Bewertungskriterien des DOJ für die Effektivitätsbeurteilung von CMS – Konzept

Der Leitfaden „Evaluation of Corporate Compliance Programs“ in seiner aktualisierten Fassung (Stand April 2019) des US-Department of Justice (DOJ) zeigt auf, worauf US-Staatsanwälte zur Beurteilung, ob ein effektives CMS im Unternehmen implementiert wurde, Wert legen. Diese Beurteilung entscheidet darüber, ob gegen das Unternehmen, gegen das sich die Ermittlungen richten, Anklage erhoben wird. Der nachfolgende Fragenkatalog ist jedoch nicht nur für Unternehmen mit geschäftlichem Bezug zu den USA relevant. Auch für andere Unternehmen kann der Fragenkatalog nützliche Orientierungshilfe bei der Gestaltung von CMS sein, um im Ernstfall bestmöglich vorbereitet zu sein.

Der Original-Fragenkatalog ist in Englisch online abrufbar.

Folgende drei übergeordnete Fragen werden im Rahmen der Ermittlungen von US-Staatsanwälten bei der Evaluierung eines CMS regelmäßig gestellt:

1. Ist das Compliance-Programm des Unternehmens gut konzipiert?
2. Wird das Programm ernsthaft und in gutem Glauben angewendet? Mit anderen Worten, wird das Programm effektiv umgesetzt?
3. Funktioniert das Compliance-Programm des Unternehmens in der Praxis?

Welche Punkte konkret zur Beantwortung dieser drei fundamentalen, übergeordneten Fragen zur Evaluierung eines CMS geklärt werden müssen, wird im nachfolgenden Fragekatalog dargestellt:

I. Wann ist das Compliance-Programm eines Unternehmens gut konzipiert?

1. Risiko Analyse

Startpunkt der staatsanwaltlichen Beurteilung eines CMS wird stets die Klärung der Frage sein, wie das Unternehmen sein Risikoprofil identifiziert, bewertet und definiert hat und inwieweit das CMS diesem ermittelten Risikospektrum angemessene Aufmerksamkeit und Ressourcen widmet. Beispielsweise sollten Staatsanwälte berücksichtigen, ob das Unternehmen die unterschiedlichen Risiken analysiert und angegangen hat, die sich unter anderem aus den folgenden unternehmensindividuellen Faktoren ergeben: Standort, Branche, Wettbewerbsfähigkeit, Markt, regulatorische Umgebung in dem sich das Unternehmen bewegt, potenzielle Kunden und Geschäftspartner, Transaktionen mit ausländischen Regierungen, Zahlungen an ausländische Amtsträger, Nutzung von Dritten, Geschenke, Reise- und Unterhaltungskosten sowie wohltätige und politische Spenden.

1.1 Risikomanagementprozess

• Welche Methoden zur Identifizierung, Analyse und Adressierung der unternehmensspezifischen Compliance-Risiken hat das Unternehmen angewendet?
• Welche Informationen hat das Unternehmen gesammelt und ausgewertet um den Verstoß aufzudecken?
• Welche Maßnahmen hat das Unternehmen im Hinblick auf Compliance Risiken aus dem Risikoanalyse-Prozess abgeleitet?

1.2 Risikobezogene Ressourcenzuweisung

• Wendet das Unternehmen unverhältnismäßig viel Zeit für die Überwachung von Bereichen mit geringem Risiko anstelle von Bereichen mit hohem Risiko auf (z. B. fragwürdige Zahlungen an Berater Dritter, verdächtige Handelsaktivitäten oder übermäßige Preisnachlässe für Wiederverkäufer und Vertriebshändler)?
• Gibt das Unternehmen besonders risikoreichen Transaktionen größere Aufmerksamkeit (z. B. einem Großkreditvertrag mit einer Regierungsbehörde in einem Hochrisikoland)?

1.3 Aktualisierungen und Überarbeitungen

• Ist die Risikobewertung aktuell und wird sie regelmäßig überprüft?
• Wurden Richtlinien und Prozesse im Lichte der gewonnenen Erkenntnisse aktualisiert?
• Berücksichtigen diese Aktualisierungen Risiken, die erst durch aufgedecktes Fehlverhalten oder andere Probleme mit dem CMS entdeckt wurden?

2. Richtlinien und Prozesse

Hier instruiert das DOJ die Staatsanwälte zu prüfen, ob das Unternehmen einen Verhaltenskodex hat, welcher für alle Mitarbeiter des Unternehmens zugänglich und anwendbar ist. Ferner sollten Staatsanwälte auch bewerten, ob das Unternehmen Richtlinien und Prozesse implementiert hat, die die Compliance- Kultur in die täglichen Unternehmensprozesse einbeziehen.
Dafür sind die folgenden Fragen zu klären:

2.1 Design

• Wie gestaltet und implementiert das Unternehmen neue Richtlinien und Prozesse, und hat sich dieser Prozess im Laufe der Zeit geändert?
• Wer war an der Gestaltung von Richtlinien und Prozessen beteiligt?
• Wurden vor deren Einführung betroffene Geschäftsbereiche beteiligt?

2.2 Vollständige Erfassung relevanter Compliance- Risiken

• Was hat das Unternehmen getan, um Richtlinien und Prozesse, die die unternehmensindividuellen Risiken adressieren zu überwachen und umzusetzen, einschließlich Änderungen der rechtlichen Rahmenbedingungen?

2.3 Kommunikation/Zugänglichkeit

• Wie hat das Unternehmen seine Richtlinien und Prozesse Mitarbeitern und relevanten Dritten gegenüber kommuniziert?
• Gibt es sprachliche oder andere Hindernisse für den Zugang ausländischer Mitarbeiter zu Richtlinien und Prozessen, wenn das Unternehmen Tochterunternehmen im Ausland hat?

2.4 Verantwortung für die operative Integration

• Wer war verantwortlich für die Integration von Richtlinien und Verfahren?
• Wurden sie so eingeführt, dass die Mitarbeiter die Richtlinien verstehen?
• Inwiefern werden Compliance-Richtlinien und -Prozesse durch die internen Kontrollsysteme des Unternehmens gestärkt?

2.5 Gatekeeper

• Falls überhaupt: Welche Anleitungen und Schulungen wurden für wichtige Gatekeeper in den Kontrollprozessen bereitgestellt (z. B. Personen mit Genehmigungsrechten oder Zertifizierungsverantwortung)?
• Wissen sie, auf welches Fehlverhalten sie achten müssen?
• Wissen sie, wann und wie Bedenken eskaliert werden können?

3. Schulung und Kommunikation

Ein weiteres Kennzeichen eines gut ausgearbeiteten Compliance-Programms sind auf das jeweilige Risikoprofil des Unternehmens entsprechend zugeschnittene Schulungen und Kommunikation.

Hier soll die Staatsanwaltschaft ihren Fokus insbesondere darauf legen, ob das Compliance-Programm an die Mitarbeiter verbreitet wird und von diesen in der Praxis verstanden wird, um zu entscheiden, ob das Compliance-Programm „wirklich effektiv“ ist.

3.1 Risikobasierte Schulungen

• Welche Schulungen haben Mitarbeiter in relevanten Kontrollfunktionen erhalten?
• Hat das Unternehmen maßgeschneiderte Schulungen für Hochrisiko- und Kontrollmitarbeiter angeboten, einschließlich Schulungen, die sich mit Risiken in dem Bereich befassen, in dem das Fehlverhalten aufgetreten ist?
• Haben Mitarbeiter in Aufsichtsfunktion unterschiedliche oder ergänzende Schulungen erhalten?
• Welche Analyse hat das Unternehmen durchgeführt, um festzustellen, wer zu welchen Themen geschult werden sollte?

3.2 Form / Inhalt / Effektivität der Schulungen

• Wurden Schulungen in der für die Zielgruppe geeigneten Form und Sprache angeboten?
• Werden Schulungen online oder persönlich (oder beides) angeboten und aus welchen Gründen hat das Unternehmen seine Wahl getroffen?
• Hat die Schulung Lehren aus früheren Compliance-Vorfällen gezogen?
• Wie hat das Unternehmen die Effektivität der Schulungen gemessen?
• Wurden Mitarbeiter auf das Gelernte getestet?
• Wie hat das Unternehmen Mitarbeiter angesprochen, die die Tests ganz oder teilweise nicht bestanden haben?

3.3 Mitteilungen über Fehlverhalten

• Was hat die Geschäftsleitung unternommen, um die Mitarbeiter über die Haltung des Unternehmens in Bezug auf Fehlverhalten zu informieren?
• Welche Mitteilungen gab es im Allgemeinen, wenn ein Mitarbeiter wegen Nichteinhaltung der Unternehmensrichtlinien, -prozesse und -kontrollen gekündigt oder anderweitig diszipliniert wurde (z. B. anonymisierte Beschreibungen der Art des Fehlverhaltens, das zu disziplinarischen Maßnahmen führt)?

3.4 Zugang zu Beratung

• Welche Beratungsmöglichkeiten in Bezug auf Compliance-Richtlinien standen Mitarbeitern zur Verfügung?
• Wie hat das Unternehmen beurteilt, ob seine Mitarbeiter wissen, wann sie sich beraten lassen müssen, und ob sie dazu bereit wären?

4. Vertrauliches Meldesystem und Untersuchungsprozess

Als weiteres Kennzeichen eines gut ausgearbeiteten Compliance-Programms sieht das DJO das Vorhandensein eines effizienten und vertrauenswürdigen Meldesystems, mit dem Mitarbeiter anonym oder vertraulich Verstöße gegen den Verhaltenskodex des Unternehmens, Unternehmensrichtlinien oder vermutetes oder tatsächliches Fehlverhalten melden können. Hierbei legt das DOJ sein Augenmerk insbesondere darauf, dass Unternehmen im Zusammenhang mit solchen Meldesystemen proaktive Maßnahmen zur Schaffung einer Atmosphäre am Arbeitsplatz ohne Angst vor Vergeltungsmaßnahmen, geeignete Verfahren zur Einreichung von Beschwerden und Verfahren zum Schutz von Hinweisgebern ergreifen.

4.1 Wirksamkeit des Meldesystems

• Verfügt das Unternehmen über ein anonymes Meldesystem und wenn nein, warum nicht?
• Wie wird das Meldesystem den Mitarbeitern des Unternehmens bekannt gemacht?
• Wurde es benutzt?
• Wie hat das Unternehmen den Ernst der erhaltenen Meldungen eingeschätzt?
• Hat die Compliance-Funktion uneingeschränkten Zugriff auf Berichts- und Ermittlungsinformationen?

4.2 Ordnungsgemäße Untersuchung durch qualifiziertes Personal

• Wie ermittelt das Unternehmen, welche Beschwerden oder „Red Flags“ einer weiteren Untersuchung bedürfen?
• Wie stellt das Unternehmen sicher, dass die Ermittlungen ordnungsgemäß durchgeführt werden?
• Welche Schritte unternimmt das Unternehmen, um sicherzustellen, dass Untersuchungen unabhängig, objektiv, angemessen durchgeführt und ordnungsgemäß dokumentiert werden?
• Wie legt das Unternehmen fest, wer eine Untersuchung durchführen soll und wer diese Entscheidung trifft?

4.3 Untersuchungsbericht

• Wird innerhalb definierter Zeiträume gehandelt, um die Reaktionsfähigkeit sicherzustellen?
• Gibt es Prozesse zum Monitoring der Untersuchungsergebnisse und zur Festlegung der Verantwortlichkeiten für die Reaktionsmaßnahmen auf Feststellungen oder Empfehlungen?

4.4 Ressourcen und Nachverfolgung der Ergebnisse

• Sind ausreichende Ressourcen für die Berichts- und Untersuchungsprozesse vorhanden?
• Wie hat das Unternehmen Informationen aus seinen Berichtsprozessen gesammelt, verfolgt, analysiert und verwendet?
• Analysiert das Unternehmen die Berichte oder Untersuchungsergebnisse regelmäßig auf Verhaltensmuster oder andere „Red Flags“ zur Ermittlung von Compliance-Schwachstellen?

5. Management von Drittparteien

Ein gut konzipiertes Compliance-Programm sollte nach dem DOJ für seine Beziehungen zu Dritten einschließlich Agenten, Berater und Vertriebshändler, die zur Verschleierung von Fehlverhalten eingesetzt werden könnten, Prozesse für risikobasierte Geschäftspartnerprüfungen enthalten.

5.1 Risikobasierte und integrierte Prozesse

• Waren die Prozesse für das Management von Drittparteien auf die identifizierten Compliance-Risiken des Unternehmens abgestimmt?
• Wie wurde der Prozess für das Management von Drittparteien in Beschaffungs- und Lieferantenmanagementprozesse integriert?

5.2 Angemessene Kontrollen

• Wie stellt das Unternehmen sicher, dass es sinnvolle Gründe für den Einsatz von Dritten gibt?
• Wenn Dritte an dem zugrunde liegenden Fehlverhalten beteiligt waren, welche geschäftlichen Gründe bestanden für die Beauftragung dieser Dritten?
• Welche Kontrollmechanismen waren vorhanden um sicherzustellen, dass Vertragsbedingungen die erbrachten Leistungen reflektieren, dass Zahlungsbedingungen und Vergütungen angemessen sind und dass die beschriebenen Leistungen tatsächlich erbracht werden?

5.3 Management von Beziehungen

• Wie hat das Unternehmen die Vergütungs- und Anreizstrukturen für Dritte in Bezug auf Compliance-Risiken berücksichtigt und analysiert?
• Wie überwacht das Unternehmen seine Dritten?
• Hat das Unternehmen Prüfungsrechte zur Analyse der Bücher und Konten Dritter und hat das Unternehmen diese Rechte in der Vergangenheit ausgeübt?
• Wie hat das Unternehmen seine Drittparteien-Manager in Bezug auf relevante Compliance-Risiken der Drittpartei geschult?
• Wie wurden Drittparteien in Bezug auf Compliance-gerechtes und ethisches Verhalten incentiviert?

5.4 Konsequenzen

• Verfolgt das Unternehmen „Red Flags“, die aufgrund der Geschäftspartnerprüfung ermittelt wurden, und, wie diese „Red Flags“ im Nachgang behandelt werden?
• Stellt das Unternehmen sicher, dass Dritte nicht oder nicht erneut beauftragt werden, die die Geschäftspartnerprüfung des Unternehmens nicht bestehen oder gekündigt werden?
• Wenn Dritte an dem Fehlverhalten beteiligt waren, wurden sie aufgrund der Geschäftspartnerprüfung als „Red Flags“ identifiziert und wie wurden diese behoben?
• Wurde ein ähnlicher Dritter aufgrund von Compliance-Problemen suspendiert, gekündigt oder auditiert?

6. Mergers & Acquisitions (M&A)

Ein gut konzipiertes Compliance-Programm sollte nach Auffassung des DOJ eine umfassende Due Diligence aller M&A-Ziele umfassen. Inwieweit ein Unternehmen seine Akquisitionsziele einer angemessenen Prüfung unterwirft, zeigt, ob sein implementiertes Compliance-Programm in der Lage ist, seine internen Kontrollen wirksam durchzusetzen und Fehlverhalten auf allen Ebenen des Unternehmens zu beseitigen.

6.1 Due-Diligence-Prozess

• Wurde bei der Due-Diligence-Prüfung das Fehlverhalten oder das Fehlverhaltensrisiko festgestellt?
• Wer hat die Risikoüberprüfung für die erworbenen/fusionierten Unternehmen durchgeführt und wie wurde sie durchgeführt? Wie sieht der M & A-Due-Diligence-Prozess im Allgemeinen aus?

6.2 Integration in den M & A-Prozess

• Wie wurde die Compliance-Funktion in den Fusions-, Akquisitions- und Integrationsprozess integriert?

6.3 Prozess, der Due Diligence mit der Implementierung verbindet

• Wie hat das Unternehmen Fehlverhalten oder Fehlverhaltensrisiken verfolgt und behoben, die während des Due-Diligence-Prozesses festgestellt wurden?
• Wie hat das Unternehmen Compliance-Richtlinien und -Verfahren bei neuen Unternehmen eingeführt?

• Wurde in Bezug auf das Zielunternehmen der Verstoß oder das Risiko eines Verstoßes im Rahmen einer Due Diligence identifiziert?
• Wer führte diese Risiko Analyse in Bezug auf das Zielunternehmen durch und wie?