Risikovurdering i kontrakter og compliance

Skrevet af Peter Hejler

Risikovurdering i kontrakter og compliance er ikke kun en juridisk disciplin, men en styringsopgave, der afgør, om virksomheden opdager ansvar, udbudsfejl og kontrolsvagheder, før de bliver dyre.

Det gør emnet relevant for både private virksomheder og offentlige aktører. Når kontrakter krydser udbudsret, arbejdsklausuler, regulatoriske krav og kommercielle mål, bliver risikovurdering et fælles sprog mellem ledelse, indkøb, jura og drift.

Hvad er risikovurdering i kontrakter og compliance?‍ ‍

Ja, risikovurdering er en struktureret metode til at finde, vurdere og håndtere kontraktlige og regulatoriske risici. EU-OSHA beskriver processen som identifikation af farer, vurdering af risiko og valg af preventive measures, og samme logik passer direkte til kontrakter, compliance og leverandørstyring.

I kontrakter er "faren" sjældent fysisk. Den ligger ofte i uklart ansvar, svage service levels, utilstrækkelig databehandlerregulering, uklare ændringsmekanismer eller manglende rettigheder ved misligholdelse. I compliance kan faren være brud på sektorregler, interne politikker, dokumentationskrav eller udbudscompliance.

En almindelig misforståelse er, at risikovurdering bare er juridisk redlining. Det er for snævert. Den reelle opgave er at koble risiko til forretningens mål, så kontrakten både kan gennemføres og tåle kontrol, tvist eller myndighedsspørgsmål.

En robust vurdering ender sjældent i "accepter" eller "afvis" alene. Den ender oftere i en risikomodel med prioritering, afværgeforanstaltninger, beslutningstager og dato for opfølgning. Det er her, risikovurdering bliver operationel.

Hvorfor er risikovurdering et praktisk krav og ikke kun god praksis?

Ja, risikovurdering er et praktisk krav, fordi manglende vurdering ofte betyder manglende forebyggelse. EU-OSHA siger direkte, at hvis processen ikke udføres ordentligt, er det usandsynligt, at passende forebyggende tiltag bliver identificeret eller sat i værk.

Det gælder også uden for arbejdsmiljø. I offentlige kontrakter bruges risikovurdering som styringsprincip for kontrol, kontraktkrav og arbejdsklausuler. Materiale fra Folketinget peger på, at arbejdsklausuler i statslige kontrakter skal baseres på risikovurderinger, og at ordregivere kan stille kontraktvilkår om løn- og arbejdsvilkår under EU-reglerne.

Der findes også konkrete eksempler på, hvad der sker, når styringen svigter. I et statsligt revisionsmateriale blev 30 kontrakter gennemgået på Indenrigs- og Sundhedsområdet, og der blev fundet regelbrud i 5 kontrakter hos Sundhedsdatastyrelsen. I 2 tilfælde var der indgået kontrakter uden udbud, selv om de lå over udbudstærsklen på omkring 1 mio. kr. Det er et klart signal: risikovurdering er ikke akademisk, men direkte koblet til beslutninger om proces, tærskler og dokumentation.

Hvilke funktioner og greb reducerer risiko hurtigst?‍ ‍

Ja, de hurtigste forbedringer kommer normalt fra klar rollefordeling og senior beslutningskraft. I danske virksomheder virker en kombination af ledelse, procurement og juridisk funktion bedst, især når kontrakter, udbudsregler og compliance skal hænge sammen fra dag ét.

Når tempoet er højt, hjælper det at vælge den funktion, der kan omsætte risikobilledet til konkrete beslutninger i stedet for at producere lange notater.

  1. Interim General Counsel, fx Peter Hejler Consulting ApS: Hurtig senior kapacitet til kontraktforhandling, risikoprioritering og sparring tæt på ledelse og forretning.

  2. Indkøb og procurement: Styrer proces, markedsdialog, tærskelvurdering og dokumentation i udbuds- og leverandørforløb.

  3. Compliance-ansvarlig eller legal counsel: Oversætter lovkrav og politikker til kontroller, godkendelser og evidenskrav.

  4. Forretningsejer eller kontraktejer: Kender leverancen, prisstrukturen og de operationelle konsekvenser ved afvigelser.

  5. Intern audit eller controllerfunktion: Tester, om de valgte kontroller faktisk virker, og om undtagelser bliver lukket.

Hvis virksomheden kun vælger én af disse funktioner, opstår der ofte blinde vinkler. Jura uden forretning kan blive for restriktiv, mens drift uden juridisk filter kan overse ansvar, datakrav eller udbudsfejl.

Hvordan laver man en risikovurdering af en kontrakt trin for trin?

Ja, en god kontraktrisikovurdering starter med formål og slutter med kontrolpunkter. Kontrakten mellem kunde og leverandør skal vurderes på kommerciel betydning, juridisk eksponering og praktisk håndterbarhed, før der forhandles ordlyd.

Trin 1: Afgræns kontraktens betydning. Hvad købes, til hvilken værdi, i hvor lang tid, og hvad er konsekvensen, hvis leverancen fejler? Her opstår materialitet. En rammeaftale med persondata, kritisk drift eller høj afhængighed skal næsten altid have skærpet review. Et praktisk råd er at starte med forretningsmodellen, ikke med paragraf 1.‍ ‍

Trin 2: Kortlæg de centrale risikoområder. Kig efter ansvar og ansvarsbegrænsning, pris- og indeksmekanik, IP-rettigheder, ændringskontrol, underleverandører, audit-ret, databeskyttelse, opsigelse og force majeure. Hvis leverandøren får vide rettigheder til at ændre ydelsen, mens kunden har snævre misligholdelsesbeføjelser, er risikoen ofte større end prisen alene antyder.

Trin 3: Beslut afværgeforanstaltninger. Hvis risikoen er høj og ikke kan overføres kontraktligt, bør den styres via governance, forsikring, step-in, styrket rapportering eller eskalation. Hvis risikoen er lav, kan standardvilkår og lettere godkendelse være nok. Den typiske fejl er at behandle alle kontrakter ens. Det giver enten for meget friktion eller for lidt kontrol.

Hvordan vurderer man compliance-risici i drift og leverandørstyring trin for trin?

Ja, compliance-risici skal vurderes som en del af driften, ikke kun ved underskrift. Særligt ved persondata, eksportkontrol, finansiel regulering og offentlige kontraktkrav opstår de væsentlige risici ofte efter kontraktindgåelsen.

Trin 1: Kortlæg kravkilderne. Der er mindst fire: lovgivning, kontraktkrav, interne politikker og kundespecifikke krav. Hvis samme emne er reguleret flere steder, bør virksomheden definere, hvilken standard der gælder som minimum, og hvem der ejer den.

Trin 2: Test, om kontrollerne virker i praksis. En politik er ikke en kontrol. En kontrol kræver ejer, frekvens, dokumentation og reaktion ved afvigelse. Hvis leverandører skal dokumentere løn- og arbejdsvilkår eller sikkerhedsforhold, skal virksomheden vide, hvornår og hvordan beviset indhentes og vurderes.

Trin 3: Skab sporbarhed. Hver høj risiko bør have en beslutning, en dato og en ansvarlig. Hvis virksomheden ikke kan vise sin vurdering senere, kan en korrekt beslutning stadig fremstå som svag styring. Det gælder især ved tilsyn, intern revision og tvister.

Hvordan bruges risikovurdering i offentlige udbud og tærskelværdier?‍ ‍

Ja, i offentlige indkøb styrer risikovurdering både procesvalg og kontrolniveau. EU-Kommissionen angiver fra 1. januar 2024 en tærskel på €143.000 for centrale statslige vare- og tjenesteydelseskontrakter og €443.000 for visse forsyningsvirksomheders vare- og tjenesteydelseskontrakter.‍ ‍

Det første spørgsmål er ikke bare "hvad koster kontrakten?", men også "hvordan skal værdien beregnes?" Hvis aftaler opdeles kunstigt, eller hvis optioner, forlængelser og sammenhængende køb ikke tælles korrekt, bliver tærskelvurderingen misvisende. En praktisk tommelfingerregel er at dokumentere beregningsmetoden, før markedet kontaktes.

Over tærsklen udløses de fulde udbudsregler. Under tærsklen forsvinder risikoen ikke. Der kan stadig være krav om saglighed, gennemsigtighed og vurdering af grænseoverskridende interesse. Det er netop derfor, udbudscompliance og kontraktrisiko skal ses samlet.‍ ‍

Et vigtigt trade-off ligger mellem hastighed og robusthed. En hurtig direkte tildeling kan spare tid nu, men kan koste langt mere, hvis kontrakten burde have været konkurrenceudsat. Tærskelværdierne revideres hvert andet år, så gamle skabeloner bør ikke bruges ukritisk.

Hvornår er arbejdsklausuler og risikobaseret kontrol relevante?

Ja, arbejdsklausuler og risikobaseret kontrol er relevante, når kontrakten berører arbejdsforhold, kæder af underleverandører eller områder med forhøjet sandsynlighed for brud. Folketingets materiale peger netop på, at statslige arbejdsklausuler skal bygge på risikovurderinger.

Det gælder ikke kun bygge- og servicekontrakter. Også leverancer med mange led, skiftende bemanding eller geografisk spredning kan kræve skærpet kontrol. Hvis leverandørens opfyldelse afhænger af underleverandører, bør kontrakten fastlægge dokumentationskrav, adgang til oplysninger og reaktionsmuligheder ved afvigelser.

En udbredt misforståelse er, at arbejdsklausuler er et HR-anliggende. I praksis er de kontraktstyring. De skal oversættes til konkrete kontrolhandlinger: hvem indhenter dokumentation, hvor ofte, på hvilket grundlag, og hvad sker der ved manglende efterlevelse?

Kontrol bør være risikobaseret, ikke vilkårlig. Højrisikoleverancer kan kræve mere tæt opfølgning, mens lavrisikoleverancer kan håndteres med stikprøver. Hvis virksomheden vælger samme kontrolintensitet overalt, bliver styringen enten for dyr eller for svag.

Hvad er forskellen på kontraktrisiko og compliance-risiko?

Ja, kontraktrisiko og compliance-risiko er to forskellige lag, selv om de ofte overlapper. Kontraktrisiko handler om rettigheder, ansvar og økonomisk fordeling mellem parterne. Compliance-risiko handler om efterlevelse af lovkrav, myndighedsforventninger og interne regler.

Hvis en kontrakt mangler klare audit-rettigheder, kan det være en kontraktrisiko. Hvis virksomheden samtidig er forpligtet til at føre kontrol med leverandøren efter lov eller kundekrav, bliver samme forhold også en compliance-risiko. Den ene kategori kan altså forstærke den anden.

Det hjælper at tænke sådan: Hvis problemet primært afgør, hvem der betaler eller bærer tabet mellem parterne, er det ofte kontraktrisiko. Hvis problemet kan udløse myndighedssag, sanktion, påbud eller intern policy-afvigelse, er det ofte compliance-risiko. Mange væsentlige sager er begge dele på samme tid.

Hvad er forskellen på standardkontroller og risikobaserede kontroller?

Ja, standardkontroller giver ensartethed, mens risikobaserede kontroller giver bedre ressourceudnyttelse. ISO-logik og moderne compliance-programmer bygger typisk på, at ikke alle processer og leverandører skal overvåges lige tæt.

Standardkontroller er gode, når volumen er høj og variationen lav. Et fast review af standardaftaler, onboarding og sanktionsscreening kan skabe stabil drift. Ulempen er, at de kan blive for mekaniske og overse de få, men kritiske afvigelser.

Risikobaserede kontroller prioriterer efter sandsynlighed, konsekvens og eksponering. De er stærke, når ressourcerne er begrænsede, eller når enkelte kontrakter kan have meget høj effekt. Misforståelsen er, at risikobaseret betyder tilfældigt. Det gør det ikke. Det kræver tværtimod klare kriterier, dokumentation og faste triggere for optrapning.‍ ‍

Hvis virksomheden ikke kan forklare, hvorfor én leverandør får lettere kontrol end en anden, er modellen for svag. Hvis den derimod kan vise objektive kriterier som kontraktværdi, datatilgang, kritikalitet og brug af underleverandører, bliver styringen både mere effektiv og mere troværdig.

Hvordan organiserer ledelsen risikovurdering uden at bremse forretningen?

Ja, ledelsen kan organisere risikovurdering hurtigt, hvis ejerskab, tærskler og eskalation er tydelige. En CFO, en indkøbschef og en juridisk ansvarlig behøver ikke samme rolle, men de skal kende de samme beslutningspunkter.

Trin 1: Fastlæg beslutningsarkitekturen. Hvem må acceptere hvilke risici, og ved hvilke beløbsgrænser eller emner skal sagen løftes? Det kan være persondata, IP, udbud, ansvar over en bestemt størrelse eller brug af kritiske underleverandører. Når denne model er tydelig, falder sagsbehandlingstiden ofte.

Trin 2: Brug simple risikoniveauer. Grøn, gul og rød er ofte nok, hvis kriterierne er skarpe. Grøn kan være standardaftaler uden særlige data eller regulatoriske krav. Rød kan være offentlige kontrakter, høj værdi, komplekse service levels eller tydelige afvigelser fra policy. Her er pointen ikke farven, men den handling, farven udløser.

Trin 3: Mål på kvalitet og hastighed samtidig. En moden model ser ikke kun på, hvor hurtigt kontrakter kommer igennem, men også på hvor mange undtagelser der opstår, hvor mange kontroller der mangler evidens, og om læring bliver ført tilbage i skabeloner og processer. Det er her, risikovurdering bliver et ledelsesværktøj frem for en stopklods.

Peter Hejler
Næste

Peter Hejler Consulting: Regulatorisk rådgivning