5 minute read
Wann werden Compliance-Programme international anerkannt?
Internationale Ermittlungsbehörden erstellen vermehrt Leitlinien, nach welchen Kriterien sie die Effektivität von Compliance-Programmen beurteilen. Heuer wurden alleine in den USA drei solcher Richtlinien für die Bereiche Anti-Korruption, Kartellrecht und Sanktionen herausgegeben.
Von Rudolf Schwab
Die Effektivität eines Compliance-Management-Systems wird vom US-amerikanischen Justizministerium (DOJ) in
erster Linie danach beurteilt, ob es in der Lage ist, Verstöße zeitnah aufzudecken und in Zukunft zu verhindern. Dabei stellt das DOJ sowohl bei seinem Update zur Evaluierung von Anti-Korruptions-Management-Systemen 1 als auch bei der neuen Richtlinie zur Evaluierung von Kartellrechts-Compliance-Management-Systemen (CMS) 2 auf drei Fragestellungen ab: Ist das Compliance-Programm des
Unternehmens gut konzipiert? Wird das Programm ernsthaft und in gutem Glauben angewendet? Oder in anderen Worten: Ist das Compliance-Programm wirksam implemen
tiert? Wird das Compliance-Programm tatsächlich gelebt oder besteht es nur auf dem Papier? Auch die Kontrollbehörde des US-amerikanischen Finanzministerium OFAC (Offi ce of Foreign Assets Control) hat im Mai 2019 ein Rahmenwerk für Compliance-Programme 3 zur Einhaltung der Sanktionsbestimmungen erstellt.
Ob ein Compliance-Programm gut konzipiert ist, macht das DOJ an folgenden sechs Punkten fest: Compliance-Risiko-Assessment: Inwieweit berücksichtigt das Compliance Risk Assessment die kommerziellen Aspekte des Geschäfts? Hat das Unternehmen sein ComplianceRisikoprofi l identifi ziert, bewertet und defi niert? Inwieweit sieht das CMS risikoorientiert angemessene
Ressourcen und Kontrollen vor? Compliance-Richtlinien und -Prozesse: Richtlinien und Prozesse müssen darauf ausgerichtet sein, die identifi zierten Compliance-Risiken zu reduzieren und Compliance in den täglichen Betrieb zu integrieren. Compliance-Schulungen und -Kommunikation: Neben einem risikobasierten Compliance-Trainingskonzept betont das DOJ die Überprüfung der Wirksamkeit der Compliance-Trainings. Auch der Kommunikation über Fehlverhalten kommt besondere Bedeutung zu. Vertrauliche Meldekanäle für Fehlverhalten und Aufklärung: Die Existenz eines wirksamen und vertrauenswürdigen Hinweisgebersystems, über das Mitarbeiter anonym oder vertraulich Vorwürfe melden können, der Schutz des Hinweisgebers, die Untersuchung der erhobenen Vorwürfe und die angemesse Sanktionierung bei Fehlverhalten sind wesentliche Bestandteile eines CMS. Risikobasierte Geschäftspartnerprüfungen mit dem Ziel, besondere Arten von Fehlverhalten erkennen zu können, die am ehesten in der Branche des Unternehmens auftreten. Integration von Compliance in den
M&A-Prozess. Bei der Implementierung des CMS kommt es auf das Commitment des Top-Managements und der Führungskräfte, auf die richtige Positionierung und Ressourcenausstattung der Compliance-Funktion, auf die Fähigkeiten, Kenntnisse und Unabhängigkeit der Compliance-Manager sowie auf die Förderung von Compliance durch HR-Prozesse an.
Die kontinuierliche Verbesserung des CMS, regelmäßige Kontrollen und Überprüfungen der Wirksamkeit des CMS sowie die Analyse der Gründe für das Auftreten von Fehlverhalten als Basis für dessen Behebung sind wesentliche Indikatoren, an denen das DOJ festmacht, ob ein CMS gelebt wird. Das DOJ berücksichtigt nicht nur die Compliance-Bemühungen vor einem Vorfall, sondern selbstverständlich auch danach.
Zusammenfassend sind folgende zehn Punkte aus Sicht der DOJ-Leitlinie von besonderer Relevanz: Compliance ist angemessen mit Personal und Budget ausgestattet. Die Compliance-Funktion ist unabhängig und hat direkten Zugang zum Aufsichtsrat oder Audit Committee und regelmäßige Treffen mit dem
Vorstand. Compliance soll proaktiv und regelmäßig mit anderen Bereichen zusammenarbeiten, um das ComplianceProgramm systemisch in der gesamten Organisation umzusetzen. Durch einen risikobasierten Ansatz soll vermieden werden, dass überproportional viel Zeit darauf verwendet wird, Bereiche mit geringem Risiko anstelle von Bereichen mit hohem Risiko zu überwachen. Die DOJ-Leitlinie erwartet, dass Metriken in Bezug auf ComplianceRichtlinien und -Prozesse, auf Untersuchungen, auf Beziehungen zu Geschäftspartnern, auf das ComplianceRisikomanagement sowie in Bezug auf Compliance-Schulungen implementiert, überwacht und bewertet werden.
Verantwortliche in Kontrollpositionen und Manager müssen besonders geschult werden. Kontinuierliches, risikobasiertes Compliance-Geschäftspartner-Management. Kommunikation der ComplianceRichtlinien und -Prozesse an Geschäftspartner. Unternehmen müssen über einen robusten Whistleblowing-Prozess verfügen. Im Rahmen der regelmäßigen Evaluierung des Compliance-Programms sollte auch geprüft werden, ob bestimmte Risikobereiche in den Richtlinien, Kontrollen oder Schulungen nicht ausreichend berücksichtigt werden.
Die Leitlinien der DOJ-Kartellabteilung sind inhaltlich ähnlich strukturiert wie jene für Anti-Korruptions-ComplianceProgramme.
Schlüsselelemente eines unternehmensweiten Kartellrechts-Compliance-Programms sind demnach eine der Compliance förderliche Unternehmenskultur, der richtige Tone from the Top, die Risikobewertung, Schulungs- und Kommunikationsmaßnahmen, Anreize zur Einhaltung von Richtlinien, ausreichende Personalressourcen, Überwachungsmaßnahmen, vertrauensvolle Berichtsmechanismen für Fehlverhalten, die Untersuchung von Vorfällen, die angemessene Sanktionierung von Fehlverhalten sowie die Vollständigkeit und kontinuierliche Weiterentwicklung des CMS. Das Kartellrechts-Compliance-Programm muss in die Geschäftsprozesse des Unternehmens integriert sein. Besonderes Augenmerk legt die DOJ-Kartellabteilung bei ihren Untersuchungen auch darauf, ob eine Vernichtung von Dokumenten stattgefunden hat.
Fragen, anhand derer das DOJ die Wirksamkeit eines Kartellrechts-Compliance-Programms überprüft, sind unter anderem: Werden im Rahmen des CMS strafrechtliche Kartellverstöße behandelt und verboten? Ermöglicht das CMS das Erkennen und unverzügliche Melden von Kartellrechtsverstößen? Inwieweit war das Top-Management eines Unternehmens an der Kartellrechtsverletzung beteiligt?
Das vom U.S. Department of the Treasury’s Offi ce of Foreign Assets Control („OFAC“) veröffentlichte „Framework for OFAC Compliance Commitments“ bietet einen risikobasierten Ansatz für die Schaffung eines wirksamen Programms zur Einhaltung von Sanktionsbestimmungen. Das OFAC beschreibt Ursachen, die zu Sanktionsverletzungen führen können, und hebt fünf wesentliche Komponenten für ein erfolgreiches Sanktionen-Compliance-Programm hervor: Das Management stellt angemessene
Ressourcen zur Verfügung und nimmt Verstöße gegen OFAC-Sanktionsbestimmungen ernst. Compliance Risk Assessment in Bezug auf mögliche Verstöße gegen
Sanktionsbestimmungen. Interne Kontrollen, die die Identifi zierung, Führung und Berichterstattung über die vom OFAC regulierten Aktivitäten ermöglichen. Prüfung und Auditierung zur Identifi kation von Schwachstellen. OFAC-bezogenes Trainingskonzept.
Anreize zur Kooperation mit Ermittlungsbehörden
Im März 2019 wurde die FCPA Corporate Enforcement Policy dahingehend angepasst, dass Unternehmen, die gegen den FCPA verstoßen haben, in Aussicht gestellt wird, das Bußgeld unter folgenden Voraussetzungen um 50 Prozent unter dem Mindestbußgeld gemäß U.S. Sentencing Guidelines zu reduzieren: Der Verstoß wird zeitnah, freiwillig und vollständig gemeldet. Das Unternehmen kooperiert umfassend mit den Ermittlungsbehörden. Das Unternehmen ist zeitnah um die
Behebung des Problems bemüht. Der Verstoß ist nicht besonders schwerwiegend. Sollte darüber hinaus noch bis spätestens zum Abschluss der DOJ-Untersuchungen auch ein effektives CMS implementiert worden sein, kann auch von der Überwachung durch einen Monitor abgesehen werden.
1) „Evaluation of Corporate Compliance Programs” vom April 2019 ist unter folgendem Link abrufbar: https://www.justice.gov/criminal-fraud/ page/fi le/937501/download?mod=djemRisk
Compliance. 2) „Evaluation of Corporate Compliance Programs in Criminal Antitrust Investigations” vom Juli 2019 ist unter folgendem Link abrufbar: https:// www.justice.gov/atr/page/fi le/1182001/download. 3) „A Framework for OFAC Compliance Commitments” ist unter folgendem Link abrufbar: https:// www.treasury.gov/resource-center/sanctions/ Documents/framework_ofac_cc.pdf.
Der Autor Mag. Rudolf Schwab, MBA ist Certifi ed Compliance Professional und bei der A1 Telekom Austria Group in den Bereichen Compliance Prävention und Kapitalmarkt Compliance tätig.
© privat
