DOJ Leitfaden zu Compliance in Unternehmen
Die Herausforderung bei der Umsetzung der DOJ Compliance Richtlinien
Die „Evaluation of Corporate Compliance Programs“ (Bewertung von Compliance-Programmen) ist ein Leitfaden des US-Justizministeriums (Department of Justice, kurz DOJ) für Bundesstaatsanwälte zur Bestimmung des Umfangs und der Schwere der Strafe, die ein Unternehmen im Falle eines Compliance-Verstoßes zu erwarten hat. Mit der Aktualisierung des Leitfadens im Juni 2020 haben die Aufsichtsbehörden auch versucht, den Unternehmen Orientierungshilfe und Transparenz zu bieten, indem sie ihre Erwartungen an ein gut konzipiertes und ordnungsgemäß durchgeführtes Compliance-Programm klar zum Ausdruck brachten.
Compliance-Beauftragte können mit der Beantwortung der drei Fragen beginnen, die das DOJ den Staatsanwälten zu Beginn ihrer Bewertung vorgibt: 1) Ist das Compliance-Programm des Unternehmens gut konzipiert? 2) Verfügt das Programm über ausreichende Mittel und Befugnisse, um effektiv umgesetzt werden zu können? 3) Funktioniert das Programm in der Praxis?
Der DOJ-Leitfaden enthält dann detaillierte Fragen zur Bewertung der einzelnen Antworten. Wer beispielsweise die Konzeption eines Risiko- und Compliance-Programms bewertet, sollte mit der Überprüfung der Risikobewertung beginnen und dabei folgende Punkte berücksichtigen: Wie hat das Unternehmen sein Risikoprofil definiert? Wurden die Programme auf die Aufdeckung bestimmter Arten von Fehlverhalten zugeschnitten und die Ressourcen entsprechend zugewiesen? Wurden Bewertungen regelmäßig überprüft und überarbeitet? Durch die proaktive Beantwortung der im DOJ-Leitfaden aufgeworfenen Fragen können Unternehmen verhindern, dass die Staatsanwaltschaft nach einem Compliance-Versagen nach Antworten suchen muss.
Der neue Leitfaden des DOJ zur Bewertung von Compliance-Programmen in Unternehmen umfasst folgende Bereiche
Risikobewertung
Wie haben Sie Ihr Risikoprofil ermittelt, bewertet und definiert? Welche Überlegungen liegen den Entscheidungen zugrunde, die Sie bei der Programmgestaltung getroffen haben?
Engagement des Topmanagements und der mittleren Führungsebene
Schafft und fördert Ihr Unternehmen eine Kultur der Ethik und Compliance? Wie haben Ihre leitenden Angestellten und Führungskräfte ihr Engagement für die Einhaltung der Vorschriften unter Beweis gestellt?
Richtlinien und Verfahren
Verfügen Sie über einen Verhaltenskodex? Sorgen Ihre Richtlinien und Verfahren für eine Unternehmenskultur, die die Einhaltung der Vorschriften in die tägliche Arbeit einbezieht? Sind die Richtlinien für alle zugänglich und können diese angepasst werden?
Eigenständigkeit und Ressourcen
Ist das Compliance-Personal mit den erforderlichen Befugnissen, Ressourcen und Autonomie ausgestattet? Haben sie funktionsübergreifend ständigen Zugang zu betrieblichen Daten und Informationen?
Schulung und Kommunikation
Sind Ihre Schulungen auf Risiken ausgerichtet? Wie messen Sie die Wirksamkeit Ihrer Schulungen? Bieten Sie kürzere, gezielte Schulungen zu wichtigen Themen an?
Anreize und Disziplinarmaßnahmen
Wurden Disziplinarmaßnahmen und Anreize in der gesamten Organisation gerecht und konsequent angewandt? Werden Ermittlungsverfahren überwacht, um Konsistenz zu gewährleisten?
Vertrauliche Hinweise und Untersuchung
Gibt es eine Möglichkeit für Mitarbeiter und Dritte, Fehlverhalten anonym oder vertraulich zu melden? Sind Ihre Mitarbeiter dazu bereit, diese Möglichkeiten zu nutzen? Wie wird die Wirksamkeit dieses Meldevorgangs gemessen?
Kontinuierliche Verbesserung, regelmäßige Tests und Überprüfung
Führt Ihr Compliance-Programm regelmäßige Audits und Kontrolltests durch? Wird das Compliance-Programm Ihres Unternehmens überprüft und entsprechend der gewonnen Erkenntnisse angepasst?
Management von Drittparteien
Wenden Sie bei Ihren Beziehungen zu Zulieferern eine risikobasierte Due-Diligence-Prüfung an? Führen Sie ein Risikomanagement für Dritte während der gesamten Dauer der Geschäftsbeziehung durch?
Ermittlung von Fehlverhalten
Verfügen Sie über einen gut funktionierenden und angemessen finanzierten Mechanismus zur zeitnahen und gründlichen Ermittlung von Fehlverhalten?
Fusionen und Akquisitionen
Führt Ihr Unternehmen eine Due-Diligence-Prüfung vor einer Akquisition durch? Verfügen Sie über ein Verfahren zur Integration erworbener Unternehmen in bestehende Compliance-Programmstrukturen?
Analyse und Behebung des zugrunde liegenden Fehlverhaltens
Inwieweit ist Ihr Unternehmen in der Lage, die Ursachen des Fehlverhaltens zu analysieren und zu beseitigen?
Schritte, die Sie unternehmen können, um die DOJ-Richtlinien für Corporate Compliance-Programme zu erfüllen
Schritt 1
Lesen Sie die kommentierte Kopie der DOJ-Richtlinien von NAVEX Global um die neuesten Änderungen der Aktualisierung vom Juni 2020 nachvollziehen zu können (auf Englisch).
Schritt 2
Nutzen Sie die Corporate Compliance Evaluation Matrix von NAVEX Global um festzustellen, welche Produkte und Dienstleistungen dem spezifischen Bereich der Corporate Compliance entsprechen, mit dem Sie sich befassen möchten (auf Englisch).
Schritt 3
Bewerten und verbessern Sie Ihre Richtlinien und Verfahren, um gezielte Risiken zu verringern und eine Kultur der Integrität in Ihren Arbeitsalltag zu integrieren.
Schritt 4
Bieten Sie mehrere Methoden zur Meldung von Whistleblower-Vorfällen an, einschließlich einer Compliance-Hotline, um effektive Meldemechanismen zu schaffen, die eine zeitnahe und angemessene Überprüfung ermöglichen.
Schritt 5
Nehmen Sie an unseren Schulungen teil, welche auf die besonderen Risiken Ihres Unternehmens zugeschnitten sind und die für jede Zielgruppe in geeigneter Form und Sprache angeboten werden.
Schritt 6
Integrieren Sie eine risikobasierte Due-Diligence-Prüfung von Drittanbietern in Ihre Beschaffungs- und Lieferanten-Managementprozesse, um die Qualifikationen und Verbindungen von Drittanbietern zu bewerten und kontinuierlich zu überwachen.