I måndags (17 oktober) fattade EU beslut om nya sanktioner mot Iran. Anledningen är iranska myndigheters våld mot demonstranter den senaste tiden. Ytterligare ett sanktionspaket från EU-länderna, riktat mot Ryssland, sjösattes i oktober, som ett svar på Rysslands fortsatta folkrättsstridiga angreppskrig mot Ukraina. Frågan om hur svenska företag ska leva upp till kraven i de olika sanktionspaketen aktualiseras på nytt.

Tidigare har det främst varit nationella myndigheter som har riktat krav och givit instruktioner kring vad som förväntas av företag. Nu ökar kraven på företagens regelefterlevnad, samtidigt som compliance har blivit en viktig del av lagstiftningsarbetet inom EU. Det växande regelverket kring sanktioner är ett exempel där denna utveckling har skett snabbt, och okunskap riskerar att stå företagen dyrt.

Program för regelefterlevnad och FAQ

För det första bör företag ha ett program för regelefterlevnad. EU-kommissionen (”kommissionen”) uppmuntrar företag att utveckla och implementera program för efterlevnad av sanktioner, som ska vara skräddarsydda för de individuella verksamheterna.

I syfte att hjälpa företag att tolka sanktionerna mot Ryssland och även Belarus, har kommissionen även utfärdat ett flertal FAQ:s, bland annat avseende kraven på företags due diligence vid en transaktion. Denna due diligence ska genomföras utifrån riskprofilen på den specifika transaktionen. Detta är en bra utgångspunkt.

Screening av hela leverantörskedjan

För det andra, som en del av programmet för regelefterlevnad, bör företag screena hela leverantörskedjan. Kommissionen rekommenderar att företag löpande uppdaterar information om sin motpart, exempelvis genom att avtala om att förändringar i styrelse eller ägarstruktur hos motparten ska meddelas till företaget.

Vidare rekommenderar kommissionen att företag bör utreda motpartens verkliga huvudman i sin due diligence, då en motpart kan vara sanktionerad på grund av sitt ägande. Ett företag kan alltså vara föremål för sanktioner – även om det inte är listat, direkt sanktionerat, i sig. Det är således inte tillräckligt att endast undersöka motparten mot olika sanktionslistor. För att uppfylla sin due diligence-plikt bör företagen alltså klarlägga ägarskapet och screena alla bolag och individer som är ägare, i hela leverantörskedjan!

Komplex granskning

För det tredje måste bolag ha koll på de indirekta ägarna samt styrelsemedlemmarna. Sanktionsrelaterad due diligence kan vara komplex, inte minst vad gäller ryska företag, eftersom ägarförhållanden ofta är svåröverskådliga. Företag rekommenderas därför att inte enbart screena sina direkta motparter i en transaktion, utan även de indirekta ägarna, vilket kan vara såväl tidsödande som komplicerat.

Ett sätt att granska och avgöra vem som i slutändan kontrollerar motparten vid en affärsuppgörelse är att göra en så kallad adverse media search, vilket innebär en granskning av bland annat nyhetsartiklar där motparten förekommer.

Dessa insatser, rekommendationer och riktlinjer från EU-kommissionen är bra. Men vi kan konstatera att många styrelser och företagsledningar behöver säkerställa kunskap om och kontroll över sina leverantörskedjor och ägarförhållanden, för att leva upp till kraven.

Varumärkes- och ryktesrisk

Det bör understrykas att kommissionens rekommendationer är – just – rekommendationer. Det finns inga legala krav på att genomföra due diligence. Men även om det inte är formella krav så visar kommissionens rekommendationer och riktlinjer att due diligence, anpassad till respektive situation, är nödvändig. Underlåtenhet att genomföra en erforderlig due diligence kommer inte att leda till någon påföljd i sig, men om en transaktion skulle leda till brott mot EU:s sanktioner så kommer avsaknaden av en genomförd due diligence att kraftigt påverka företagets möjligheter till ett framgångsrikt försvar. Om ett företag blir anklagat för sanktionsbrott behöver man kunna visa att man har gjort allt i sin makt för att inte hamna i den specifika situationen. I annat fall riskerar företaget att allvarligt skada sitt varumärke och rykte – utöver risk för böter eller fängelse för företagets representanter. Ett noggrant utformat sanktionsefterlevnadsprogram är därför snarare att betrakta som en investering än en kostnad.

Kommissionens riktlinjer är en tydlig fingervisning om vad kommissionen förväntar sig av företag.
Alla företag som verkar inom EU måste säkerställa att de har ett riskbaserat sanktionsefterlevnadsprogram, genom vilket både själva motparten och dess indirekta ägare kan granskas. Detta program bör återspegla bolagets affärsmodell, geografisk marknad, olika verksamhetsområden och risker kopplade till detta. Ju förr desto bättre.

Ökade hållbarhetskrav

Utöver sanktionsrelaterad due diligence skärper EU kraven på företag att ha kontroll på och hantera påverkan i sin leverantörskedja i ett hållbarhetsperspektiv. Tidigare i år antog kommissionen sitt förslag till det nya direktivet om corporate sustainability due diligence. Detta innebär att företag i betydligt högre grad än tidigare ska kontrollera att aktörer i deras värdekedja inte kränker mänskliga rättigheter eller orsakar miljöförstöringar. Enligt det nya förslaget blir företag skyldiga att vidta åtgärder, inte bara för att identifiera eventuell negativ påverkan på miljö och mänskliga rättigheter, utan bolag ska även förebygga och minimera omfattningen av både potentiell och faktisk negativ påverkan på mänskliga rättigheter och miljö. Företagen kommer att behöva vara mycket mer proaktiva jämfört med tidigare. Förslaget ska nu behandlas av Europeiska rådet och Europaparlamentet, och förändringar kan komma att ske innan ett slutligt direktiv har antagits. Även om bindande regler ligger några år framåt i tiden, så utgör förslaget ytterligare ett exempel på att EU ställer allt högre krav på företagens due diligence.

Det är hög tid för företag att granska såväl den egna verksamheten som leverantörskedjan, även ur ett hållbarhetsperspektiv. Riskerna – och påföljderna – är stora för företag att begå sanktionsbrott om man brister i kontrollen av sin leverantörskedja och inte har ett program för regelefterlevnad på plats.

Elin Jakobsson
Biträdande jurist, Baker McKenzie

Mattias Hedwall
Advokat och partner, Baker McKenzie