Advokaten 9 Legal risk management

Print Print
15-09-2003

Af advokat Jon Iversen, Bech-Bruun Dragsted, Bruxelles

Corporate governance 
Legal risk management – styring af juridiske risici – indgår som en integreret del af god corporate governance[i]. Derfor er det relevant indledningsvis kort at beskrive, hvad corporate governance er og de initiativer, der er taget i relation hertil.

Corporate governance kan defineres på mange måder, men vedrører helt fundamentalt systemer, hvorved virksomheder styres og ledes set i lyset af, at ejerkredsen og den daglige ledelse er adskilt. Hvor den tidligere corporate governance debat primært vedrørte at give magten tilbage til aktionærerne, tager debatten i dag sit udgangspunkt i at skabe værdi i bred forstand til gavn for virksomhedens stakeholders, herunder aktionærerne (ejerne), medarbejderne, kunderne, leverandørerne, kreditorerne, de offentlige myndigheder, naboerne, lokalområdet, etc. (såkaldt stakeholder value). Enhver organisation, uanset om der er tale om en virksomhed, et ministerium, en kommune eller en fodboldklub, har en tendens til at blive indadvendt, hvis den ikke udsættes for den fornødne eksterne påvirkning. I selskaber udøves ekstern påvirkning primært i form af konkurrence fra andre firmaer, pres fra kunder og leverandører/långivere, råd fra eksterne rådgivere og ikke mindst som følge af krav fra aktionærerne (ejerne). Dårlig corporate governance risikerer at medføre, at stakeholder value påvirkes negativt.

De mange erhvervsskandaler – primært i USA men også i Europa – har bevirket, at nye love er blevet vedtaget bl.a. med henblik på at skabe øget åbenhed og gennemsigtighed, således at offentligheden og virksomheders stakeholders sikres pålidelig og relevant information om virksomheders forhold. Således har bl.a. den såkaldte Sarbanes-Oxley lov fra 2002 i USA bevirket, at amerikanske firmaer for alvor har fået sat corporate governance på dagsordenen.

En sammenligning af corporate governance-reglerne i en række af medlemslandene i G8 viser imidlertid, at der er betydelige forskelle i tilgangen til corporate governance.[ii] På internationalt plan har både Europa-Kommissionen og OECD taget adskillige initiativer i relation til at harmonisere corporate governance-reglerne. På baggrund af en rapport[iii] fra en række selskabsretseksperter udsendte Kommissionen således den 21. maj i år en aktionsplan,[iv] hvori den lægger op til en harmonisering af en række helt grundlæggende corporate governance-principper, om end Kommissionen ikke finder det formålstjenligt på nuværende tidspunkt at indføre et egentligt EU-kodeks om corporate governance. Kommissionens aktionsplan var åben for kritik indtil udgangen af august i år. OECD regner med i 2004 at kunne udsende en opdateret version af sit i 1999 vedtagne corporate governance regelsæt – en opdateringsproces som også Kommissionen deltager aktivt i.

I Danmark nedsatte Ole Stavad i marts 2001 det såkaldte Nørby-udvalg, der i december samme år udsendte sin rapport med frivillige guidelines om, hvad der i Danmark skal forstås ved god corporate governance.[v] Udvalget var sammensat af fire højt respekterede erhvervsfolk fra dansk erhvervsliv og har givet anledning til betydelig debat. Nogle finder rapportens anbefalinger for firkantede, mens andre mener, at rapporten er gjort for operationel, hvorved dens anbefalinger er mindre egnede til visse brancher og virksomheder. Der synes dog at være almindelig enighed om, at rapporten udgør et glimrende udgangspunkt for yderligere debat, og bestyrelserne i alle danske KFX-selskaber har da også allerede diskuteret rapportens anbefalinger, ligesom en række toneangivende virksomheder har forholdt sig hertil i deres årsrapporter.[vi] 

Legal risk management – der henhører under enterprise risk management[vii] – udgør som nævnt en integreret del af corporate governance og er af særlig interesse for en virksomheds juridiske funktion, der typisk har dette som et vigtigt ansvarsområde. Den juridiske funktion vil således typisk have det daglige ansvar for, at der implementeres fornuftige juridiske risikostyringssystemer.

Denne artikel vedrører legal risk management og diskuterer, hvilke konkrete tiltag en virksomhed kan iværksætte for at styre juridiske risici.

Legal risk management
Det overordnede formål med risk management[viii] er jf. Nørby-rapporten bl.a. at:

i.         udvikle og fastholde en forståelse i organisationen af virksomhedens strategiske og operationelle mål, herunder at identificere de kritiske succesfaktorer,

ii.       analysere de muligheder og udfordringer, som er knyttet til realiseringen af ovennævnte mål, og risikoen for, at de ikke opfyldes,

iii.     analysere de væsentlige aktiviteter, der finder sted i virksomheden for at identificere de risici, der er knyttet hertil.

Legal risk management drejer sig om at være på forkant med udviklingen og i videst muligt omfang forhindre, at juridiske problemer opstår, eller at juridiske muligheder overses. Derved undgår virksomhedens juridiske funktion bl.a. at skulle agere i rollen som ”brandslukker”, når først problemerne har indfundet sig. Det handler derfor om at implementere juridisk sunde rutiner i virksomheden generelt, internt i den juridiske funktion, mellem den juridiske funktion og de øvrige funktioner i virksomheden, mellem den juridiske funktion og eksterne rådgivere samt at sikre, at disse rutiner løbende kontrolleres, evalueres, tilpasses og udbygges i takt med, at virksomheden, samfundet og lovgivningen udvikler sig.

Helt kort kan legal risk management således defineres som:
”Identifikation, vurdering og styring af juridiske risici og muligheder”.

En virksomheds juridiske funktion vil ofte i en eller anden form være (eller burde være) involveret i de mangeartede juridiske påvirkninger, som virksomheden løbende udsættes for. Da det at drive virksomhed er forbundet med en række risici – også af juridisk art – gælder det for virksomheden om at sikre sig, at juridisk sunde rutiner er implementeret. Sidstnævnte indebærer at:
i.         juridiske risici og muligheder løbende bliver identificeret,

ii.       juridiske risici bliver styret og i videst muligt omfang elimineret og minimeret,

iii.     juridiske muligheder bliver udnyttet, samt at

iv.     risikable juridiske beslutninger altid bliver taget på et fornuftigt og oplyst grundlag af personer, der har den ledelsesmæssige og faglige kompetence hertil.

Nedenfor er overordnet beskrevet, hvilke juridisk sunde rutiner en virksomhed med fordel kan overveje at indføre.

 Indførelse af juridisk sunde rutiner  
Et af argumenterne for at lade corporate governance bygge på frivillige guidelines i stedet for på lovgivning er, at virksomheders forhold ofte er af så individuel karakter, at hver enkelt virksomhed bør finde sin egen tilgang til implementeringen af god corporate governance. Uanset at diverse guidelines med fordel kan anvendes som inspirationskilde, vil det ofte være nødvendigt at tilpasse sådanne guidelines til den enkelte virksomhed. Tilsvarende gælder, at indførelse af juridisk sunde rutiner i form af et legal risk management-system også skal tilpasses den enkelte virksomheds forhold.

Det kræver ofte en hel del tid og uddannelse at få medarbejdere gjort fortrolige med nye arbejdsgange og brugen af nye juridiske værktøjer, og implementering af juridisk sunde rutiner i en virksomhed er derfor typisk ikke noget, der sker fra den ene dag til den anden. Endvidere bliver den lovgivning, som virksomheder opererer under, stadig mere kompleks og i særdeleshed virksomheder, der agerer internationalt, kan finde det vanskeligt at overskue og dermed overholde alle facetter af den lovgivning, de er underlagt.

I dag kan virksomheder dog benytte sig af en række værktøjer i relation til at implementere juridisk sunde rutiner. Dels vil det være muligt at få eksterne juridiske rådgivere til at foretage et check af virksomheders juridiske funktion med henblik på at komme med forslag til konkrete forbedringer eller ændringer, dels er det i dag muligt at erhverve compliance-programmer inden for forskellige retsområder samt manualer i kontraktindgåelse og standardaftaler af forskellig art, således at virksomhedens juridiske rutiner derved kan bringes op på et hensigtsmæssigt niveau.

Nedenfor er de forskellige trin, som implementeringen af juridisk sunde rutiner normalt omfatter, beskrevet.

 Valg af risikostrategi  
Legal risk management udgør som nævnt ovenfor en del af enterprise risk management, der også typisk spænder over strategic, operational, financial og knowledge risk management. Det er bestyrelsen, der bør fastlægge virksomhedens overordnede risikostrategi, og den strategi der vælges for legal risk management, bør naturligvis være i overensstemmelse hermed. 

Som nævnt indledningsvis, er i særlig grad multinationale virksomheder underlagt et ofte særdeles kompliceret regelsæt i de mange jurisdiktioner, hvori de opererer, og knappe ressourcer gør det ofte vanskeligt at sikre overholdelsen af alle facetter af love, regler og indgåede aftaler. Sådanne virksomheder er derfor typisk nødt til at drive forretning ud fra en kalkuleret risiko om, og med en kvalificeret antagelse af, at de i det store og hele opererer i overensstemmelse med gældende ret.

Den konkrete udformning af en virksomheds risikostrategi skal afstemmes med, hvad virksomhedens stakeholders tillægger værdi, hvorfor det er svært at udtale sig generelt herom. Dog gælder det som med investeringer, at jo større risikovillighed en virksomhed har, jo større op- og nedture vil virksomheden typisk blive udsat for.

En juridisk risikostrategi indeholder typisk en række risikodefinitioner, en angivelse af virksomhedens risikovillighed på forskellige juridiske områder samt en handlingsplan, der beskriver, hvorledes virksomheden agter at nå de mål, der er fastsat i relation til legal risk management. Potentielle juridiske risici skal herefter identificeres, vurderes og kategoriseres i forhold til de således vedtagne definitioner. Det viser sig ofte at være en værdifuld og lærerig proces at få nedfældet på skrift, hvilke potentielle juridiske risici en virksomhed er underlagt, herunder at få vurderet og kategoriseret disse i forhold til hinanden. Virksomhedens juridiske funktion – eventuelt i samarbejde med et legal risk management udvalg – vil normalt udarbejde udkast til virksomhedens legal risk management strategi, der herefter skal godkendes af virksomhedens ledelse. Ovennævnte er beskrevet mere deltaljeret nedenfor.

Identifikation af juridiske risici  
Det vil sjældent være muligt at afdække alle juridiske risici, og selv om en virksomhed indfører et effektivt legal risk management system, vil der utvivlsomt stadigvæk opstå overraskelser. Alt afhængig af de nærmere omstændigheder vil sådanne overraskelser ofte føre til en tilretning af virksomhedens risikostyringssystem.

Juridiske risici kan være af økonomisk art, såsom væsentlige kommercielle aftalers ugyldighed, erstatningskrav fra kunder, leverandører, det offentlige eller medarbejdere, produktansvarskrav, bødekrav ved overtrædelse af lovgivning, krav om konventionalbod ved overtrædelse af aftaler eller økonomiske risici i form af manglende sikring af virksomhedens værdier eller manglende udnyttelse af de muligheder, lovgivningen giver. Juridiske risici af ikke-økonomisk art er fx tab af goodwill, hvilket på langt sigt også risikerer at skade virksomhedens økonomiske formåen. Hertil bemærkes, at det normalt er betydelig mindre omkostningskrævende at vedligeholde en virksomheds goodwill end at genskabe den.

De dage hvor en virksomhedsjurist (eller for den sags skyld en advokat i et advokatfirma) blot kunne vente på, at sagerne landede på hans/hendes bord synes ovre. En moderne juridisk funktion bør være udadvendt og udfarende med henblik på at kunne opsnuse, hvor juridiske problemer og muligheder kan tænkes at opstå. En juridisk funktion bør således i dag i højere grad vurderes på, hvor god den er til proaktivt at identificere potentielle juridiske problemer og muligheder og agere herpå, før det er for sent. Det er almindeligt kendt, at de bedst konciperede aftaler ofte er dem, der kan forblive i skuffen. Tilsvarende gælder, at de bedste juridiske funktioner ofte er dem, hvor der er færrest juridiske problemer at løse. Dermed ikke være sagt, at gode juridiske funktioner ikke har noget at lave – arbejdet er blot skiftet fra at være problemløsning til i højere grad at være af forebyggende art. En række advokatfirmaer har da også taget denne udvikling ad notam og har lagt betydelige ressourcer i udviklingen af bl.a. compliance-programmer inden for en række juridiske discipliner. Læs mere herom nedenfor.

Det at være opsøgende og at kunne stille de rigtige spørgsmål indebærer naturligt, at virksomhedsjurister (og eksterne advokater) er nødt til at specialisere sig – både fagligt og i brancher – således, at de har et indgående kendskab til de specifikke regler og markedsforhold, der er af relevans for den virksomhed, som de skal rådgive. For virksomhedsjurister er dette af største selvfølgelighed, mens nogle eksterne advokater formentlig med fordel kan gøre en ekstra indsats.

Som eksempel kan nævnes, at hvis en virksomhed erobrer markedsandele og opnår en såkaldt dominerende stilling på et (relevant) marked, udløser det konkurrenceretligt en række retsvirkninger, som virksomheden er nødt til at agere på. Pludselig risikerer fx virksomhedens indtil da lovlige rabat- og bonussystem ikke længere at være lovligt eller visse eksisterende aftaler at udgøre misbrug af en dominerende stilling. Tilsvarende gælder, hvis en virksomhed hidtil har kunnet støtte lovligheden af indgåede aftaler på en gruppefritagelse. Hvis de i gruppefritagelsen angivne markedsandelstærskler overskrides, vil gruppefritagelsen ikke længere yde beskyttelse, og de indgåede aftaler risikerer derved at være ulovlige og ugyldige med bøderisiko til følge.

Som et andet eksempel kan nævnes, at den lovgivning, der implementeres i Danmark i dag, i langt de fleste tilfælde har sit udspring i EU-lovgivningen. En virksomhed vil derfor ofte kunne forudse, hvilken lovgivning der kan forventes vedtaget i Danmark. I de senere år har bl.a. markedsføringslovgivningen undergået betydelige forandringer, der skyldes harmoniseringsdirektiver vedtaget i Bruxelles. At kunne forudse og derved i god tid have mulighed for at indrette sine aktiviteter efter de nye begrænsninger og/eller muligheder, som sådanne ændringer medfører, kan sikre virksomheden en konkurrencefordel. Der kan også være kommercielle muligheder i at undersøge, om dansk lovgivning måske er i strid med EU-lovgivningen. Den seneste tids debat i medierne om Dansk Tipstjenestes monopol bliver måske afgjort ved, at EF-domstolen inden udgangen af i år i den såkaldte Gambelli-sag følger generaladvokatens forslag til afgørelse og finder den italienske spillovgivning i strid med EF-Traktatens regler om fri bevægelighed. Taber Italien sagen, bliver Danmark også nødt til at ændre sin lovgivning, hvilket formentlig åbner en række muligheder for bl.a. spil- og bookmakerfirmaer.

Hvorledes en virksomhed i praksis bør indrette sig, således at det sikres, at der løbende identificeres og tages hånd om potentielle juridiske problemer og muligheder, er det svært entydigt og generelt at svare på henset til virksomheders forskellighed. Det kan imidlertid ofte anbefales at nedsætte et legal risk management-udvalg under ledelse af den person, der har ansvaret herfor – typisk lederen af den juridiske funktion.

Medlemmer af udvalget bør ud over en række nøglemedarbejdere fra den juridiske funktion være en vifte af ledende medarbejdere fra virksomhedens forskellige afdelinger, idet det er vigtigt, at alle de juridisk vigtige funktioner i virksomheden er repræsenteret. Således kan det ofte anbefales, at som minimum følgende funktioner repræsenteres i udvalget: (i) indkøb, (ii) markedsføring, (iii) salg, (iv) corporate finance og (v) personale (HR). I visse virksomheder kan også fx udviklings- (R&D) og miljøfunktionen med fordel være repræsenteret i udvalget, ligesom – med henblik på at sikre den fornødne påvirkning udefra – også virksomhedens eksterne advokat bør være medlem.

Før eller under møderne kan det anbefales at gennemgå en tjekliste, der er specielt tilpasset virksomhedens forhold. Det vil fx være relevant at få salgsfunktionen til at forholde sig til, om virksomhedens markedsandele har ændret sig siden sidste møde, idet dette kan bevirke, at virksomheden bør foretage visse undersøgelser for at sikre sig, at den stadig overholder konkurrencelovgivningen. Tilsvarende kan et spørgsmål rettes mod indkøbsfunktionen, om nogle af virksomhedens leverandører har opnået en betydelig markedsandel, idet dette kan give anledning til, at konkurrencelovgivningen i en forhandlingssituation kan anvendes imod sådanne leverandører. Det kan også være relevant at indhente informationer om konkurrenters gøren og laden, idet virksomheden derved måske finder anledning til at anfægte bestemte konkurrenters markedsføring eller konkurrencebegrænsende aktiviteter.

Ud over konkurrencelovgivningen kan det være relevant at forholde sig til potentielle juridiske problemstillinger og muligheder i relation til fx: (i) markedsføringsret, (ii) børsret, (iii) produktansvar, (iv) ansættelsesret, (v) immaterielle rettigheder, såsom patent-, ophavs- og varemærkeret, (vi) transportret, (vii) IT-ret, (viii) miljøret, (ix) persondataret, samt eventuel speciallovgivning der er af relevans for virksomhedens drift – fx lovgivningen vedrørende banker/sparekasser eller forsikringsselskaber.

Som også nævnt nedenfor, kan en virksomhed med fordel operere med en række standardaftaler, hvoraf de vigtigste normalt er indkøbs-, salgs-, distributions-, fortroligheds- og ansættelsesaftaler samt almindelige salgs- og leveringsbetingelser. Disse bør naturligvis altid udarbejdes og godkendes af juridisk afdeling – evt. i samarbejde med eksterne juridiske rådgivere. De løbende udvalgsmøder kan anvendes til at identificere, om der er opstået behov for at tilrette de eksisterende standardaftaler eller for at udarbejde nye typer standardaftaler, såsom IT-, konsulent-, licens-, udviklings-, outsourcing- eller samarbejdsaftaler.

Den juridiske funktion bør løbende holde sig orienteret om ny lovgivning mv., der kan få indflydelse på virksomhedens drift og kan anvende udvalgsmøderne til at få nedsat tværfaglige arbejdsgrupper med henblik på at få implementeret nye eller tilrettede arbejdsgange, der måtte vise sig påkrævede som følge af regelændringerne. Som eksempel kan nævnes, at mange virksomheder fandt anledning til at nedsætte en arbejdsgruppe i forbindelse med vedtagelsen af persondataloven i maj 2000, idet denne lov bevirkede, at en række rutiner og arbejdsgange skulle revideres.[ix] 

Hvor tit udvalgsmøder skal afholdes bør afhænge af virksomhedens konkrete aktiviteter og karakteren af de juridiske risici, som virksomheden løbende udsættes for. Et møde én gang i kvartalet vil ofte være tilstrækkeligt, mens det i visse virksomheder kan vise sig nødvendigt eller hensigtsmæssigt at holde møder med større eller mindre intensitet.

I forlængelse af hvert udvalgsmøde kan det anbefales at udarbejde et referat med en som bilag vedlagt aktionsliste, således at virksomheden løbende har overblik over alle potentielle juridiske problemer og muligheder, ligesom alle har mulighed for at følge med i, hvad status er, og hvem der er aktionsansvarlig.

 Vurdering og kategorisering af risici   
Legal risk management-processen kan med fordel startes med et kick-off-møde i det ovenfor beskrevne legal risk management-udvalg. Som nævnt ovenfor, er det vigtigt indledningsvis at få formuleret en række risikodefinitioner, således at det bliver muligt at kategorisere og prioritere juridiske risici og muligheder i forhold til hinanden. 
Et eksempel på en definition af ”høj” i relation til indvirkning på virksomheden jf. figur 1 nedenfor kunne være:”Virksomheden risikerer ved manglende aktion at miste eller gå glip af værdier på DKK [**] eller derover, eller at lide tab eller gå glip af goodwill, der formodes på længere sigt i betydeligt omfang at påvirke virksomhedens økonomiske formåen.”

Når virksomheden har formuleret risikodefinitionerne, skal der udarbejdes et forslag til risikostrategi. Sidstnævnte kan med fordel tage udgangspunkt i de ovenfor opregnede retsområder og bør endvidere indeholde en risikostrategi i relation til virksomhedens aftaler som beskrevet nedenfor. Risikostrategien bør naturligvis vælges under hensyn til sandsynligheden for risikoens indtræden. Jo større sandsynlighed for indtræden jf. figur 1, jo mere taler for at virksomheden bør vælge en stram risikostrategi.

I nogle tilfælde kan det være formålstjenligt at udarbejde risikostrategier for konkrete juridiske problemstillinger. Som eksempel kan nævnes, at enzym- og ingredienskoncernen Chr. Hansen tidligere på året efter en grotesk voldgiftssag i Serbien til dens store overraskelse blev dømt til at betale DKK 60 mio.[x] En sådan sag burde give anledning til, at virksomheder generelt overvejer, om der bør indføres en risikostrategi i relation til lovvalgs- og værnetingsaftaler, der helt kategorisk går på, at virksomhedens ansatte ikke må indgå sådanne aftaler, medmindre der forinden er opnået sikkerhed for, at den valgte lov og det valgte tvistløsningsinstitut kan opfylde de fornødne retssikkerhedsmæssige garantier.

Når risikostrategien er på plads, skal virksomhedens juridiske situation vurderes i forhold hertil. Hvis virksomheden halter bagefter på visse områder i forhold til risikostrategien, vil det være nødvendigt at iværksætte en målrettet indsats med henblik på at rette op herpå.

Det vil typisk ikke være muligt at tage hånd om alle potentielle problemstillinger med det samme, og det er derfor som oftest nødvendigt at prioritere indsatsen. Dette kan med fordel ske i en handlingsplan. Hvis en intern undersøgelse fx antyder, at virksomheden har indgået en række aftaler, der potentielt er i strid med konkurrencereglerne, og aftalerne har grænseoverskridende effekt, således at EU-reglerne kommer i spil, risikerer virksomheden at ifalde en betydelig bøde og at lide tab af goodwill, ligesom de berørte aftaler risikerer at være ugyldige. En sådan situation er uholdbar og bør bevirke, at en løsning heraf prioriteres højt. Hvis virksomheden på den anden side har oplevet visse uregelmæssigheder i sin HR-afdeling, som har givet anledning til nogle få klager fra medarbejderne, vil dette måske være et problem, der i første omgang ikke skal tildeles højeste prioritet. I relation til virksomhedens aftaler vil det være relevant at vurdere, om disse er af en sådan karakter, at de udgør en tikkende bombe under virksomheden. I så fald kan det være nødvendigt at prioritere en hurtig implementering af standardaftaler og manualer i og procedurer for kontraktindgåelse højt.

Med henblik på at bevare overblikket kan forskellige redskaber benyttes. Et eksempel er figur 1, der naturligvis skal tilpasses den enkelte virksomheds konkrete forhold. Oversigten kan med fordel vedlægges som et bilag til de løbende referater fra møderne i legal risk management-udvalget.

Overvågning og kontrol   
Bestyrelsen har det overordnede ansvar for, at virksomheden har implementeret et fornuftigt legal risk management-system. Den løbende rapportering til bestyrelsen vil typisk ske som et underpunkt under ledelsens rapportering om enterprise risk management, der med fordel kan udgøre et selvstændigt dagsordenpunkt på bestyrelsesmøderne.

Det daglige ansvar for overvågning og kontrol af legal risk management-systemet vil typisk ligge hos lederen af virksomhedens juridiske funktion, der således løbende skal rapportere til virksomhedens ledelse og varsko denne, hvis den juridiske funktion fx ikke har kapacitet, ekspertise eller budget til at leve op til den af bestyrelsen valgte risikostrategi. I tråd med den generelle trend mod fokusering på core business og outsourcing af alle perifere virksomhedsfunktioner har nogle virksomheder valgt at have en minimal juridisk funktion, der fungerer i rollen som tovholder i forhold til en række eksterne juridiske rådgivere, mens andre virksomheder har fundet det fagligt og økonomisk opportunt at operere med en juridisk funktion af betydelig størrelse. Således ses det ofte i virksomheder underlagt speciallovgivning, og hvor indgående branchekendskab er af afgørende betydning, at der oprettes en intern juridisk funktion til at varetage de juridiske opgaver. Uanset hvordan en virksomhed har valgt at indrette sig, bør der udpeges en eller flere personer, der har ansvaret for den løbende overvågning og kontrol af virksomhedens legal risk management-system.

 Overholdelse af lovgivningen  
Det er ofte svært for virksomheder at overskue og følge med i den linde strøm af lovgivning og afgørelser, der løbende produceres af den lovgivende og dømmende magt, ligesom det kan være særdeles vanskeligt og tidskrævende for en juridisk funktion, hvis den uden at kunne hente inspiration noget sted fra får til opgave i virksomheden at implementere juridisk sunde rutiner inden for bestemte retsområder.

En virksomhed har imidlertid mulighed for at trække på ekstern hjælp til at opnå sikkerhed for, at den overholder den gældende lovgivning. En række advokatfirmaer tilbyder således compliance-programmer inden for en række retsområder, såsom konkurrence-, markedsførings-, børs-, ansættelses-, varemærke-, miljø- og persondataret, ligesom det i forbindelse med erhvervelsen af et compliance-program normalt er muligt at aftale en abonnementsordning, hvorved en virksomhed får mulighed for at modtage opdateringer til sine compliance-programmer, hvis den løbende udvikling måtte medføre et behov herfor.

Et compliance-program – der naturligvis skal tilpasses den enkelte virksomheds drift – kan forholdsvis hurtigt medvirke til at få hævet en virksomheds juridiske niveau inden for et bestemt retsområde, og i relation til legal risk management udgør et sådant program et glimrende redskab til at få indført juridisk sunde rutiner med det formål at sikre og optimere virksomhedens værdi.

Det ses ofte, at store multinationale (amerikanske) virksomheder sender legal questionaires til advokatfirmaer i en lang række forskellige jurisdiktioner med henblik på at kortlægge lovgivningen på et bestemt retsområde. Derved har virksomheden muligheden for at finjustere sine aktiviteter, således at den ikke går længere end lovgivningsmæssigt påkrævet i hver enkelt jurisdiktion. Der kan sættes spørgsmålstegn ved, om dette er den rigtige fremgangsmåde ud fra en cost/benefit betragtning, ligesom der uvægerligt synes at være en risiko for, at der opstår problemer og misforståelser, hvis en koncern opererer med forskellige arbejdsgange i sine i forskellige lande placerede datterselskaber.

Da dansk lovgivning i international sammenligning befinder sig på et højt udviklingsniveau vil en overholdelse af visse dele af dansk lovgivning ofte indebære, at virksomheden på disse lovgivningsområder opererer lovligt også uden for Danmarks grænser. Hvis en virksomhed således i forbindelse med sine aktiviteter i udlandet overholder de principper, der fx fremgår af den danske konkurrence-, markedsførings- og persondatalovgivning, minimeres risikoen i betydelig grad for, at virksomheden overtræder en tilsvarende udenlandsk lovgivning. I mange tilfælde vil et (dansk) compliance-program derfor med fordel kunne rulles ud globalt i hele virksomheden, hvorved hele organisationen bliver fortrolig med brugen heraf. Hvis en virksomhed har valgt en stram risikostrategi, kan virksomheden for at være yderligere på den sikre side vælge at lade lokale advokater i udvalgte jurisdiktioner gennemgå (det danske) compliance-program med henblik på at fremkomme med eventuelle rettelser og tilføjelser hertil. Dette vil ofte vise sig langt billigere end at lade lokale advokater udarbejde et ”nationalt” compliance-program, ligesom det kvalitetsmæssige resultat i mange tilfælde bliver betydelig bedre.

Virksomhedens aftaler    
Det ses ofte, at en virksomhed har indrettet sine arbejdsgange således, at aftaler om indkøb eller salg over en vis kontraktsum skal godkendes af en chef på et bestemt niveau i organisationen. Dette udgør ofte en fornuftig risk management-procedure. Imidlertid er det ikke kun en aftales kontraktsum, der har indflydelse på, om den risikerer i betydelig grad at påvirke virksomhedens værdi eller ej. Hvis en virksomhed indgår en salgsaftale, der ikke indeholder de fornødne ansvarsfraskrivelser, eller hvis virksomhedens kunde slipper af sted med at indføje en række vidtrækkende garantibestemmelser, udgør en sådan aftale en potentiel risiko for et efterfølgende erstatningsansvar, der i værste fald langt kan overstige kontraktsummen. Hvis virksomheden i stor stil har indgået og indgår sådanne dårlige aftaler, fx fordi virksomhedens juridiske funktion eller eksterne juridiske rådgivere ikke har været involveret, er der risiko for, at virksomhedens værdi i betydeligt omfang påvirkes negativt.

I forbindelse med kontraktforhandlinger med specielt amerikanske virksomheder er det ikke ualmindeligt at opleve, at forhandlingerne bliver langstrakte, som følge af at selv ubetydelige forslag til ændringer i kontraktudkastet fordrer en godkendelse af modpartens juridiske afdeling. Dette er udtryk for et fintmasket legal risk management system. Hvor stramt et system, en virksomhed bør implementere, skal vurderes i lyset af den pågældende virksomheds aktiviteter. I visse brancher er det ikke hensigtsmæssigt, at virksomhedsjurister eller eksterne juridiske rådgivere involveres i betydeligt omfang i forbindelse med indgåelsen af aftaler, mens det i andre brancher kan have afgørende betydning med henblik på at sikre og forøge virksomhedens værdi.

Under alle omstændigheder kan det anbefales, at en virksomhed opererer med en række standardaftaler på de områder, der er af størst juridisk og økonomisk betydning. Eksempler på, hvilke aftaler der kan komme på tale, er nævnt ovenfor. Da kontraktforhandlinger normalt indebærer, at der tages og gives, bør der implementeres rutiner, der sikrer, at vigtige bestemmelser ikke udgår eller tilrettes, medmindre dette forinden er godkendt af den juridiske funktion eller af eksterne juridiske rådgivere. Det samme gælder naturligvis, hvis en kontraktforhandling ikke skal tage sit udgangspunkt i en af virksomhedens standardaftaler. En fordel ved at operere med standardaftaler er endvidere, at virksomhedens forhandlingsudgangspunkt forbedres betragteligt, ligesom dens forhandlere efterhånden bliver fortrolige med opbygningen og ordlyden af aftalerne, herunder de definitioner og standardbestemmelser, der går igen.

I dag har virksomheder mulighed for at erhverve manualer i aftaleindgåelse, der er specielt tilpasset virksomhedens forhold og aftaler. Sådanne manualer indeholder typisk en beskrivelse af parternes normale forhandlingsudgangspunkter, tjeklister samt forslag til bestemmelser, alternative bestemmelser og fall-back positioner, der kan vise sig relevante, hvis modparten er svær at danse med. Endvidere vil der være angivet forslag til, hvilke procedurer virksomheden med fordel kan indføre med henblik på at sikre sig, at vedtagelsen af vigtige aftaler og bestemmelser, altid forinden runder den juridiske funktion eller eksterne juridiske rådgivere.

Mergers & acquisitions – legal due diligence
Specielt advokater, der har deltaget i due diligence-aktiviteter, kan nikke genkendende til, at den juridiske kvalitet af de aftaler, som virksomheder indgår, kan svinge betragteligt. Under IT-feberen i slutningen af halvfemserne var der måske mindre fokus herpå, men henset til at nu også IT-virksomheder synes at gå i retning af ”back to basics”, er der i dag ingen tvivl om, at salgsprisen for en virksomhed vil blive påvirket betydeligt i nedadgående retning, hvis en virksomheds aktiviteter balancerer på kanten af det lovlige, eller dens aftaler befinder sig på et lavt juridisk niveau som følge af usunde juridiske rutiner. Internationale undersøgelser viser da også, at 35-66% af beslutningsgrundlaget ved investering i en aktie udgøres af ikke-finansiel information.[xi]

Da internationale investorer således i vid udstrækning fokuserer på corporate governance og andre ikke-finansielle forhold i deres aktieanalyser, kan det betale sig at implementere fornuftige corporate governance-systemer og kommunikere dette eksternt til potentielle investorer. Henset til at god corporate governance handler om at optimere en virksomheds værdi, vil det ligeledes ofte være hensigtsmæssigt i god tid at foretage en sælger due diligence med henblik på at salgsmodne og få indført sunde juridiske rutiner i et datterselskab, inden dette af moderselskabet sættes til salg.

Advokatens rolle 
Hvis en virksomhed skal generere profit og vokse, er den nødt til at udsætte sig selv for risici – også af juridisk art. Udfordringen består i effektivt at styre sådanne risici gennem en systematisk videnopbygning. Etableringen af et velfungerende legal risk management-system i en virksomhed vil ofte være afgørende for, om virksomheden kan forbedre sin konkurrenceevne og derigennem forøge sin værdi. I relation hertil spiller virksomhedens juridiske funktion og dens eksterne juridiske rådgivere en vigtig rolle.

Virksomheder har i dag mulighed for at erhverve en række værktøjer, der kan hjælpe dem med at implementere juridisk sunde rutiner. En række advokatfirmaer har således lagt betydelige ressourcer i udarbejdelsen af bl.a. compliance-programmer og standardaftaler.

Legal risk management systemer skal tilpasses den enkelte virksomhed og må ikke blive tunge eller bureaukratiske. Det er vigtigt, at systemerne er hurtige og fleksible, samt at omkostningerne ved etablering og drift heraf ikke overstiger fordelen ved den opnåede risikoafdækning. Legal risk management vedrører således ikke kun den store multinationale virksomheds implementering af diverse compliance-programmer, standardaftaler og manualer i aftaleindgåelse, men også den lille snedkervirksomheds implementering af standard salgs- og leveringsbetingelser.

Uanset en virksomheds størrelse har advokater en vigtig rolle at spille i relation til legal risk management, idet de kan medvirke til at sikre, at virksomheden opnår den fornødne juridiske påvirkning udefra. Advokater kan dels bistå i forbindelse med udviklingen og implementeringen af compliance-programmer og standardaftaler mv., dels bidrage i forbindelse med den løbende identificering af potentielle juridiske problemer og muligheder – fx som medlem af virksomhedens legal risk management-udvalg. Dette forudsætter imidlertid, at de pågældende advokater specialiserer sig og opnår et indgående kendskab til den branche og de virksomheder, som de skal rådgive.

[i] En stor tak til mine kolleger Janne Glæsel og Peter Løvgren fra Bech-Bruun Dragsted, Poul Skadhede, direktør i Valcon Management Consultants og Søren Skjærbæk, legal counsel i Neurosearch for værdifuldt input til denne artikel. For god ordens skyld bemærkes, at artiklen naturligvis alene er udtryk for forfatterens egen opfattelse af emnet. [ii] The Economist, ”Beyond shareholder value.” A survey of capitalism and democracy, 28. juni 2003. [iii]Report of the high level group of company law experts on a modern regulatory framework for company law in Europe”, 3. november 2002. Tidligere advokat og nu professor, dr. jur. i selskabsret ved Københavns Universitet, Jan Schans Christensen, var medlem af denne ekspertgruppe. Se også Jan Schans Christensens artikel, ”Hvorledes kan corporate governance debatten bidrage til udviklingen i dansk selskabsret?”, Nordisk Tidsskrift for Selskabsret nr. 3, 2001 og ”Compliance, et væsentligt arbejdsredskab for virksomheder”, Advokaten 03/2003.

[iv] Meddelelse fra Kommissionen til Rådet og Europa-Parlamentet, ”Modernisering af selskabsretten og forbedret virksomhedsledelse i Den Europæiske Union – vejen frem”, KOM (2003) 284, 21. maj 2003.  [v] Erhvervs- og Selskabsstyrelsen, ”Nørby-udvalgets rapport om Corporate Governance i Danmark”, december 2001. [vi] Jf. Dagbladet Børsen, ”Corporate Governance i fokus hos KFX-selskabe.”, 16. august 2002. [vii] Statsautoriseret revisor Erik Ingvartsen har beskrevet enterprise risk management i ”Introduktion til Enterprise Risk Management”, Revision & Regnskabsvæsen, maj 2003. [viii] Se også Coopers & Lybrand, ”Risk Management and Control in Europe”, januar 1998 og Thomas Riise Johansen og Teddy Wivel, ”Corporate Governance  – Et bud på danske bestyrelsers rolle”, 2000, siderne 75-97. [ix] Se yderligere herom – Janne Glæsel og Jon Iversen, ”Persondataloven – med fokus på private virksomheder”, Revision & Regnskabsvæsen, nr. 12, december 2001.  [x] Se Jyllands-Posten den 28. februar 2003, ”Chr. Hansen sendt til tælling af tidligere partner”.  [xi] Jf. Ernst & Young, ”God selskabsledelse i Danmark”, februar 2002.