis var fraværende, sier han.
Konsekvensene ble store. Kunder hadde betalt for produkter de ikke hadde mottatt. Selskapet måtte håndtere erstatningskrav. I tillegg måtte det forsøke å kreve tilbake bonuser som var utbetalt på fiktivt grunnlag.
Tillit er ikke en kontroll
De fleste virksomheter er avhengige av tillit. Men tillit kan ikke erstatte kontroll.
– Det er her CFO må være særlig våken. For når enkeltpersoner får for stor økonomisk makt over tid, kan virksomheten gradvis bevege seg fra effektiv delegering til uakseptabel maktkonsentrasjon. Skillet går ikke nødvendigvis ved én fullmakt eller én rolle. Det går ved summen av posisjon, relasjoner, systemtilganger, godkjenningsrettigheter og manglende uavhengig kontroll, sier Skridshol.
– Hvem eier egentlig risikoen for innsidekorrupsjon i selskapet?
– Det overordnede ansvaret ligger hos toppledelsen og styret. Men alle i ledergruppen må passe på hverandre. Med en gang ansvaret pulveriseres eller skyves over på kun én enkelt person, blir virksomheten sårbar.
Det jeg ofte ser, er at de som setter i gang undersøkelser på egen hånd, har en tendens til å vikle seg inn i ulovlige – og til tider direkte straffbare – forhold under selve prosessen.
Når mistanken oppstår, kan nysgjerrighet være farlig
Det mest kritiske tidspunktet for CFO og ledelsen i en mislighetssak er ofte ikke når handlingen skjer. Det er når mistanken oppstår.
– Da begynner interne personer gjerne å undersøke på egen hånd. De åpner filer. Leser e-poster. Kopierer dokumenter. Snakker med kolleger. Prøver å finne ut hvor stort problemet er. Intensjonen kan være god. Resultatet kan dessverre bli like ødeleggende som misligholdet de forsøker å avdekke, sier Skridshol.
– Det jeg ofte ser, er at de som setter i gang undersøkelser på egen hånd, har en tendens til å vikle seg inn i ulovlige – og til tider direkte straffbare – forhold under selve prosessen.
Han peker særlig på arbeidsmiljøloven, personvernregler og krav til forsvarlig granskingsmetodikk. Trår virksomheten feil, kan bevis svekkes eller miste verdi. Digitale spor kan bli ødelagt. En eventuell senere politietterforskning eller rettslig prosess kan bli vanskeligere.
Styret må spørre om mer enn årets compliance-gjennomgang
Skridshol opplever at bevisstheten om compliance og mislighetsrisiko har økt betydelig de siste årene. Men han advarer mot at arbeidet blir mekanisk og statisk.
– Virksomheten trenger en dynamisk tilnærming. Styret må være sitt ansvar bevisst og etterspørre jevnlige oppdateringer om utførte kontroller og avdekkede risikofaktorer, sier han.
Styret bør spørre hva som har endret seg siden sist.
– Har virksomheten kjøpt selskaper? Gått inn i nye markeder? Lansert nye produkter? Endret bonusmodeller? Byttet systemer? Fått nye leverandørkjeder? Økt bruken av mellommenn, agenter eller lokale partnere? Alle slike endringer kan flytte risikobildet, sier Skridshol.
