Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Umsetzung und Funktion

II. Wird das Compliance-Programm des Unternehmens effektiv umgesetzt?

Selbst ein gut durchdachtes Compliance-Programm kann in der Praxis erfolglos sein, wenn die Implementierung nachlässig oder ineffektiv ist. Die DOJ Staatsanwälte werden demgemäß angewiesen, gezielt zu prüfen, ob es sich bei einem Compliance-Programm um ein „Papierprogramm“ oder um ein „durchgeführtes, überprüftes und gegebenenfalls überarbeitetes Programm“ handelt.

Hierbei werden folgende Fragen geprüft:

1. Bekenntnis des leitenden und mittleren Managements

1.1 Tone at the top

• Welchen Beitrag hat das Management zur Begehung bzw. Verhinderung des Verstoßes geleistet?
• Durch welche konkreten Maßnahmen hat das Management sein Bekenntnis und seine Führungsrolle in Bezug auf Compliance und Abhilfe-Maßnahmen bei aufgetretenen Verstößen demonstriert?
• Wie war das Management durch sein Führungsverhalten Vorbild für Compliance-gerechtes Verhalten der ihnen unterstellten Mitarbeiter?
• Haben Manager größere Compliance-Risiken bei der Verfolgung von Neugeschäften oder höheren Einnahmen toleriert?
• Haben Manager Mitarbeiter dazu ermutigt, unethisch zu handeln, um ein Geschäftsziel zu erreichen, oder Compliance-Mitarbeiter daran gehindert, ihre Pflichten effektiv umzusetzen?

1.2 Geteilte Verpflichtung

• Welche Maßnahmen wurden von Führungskräften und Stakeholdern des mittleren Managements (z. B. Geschäfts- und Betriebsleitern, Finanz-, Beschaffungs-, Rechts- und Personalabteilungen) ergriffen, um ihr Engagement für Compliance oder Compliance-Mitarbeiter, einschließlich von Abhilfemaßnahmen, nachzuweisen?
• Haben sie angesichts konkurrierender Interessen oder Geschäftsziele an diesem Engagement festgehalten?

1.3 Aufsicht

• Welche Compliance Expertise war bei der Geschäftsführung vorhanden?
• Hat die Geschäftsführung und/oder die externen Auditoren sich mit den Compliance-Funktionen ausgetauscht?
• Welche Arten von Informationen haben die Geschäftsführung und das leitende Management bei der Ausübung ihrer Aufsicht in dem Bereich, in dem das Fehlverhalten aufgetreten ist, geprüft?

2. Autonomie und Ressourcen der Compliance-Funktion

Das DOJ verlangt für eine effektive Implementierung auch, dass diejenigen, die mit der täglichen Überwachung eines Compliance-Programms betraut sind, mit der erforderlichen Autorität und Stellung handeln. In Abhängigkeit von Größe, Struktur und Risikoprofil des jeweiligen Unternehmens sollten die Compliance Verantwortlichen über ausreichende Seniorität innerhalb der Organisation, Ressourcen (insbesondere Personal zur Aufgabenerfüllung) und Autonomie gegenüber der Geschäftsführung verfügen.

2.1 Struktur

• Wo ist die Compliance-Funktion innerhalb des Unternehmens untergebracht (z. B. in der Rechtsabteilung, in einer bestimmten Geschäftsfunktion oder als unabhängige Funktion, die dem Geschäftsführer und/oder Vorstand Bericht erstattet)?
• An wen berichtet die Compliance-Funktion?
• Wird die Compliance-Funktion von einem designierten Chief Compliance Officer oder einer anderen Führungskraft innerhalb des Unternehmens ausgeführt, und hat diese Person andere Rollen innerhalb des Unternehmens?
• Widmen sich Compliance-Mitarbeiter wirklich Compliance-Verantwortlichkeiten oder haben sie andere Nicht-Compliance-Verantwortlichkeiten im Unternehmen?
• Warum hat das Unternehmen die bestehende Compliance-Struktur gewählt?

2.2 Seniorität und Stellung

• Wie ist die Compliance-Funktion im Vergleich zu anderen strategischen Funktionen im Unternehmen hinsichtlich Stellung, Vergütungsniveau, Rang/Titel, Berichtslinie, Ressourcen und Zugang zu wichtigen Entscheidungsträgern ausgestattet?
• Wie hoch war die Fluktuationsrate für das Personal der Compliance- und relevanten Kontrollfunktionen?
• Welche Rolle hat Compliance bei den strategischen und operativen Entscheidungen des Unternehmens gespielt?
• Wie hat das Unternehmen auf bestimmte Compliance-Fälle reagiert?
• Gab es Transaktionen oder Geschäfte, die aufgrund von Compliance-Bedenken gestoppt, geändert oder weiterer Prüfungen unterzogen wurden?

2.3 Erfahrung und Qualifikationen

• Verfügt das Compliance- und Kontrollpersonal über adäquate Erfahrung und Qualifikation für seine Rollen und Verantwortlichkeiten?
• Hat sich das Niveau der Erfahrung und Qualifikation in diesen Rollen im Laufe der Zeit geändert?
• Wer überprüft die Leistung der Compliance-Funktion und wie läuft der Überprüfungsprozess ab?

2.4 Finanzierung und Ressourcen

• Verfügt die Compliance-Funktion über ausreichend Personal, um die Ergebnisse der Compliance-Bemühungen effektiv zu prüfen, zu dokumentieren, zu analysieren und umzusetzen?
• Hat das Unternehmen ausreichend Mittel dafür bereitgestellt?
• Gab es Zeiten, in denen Anfragen nach Ressourcen durch Compliance- und Kontrollfunktionen abgelehnt wurden, und wenn ja, aus welchen Gründen?

2.5 Autonomie

• Verfügen die Compliance- und relevanten Kontrollfunktionen über direkte Berichterstattungslinien an alle Mitglieder der Geschäftsführung und/oder des Audit Komitees?
• Wie oft treffen sie sich mit Geschäftsführern?
• Sind bei diesen Sitzungen Mitglieder des leitenden Managements anwesend?
• Wie stellt das Unternehmen die Unabhängigkeit des Compliance- und Kontrollpersonals sicher?

2.6 Ausgelagerte Compliance-Funktionen

• Hat das Unternehmen seine Compliance-Funktionen ganz oder teilweise an eine externe Firma oder einen externen Berater ausgelagert?
• Wenn ja, warum und wer ist dafür verantwortlich, die externe Firma oder den externen Berater zu beaufsichtigen oder mit ihnen in Verbindung zu treten?
• Welchen Zugriff hat das externe Unternehmen oder der externe Berater auf Unternehmensinformationen?
• Wie wurde die Effektivität des ausgelagerten Prozesses bewertet?

3. Anreize und Disziplinarmaßnahmen

Ein weiteres Kennzeichen für die wirksame Umsetzung eines Compliance-Programms ist die Schaffung von Anreizen für Compliance und von Abschreckung für Nicht-Compliance. Folgende Fragen sollen Staatsanwälte in diesem Zusammenhang stellen:

3.1 Personalprozess

• Wer ist an Disziplinarentscheidungen beteiligt, auch in Bezug auf die Art des fraglichen Fehlverhaltens?
• Wird bei jedem Fehlverhalten derselbe Prozess befolgt, und wenn nicht, warum?
• Werden den Mitarbeitern die tatsächlichen Gründe für Disziplinarmaßnahmen mitgeteilt?
• Wenn nein, warum nicht?
• Gibt es rechtliche oder untersuchungsbezogene Gründe für die Einschränkung von Informationen oder wurden Gründe vorgeschoben, um das Unternehmen vor Whistleblowing oder externer Kontrolle zu schützen?

3.2 Konsequente Anwendung

• Wurden Disziplinarmaßnahmen und Anreize für Compliance-gerechtes Verhalten im gesamten Unternehmen fair und konsequent angewendet?
• Gibt es ähnliche Fälle von Fehlverhalten, die unterschiedlich behandelt wurden, und wenn ja, warum?

3.3 Anreizsystem

• Hat das Unternehmen die Auswirkungen seiner Anreize und Belohnungen auf die Einhaltung von Compliance-Regeln berücksichtigt?
• Wie fördert das Unternehmen Compliance und ethisches Verhalten?
• Gab es für ergriffene Disziplinarmaßnahmen spezifische Beispiele (z. B. abgelehnte Beförderungen oder Prämien), die aus Compliance- und ethischen Erwägungen resultieren?
• Wer legt die Vergütung einschließlich der Prämien sowie Disziplinarmaßnahmen und Förderung des Compliance-Personals fest?

III. Funktioniert das Compliance-Programm des Unternehmens in der Praxis?

Hier wird die Angemessenheit und Wirksamkeit des Compliance-Programms des Unternehmens zum Zeitpunkt der Straftat sowie zum Zeitpunkt einer Anklageentscheidung beurteilt. Hierbei erkennt das DOJ an, dass das Vorliegen von Fehlverhalten nicht automatisch bedeutet, dass das CMS nicht funktioniert oder unwirksam ist.

1. Kontinuierliche Verbesserung, regelmäßige Tests und Überprüfung

Als ein weiteres wichtiges Kennzeichen eines effektiven CMS sieht das DOJ seine Fähigkeit, sich zu verbessern und weiterzuentwickeln. Dementsprechend sollten Staatsanwälte prüfen, ob das Unternehmen bedeutende Anstrengungen unternommen hat, um sein Compliance-Programm zu überprüfen und sicherzustellen, dass es nicht starr ist.

1.1 Interne Revision

• Wie wird festgelegt, wo und wie die interne Revision verläuft?
• Wie werden Audits durchgeführt?
• Welche Audits hätten für das Fehlverhalten relevante Themen aufgedeckt?
• Wurden diese Audits durchgeführt und welche Ergebnisse wurden erzielt?
• Welche relevanten Auditergebnisse und Abhilfefortschritte wurden regelmäßig an die Geschäftsführung/Vorstand gemeldet?
• Wie haben Geschäftsführung/Vorstand dies nachverfolgt?
• Wie oft führt die Interne Revision Risikobewertungen in Hochrisiko-Bereichen durch?

1.2 Kontrolltests

• Hat das Unternehmen sein Compliance-Programm in dem Bereich, in dem das Fehlverhalten aufgetreten ist, überprüft und auditiert?
• Welche Kontrollen, Erhebungen und Analysen von Compliance-Daten sowie Befragungen von Mitarbeitern und Dritten führt das Unternehmen im Allgemeinen durch?
• Wie werden die Ergebnisse gemeldet und Compliance-To-Do’s nachverfolgt?

1.3 Aktualisierungen

• Wie oft hat das Unternehmen seine Risikobewertungen und Compliance-Richtlinien, -Verfahren und -Praktiken aktualisiert?
• Hat das Unternehmen eine Gap-Analyse durchgeführt, um festzustellen, ob bestimmte Risikobereiche in seinen Richtlinien, Kontrollen oder Schulungen nicht ausreichend berücksichtigt werden?
• Welche Schritte hat das Unternehmen unternommen, um festzustellen, ob Richtlinien/Verfahren/Praktiken für bestimmte Geschäftsfelder/Tochtergesellschaften sinnvoll sind?

1.4    Compliance-Kultur

• Wie oft und wie misst das Unternehmen seine Compliance-Kultur?
• Holt das Unternehmen Input von allen Mitarbeiterebenen ein, um festzustellen, ob sie das Engagement des oberen und mittleren Managements für Compliance wahrnehmen?
• Welche Schritte hat das Unternehmen als Reaktion auf die Messung der Compliance-Kultur unternommen?

2. Untersuchung von Fehlverhalten

Ein weiteres Kennzeichen eines effektiv funktionierenden Compliance-Programms ist nach dem DOJ das Vorhandensein gut funktionierender und mit angemessen Ressourcen ausgestatteter Prozesse für die rechtzeitige und gründliche Untersuchung von Vorwürfen oder Verdachtsmomenten wegen Fehlverhaltens des Unternehmens, seiner Mitarbeiter oder Vertreter.

2.1    Richtig abgestimmte Untersuchungen durch qualifiziertes Personal

• Wie hat das Unternehmen sichergestellt, dass Untersuchungen ordnungsgemäß durchgeführt wurden und unabhängig, objektiv, angemessen durchgeführt und dokumentiert wurden?

2.2 Reaktion auf Ermittlungen

• Wurden die Ermittlungen des Unternehmens genutzt, um Ursachen, Systemschwachstellen und Verantwortungslücken zu identifizieren, auch unter leitenden Managern und Führungskräften?
• Wie war der Prozess der Reaktion auf Untersuchungsergebnisse?
• Bis zu welcher Hierarchiestufe innerhalb des Unternehmens wird über Ermittlungsergebnisse informiert?

3. Analyse und Behebung von Fehlverhaltensweisen

Schließlich ist ein Kennzeichen eines effektiven Compliance-Programms nach dem DOJ, die Frage, in welchem Umfang/Intensität das Unternehmen in der Lage ist eine Ursachenanalyse bzgl. des Fehlverhaltens durchzuführen und rechtzeitig und angemessen zu beheben, um die Ursachen zu bekämpfen.

3.1 Ursachenanalyse

• Was hat die Ursachenanalyse des Unternehmens hinsichtlich des betreffenden Fehlverhaltens ergeben?
• Wurden systemische Probleme identifiziert?
• Wer im Unternehmen war an der Analyse beteiligt?

3.2 Vorherige Schwächen

• Welche Kontrollen haben versagt?
• Wenn Richtlinien oder Prozesse das Fehlverhalten hätten verhindern sollen, wurden sie dann effektiv umgesetzt und wurden Funktionen, die für diese Richtlinien und Prozesse zuständig waren, dafür verantwortlich gemacht?

3.3 Zahlungssysteme

• Wie wurde das betreffende Fehlverhalten finanziert (z.B. Bestellungen, Mitarbeitervergütungen, Rabatte, Portokassen)?
• Welche Prozesse hätten einen missbräuchlichen Zugang zu diesen Mitteln verhindern oder aufdecken können?
• Wurden diese Prozesse verbessert?

3.4 Lieferantenmanagement

• Wenn Lieferanten in das Fehlverhalten involviert waren, wie war der Prozess der Lieferantenauswahl und hat der Lieferant diesen Prozess durchlaufen?

3.5 Voranzeichen

• Gab es vorher Möglichkeiten, das fragliche Fehlverhalten aufzudecken, wie beispielsweise Auditberichte, die relevante Kontrollfehler oder Behauptungen, Beschwerden oder Untersuchungen aufzeigen?
• Was hat die Analyse des Unternehmens ergeben, warum solche Gelegenheiten verpasst wurden?

3.6 Abhilfemaßnahmen

• Welche konkreten Änderungen hat das Unternehmen vorgenommen, um das Risiko zu reduzieren, dass gleiche oder ähnliche Probleme in Zukunft nicht erneut auftreten?
• Welche spezifischen Abhilfemaßnahmen wurden ergriffen um die in der Ursachen- und „Vermisste-Chancen-Analyse“ identifizierten Probleme anzugehen?

3.7 Verantwortlichkeit

• Welche Disziplinarmaßnahmen hat das Unternehmen als Reaktion auf das Fehlverhalten ergriffen und wurde dies rechtzeitig getan?
• Wurden Manager für Fehlverhalten unter ihrer Aufsicht verantwortlich gemacht?
• Hat das Unternehmen Disziplinarmaßnahmen wegen Fehlern in der Aufsicht in Betracht gezogen?
• Wie ist die Bilanz des Unternehmens (z.B. Anzahl und Art der Disziplinarmaßnahmen) zur Mitarbeiterdisziplin in Bezug auf die fraglichen Verhaltensweisen?
• Hat das Unternehmen jemals jemanden wegen der Art des betreffenden Fehlverhaltens gekündigt oder anderweitig diszipliniert (reduzierte oder nichtgezahlte Boni, Abmahnung usw.)?

Fazit zu den Bewertungskriterien des DOJ

Es fällt auf, dass das DOJ in diesem Fragenkatalog häufiger nach dem „wie“ als dem „ob“ der Umsetzung einer Compliance-Maßnahme fragt. Das DOJ setzt daher unausgesprochen das Vorhandenseines eines CMS voraus. Der Fragenkatalog ist aber keine verbindliche Checkliste und das DOJ erwartet auch nicht, dass Unternehmen alle diese Punkte erfüllen. Denn anhand der Fragen wird klar, dass das DOJ erwartet, dass Compliance Management Systeme nicht schablonenartig aufgesetzt und implementiert werden, sondern stets auf das individuelle Risikoprofil eines Unternehmens zugeschnitten sein müssen.

Viele der Fragen dokumentieren zudem, dass es dem DOJ darauf ankommt, dass ein CMS nicht nur auf dem Papier existiert, sondern dass dieses auch tatsächlich gelebt wird. Der Fragenkatalog zeigt auf, dass für den Fall, dass Compliance nur auf dem Papier betrieben wird, ohne dass Unternehmen auf auftretende Missstände tatsächlich reagieren, dies negativ bewertet werden wird. In die gleiche Richtung zielen die Fragen nach Unabhängigkeit und Ausstattung der Compliance-Funktion, welchen offenkundig die Vorstellung von einer Compliance-Funktion als mächtiger und handlungsstarker Instanz im Unternehmen zugrunde liegt. Dies kann von Compliance-Verantwortlichen nur begrüßt werden und sollte Anlass geben, Geschäftsführungen, dort wo es an Akzeptanz und tatsächlicher Durchsetzungskraft zur Umsetzung von Compliance im Unternehmen noch mangelt, zum Umdenken zu bewegen.

Unternehmen sollten sich von diesem gewaltigen Kriterienkatalog nicht abschrecken lassen. Im Gegenteil, sie sollten diesen zum Anlass nehmen, ein solides, risikobasiertes CMS aufzubauen bzw. ein bestehendes nach Maßgabe dieser Kriterien auf den Prüfstand zu stellen und ggf. zu optimieren, um für den Ernstfall bestens gerüstet zu sein. Dies gilt auch für Unternehmen, die mangels geschäftlichen Bezugs zu den USA nicht in den Anwendungsbereich des US-Antikorruptionsrechts fallen, da ein CMS, dass den hohen Anforderungen des DOJ standhält, im Zweifel auch – den in der Regel weniger strengen – Anforderungen anderer Justizbehörden standhalten wird.