Gastbeitrag von Chris Schneider
Leitlinien des US-Justizministeriums zur Bewertung der Wirksamkeit von Compliance-Programmen unterstreichen Bedeutung der Due-Diligence-Prüfung Dritter
Entspricht das Compliance-Programm Ihres Unternehmens allen Anforderungen? Diese dringliche Frage werden alle weltweit tätigen Unternehmen im Zusammenhang mit den im April aktualisierten Leitlinien¹ des US-Justizministeriums (Department of Justice – DOJ) zur Bewertung der Wirksamkeit von Compliance-Programmen beantworten müssen. In den detaillierten Leitlinien werden die Merkmale wirkungsvoller Compliance-Programme erklärt und unter anderem die Bedeutung des Engagements seitens des Vorstandes und einer Due-Diligence-Prüfung Dritter hervorgehoben.
Inhalt
Diverser Nutzen durch solide Compliance-Programme
Ein gutes Compliance-Programm ist gut für das Geschäft. Es zeigt, dass ethische Standards im täglichen Geschäft anwendet werden, und unterstützt bei der Beherrschung finanzieller, strategischer, operativer und reputationsbezogener Risiken. Einer der greifbarsten Vorteile ist jedoch die Rolle, die Compliance-Programme bei der Erfüllung regulatorischer Verpflichtungen spielen.
Die Leitlinien des DOJ richten sich an Staatsanwälte, die Fälle mit Bezug zu rechtlichen Regelungen wie dem US-Antikorruptionsgesetz (Foreign Corrupt Practices Act – FCPA) untersuchen. Im Rahmen der US-Richtlinie zur FCPA-Durchsetzung (Corporate Enforcement Policy²) kann gegenüber Unternehmen, die zum Zeitpunkt der Verstoßes über ein wirkungsvolles Programm verfügen oder ein solches seither eingeführt haben, Nachsicht in Form herabgesetzter Strafzahlungen oder geringerer Überwachungsanforderungen geübt werden.
Die grenzüberschreitende Reichweite des FCPA und die zunehmende internationale Zusammenarbeit von Vollzugsbehörden bringen mit sich, dass Unternehmen in aller Welt wissen müssen, was ‚wirkungsvoll‘ in diesem Zusammenhang bedeutet und wie man eine Kultur ethisch einwandfreier Unternehmenstätigkeit etabliert, um Strafen für Fehlverhalten zu minimieren.
Drei ‚fundamentale Fragen‘ zur Bewertung der Wirksamkeit von Compliance-Programmen
Der Schwerpunkt der DOJ-Leitlinien liegt auf den sogenannten ‚drei fundamentalen Fragen‘, die sich darum drehen, ob mit einem Compliance-Programm das Risiko der Wirtschaftskorruption wirkungsvoll beherrscht werden kann.
1. Ist das Compliance-Programm des Unternehmens gut gestaltet?
Das Programm muss die mit der Geschäftstätigkeit einhergehenden Risiken widerspiegeln. Die Strategien und Abläufe müssen umfassend angelegt sein und konsequent angewendet werden. Die Mitarbeiter sollten anhand praxisnaher Beispiele geschult werden und Missstände vertraulich melden können. Berichte über Fehlverhalten müssen durch ein kompetentes und gut ausgestattetes Team untersucht werden.
Wie in den Leitlinien festgestellt wird, ist es von entscheidender Bedeutung, „…dass ein gut gestaltetes Programm risikobasierte Due-Diligence-Prüfungen der Beziehungen zu Dritten … sowie umfassende Due-Diligence-Prüfungen aller Übernahmekandidaten vorsieht.“2
2. Wird das Programm ernsthaft und in gutem Glauben angewendet?
Die Verpflichtung zur Compliance muss zuerst vom Vorstand und in weiterer Folge von der oberen und der mittleren Managementebene übernommen werden. Geeignete Ressourcen und qualifiziertes Personal sollten für Compliance-Angelegenheiten vorgesehen werden und Letzteres sollte die Befugnis haben, selbständig zu handeln. Anreize und Abschreckungsmaßnahmen sollten vorgesehen sein, um Compliance und ethisches Verhalten zu fördern.
3. Funktioniert das Programm?
In den Leitlinien wird festgehalten, dass vorkommendes Fehlverhalten nicht bedeutet, dass das Programm ineffizient ist. Ermittler werden untersuchen, wie das Fehlverhalten erkannt wurde, welche Ursachenanalyse stattgefunden hat und welche Maßnahmen gesetzt wurden. Erfolgte Überprüfungen, Tests, Untersuchungen sowie die Verantwortlichkeiten werden berücksichtigt.
Risikomanagement in Bezug auf Dritte
In den Leitlinien des DOJ wird eindeutig festgehalten, dass ein wirkungsvolles Compliance-Programm über das Unternehmen hinausreicht.
Weltweit tätige Unternehmen operieren nicht im luftleeren Raum, sondern innerhalb eines Systems Tausender mit ihnen verbundener Kunden, Partner und Lieferanten in den unterschiedlichsten Ländern. Jeder dieser Akteure kann Risiken in ein Unternehmen hineintragen und dieses hat die explizite Aufgabe, diese Risiken zu erkennen, zu überwachen und zu beherrschen.
Dieses Risikomanagement in Bezug auf Dritte stellt einen schwierigen Aspekt der Compliance in Zusammenhang mit Korruptionsbekämpfung dar, da er sich auf Akteure bezieht, die der direkten Kontrolle des Unternehmens entzogen sind. Im FCPA-Blog wird festgehalten, dass sich „…seit dem Inkrafttreten der OECD-Konvention gegen Bestechung im Jahr 1999 beinahe jede zweite Durchsetzungsmaßnahme auf Bestechungshandlungen durch Handelsvertreter, Zwischenhändler, Vertriebspartner oder Makler bezog.“³
In den Leitlinien des DOJ wird betont, dass in einem Unternehmen die Qualifikationen und die Verbindungen von Lieferanten und Vertretern, insbesondere wenn diese mit ausländischen Amtsträgern zu tun haben, bekannt sein müssen. Es muss einen eindeutigen geschäftlichen Grund für die Beziehung mit der Drittpartei geben und ihre Beziehungen und Verbindungen müssen transparent und nachvollziehbar sein.
Zu diesem Zweck gibt es eine Reihe von Tools – von Lieferantenfragebögen und Gesprächen (subjektiv) bis zu unabhängigen Business-Intelligence-Plattformen (objektiv) – , die Zugang zu globalen Daten über Unternehmen bieten und zukünftige Partner mit Wachtlists und Listen politisch exponierter Personen (PEPs) abgleichen. Ein schlagkräftiges Compliance-Team muss sich interne und externe Quellen zunutze machen, um Behauptungen über Drittparteien zu verifizieren und mögliche riskante Verbindungen oder Schwachstellen zu ermitteln.
Außerdem ist es wichtig, zu erkennen, dass sich Risiken in Bezug auf Dritte ständig verändern. Compliance-Teams müssen ein System der permanenten Überwachung etablieren, das neue Risiken verlässlich aufzeigt.
Bei komplexen Lieferketten und Tausenden von Partnern stellt dies ein ganzes Stück Arbeit dar und Unternehmen müssen bei der Zuteilung von Ressourcen zu dieser Aufgabe effizient vorgehen. Durch die weitestmögliche Nutzung automatisierter Risikoüberwachungslösungen kann die Belastung von Compliance-Teams reduziert und die gewonnene Zeit für anspruchsvollere Tätigkeiten genutzt werden.
Die Compliance-Latte hoch gelegt
Die DOJ-Leitlinien stellen eindeutig klar, was von den weltweit agierenden Unternehmen heute erwartet wird, und lassen wenig Zweifel darüber aufkommen, dass Compliance nicht mehr nur ein Schlagwort ist, sondern dessen Bedeutung von der Vorstandsetage abwärts im gesamten System von Partnern und Lieferanten von allen anerkannt werden muss.
Die Einführung eines wirkungsvollen Compliance-Programms, das Risiken bezüglich Dritter miteinbezieht, stellt ein herausforderndes Unterfangen dar, ermöglicht Unternehmen mithilfe geeigneter Ressourcen und Tools jedoch die Erzielung wirtschaftlicher Vorteile bei einer gleichzeitigen Reduktion illegaler Handlungen.
Der Autor
Chris Schneider ist Associated Head of Sales bei der LexisNexis GmbH.
Seit circa sechs Jahren ist er im Data & Analytics-Umfeld tätig und verfügt über einen großen Erfahrungsschatz hinsichtlich der Betreuung von Compliance-Projekten in der Finanz- und Bankenbranche. Er war bei zahlreichen Corporate-Projekten involviert.
Über LexisNexis
LexisNexis ist ein internationaler Anbieter von Informations- und Technologielösungen, mit denen Fachleute aus Unternehmen, Regierungen und gemeinnützigen Organisationen sowie Recht und Wissenschaft fundierte Entscheidungen treffen und bessere Geschäftsergebnisse erzielen können. Mit den LexisNexis® Compliance-Lösungen ermöglichen wir unseren Kunden, ihre Geschäftspartner abhängig vom jeweils vorliegenden Risikolevel auf Integrität zu prüfen und laufend zu beobachten. Mit LexisNexis kommen sie Compliance-Gesetzen nach, beugen Wirtschaftskriminalität vor und finden zu zuverlässigeren Managemententscheidungen.
¹ U.S. Department of Justice Criminal Division, Evaluation of Corporate Compliance Programs, justice.gov, April 2019
² 9-47.120 – FCPA Corporate Enforcement Policy, justice.gov
³ Anne Fleur Goedegebuure: What can go wrong (and right) with third-party due diligence?, fcpablog.com, 11.05.2019