Varsling i konsern - kan morselskapet håndtere alle saker?
Varsling i konsern - kan morselskapet håndtere alle saker? Det er et av de vanligste spørsmålene i internasjonale konsern: Kan morselskapet håndtere alle varslingssaker for hele konsernet? Svaret på dette spørsmålet er Ja - men ikke uten betingelser. Utgangspunktet er EU-direktiv (EU) 2019/1937. 1. Plikten gjelder per juridisk enhet Direktivet fastslår at juridiske enheter i privat sektor med 50 eller flere ansatte skal etablere interne kanaler og rutiner for varsling (artikkel 8). Dette gjelder per juridisk enhet. Dette betyr at: Et datterselskap med 60 ansatte er underlagt plikten. Et morselskap med 10 ansatte er ikke omfattet bare på grunn av konsernets samlede størrelse. Direktivet snakker ikke om ”konsern” som én enkelt juridisk forpliktelsesbærer. Forpliktelsen er knyttet til hver enkelt juridisk person. 2. Kan konsernet sentralisere funksjonen? Ja, det kan det. Direktivet forbyr ikke sentralisering av rapporteringsfunksjonen innenfor et konsern. I praksis kan dette bety at et morselskap mottar rapporter for datterselskaper, at det brukes en felles konsernplattform, eller at en sentralisert compliance- eller juridisk funksjon håndterer saker. Men dette endrer ikke det grunnleggende ansvaret. Hver juridiske enhet må kunne sikre at: Rapportering er mulig. Kravene til konfidensialitet er oppfylt. Tilbakemeldinger gis i tide. Oppfølging skjer på en korrekt måte. Sentralisering må ikke undergrave disse kravene. 3. Konfidensialitet og uavhengighet Direktivet stiller klare krav til Konfidensialitet med hensyn til den rapporterende personens identitet. Begrenset tilgang til data. Beskyttelse mot gjengjeldelse. Når det gjelder konsernløsninger, oppstår det spesifikke spørsmål: Hvem har tilgang til informasjonen? Kan den lokale ledelsen få innsikt i sensitive forhold? Hvordan håndteres saker som angår morselskapets ledelse? En sentralisert funksjon kan styrke uavhengigheten - men bare hvis strukturen er gjennomtenkt. 4. Små datterselskaper i store konsern En vanlig situasjon er: Konsernet har tusenvis av ansatte. Et datterselskap har 20 ansatte. Hvis datterselskapet har færre enn 50 ansatte, er det normalt ikke omfattet av plikten til å opprette en egen intern kanal i henhold til direktivet. Men hvis konsernet velger å tilby en felles funksjon, kan også disse selskapene i praksis være omfattet. Dette er tillatt - og ofte lurt - men det er et frivillig organisatorisk valg snarere enn et direkte juridisk krav på EU-nivå. 5. Hvem er ansvarlig i tilfelle svikt? Dette er et avgjørende spørsmål. Selv om mottaket er sentralisert, må hver enkelt juridisk enhet kunne påvise at: Direktivets krav er oppfylt. Oppfølgingen gjøres på riktig måte. Beskyttelse mot gjengjeldelse er sikret lokalt. En konsernstruktur endrer ikke det juridiske ansvaret på enhetsnivå. Konklusjon Kan morselskapet håndtere alle varsler? Ja - det er mulig å sentralisere funksjonen i et konsern. Men: Plikten til å ha en funksjon gjelder per juridisk enhet. Sentralisering må ikke redusere kravene til konfidensialitet, tilbakemelding og oppfølging. Ansvaret kan ikke fullt ut ”flyttes opp” til konsernnivå, så en konsernløsning krever en tydelig struktur, klare mandater og dokumenterte ansvarsområder.
Hvordan bør en varslingskanal organiseres?
Hvordan bør en varslingskanal struktureres? Å etablere en varslingskanal er i dag en selvsagt del av moderne virksomhetsstyring. Men mange organisasjoner stopper ved teknologien. En riktig strukturert varslingsfunksjon handler ikke bare om å motta varsler - det handler også om hvordan de håndteres når de blir ubehagelige. Utgangspunktet er EU-direktivet (EU) 2019/1937, men direktivet regulerer hovedsakelig minimumskravene. Det er i implementeringen at risikoen oppstår. Her er hva som faktisk kreves - og hvor de vanligste svakhetene ligger. 1. En sikker og konfidensiell rapporteringskanal Det skal være mulig å rapportere: Skriftlig Muntlig På forespørsel ved personlig oppmøte Systemet skal sikre konfidensialitet og begrenset tilgang. Men det er her mange feil begås. En teknisk plattform uten en tydelig eier og prosess skaper en falsk trygghet. Spørsmålet er ikke bare om rapporten kan sendes inn - men hva som skjer etterpå. 2. Uavhengig mottaksfunksjon Det bør være en tydelig utpekt funksjon som: Mottar rapporter Kvitterer for mottak Vurderer om saken faller innenfor rammene I mindre og mellomstore selskaper ender dette ofte opp med: HR CFO CEO Det er her den praktiske utfordringen oppstår. Hva skjer når rapporten gjelder: Ledelsen? Styret? Økonomifunksjonen? En intern funksjon kan fort havne i en interessekonflikt - selv om ingen opptrer utilbørlig. Uavhengighet er ikke et formelt spørsmål. Det er et spørsmål om tillit. 3. Bekreftelse innen 7 dager Den som rapporterer, bør få en bekreftelse på at meldingen er mottatt. Dette er enkelt å oppfylle i teorien. I praksis blir det ikke oppfylt når Ansvaret er uklart Saker faller mellom stolene Ingen har det operative ansvaret Det kreves struktur - ikke bare vilje. 4. Objektiv og profesjonell undersøkelse En rapport skal vurderes objektivt og forholdsmessig. Det krever Juridisk forståelse Dokumentasjonsdisiplin Kunnskap om bevisvurdering Evne til å håndtere sensitive intervjuer Det er her den største risikoen ligger. En mangelfull intern gransking kan: Forverre situasjonen Skape nye juridiske problemer Undergrave tilliten til funksjonen 5. Tilbakemelding innen tre måneder Tilbakemelding er et lovkrav - men også avgjørende for legitimiteten. En organisasjon som ikke kan vise at saker tas på alvor, at de håndteres konsekvent, at beslutninger fattes på en strukturert måte, risikerer å bli oppfattet som symbolsk. 6. Beskyttelse mot gjengjeldelse Det er ikke nok å ha en policy som sier at gjengjeldelse er forbudt. Organisasjonen må være i stand til å: Identifisere subtile gjengjeldelser Vurdere sammenhengen Dokumentere beslutninger Sikre objektivitet Dette er spesielt sensitivt når rapporteringen gjelder personer i autoritetsposisjoner. 7. Dokumentasjon og sporbarhet Hvert trinn i prosessen bør kunne spores: Når rapporten ble mottatt Hvem som håndterte den Hvilke vurderinger som ble gjort Hvilke tiltak som ble iverksatt Mangel på dokumentasjon er en av de vanligste svakhetene ved revisjoner. Hvorfor intern styring ofte ikke er nok En intern funksjon kan fungere godt i noen organisasjoner. Men i praksis oppstår det ofte tre problemer: 1. Interessekonflikter Når rapporten gjelder ledelsen, er det mangel på reell uavhengighet. 2. Mangel på ekspertise Å undersøke komplekse brudd krever juridisk og prosedyremessig erfaring. 3. Tillitsproblemer Ansatte og leverandører kvier seg for å rapportere hvis de ikke oppfatter funksjonen som nøytral. En ekstern, juridisk forankret funksjon kan derfor: Skape reell uavhengighet Sikre profesjonell granskning Øke viljen til å rapportere internt i stedet for eksternt Det handler ikke om å ha mistillit til egen organisasjon. Det handler om å bygge en struktur som vil vare selv når presset øker. Konklusjon En godt strukturert varslingsfunksjon krever: Trygg kanal Uavhengige mottakere Strukturert undersøkelsesprosess Tydelige tilbakemeldinger Dokumentert sporbarhet Teknologien er én komponent. Men det er styringen og det juridiske håndverket som avgjør om funksjonen fungerer i praksis.
Hva regnes som varsling?
Hva kvalifiserer som varsling? Begrepet varsling er harmonisert på EU-nivå - men ikke helt enhetlig i praksis. Det er basert på EU-direktiv 2019/1937, men medlemsstatene har hatt mulighet til å gå lenger enn minimumskravene. For selskaper som driver virksomhet i flere land, er det avgjørende å forstå forskjellen mellom: EUs minstenivå Nasjonale utvidelser Det praktiske risikobildet Her er strukturen. Nivå 1 - EUs felles minimumsnivå Direktivet beskytter rapportering av informasjon om: Brudd på EU-retten på nærmere angitte områder Når rapporteringen skjer i en arbeidsrelatert sammenheng Områdene som omfattes, er blant annet: Offentlige anskaffelser Finansielle tjenester og markedsmisbruk Hvitvasking av penger og finansiering av terrorisme Produktsikkerhet Produktsikkerhet Transport- og atomsikkerhet Miljøvern Folkehelse Forbrukervern Databeskyttelse Beskyttelse av EUs finansielle interesser Konkurranse- og statsstøtteregler Beskyttelsen gjelder også: Forsøk på å skjule brudd Adferd som motvirker formålet med EU-reglene Det er ikke nødvendig å bevise at det foreligger et brudd. Det er tilstrekkelig at personen hadde rimelig grunn til å tro at opplysningene var korrekte. Dette er EUs felles kjerne. Nivå 2 - Nasjonale variasjoner Direktivet er et minimumsdirektiv. Medlemsstatene har fått mulighet til å utvide beskyttelsen. Her oppstår det forskjeller. 🇸🇪 Sverige har innført et bredere vern enn direktivet ved også å dekke: Forseelser som det er av allmenn interesse å få frem i lyset. Dette betyr at også alvorlige nasjonale forseelser kan omfattes, selv om de ikke berører EU-retten. 🇫🇷 Frankrike Frankrike hadde allerede før direktivet et system (Sapin II) med bredere beskyttelse. I praksis betyr implementeringen at beskyttelsen omfatter flere typer alvorlige kritikkverdige forhold enn bare de som eksplisitt gjelder EU-retten. 🇮🇹 Italia Italia knytter varslervernet til sin etablerte compliance-modell (f.eks. 231-rammeverket). Dette betyr at varsling om visse nasjonale lovbrudd og uregelmessigheter i selskaper kan dekkes selv utenfor de snevre EU-områdene som omfattes av direktivet. 🇩🇪 Tyskland Tyskland har i hovedsak fulgt direktivets struktur, men har også åpnet for muligheten til å dekke nasjonale regelbrudd i henhold til nasjonal lovgivning. Oppsummering av nivå 2 I praksis finnes det tre modeller i Europa: Streng EU-modell - beskyttelse kun for EU-territorier. Utvidet nasjonal modell - beskyttelse også for alvorlige nasjonale forseelser. Hybridmodell - EU-kjernen + visse nasjonale lovbrudd. Dette betyr at definisjonen av ”varsling” ikke er helt identisk i alle medlemsstater. Nivå 3 - Hva betyr dette for virksomheten din? For bedrifter som opererer i flere land, oppstår det et viktig spørsmål: Bør du bygge opp varslingsfunksjonen din på minimumsnivået - eller på den bredeste modellen? I praksis er det slik at både varslingsfunksjonen og retningslinjene dine må være i samsvar med minimumsbeskyttelsen i nasjonal lovgivning. De ansatte gjør imidlertid ingen EU-rettslig analyse før de varsler. Leverandørene bryr seg ikke om direktivets tekniske omfang, og interessentene forventer at alvorlige kritikkverdige forhold kan rapporteres. Konklusjon På EU-nivå er varsling knyttet til brudd på spesifikke rettsområder. I flere medlemsstater har imidlertid beskyttelsen blitt utvidet til å omfatte bredere kategorier av alvorlige kritikkverdige forhold. For internasjonale selskaper er det derfor klokt å: Forstå den felles EU-kjernen Identifisere nasjonale variasjoner Bygge en funksjon som tåler bredest mulig anvendelse Det skaper juridisk robusthet - og tillit.
Kan en ansatt gå direkte til media?
Kan en ansatt gå direkte til media? Ja - i noen situasjoner. Men ikke alltid. EUs varslingsdirektiv, EU-direktiv (EU) 2019/1937, gir beskyttelse for personer som varsler om brudd på EU-lovgivningen. Beskyttelsen omfatter ikke bare intern og ekstern rapportering - men også offentliggjøring, noe som i praksis kan bety at man går til mediene. Spørsmålet er under hvilke betingelser. Tre nivåer av rapportering Direktivet er basert på en tretrinnsstruktur: Intern rapportering - innad i organisasjonen Ekstern rapportering - til kompetent myndighet Offentliggjøring - for eksempel til mediene Beskyttelsen er sterkest for intern og ekstern rapportering. Offentliggjøring er mulig - men bare under visse betingelser. Når er det tillatt å gå direkte til media? En ansatt kan være omfattet av opplysningsvernet hvis ett av følgende forhold gjør seg gjeldende: personen har først rapportert internt og/eller eksternt uten at det er iverksatt passende tiltak innen rimelig tid. det er rimelig grunn til å tro at lovbruddet innebærer en overhengende eller åpenbar fare for allmennhetens interesser Det er fare for gjengjeldelse eller bevisforspillelse hvis rapporteringen skjer gjennom interne eller eksterne kanaler. Det avgjørende er at personen hadde rimelig grunn til å tro at opplysningene var korrekte og at vilkårene for offentliggjøring var oppfylt. Motivet bak offentliggjøringen er i prinsippet irrelevant. Det avgjørende er om kriteriene er oppfylt. Hvordan forholder dette seg til lojalitetsplikten? Et arbeidsforhold er basert på en grunnleggende lojalitetsplikt. Kjernen i lojalitetsplikten er at arbeidstaker skal: ivareta arbeidsgivers interesser ikke skade organisasjonen ikke spre skadelig informasjon uten saklig grunnlag Å gå direkte til media kan i mange situasjoner oppfattes som et brudd på denne lojalitetsplikten. Men varslingsdirektivet innebærer at lojalitetsplikten ikke er absolutt. Når de nærmere angitte kriteriene er oppfylt, veier hensynet til varsling av lovbrudd i allmennhetens interesse tyngre enn arbeidsgivers interesse i internkontroll over informasjon. Dette betyr ikke at lojalitetsplikten forsvinner. Det betyr at den må veies opp mot retten til å varsle om alvorlige brudd. Hva skjer hvis kriteriene ikke er oppfylt? Hvis en ansatt går direkte til mediene uten at vilkårene i direktivet er oppfylt, kan han eller hun bli stående uten den spesifikke beskyttelsen som direktivet gir. I en slik situasjon kommer den generelle lojalitetsplikten i arbeidsforholdet inn i bildet igjen. Det er altså ikke slik at en arbeidstaker alltid er beskyttet bare fordi det gis opplysninger til mediene. Beskyttelsen er betinget. Oppsummering Kan en ansatt gå direkte til mediene? Ja - men bare hvis det er rimelig grunn til å tro at informasjonen er korrekt, og hvis vilkårene for offentliggjøring i henhold til direktivet er oppfylt. Varslingsdirektivet gir en mulighet til å bryte tausheten når allmennhetens interesse krever det. Men det er ikke en generell rett til å tilsidesette lojalitetsplikten i arbeidsavtalen.
Hvilke selskaper må ha en varslingskanal i 2026?
Hvilke selskaper må ha varslingskanaler i 2026? Nei, det må de ikke. Ikke alle selskaper i EU er pålagt å ha en intern varslingskanal. Men mange flere enn du tror er omfattet av kravet. Her er hva som vil gjelde i 2026. Grunnregelen i EU I henhold til EU-direktiv 2019/1937 må private selskaper med 50 eller flere ansatte ha interne kanaler og rutiner for varsling. Dette er hovedregelen i alle medlemsland. Det er altså antall ansatte per juridisk enhet som er avgjørende - ikke konsernets samlede størrelse. Må selskaper med færre enn 50 ansatte ha en kanal? Som hovedregel: nei. Direktivet gir imidlertid medlemsstatene mulighet til å pålegge krav selv for selskaper med færre enn 50 ansatte, etter en risikovurdering - særlig hvis aktiviteten utgjør en risiko for miljøet eller folkehelsen. Dette betyr at noen land har valgt å gå lenger enn minimumsnivået. Finnes det land som har unntak for virksomheter med færre enn 50 ansatte? Ja - men dette gjelder vanligvis spesifikke sektorer, ikke alle selskaper. Eksempel: Italia - selskaper som er underlagt spesifikke krav til etterlevelse (f.eks. i henhold til den såkalte 231-lovgivningen), må ha rapporteringskanaler uansett størrelse. Tyskland - selskaper i visse finanssektorer er omfattet, uavhengig av antall ansatte. Østerrike - noen regulerte aktiviteter, særlig innen finans, er omfattet selv under 50 ansatte. De fleste medlemsstatene har imidlertid beholdt 50-grensen som en generell terskel. Hva er situasjonen i Sverige? I Sverige er hovedregelen: 50 eller flere ansatte → intern varslingskanal påkrevd. Mindre enn 50 ansatte → ikke noe generelt lovkrav. I Sverige finnes det i dag ikke noe generelt krav om at mindre selskaper må opprette interne kanaler utelukkende på grunnlag av en risikovurdering. Så - må alle ha en varslingskanal i 2026? Nei, det må de ikke. Men: Alle selskaper med mer enn 50 ansatte må ha det. Selskaper i enkelte regulerte sektorer må kanskje ha det, selv om de er mindre. Reglene varierer noe fra medlemsstat til medlemsstat. Vårt råd Uansett om din bedrift er underlagt et formelt krav eller ikke, er vår anbefaling klar: Ha en intern varslingskanal. Det: bygger tillit hos de ansatte signaliserer åpenhet til leverandører styrker forholdet til investorer reduserer risikoen for at saker går direkte til myndighetene eller media En varslingsfunksjon er ikke bare et juridisk spørsmål. Det er et spørsmål om tillit og eierstyring og selskapsledelse.
Hvorfor ansatte velger stillhet
Hvorfor velger ansatte å tie? De fleste organisasjoner har i dag et varslingssystem på plass. Retningslinjene er på plass. Kanaler er tilgjengelige. Likevel er antallet varsler lavt. Det er ikke fordi det ikke foregår kritikkverdige forhold - men fordi de ansatte ikke stoler på systemet som skal fange dem opp. Tilgjengelighet er ikke det samme som tillit Medarbeiderne spør seg ikke om rapporteringskanalen formelt sett er i samsvar med regelverket. De spør seg om den er trygg. Hvem kommer til å lese rapporten? Hva skjer i neste omgang? Vil dette påvirke meg i ettertid? Hvis det ikke finnes klare svar på disse spørsmålene, blir taushet det rasjonelle valget. Anonymitet oppfattes som skjørt Anonymitet er avgjørende - men ofte misforstått. Sett fra den ansattes perspektiv er anonymitet sjelden absolutt. Skrivestil, kontekst, timing og intern kunnskap kan oppfattes som identifiserende. Selv små tvilstilfeller kan være nok til at en rapport aldri blir sendt inn. Hvis anonymiteten oppfattes som teoretisk snarere enn praktisk, går tilliten tapt. Intern håndtering skaper opplevde interessekonflikter Når rapporter håndteres internt - ofte av HR eller compliance - kan ansatte stille spørsmål ved deres uavhengighet, uansett gode intensjoner. Bekymringen handler ikke om kompetanse. Det handler om opplevd lojalitet. Når uavhengigheten er uklar, svekkes tilliten. Tidligere saker veier tyngre enn retningslinjer Medarbeiderne vurderer rapporteringssystemer ut fra erfaring - ikke dokumentasjon. Hvis tidligere varslinger ikke har ført til handling, eller hvis varslerne har blitt marginalisert i det stille, blir taushet en tillært atferd. En enkelt feilhåndtert sak kan undergrave mange års policyarbeid. Frykt er rasjonelt Ikke-rapportering beskrives ofte som kulturelt eller emosjonelt betinget. I praksis er det en risikovurdering. Når den personlige risikoen er konkret og organisasjonens oppfølging usikker, er det logisk å avstå. Hvorfor juridisk involvering er viktig Uavhengig juridisk involvering endrer dynamikken. Advokater er underlagt taushetsplikt, prosedyredisiplin og faglig uavhengighet. Det skaper en troverdig motvekt til interne interesser - og et sterkere signal om tillit enn teknologi alene kan gi. Taushet er ikke en suksess Lav rapporteringsgrad blir ofte tolket som et tegn på en sunn kultur. I virkeligheten er taushet tvetydig. Uten tillit mister organisasjoner tidlige varslingssignaler, og problemer blir først oppdaget når skaden allerede er skjedd. Tillit må skapes Et effektivt varslingssystem defineres ikke av plattformer eller retningslinjer. Det defineres av hvorvidt de ansatte faktisk tror at systemet beskytter dem når det virkelig gjelder.