DOJ’s ‘ Evaluation of Corporate Compliance Programs’

Op 30 april 2019 heeft de Department of Justice (DOJ) een vernieuwde leidraad met de titel ‘The Evaluation of Corporate Compliance Programs’ gepubliceerd. Dit document bevat richtlijnen die aanklagers behulpzaam kunnen zijn bij het beoordelen van de effectiviteit van een compliance programma van een onderneming op het moment van een overtreding en het nemen van vervolgbeslissingen. Tegelijkertijd kan het als een handleiding dienen voor ondernemingen om een adequaat en effectief compliance programma te ontwikkelen en vervolgens te implementeren. Een effectief compliance programma biedt de organisatie, volgens de DOJ, de mogelijkheid om wangedrag op het gebied van compliance in eerder stadium te ontdekken. Hierdoor kan de overheid eerder een onderzoek starten en betrokkenen vervolgen, waardoor het risico op toekomstige overtredingen geminimaliseerd kan worden. Zo te zien een win-win situatie voor zowel de DOJ als het bedrijfsleven.

Drie fundamentele vragen

Volgens de DOJ bestaat er geen rigide formule om te beoordelen of een compliance programma effectief en adequaat genoeg was ten tijde van de overtreding. Benadrukt wordt dat geen sprake is van een ‘one size fits all checklist’. Drie fundamentele vragen die een aanklager moet beantwoorden bij zijn evaluatie van het compliance programma, zijn:

  1. 1. Is het compliance programma ‘well designed’?
  2. 2. Wordt het compliance programma effectief geïmplementeerd?
  3. 3. Werkt het compliance programma ook in de praktijk?

‘Well designed’?

Ten aanzien van de eerste vraag moet de aanklager eerst vaststellen hoe de organisatie in kwestie zijn risicoprofiel heeft vastgesteld (risk assessment) en in hoeverre het compliance programma voldoende rekening houdt met die mogelijke risico’s. Eveneens is van belang dat die organisatie rekening houdt met de risico’s die kunnen ontstaan aan de hand van de volgende factoren; de locatie van de activiteiten, de competitiviteit van de markt, potentiële klanten en partners, transacties met buitenlandse overheden en ook het gebruik van agentschappen. Overigens hoort deze ‘risk assessment’ periodiek te worden herzien. Verder moet een goed ontworpen compliance programma aandacht besteden aan onder andere de ‘policies and procedures’ binnen het bedrijf, de training van de compliance afdeling, de interne klokkenluidersregeling en mogelijke due dilligence naar ‘third-parties’ (bijvoorbeeld distributeurs, agenten en exporteurs).

‘Effectively implemented’?

De DOJ benadrukt dat een compliance programma goed vormgegeven kan zijn op papier, maar dat ook essentieel is dat deze effectief wordt geïmplementeerd binnen de organisatie. De aanklager moet kunnen vaststellen of er binnen de organisatie ook werkelijk sprake is van een ‘culture of compliance’. Ten eerste wordt gekeken naar de tone at the top; welk signaal geven leidinggevenden (senior en middle management) af? Verder moeten degenen verantwoordelijk voor toezicht op compliance voldoende aanzien hebben binnen de organisatie. Een compliance afdeling moet tevens een autonome en onafhankelijke positie bekleden binnen de organisatie. Hierbij kijkt een aanklager overigens ook naar hoeveel middelen worden besteed aan de compliance afdeling. Als – in verhouding tot de grootte van de organisatie – relatief weinig middelen ter beschikking zijn gesteld voor de compliance afdeling, kan dit betrokken worden in de beoordeling van de aanklager. Ten derde stelt een aanklager vast in hoeverre binnen de organisatie wordt gestimuleerd om het compliance beleid na te komen. Bovendien kan ook in overweging genomen worden of bepaalde bonussen of promoties zijn ontzegd bij medewerkers die zich niet hebben gehouden aan de regels op het gebied van compliance.

‘Works in practice?

De laatste ‘fundamentele’ vraag bij de beoordeling van de effectiviteit van het compliance programma is of deze ten tijde van de overtreding ook effectief was in de praktijk. Het compliance programma moet voortdurend gemonitord, getest en verbeterd worden. De DOJ geeft wel aan dat het enkele bestaan van een incident nog niet betekent dat het compliance programma niet effectief was. Voor de DOJ zijn de volgende factoren bepalend of het compliance programma werkelijk effectief was: wanneer en hoe het incident was ontdekt; welke interne onderzoeksmiddelen – na de ontdekking van het incident – aangewend zijn; en de aard en de toereikendheid van de genomen herstelmaatregelen.

Conclusie

Het document van de DOJ geeft veel inzicht in wat wordt verwacht van een compliance programma. Het kan eveneens dienen als een potentiële ‘checklist’ voor organisaties om hun eigen compliance programma te ontwerpen of te evalueren. Een compliance programma dat voldoet aan de drie besproken criteria, kan mede een cruciale rol spelen bij een strafrechtelijk onderzoek door en/of bij de onderhandelingen over een schikking.