Omvärldsläget har på senare tid blivit alltmer oroligt med geopolitiska spänningar på flera platser i världen. Detta får inverkan på en mängd områden för företag globalt.
Annika Norrman Nordell, partner och rådgivare på Grant Thornton, träffar dagligen beslutsfattare på lednings- och styrelsenivå i svenska företag. Hon menar att okunskapen om hur yttre hot som kriser, krig och upptrappade konflikter slår mot svenska företag, fortfarande är låg:
– Jag möts av en något naiv okunskap hos många av bolagen när det gäller de här frågorna, trots att de i övrigt är välfungerande och professionella verksamheter. Men nu börjar hoten krypa närmare de flesta verksamheter. De som redan omfattas och följer strikta regelverk, som banker och finansiella bolag, har erfarenhet av att hantera detta. Men vi ser nu att kunskapen och därefter handlingskraften behöver öka inom alla branscher.
Berndt Grundevik, säkerhetspolitisk expert, senior rådgivare och tidigare chef för svenska armén, ger sitt perspektiv:
Parallellt med yttre hot har även de så kallade inre hoten mot svenska företag ökat i omfattning. Ekobrottsmyndigheten beräknar att penningtvätt i Sverige uppgår till mellan 100 och 130 miljarder kronor årligen. Många gånger handlar det om att försvåra spårningen av brottsvinster. Samtidigt konstaterar Svenskt Näringsliv att det grova våldet skakar Sverige och att brottslighet är ett av de största problemen för svenska företag idag. Cirka hälften av företagen i Sverige har utsatts för brott bara det senaste året.
Direkta och indirekta kostnader för företag som drabbas av stöld och skadegörelse, samt ökade kostnader för säkerhet och intäktsbortfall i samband med att företaget drabbats, beräknas i sin tur till nästan 100 miljarder om året, enligt Svenskt Näringslivs rapport Brottslighetens kostnader 2023.
Den ökade brottsligheten sker nu samtidigt som hotnivån för terrorbrott höjts i Sverige och en typ av yttre hot som får stor intern påverkan är cyber- och hybridattacker från icke namngivna eller kända aktörer. De senaste åren har regeringen, ÖB, myndigheter och media pekat på företagens ansvar i detta växande problemområde.
En del av de brott som företag blir utsatta för har direkt koppling till grov organiserad brottslighet och är det som i slutänden finansierar gängskjutningar och terrorism:
– Kriminalitet drivs av pengar och marknadsandelar, och pengar måste omsättas och tvättas. I de situationerna uppstår hot mot personal, datasystem och olika processer i samhället. Ytterst är det ett hot mot demokratin, säger Berndt Grundevik.
Det är inte enbart svenska företag som fått ökade inre och yttre hot att bevaka och hantera. Läget är liknande i hela Europa. Under hösten 2024 kommer ett antal nya EU-direktiv med syfte att öka reglering och tillsyn till följd av växande it-risker.
De nya regelverken syftar bland annat till att förbättra samhällskritisk verksamhets motståndskraft mot olika hot. Totalt handlar det om 18 utpekade sektorer, såsom digitala leverantörer, hälso- och sjukvård och livsmedelsproducenter.
Regelverken inriktas främst mot cybersäkerhet och it-infrastruktur, men det går även att se ett ökat fokus mot fysisk säkerhet där bland annat bakgrundkontroller lyfts fram. För att säkerställa efterlevnad har sanktionsavgifterna höjts väsentligt i flera fall, med nivåer upp till två procent av den globala årsomsättningen eller 10 000 000 euro.
Christer Runestam, rådgivare och ansvarig för internrevision samt branschansvarig för Financial Services på Grant Thornton, uppmanar företagen som omfattas att börja agera.
Regelverk som börjar gälla senare i år är bland annat direktivet om kritiska entiteters motståndskraft, CER, samt direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen, NIS2-direktivet. Utifrån dessa förväntas svenska företag även att bredda och intensifiera arbetet med sina omvärldsanalyser:
– Inom den finansiella sektorn, där man arbetat med implementering av regelverk under många år, har man i många fall lyckats integrera omvärldsbevakningen i sina affärsprocesser. Min erfarenhet är att det blir betydligt bättre kvalitet i analysen om man inte enbart hanterar det som ett regelverksprojekt, utan sätter det i ett större perspektiv än så, säger Christer Runestam.
En högaktuell fråga för många företag är EU:s nya direktiv om hållbarhetsrapportering, CSRD. Här finns en direkt koppling till att höja sin medvetenhet om de inre och yttre hot som företagen står inför, menar Maaria Martin-Vivaldi som är ansvarig för Grant Thorntons revisionsverksamhet.
I hela CSRD-arbetet är ESG-perspektivet (Environmental, Social, Governance) i fokus. Här är G:et centralt för att säkra att allt går rätt till enligt krav, regler och direktiv. Görs arbetet ordentligt finns det goda möjligheter att fånga upp riskområden med kopplingar till kriminalitet.
– Jag ser fram emot den här ökade transparensen. Företagen måste tydligt redovisa vilka risker de tagit höjd för, vilka åtgärder de vidtagit och hur de arbetar löpande. Det gäller inte bara de stora aktörerna, utan även de som är leverantörer till dem. Det här kommer att bli en stor förbättring, om bolagen tar detta på allvar, säger Maaria Martin-Vivaldi.
Samtidigt är S:et i ESG en viktig aspekt i att möta hoten mot företagen. Att ha en sund social kultur i företaget är avgörande för att medarbetare ska känna sig trygga att flagga för oegentligheter, internt, hos kunder, hos leverantörer och partner. Christer Runestam utvecklar:
– Tystnadskultur är oegentligheternas bästa vän. För att policyer och rutiner ska ha verkan behöver du engagerade medarbetare som känner sig trygga nog att rapportera och vissla. Hellre en flaggning för mycket än för lite. Då får arbetet effekt på riktigt.
När de nya regelverken snart träder i kraft ser experterna en möjlighet till att få bättre gehör hos företagen, och på så sätt nå ut med ett brett risk- och säkerhetstänk i fler branscher.
– Vi ser att det här ett så pass stort problem och vi som bolag har fokuserat på hållbarhet under många år. Men nu behöver vi ta det till nästa nivå. De här riskerna har inte lyfts på ett adekvat sätt, och här kan vi som jobbar med näringslivet hjälpa företagen att ta sig an de nya omvärldsutmaningarna. När jag som revisor nu kan hänvisa till EU-direktiv, då får det en ny tyngd, säger Maaria Martin-Vivaldi.
Även Berndt Grundevik har hopp om effekter av att företagen förhoppningsvis ser över var riskerna finns, samtidigt som han skickar en tydlig uppmaning till företagens styrelser:
– Skaffa kunskap för att bygga attityder och förståelse. Och våga utöva ert ledarskap där ni vidtar preventiva åtgärder i tid. Det gör både företagen och samhället säkrare.
I slutet av 2022 antog Europaparlamentet och Europeiska unionens råd två nya EU-direktiv, direktivet om kritiska entiteters motståndskraft, CER, samt direktivet om åtgärder för en högre gemensam cybersäkerhetsnivå i hela unionen, NIS2-direktivet.
CER-direktivet ställer krav när det gäller riskbedömningar, åtgärder för att stärka robusthet och motståndskraft (t.ex. fysiskt skydd av lokaler och kritisk infrastruktur, driftskontinuitet, personalsäkerhet, m.m.) samt rapportering av incidenter. Inom ramen för direktivet lyfts dessutom bakgrundskontroller av personal och konsulter fram. I CER-direktivet ingår inte risker kopplade till cybersäkerhet eller hot från cyberattacker utan detta hanteras i NIS2-direktivet.
Direktivet Corporate Sustainability Reporting Directive (CSRD) handlar om hur företag ska rapportera om sitt arbete inom ESG-frågor, det vill säga sin påverkan inom miljö och klimat (Environment), samhällsansvar (Social) och bolagsstyrning (Governance). Det nya direktivet är en skärpning av de tidigare rapporteringskraven och ersätter Non-Financial Reporting Directive (NFRD), som reglerar bestämmelserna i årsredovisningslagen, alltså den svenska lag som tidigare reglerat företags hållbarhetsrapportering.
Penningtvätt beskrivs ofta som ett sätt att omvandla pengar från brottslig verksamhet till tillgångar som kan redovisas öppet. I praktiken handlar det många gånger mer om att försvåra spårningen av brottsvinster.
Enligt Brottsförebyggande rådet (BRÅ) är det främst är enklare bedrägerier som filtreras fram i rättskedjan. Organiserad brottslighet och avancerad penningtvätt leder inte till åtal och dom i samma utsträckning.
CSRD är på mångas agendor och sedan den 1 januari 2024 började den nya rapporteringsstandarden ESRS att gälla. Hur läggs arbetet upp bäst? Vilka funktioner på företaget behöver samordnas? Hur säkerställs hela ESG-perspektivet?
Bli först med att läsa senaste nytt och få värdefulla insikter för ditt företag. Vi bjuder på tips och råd samt inbjudningar till aktuella webbinarier.
