Wann werden Compliance-Programme international anerkannt? Internationale Ermittlungsbehörden erstellen vermehrt Leitlinien, nach welchen Kriterien sie die Effektivität von Compliance-Programmen beurteilen. Heuer wurden alleine in den USA drei solcher Richtlinien für die Bereiche Anti-Korruption, Kartellrecht und Sanktionen herausgegeben.
Von Rudolf Schwab
Die Effektivität eines Compliance-Management-Systems wird vom US-amerikanischen Justizministerium (DOJ) in erster Linie danach beurteilt, ob es in der Lage ist, Verstöße zeitnah aufzudecken und in Zukunft zu verhindern. Dabei stellt das DOJ sowohl bei seinem Update zur Evaluierung von Anti-Korruptions-Management-Systemen1 als auch bei der neuen Richtlinie zur Evaluierung von Kartellrechts-Compliance-Management-Systemen (CMS)2 auf drei Fragestellungen ab: Ist das Compliance-Programm des Unternehmens gut konzipiert? Wird das Programm ernsthaft und in gutem Glauben angewendet? Oder in anderen Worten: Ist das Compliance-Programm wirksam implementiert? Wird das Compliance-Programm tatsächlich gelebt oder besteht es nur auf dem Papier? Auch die Kontrollbehörde des US-amerikanischen Finanzministerium OFAC (Office of Foreign Assets Control) hat im Mai 2019 ein Rahmenwerk für Compliance-Programme3 zur Einhaltung der Sanktionsbestimmungen erstellt.
DOJ-Richtlinie zur Evaluierung von Compliance-Programmen Ob ein Compliance-Programm gut konzipiert ist, macht das DOJ an folgenden sechs Punkten fest: Compliance-Risiko-Assessment: Inwieweit berücksichtigt das Compliance Risk Assessment die kommerziellen Aspekte des Geschäfts? Hat das Unternehmen sein ComplianceRisikoprofil identifiziert, bewertet und definiert? Inwieweit sieht das
40
3/2019
Compliance_Praxis_03_2019_(2015)_v5.indd 40
CMS risikoorientiert angemessene Ressourcen und Kontrollen vor? Compliance-Richtlinien und -Prozesse: Richtlinien und Prozesse müssen darauf ausgerichtet sein, die identifizierten Compliance-Risiken zu reduzieren und Compliance in den täglichen Betrieb zu integrieren. Compliance-Schulungen und -Kommunikation: Neben einem risikobasierten Compliance-Trainingskonzept betont das DOJ die Überprüfung der Wirksamkeit der Compliance-Trainings. Auch der Kommunikation über Fehlverhalten kommt besondere Bedeutung zu. Vertrauliche Meldekanäle für Fehlverhalten und Aufklärung: Die Existenz eines wirksamen und vertrauenswürdigen Hinweisgebersystems, über das Mitarbeiter anonym oder vertraulich Vorwürfe melden können, der Schutz des Hinweisgebers, die Untersuchung der erhobenen Vorwürfe und die angemesse Sanktionierung bei Fehlverhalten sind wesentliche Bestandteile eines CMS. Risikobasierte Geschäftspartnerprüfungen mit dem Ziel, besondere Arten von Fehlverhalten erkennen zu können, die am ehesten in der Branche des Unternehmens auftreten. Integration von Compliance in den M&A-Prozess. Bei der Implementierung des CMS kommt es auf das Commitment des Top-Managements und der Führungskräfte, auf die richtige Positionierung und Ressourcenausstattung der Compliance-Funktion, auf die Fähigkeiten, Kenntnisse und Unabhängigkeit der Compliance-Manager sowie auf die Förderung von Compliance durch HR-Prozesse an.
Die kontinuierliche Verbesserung des CMS, regelmäßige Kontrollen und Überprüfungen der Wirksamkeit des CMS sowie die Analyse der Gründe für das Auftreten von Fehlverhalten als Basis für dessen Behebung sind wesentliche Indikatoren, an denen das DOJ festmacht, ob ein CMS gelebt wird. Das DOJ berücksichtigt nicht nur die Compliance-Bemühungen vor einem Vorfall, sondern selbstverständlich auch danach. Zusammenfassend sind folgende zehn Punkte aus Sicht der DOJ-Leitlinie von besonderer Relevanz: Compliance ist angemessen mit Personal und Budget ausgestattet. Die Compliance-Funktion ist unabhängig und hat direkten Zugang zum Aufsichtsrat oder Audit Committee und regelmäßige Treffen mit dem Vorstand. Compliance soll proaktiv und regelmäßig mit anderen Bereichen zusammenarbeiten, um das ComplianceProgramm systemisch in der gesamten Organisation umzusetzen. Durch einen risikobasierten Ansatz soll vermieden werden, dass überproportional viel Zeit darauf verwendet wird, Bereiche mit geringem Risiko anstelle von Bereichen mit hohem Risiko zu überwachen. Die DOJ-Leitlinie erwartet, dass Metriken in Bezug auf ComplianceRichtlinien und -Prozesse, auf Untersuchungen, auf Beziehungen zu Geschäftspartnern, auf das ComplianceRisikomanagement sowie in Bezug auf Compliance-Schulungen implementiert, überwacht und bewertet werden.
www.compliance-praxis.at
8/26/2019 6:37:30 PM
