US Department of Justice (DOJ) julkaisi huhtikuussa 2019 compliance-ohjelmien arviointia koskevan ohjeistuksen: ”Evaluation of Corporate Compliance Programs”. DOJ:n ohjeistus antaa oivia työkaluja ja vinkkejä organisaatioille omien käytäntöjensä haastamiseen sekä compliance-ohjelman kehittämiseen. Compliance-ohjelman arviointi on suoritettava esimerkiksi tilanteessa, jossa epäillään rikotun FCPA:n lahjonnanvastaisia säännöksiä.
Yhdysvaltojen lahjonnanvastainen sääntely FCPA sisältää termin ”interstate commerce”, joka tarkoittaa, että säännöksiä sovelletaan myös Yhdysvaltojen ulkopuolella, jos henkilön tai yrityksen tai sen agentin toiminta voidaan kytkeä Yhdysvaltoihin esimerkiksi kommunikoinnin, maksuliikenteen, kauttakulun tai matkustamisen kautta. Tähän kirjoitukseen kokosimme näkökulmia, jotka kansainvälistä liiketoimintaa harjoittavan yrityksen hallituksen jäsenen olisi hyvä ymmärtää, koska FCPA:n sovellettavuus voi muodostua yllättävällä tavalla ja odottamatta.
1) Riskiarvioinnin tärkeys
Lähtökohtana ohjelman arvioinnille on ymmärtää organisaation liiketoimintaa kaupallisesta näkökulmasta sekä se, miten organisaatio itse on tunnistanut, arvioinut ja määrittänyt oman riskiprofiilinsa, ja miten compliance-ohjelma vastaa tähän. Onko hallitus tietoinen tehdyistä riskiarvioinneista ja vaatiiko se riskiarvioinnin tekemistä, päivittämistä ja seurantaa?
2) Ohjeistukset ja menettelytavat oikein toimimisen perustana
Toiseksi arvioitavaksi tulevat compliance-ohjelmaan keskeisesti kuuluvat ohjeistukset ja menettelytavat. Onko organisaatiolla kaikkien työntekijöiden saatavilla oleva ja kaikkiin heihin sovellettava Code of Conduct, jonka lähtökohtana on voimassaolevan sääntelyn täysi noudattaminen?
3) Koulutus kunniaan
Kolmas kulmakivi hyvin suunnitellussa compliance-ohjelmassa on räätälöity koulutus ja viestintä. Arvioinnissa tulisi selvittää, onko ohjeistukset ja menettelyt onnistuttu jalkauttamaan organisaatioon. Onko viestintää tehty tavalla, joka on soveltuva kuulijakunnalle, olemassa olevan tiedon tasoon sekä käsiteltävään asiaan?
4) Toimivat raportointikanavat ja tutkintaprosessi
On arvioitava muun muassa onko ilmoitusten käsittelyprosessiin sisällytetty toimenpiteitä, joilla pyritään luomaan avoin ja pelosta vapaa ilmapiiri, mahdollisuus anonyymien ilmoitusten tekemiseen sekä prosessit ilmoittajan suojelemiseksi. Painoarvoa annetaan myös sille, otetaanko tutkintojen yhteydessä tehdyistä havainnoista organisaatiossa opiksi.
5) Kolmansien osapuolten roolin ymmärtäminen
Lähtökohtana kolmansien osapuolien hallinnassa tulisi olla riskiperusteinen due diligence -prosessi. Millä tasolla organisaatio tuntee kolmannet osapuolet, kuten agentit, konsultit ja jakelijat? Näitä osapuolia käytetään usein välikäsinä peittämään väärinkäytöksiä, kuten lahjusten maksuja ulkomaalaisille virkamiehille kansainväliseen kauppaan liittyen. Miksi kolmatta osapuolta tarvitaan?
Kansainvälisistä tutkinnoista on nähtävissä, että usein ongelmat ovat eskaloituneet juuri kolmansien osapuolten käyttämisen takia. Onko hallitus tietoinen siitä, miten kolmansien osapuolten hallinta on organisoitu ja minkälaisia resursseja tähän toimintaan on kohdennettu?
6) Yritysjärjestelyihin liittyvien riskien tiedostaminen
Due diligence -prosessin arvioinnissa on pohdittava, että havaittiinko moitittavaa menettelyä tai moitittavan menettelyn riskiä prosessin aikana. Millä tavoin compliance-funktio on integroitu yritysostoihin sekä niitä seuraaviin integraatioprosesseihin? Millä keinoin compliance-ohjelma on jalkautettu uusiin kokonaisuuksiin ja miten tämän työn edistymistä on organisaatiossa seurattu?
Ovatko compliance-näkökulmat agendalla, kun yritysjärjestelyitä tehdään ja miten hallitus ja toimiva johto tähän suhtautuvat?
7) Johdon ja keskijohdon sitoutuminen – tai sen puute
Tehokkaan ja toimivan compliance-ohjelman välttämättömänä lähtökohtana on johdon sitoutuminen kulttuurin luomiseen, jossa oikein toimimista pidetään korkeassa arvossa. Missä määrin johto on ottanut kantaa organisaation eettisiin standardeihin, viestinyt näistä ja omalla esimerkillään indikoinut niiden täsmällisen noudattamisen vaatimusta? Hyväksyykö johto korkeammat compliance-riskit uuden liiketoiminnan luomiseksi tai myynnin kasvattamiseksi? Mitä compliance-osaamista on ollut hallituksen saatavilla ja ovatko hallituksen jäsenet ja ulkoiset tilintarkastajat pitäneet johdolle suunnattuja tai kahdenkeskisiä keskusteluja compliance- ja kontrollifunktioiden edustajien kanssa?
8) Kannustimet ja kurinpidolliset toimet
Compliance-ohjelman tehokkaasta toimeenpanemisesta kertoo myös se, että ohjelman noudattamiseen on luotu kannustimia ja vastaavasti ohjelman noudattamatta jättämisestä seuraa kurinpidollisia toimia. Käytännössä tämä viittaa johdonmukaisuuden vaatimukseen. Miten organisaatio viestii siitä, että epäeettistä toimintaa ei hyväksytä, riippumatta henkilön organisatorisesta asemasta ja tittelistä?
9) Jatkuva kehittäminen, säännöllinen testaus ja tarkastelu
Organisaatioiden toimintaympäristö on jatkuvassa muutoksessa, ja näin ollen myös compliance-ohjelma vaatii säännöllistä tarkastelua ja päivittämistä. Erityisesti virheistä tulee oppia. Tarkasteltavia alueita ovat muun muassa sisäisen tarkastuksen toimivuus, kontrollitestaus, ohjelman kehittäminen ja päivittäminen sekä compliance-kulttuuri. Mitä organisaatio on tehnyt oikein toimimista koskevien mittaustulosten ja selvitysten pohjalta?
10) Moitittavan menettelyn tutkinta
Tehokkaan compliance-ohjelman tunnusmerkki on toimiva ja riittävästi resursoitu toiminto tutkintojen suorittamiseksi. Kriittistä on tutkintojen suorittaminen ajallaan ja perusteellisesti. Organisaation tulisi lisäksi dokumentoida tapaukset ja tekemänsä mahdolliset jälkitoimet sisältäen muun muassa sen, millaisia kurinpitotoimia ja korjaavia toimenpiteitä on tehty.
Se, miten hyvin edellä kuvatut asiakokonaisuudet ovat hallituksen tiedossa, riippuu yhtäältä siitä, haluaako ja vaatiiko hallitus saada näitä koskevaa tietoa. Käytännössä merkityksellinen on myös compliance-funktion raportointikanava. Onko compliancella suoraa yhteyttä hallitukseen, vai raportoiko se aina ”välikäsien”, kuten lakiasiainjohtajan, talousjohtajan tai toimitusjohtajan kautta? Kansainvälisten tutkintojen kautta on nähtävissä, että varsin usein laajoiksi paisuneet tutkinnat ovat alkaneet pienistä asioista, jolloin organisaation edun mukaista olisi ollut saada tieto mahdollisimman aikaisessa vaiheessa hallituksen tietoon tarpeellisten selvitysten ja korjaavien toimien käynnistämiseksi.
