compliance

DOJ publiceert nieuwe guidance op het gebied van compliance

Bart VolleberghAlgemeen, Due diligence, Governance, Internationaal, Klokkenluiders

Amsterdam, 27 mei 2019 – Het Amerikaanse Department of Justice (DOJ) heeft recentelijk een nieuw guidance document opgesteld naar aanleiding van de evaluatie van compliance programma’s van ondernemingen. Hierin zijn richtlijnen opgenomen die een aanklager moet volgen bij het beoordelen van de adequaatheid en effectiviteit van compliance programma’s.

Een belangrijke factor die aanklagers in overweging moeten nemen bij het besluit een onderneming wel of niet te vervolgen, is de adequaatheid en effectiviteit van het compliance programma van de desbetreffende onderneming. De richtlijnen zijn bedoeld om aanklagers te helpen bij het nemen van geïnformeerde beslissingen over of, en in welke mate, het compliance programma effectief was ten tijde van het begaan van het delict en ten tijde van het mogelijke aanklagen.

Belangrijkste vernieuwingen in de DOJ guidance

Hoewel de effectiviteit moet worden bepaald in een specifieke context en er geen standaard formule kan worden toegepast, zijn er enkele algemene vragen die gesteld moeten worden bij het nemen van een individuele beslissing. Hier volgen de tien belangrijkste aanwijzingen die compliance officers moeten kennen naar aanleiding van de nieuwe DOJ guidance.

1. De compliance afdeling moet voldoende middelen ter beschikking hebben. Een belangrijke aanwijzing bij het beoordelen van het compliance programma is de hoeveelheid aan middelen die de afdeling zijn toebedeeld. Er moet zowel voldoende budget als voldoende werknemers zijn om “audit, document, analyze and act” mogelijk te maken.

2.  Compliance officers moeten onafhankelijke toegang tot de raad van bestuur of auditcomité hebben. Aanklagers moeten vragen of de compliance officer directe rapportagelijnen heeft naar de raad van bestuur en/of het auditcomité. Het belang van een autonome en onafhankelijke compliance afdeling, die direct kan rapporteren bij de directie, wordt in de richtlijn meerdere malen herhaald.

3. Compliance moet zijn geïntegreerd in andere bedrijfstakken. Er moet pro-actief worden samengewerkt met andere functies, met name interne audit, inkoop en extern leveranciersbeheer. Tijdens fusies en overnames moet compliance tijdens de voorfase al meewerken bij het due-diligence onderzoek en daarna aan het integratieproces van het nieuwe bedrijf. Compliance kan niet op zichzelf staan; samenwerking is vereist om het programma effectief en systematisch in de gehele organisatie te kunnen implementeren.

4. Compliance moet een op risico’s gebaseerde aanpak aannemen. De guidance stelt dat, ondanks de angst bij organisaties dat signalen op deze manier mogelijk gemist worden, een op risico’s gebaseerde aanpak verwacht wordt. Een dergelijke aanpak is noodzakelijk om te vermijden dat onevenredig veel tijd wordt besteed aan toezicht op gebieden met een laag risico.

5. Er moeten statistieken omtrent het compliance systeem worden geïmplementeerd. In de guidance wordt meerdere malen herhaald dat aanklagers moeten vragen of statistieken zijn gecreëerd, gemonitord, en geëvalueerd om te bepalen of en in welke mate een programma effectief is.  Statistieken moeten worden bijgehouden met betrekking tot beleid en procedures, onderzoeken, externe relaties, risico management/risico analyses en training. Alleen door statistieken  kan worden beoordeeld of een succesvol compliance programma aanwezig is.

6. Poortwachters en managers moeten anders worden getraind. Degenen die verantwoordelijk zijn voor het uitvoeren van verplichtingen met betrekking tot compliance moeten anders of aanvullend worden opgeleid dan de overige werknemers. Aanklagers moeten nagaan of  toezichthoudende werknemers andere of aanvullende opleiding hebben ontvangen, zodat zij in staat zijn wangedrag te signaleren en weten hoe om te gaan met meldingen.

7. Er moeten externe controles en continue monitoring zijn. In de richtlijnen worden hoge eisen gesteld aan de controles door derden. in contracten moet duidelijk worden vastgelegd welke taken moeten worden uitgevoerd door externen en vervolgens moet ook worden gecontroleerd of deze taken deugdelijk worden uitgevoerd.

8. Compliance-beleid en procedures moeten worden gecommuniceerd aan derde partijen. De organisatie moet zijn beleid, procedures en verwachtingen met betrekking tot compliance delen met alle werknemers en externe partijen.

9. Ondernemingen moeten een sterk klokkenluiders systeem hebben. Hieronder vallen onder meer het nemen van proactieve maatregelen om een werkomgeving te creëren zonder angst voor represailles, het instellen van geschikte procedures voor het indienen van klachten en het verzekeren van klokkenluidersbescherming. Het klokkenluiderssysteem moet aan de werknemers worden bekendgemaakt en de compliance officer moet volledige toegang hebben tot alle rapportage- en onderzoeksinformatie.

10. Compliance programma’s moeten worden geëvalueerd. Het hebben van een compliance programma is niet genoeg, deze moet aan een periodieke beoordeling worden onderworpen.