Bestikkelser og korrupsjon er ikke et sideproblem. Det er en reell forretningsrisiko. Anslag fra internasjonale organisasjoner viser tap på rundt 3,6 billioner USD i året. ACFE har anslått at virksomheter samlet taper 4,7 billioner USD som følge av arbeidsrelatert bedrageri og økonomisk kriminalitet. Det sier litt om størrelsen på problemet.
Likevel er det mange virksomheter som fortsatt ikke har et modent system for antikorrupsjon. DNVs undersøkelse viser at ansvaret ofte legges til en leder eller administrerende direktør, i stedet for å forankres i en egen funksjon eller et tydelig styringsoppsett. Det øker risikoen for rollekonflikter, særlig når samme person også sitter med ansvar for drift og resultater.
Dette handler ikke bare om regelverk. Det handler om kontroll, ansvar og evnen til å fange opp faresignaler før noe får utvikle seg.
Det meste blir aldri oppdaget. Det er en del av problemet. Når saker først avdekkes, ser vi at de kan oppstå i alle typer virksomheter, uavhengig av størrelse og bransje.
ACFEs tall peker på at virksomheter i gjennomsnitt taper 5 prosent av omsetningen sin hvert år til bedrageri. Tapene er ofte større i store virksomheter i absolutte tall, men mønsteret går igjen også i mindre selskaper. Risikoen forsvinner ikke fordi virksomheten er liten.
Og dette er ikke bare noe som skjer langt nede i organisasjonen. 23 prosent av sakene i ACFEs materiale ble begått av eiere eller ledere. Færre saker, ja. Men gjerne med langt høyere kostnader.
De fleste virksomheter er avhengige av tillit. Ansatte må ha tilgang til systemer, midler, informasjon og beslutninger. Det er helt nødvendig for at driften skal fungere. Det er også det som gjør virksomheten sårbar.
Mange saker om bestikkelser, korrupsjon og bedrageri starter med et tillitsbrudd. Ikke nødvendigvis med store og synlige handlinger, men med små avvik som ikke blir fanget opp. ACFEs tall viser at 85 prosent av dem som begikk bedrageri, hadde vist adferdsmessige varselsignaler. Det burde få flere til å se nærmere på hvordan virksomheten faktisk følger opp risiko i praksis. Ikke bare på papiret.
DNVs undersøkelse viser at få virksomheter har et modent antikorrupsjonssystem. Mange har policyer. Færre har tydelige roller, faste kontrollrutiner og mekanismer for oppfølging. Det er en viktig forskjell.
En policy kan si hva virksomheten mener. Et ledelsessystem viser hva virksomheten faktisk gjør. Hvem vurderer risiko. Hvem følger opp tredjeparter. Hvem tar imot varsler. Hvem ser etter interessekonflikter. Hvem kontrollerer at tiltakene virker. Når dette mangler, blir arbeidet fort personavhengig. Da blir det også skjørt.
Varsling er ofte det som får en sak fram i lyset. Det gjelder særlig når ansatte har en enkel og trygg måte å si fra på. ACFE peker på at digitale varslingskanaler, som e-post eller nettbasert rapportering, fungerer bedre enn tradisjonelle hotline-løsninger. De fleste sakene rapporteres dessuten av ansatte. Det er ikke overraskende. Det er ofte de som ser avvikene først.
Tallene peker også på noe annet. Nesten halvparten av all arbeidsrelatert bedrageri skjer fordi internkontroller enten mangler eller er for svake. Og i 81 prosent av sakene der bedrageri ble oppdaget, endret virksomheten sine kontrollmekanismer i etterkant. Det er ganske avslørende. Mange virksomheter gjør først forbedringer når skaden allerede er skjedd.
Sakene er fordelt på tvers av funksjoner, men noen områder peker seg tydelig ut. Drift står for 15 prosent av tilfellene i ACFEs materiale. Regnskap står for 12 prosent. Ledere for 11 prosent. Salg for 11 prosent.
Det betyr ikke at andre områder er trygge. Det betyr bare at noen deler av virksomheten oftere havner nær beslutninger, transaksjoner, leverandørdialog og tilgang til verdier. Det er også her svak oppfølging kan få større konsekvenser raskt.
ISO 37001 er laget for virksomheter som vil jobbe mer systematisk med antikorrupsjon. Standarden stiller krav til blant annet ansvar, risikovurderinger, due diligence, varsling, kontrolltiltak, opplæring og oppfølging. Poenget er ikke å lage mer dokumentasjon for dokumentasjonens skyld. Poenget er å bygge et system som gjør det vanskeligere å skjule kritiske forhold, og lettere å oppdage dem tidlig.
Standarden anbefaler også en organisering som reduserer risiko for interessekonflikter. Det er viktig. Når ansvar for antikorrupsjon blandes med ansvar for drift, lønnsomhet og kommersielle beslutninger, blir grensene fort uklare. Et strukturert antikorrupsjonsarbeid løser ikke alt. Men det gjør virksomheten bedre rustet til å forebygge, avdekke og håndtere saker før kostnadene blir større enn de trenger å være.
Å våkne opp til truslene om bestikkelser og korrupsjon
Bekjempelse av korrupsjonsrisiko med bruk av ISO 37001
Les mer om ISO 37001 og hvordan et ledelsessystem for antikorrupsjon kan hjelpe virksomheten med å forebygge, avdekke og håndtere korrupsjonsrisiko.
Se alle våre kurs innen samfunnsansvar