FCPAガイド

会社のコンプライアンス・プログラム

世界市場において、効果的なコンプライアンス・プログラムは会社の内部統制には極めて重要な要素であり、米国海外腐敗行為防止法(FCPA)違反の検出と予防には不可欠です。効果的なコンプライアンス・プログラムは会社の特定のビジネスと、当該ビジネスに関連するリスクに適合したものです。それらのプログラムは動的であり、ビジネス・市場の変化とともに進化するものです。効果的なコンプライアンス・プログラムは「倫理的行為および法律の順守へのコミットメントを奨励する組織文化」を推進するものです。 こうしたプログラムは会社の評判を守り、投資家の価値と信頼を確実にし、商取引における不確実性を低減し、会社の資産を保証します。十分に練られ、熟慮の末実施され、かつ一貫性をもって強化されたコンプライアンスおよび倫理プログラムは、FCPA違反を含む不正の防止・検出・修正および報告を促進します。 会社が自己報告をしたか・協力的か・適切な修正行動をとったか、という検討に加え、 司法省(DOJ)および証券取引委員会(SEC)はまた、あるとすればどのような行動がとられるべきかを決定する際、会社のコンプライアンス・プログラムの妥当性を考慮に入れます。同プログラムは、訴追延期合意 (DPA) または訴追免除合意 (NPA) および会社執行猶予の条件で、DPAまたはNPAの適切な期間を通して告訴か否かの決定に影響を及ぼす可能性があります。 それはまた往々にして違約金額・モニタリングあるいは自己報告の必要性に影響を及ぼします。 上記のように、SECのシーボード・レポートは、会社が効果的なコンプライアンス手順を構築していたか否かを含む不正の発見に先立ち、とりわけ会社の自己管理に焦点を当てています。 同様に、DOJの「企業追訴の諸原則」で規定されている9つの要因のうち3要因が、直接的にせよ間接的にせよ、社内の不正行為の広汎性、会社の既存のコンプライアンス・プログラムの存在および効果・会社の修正行動を含むコンプライアンス・プログラムの設計・実施に関連しています。DOJはまた、ガイドラインの§ 8B2.1に規定されている 連邦量刑ガイドラインの効果的なコンプライアンス・プログラムの要素を検討しています。これらの検討は、会社がすべての違反を防止できないことが、必ずしも特定の会社のコンプライアンス・プログラムが一般的に効果的ではなかったわけではないという認識を反映するものです。DOJおよびSECは「会社の従業員によるすべての犯罪行為を防止できるコンプライアンス・プログラムは存在しない」ことを理解しており、また会社に完璧な基準を守らせようとしているわけではありません。設計および誠実な実施・執行を含む会社のコンプライアンス・プログラムのアセスメントは、違反の発生があったのか、もしそうであればどのような対策を講じるべきか、という点に関する政府のアセスメントの重要な一部です。適切な環境においては、DOJおよびSECは自社の効果的なコンプライアンス・プログラムに基づいた会社の立件を拒否し、むしろ、たとえ当該プログラムが調査対象の原因となる特定のFCPA違反を防止できなかったとしても、効果的なコンプライアンス・プログラムに対し褒賞が授与されることになるかもしれません。DOJおよびSECにはコンプライアンス・プログラムに対し定型式の要件はありません。むしろ、コンプライアンス・プログラムの評価に対し、常識的かつ現実的なアプローチを採用し、以下の3つの基本的な質問に関する照会をしています。 ・会社のコンプライアンス・プログラムはうまく設計されているか? ・そのコンプライアンス・プログラム誠実な内容と言えるものであるか? ・そのコンプライアンス・プログラムは功を奏しているか?

効果的なコンプライアンス・プログラムの証明

個々の会社には、その規模および、中でもビジネスに関連した特定のリスクに応じた、それぞれ異なるコンプライアンスの必要性があるでしょう。 コンプライアンスに関して言えば、画一的なプログラムは存在しません。従って、以下の考察は、会社が自社の特定のビジネスニーズに適合するものは何であるかを自己決定する際、様々な要因を検討するであろうと認識した上で、DOJおよびSECが評価するコンプライアンス・プログラムの複数の側面への洞察を提供することを目的としています。 実際、中小企業は大手多国籍企業とは異なるコンプライアンス・プログラムを持つ可能性が高いでしょう。それはDOJおよびSECが会社のコンプライアンス・プログラムを評価する際に考慮に入れている事実の一つです。 コンプライアンス・プログラムは、チェックボックスにチェックを入れていくようなアプローチでは非効率的であり、何より効果的ではありません。 なぜなら各コンプライアンス・プログラムは組織の特定のニーズ・リスクおよび課題に適合するように策定されるべきであり、以下で提供する情報は、特定の会社組織に最適である会社のコンプライアンス・プログラムの独自のアセスメントの代用として考えるべきではありません。 結局のところ、慎重に設計され、真面目に実施され、公正に執行される会社のコンプライアンス・プログラムは—組織の規模の大小にかかわらず—その会社が一般的に違反を防止し、発生した違反を検出し、即座かつ適切に修正を行うことを可能にしています。

上級管理職のコミットメントおよび腐敗に対する明確な方針

会社組織の中で、コンプライアンスは取締役会および上級管理職から始まり、その他の社員へと適切に方向づけられて行きます。 管理職と従業員は、企業のリーダーたちから手がかりを得ます。従ってDOJおよびSECは、「コンプライアンス文化」に対する企業のリーダーのコミットメントを検討し、このハイレベルなコミットメントがまたビジネスの中間管理職および全レベルの従業員によって強化・実施されるのかという点に関心を向けています。コンプライアンス・プログラムがうまく設計されていたとしても、社内の管理職が、明示的であれ黙示的であれ、ビジネスの目的を達成するために従業員を不正行為に関与するように促す等、誠実に実施されなければ効果的ではありません。 DOJ およびSECは、書類上では説得力のあるコンプライアンスを持ちながら、重大なFCPA違反を犯した会社に頻繁に出会ってきました。それは管理職が明らかな腐敗の兆候を目の前にしても、効果的にプログラムを実施しなかったためです。これは、積極果敢な販売スタッフがコンプライアンス担当社員の業務が効果的に行われることを妨害したり、上級管理職がコンプライアンス文化の実施より貴重なビジネスチャンスを確保することを気にして、販売チーム側に味方した結果生じた可能性があります。経済的利害関係が多くなればなるほど、管理職にはコンプライアンスよりも利益という誘惑も大きくなります。強固な倫理的文化は強固なコンプライアンス・プログラムをダイレクトにサポートするものです。倫理的基準を順守することで、上級管理職は中間管理職にそれらの基準を強化する動機付けができるでしょう。次に、従順な中間管理職は、その基準が組織の構造内すべてに到達するために努力するよう従業員を奨励するでしょう。要するに、FCPAおよび倫理的規則へのコンプライアンスは、上層部から始まらなければなりません。従って、DOJおよびSECは上級管理職が会社の基準を明確に述べているか・曖昧さのない用語で伝達しているか・細心の注意を払ってそれらを順守しているかおよび組織中に広めているか、という点を評価対象にしています。

行動規範およびコンプライアンスの方針・手続き

会社の行動規範は、しばしば効果的なコンプライアンス・プログラム構築の基盤となるものです。 DOJ が起訴状の中で繰り返し指摘しているように、最も効果的な規範とは、従業員および会社を代表してビジネスを行っている従業員すべてに対し、明瞭・簡潔および利用可能なものです。 実際、海外の子会社の従業員がアクセスし理解するために現地の言語で書かれた規範を入手できないのであれば、効果的にコンプライアンス・プログラムを実施することは難しいでしょう。コンプライアンス・プログラムを評価する際、DOJおよびSECが検討する点は、会社が、行動規範が最新で効果的であることを確実にするための対策を講じているか・ 会社が定期的に規範を検討および更新しているか、さらに、社内のコンプライアンスに対する責任をまとめた方針・手続きを有しているか・ 適切な内部統制、監査実務およびドキュメンテーション・ポリシーの具体化した方針・手続きを有しているかならびに懲戒手順を示した方針・手続きを有しているか、を検討します。 このようなタイプの方針・手続きはビジネスの規模・性質およびビジネスに関連するリスクによって異なります。効果的な方針・手続きのためには、会社の製品・サービス・第三者代理店・顧客・政府の交流・業界および地理的リスクを含む会社のビジネスモデルの徹底的な理解が必要とされます。会社が対処する必要のあるリスクには、以下の外国政府との取引の性質・範囲が含まれます。外国政府職員への支払い・第三者の利用、贈答品・旅行および接待費・慈善および政治的寄付金・支払いの促進および迅速化などです。例えば、世界的にビジネスを展開している会社はウェブベースの承認プロセスを開発し、外国政府職員および個人の顧客に関して、明白な金額の上限・年間制限付きで日常的な贈答品・旅行および接待の検討・承認を行っています。このようなシステムの多くには、上級管理職あるいは社内法律顧問が適切な状況を知らされており、その状況において独自のリクエストを承認できるようビルトイン・フレキシビリティーが備わっています。このようなタイプのシステムは、適切に実施されれば、FCPA違反の可能性を防止・検出しつつ企業内のリソースを保全するよい方法なり得ます。実施された特定の方針・手続きに関わらず、これらの基準は社内のすべてのレベルの社員に適用すべきです。

監督・自律性およびリソース

コンプライアンス・プログラムを評価する際、DOJおよびSECは、会社のコンプライアンス・プログラムの監督・実施への責任者として、組織内の一人または二人以上の上級役員を任命しているかという点も考慮に入れます。 当該個人は、組織内での適切な権限・管理職からの適正な自律性および会社のコンプライアンス・プログラムの効果的な実施を確実にする十分なリソースを有しているとされています。適正な自律性は一般的に取締役・取締役会(監査委員会等)などの組織の統治機関への直接アクセスを含みます。組織の規模・構造によっては、日々の運営責任が社内の他の特定の個人に委任されるのも適切かもしれません。DOJ およびSEC は、報告体制は組織の規模・複雑さによって変わることを認識しています。さらに、コンプライアンスに当てられるリソースは、会社の規模・複雑さ・業界・地理的領域およびビジネス関連のリスクによって変わるでしょう。会社が妥当な内部統制を有しているかを評価する際、 DOJ および SECが通常検討するのは、会社がその規模・構造およびビジネスに対するリスク・プロファイルを考慮した上で、十分なスタッフとリソースをコンプライアンス・プログラムに当てているかという点です。

リスク評価

リスク評価は強固なコンプライアンス・プログラム策定には基本的事項であり、DOJおよびSECが会社のコンプライアンス・プログラムを評価する際、別の要因になるものです。汎用的なコンプライアンス・プログラムは一般的には、準備が不十分なもので、効果がありません。なぜなら、必然的にリソースはあまりにもまばらに広がっており、ハイリスク領域の不利益に対して、ローリスクの市場・取引にフォーカスしすぎているからです。大きな政府の入札・疑わしい第三者コンサルタントへの支払いまたは再販業者・販売店に対する過度の割引に焦点を当てる代わりに、控えめな接待・贈答への取り締まりに不相応な時間を当てることは、会社のコンプライアンス・プログラムが効果的でないということを示すものです。 ハイリスク国の政府機関との5,000万ドルの契約は、控え目な日常的な贈答・接待よりもさらなる精査を必要とします。同様に、リスク要因に関係なく、すべての第三者代理店に同一のデューデリジェンスを実施することは、往々にして逆効果であり、最大のリスクを及ぼすそのような第三者から注意およびリソースをそらすことになります。DOJ および SECは、たとえそのコンプライアンス・プログラムが低リスク領域での違反を防止できないとしても、包括的かつリスクに基づくコンプライアンス・プログラムを実施する会社に対しては有意義なクレジットを与えます。なぜならより大きな注意とリソースがハイリスク領域に当てられているからです。逆に、取引の規模・リスク相応レベルのデューデリジェンスを実施しなかったという理由で、経済的に重要でハイリスクな取引でのFCPA違反を防止できなかった会社は、同社のコンプライアンス・プログラムの質・有効性に基づき、信用度を下げる可能性があります。 会社のFCPA違反の増加を受けて、ビジネスではデューデリジェンスおよび定期的な内部監査を含むコンプライアンス手順の増強を検討する必要があります。 適切なデューデリジェンスの程度は、事実に特有であり、業種・国・規模・取引の性質・第三者の補償方法および金額によって変わってきます。検討すべき要因には、国・業界のセクター・ビジネスチャンス・潜在的なビジネスパートナー・政府の関与の程度・政府の規制・監督の金額・および商務を行う際の通関・出入国管理事務所への接触などが例として挙げられます。会社のコンプライアンス・プログラムを評価する際、DOJおよびSECは、会社が、直面している特定のリスクを分析し対処しているかどうか、また当該リスクに対してどの程度の分析・対処を行っているかという点を考慮にいれています。

研修および継続的なアドバイス

コンプライアンス・プログラムは会社全体への伝達がなければうまく機能しません。従って、DOJおよびSECは、会社がすべての取締役・役員・関連のある社員および該当する場合は代理店・ビジネスパートナー等に対する定期的な研修・認証を通して、関連する方針・手続きの組織全体への伝達を確実にする対策を講じたか否かを評価することになります。例えば、多くの大手企業は、様々な間隔でウェブベースと対面式をミックスした研修を実施しています。そのような研修は通常会社の方針・手続き・適用法に関する教育・実際のシナリオに対処する実用的アドバイスおよびケーススタディをカバーしています。しかしながら、会社の研修実施方法の選択の仕方にかかわらず、ターゲット・オーディエンスに適切に提示されなければなりません。またそれには現地での言語での研修の提供と研修の資料を含みます。例えば、会社は遭遇するかもしれない状況に類似した仮想の、あるいは見本になるような状況を使って、異なるタイプの研修を同社の販売員および経理担当者に提供したいと考えるかもしれません。会社の研修プログラムの存在・範囲に加えて、会社は特定の会社の規模・複雑さに応じた適切な対策を構築し、会社の倫理およびコンプライアンス・プログラム順守に関する、緊急に必要される際も含むガイダンスまたアドバイスを提供するべきです。そのような対策はコンプライアンス・プログラムが会社の全レベルでの適切な理解および順守を保証する一助となります。

インセンティブおよび懲戒処分

組織全体のコンプライアンス・プログラムの設計・実施に対する評価に加えて、当該プログラムの執行はその有効性には基本となるものです。コンプライアンス・プログラムは役員室から備品室まで適用されるべきであり、すべての人に行き渡っていなければなりません。ゆえに、DOJ およびSECは、コンプライアンス・プログラム執行の際、会社が適切かつ明確な規律手順を有しているか、それら手順は確実かつ即座に適用されているか、また違反に相応の手順であるかという点を検討します。多くの会社は、社内に規律行動を周知することは、現地法の下で該当する場合、重要な抑止効果があると理解しており、倫理に反した違法行為は、迅速かつ確実な結果を招くことを示しています。DOJおよびSECは積極的なインセンティブもまた従順な行動につながることを認識しています。このようなインセンティブは、社員の評価・昇進、会社のコンプライアンス・プログラムの改良・策定に対する褒賞および倫理的なコンプライアンス・リーダーシップに対する褒賞のようなたくさんの形式をとることが可能です。例えば、コンプライアンスが管理職の日々の懸念事項の不可欠な一部になるよう、コンプライアンス順守を管理職のボーナスの重要な測定基準にしている組織もあります。会社によっては、報奨金以外に、コンプライアンス専門家および内部監査スタッフを評価することで、組織内のコンプライアンスを強調しています。他にも、社内コンプライアンス組織での仕事を従業員のキャリアアップにつなげている会社などがあります。 例えばSECは、会社が倫理的かつ合法的な行動をとるインセンティブを活用することを奨励しています。 同様に昇進・報酬・評価プロセスの誠実で倫理的なコンプライアンス・パートを作ります。 結局、「正しいことをする」ことが優先事項であると伝える最も効果的な方法は、それに報いることです。逆に、仮に従業員が、報酬・キャリアアップに関しては、何より大切なことは短期的に利益を出すことであり、そのために倫理的な行動がとれなくても仕方がない、と思い込むように誘導されたとすれば、彼らはその対策に合わせて行動するでしょう。異業種の例を挙げれば、大学のフットボールの監督はチームのプレーヤーの卒業率は重要だと言われていても、違う見方をすれば、自分の契約更新が一番気になる点であり、勝敗の記録によって解雇が決まるかもしれないことを知っています。 どのような規律のスキームまたはインセンティブの可能性を会社が採用することを決定しても、DOJ および SEC はそれらが適切にかつ一貫性をもって組織全体に適用されるかどうかを検討します。コンプライアンスの上に立つ幹部も、コンプライアンスの下にいる従業員もいません。また組織内で、正当な理由があれば、重要人物であるがあまり懲戒処分にできないとみなされている人物はいません。善い行為に報いることおよび悪い行為に制裁を与えることで組織全体のコンプライアンスと倫理の文化が強化されます。

第三者デューデリジェンスおよび支払い

DOJおよびSECのFCPA 執行行為は、通常、代理店・コンサルタントおよび販売店を含む第三者が、国際的な商取引において外国政府職員への賄賂の支払いを隠蔽するために利用されることを明示しています。リスクベースのデューデリジェンスは第三者にとって特に大切であり、会社のコンプライアンス・プログラムの有効性を評価する際にDOJおよびSECが検討するものでもあります。適切なデューデリジェンスの程度は、業界・国・取引の規模・性質および第三者との歴史的関係に基づき変わるかもしれませんが、指針の中には常に適用できるものがあります。第一に、リスクベースのデューデリジェンスの一環として、会社は第三者のビジネスの評判およびもしあるとすれば、外国政府職員との関係を含む第三者パートナーの資格および提携を理解しておくべきです。精査の程度は警告が浮上するにつれ増強させるべきです。 第二に、会社は取引に第三者を含むビジネスの合理性を理解するべきです。とりわけ、会社は第三者の役割および必要性を理解し、契約条件が実施されるサービスを具体的に説明していることを保証すべきです。追加的要因には、支払い条件および当該支払い条件の業界内・国内の一般的な条件との比較、および第三者のビジネスへの導入のタイミングなどが含まれます。さらに会社は、第三者が、支払いが発生している仕事を実際に行っているか・その報酬は提供される仕事に見合っているかという点について確認および立証したいと考えるかもしれません。第三に、会社は 何らかの形で第三者関係の進行中のモニタリングを引き受けるべきです。必要に応じて、これには定期的にデューデリジェンスを更新すること・監査の権利を行使すること・ 定期的な研修を提供することおよび第三者による年に一度のコンプライアンス認証を要求することなどが含まれます。会社が行う第三者へのデューデリジェンスに加えて、DOJおよびSECは、会社が第三者に社内コンプライアンス・プログラムおよび倫理的かつ合法的なビジネス慣行へのコミットメントを知らせているか、また必要に応じて第三者から認証を通して言質を求めたか、その他相互コミットメントを知らせているかなどについても評価を行います。これらは第三者リスクを低減する有意義な方法になり得ます。

機密報告および内部調査

効果的なコンプライアンス・プログラムには、組織の従業員などに対し、機密の取り扱いとされ、報復の懸念なく、会社の方針に対する疑わしいあるいは実際に行われた不正・違反を報告するメカニズムが含まれています。例えば会社は、匿名でのホットラインもしくはオンブズマンを採用していることがあります。さらに、申し立てがあると、会社は効率的で信頼性のある、適正に資金提供されたプロセスを構築し、申し立ての調査および懲戒処分・改善策を講じた会社の責任を立証しなければなりません。 会社は報告された違反・結果として生じた調査の結果から「学んだ教訓」を生かして、内部統制およびコンプライアンス・プログラムの更新、また必要に応じて将来的な研修を当該問題へ集中させることを検討する必要があると考えるでしょう。

継続的な改善: 定期的な検査および再検討

最後になりますが、よいコンプライアンス・プログラムは常に進化するべきです。会社のビジネスは時と共に変化します。会社運営の環境・顧客の性質・行動を統治する法律および業界の基準もまた変化します。さらに、ただ書類の上だけでなく実際に順守されているコンプライアンス・プログラムは必然的にコンプライアンスの弱点を明らかにし、強化を必要とします。ゆえに、DOJ およびSEC は会社が定期的に自社のコンプライアンス・プログラムを再検討・改善しているかどうかを評価し、プログラムが陳腐化することを許可していません。調査によると、働く会社がFCPAに従っている法務顧問の64%が自社のFCPA研修およびコンプライアンス・プログラムには改善の余地があると話しています。組織はその統制を再検討・検査するために時間をかけ、潜在的な弱点およびリスク領域について批判的に考えるべきです。例えば、会社によっては従業員の調査に着手し、自社のコンプライアンス文化および内部統制の強さの測定や最善の実践・新たなリスク領域の検出を行っています。書類上の統制が実際にうまく機能しているか確かめるために、監査対象とともに内部統制を定期的に検査している会社もあります。DOJおよびSECは、問題が後から発見された場合、持続可能なコンプライアンス・プログラムを作成する思慮深い取り組みに対して、有意義なクレジットを与えます。同様に、問題が起こる前に積極的な評価に取り掛かることで、連邦量刑ガイドランの下での適用罰則範囲を減じることが可能になります。積極的な評価の性質・頻度は組織の規模・複雑さに応じて変わりますが、そのような取り組みの裏にある考えは同じです。それは継続的な改善と持続性なのです。

合併買収:取得前のデューデリジェンスおよび取得後の統合

FCPAに照らして、合併買にはリスクと機会のどちらも伴います。 合併あるいは買収に先立ち十分な FCPA デューデリジェンスを実施していない会社は、法的リスク・ビジネスリスクの両方に直面する可能性があります。おそらく最も一般的に、不十分なデューデリジェンスでは賄賂の流れを継続させてしまうことになります―民事・刑事責任のみならず、付随してビジネスの収益性および評判へ傷がつきます。対照的に、買収対象に対し効果的なデューデリジェンスを実施している会社は、各対象の価値をさらに正確に評価することができ、当該対象が負担する賄賂のコストの交渉をすることが可能になります。さらに、そのような行動はDOJおよびSECに対し、コンプライアンスへの会社のコミットメントを明示し、また執行措置の可能性を評価する際考慮に入れられます。例えば、DOJおよびSECは、特に発行人がデューデリジェンスの一部で取得した会社の腐敗を公表した際、執行措置をとることを拒否し、当該腐敗は自発的に政府に開示されたこと確実にし、調査に協力し、取得された会社をコンプライアンス・プログラムおよび内部統制に盛り込みました。一方、SECは取得された会社に対し対策を講じ、DOJは取得された会社の子会社に対して対策を講じました。取得前のデューデリジェンスが可能でない際には、DOJは手続きを記述しています。 意見手続きリリースNo. 08-02 に含まれており、取得後のFCPAのデューデリジェンス実施を選択した場合、それでもなお報われるのはどの会社なのかという点に従って記述しています。しかしながら、FCPAのデューデリジェンスは普通合併買収に対するコンプライアンス・プロセスの単なる一部にすぎません。DOJおよびSECは取得する側の会社が迅速に取得した会社を、コンプライアンス・プログラムも含めた内部統制に盛り込んだかという点を評価します。会社は新入社員の研修、会社の基準の下での第三者の再評価、および必要に応じて、新規ビジネスユニットに関する監査の実施を検討しなければなりません。例えば、ジョイントベンチャーの過半数持分取得前にカリフォルニア拠点の発行人によって実施されたデューデリジェンスの結果、同発行人はビジネス取得のための賄賂があったことを知りました。しかしながら、同発行人は「セールスの原動力を抑止して販売員を混乱させる」ことのないように内部統制を「半ば」実施しただけでした。 その結果不適切な支払いは継続して行われ、発行人にはFCPAの内部統制および会計帳簿規定に違反した責任が課されました。

FCPA Guide

 Corporate Compliance Program

In a global marketplace, an effective compliance program is a critical component of a company’s internal controls and is essential to detecting and preventing FCPA violations. Effective compliance programs are tailored to the company’s specific business and to the risks associated with that business. They are dynamic and evolve as the business and the markets change. An effective compliance program promotes “an organizational culture that encourages ethical conduct and a commitment to compliance with the law.” Such a program protects a company’s reputation, ensures investor value and confidence, reduces uncertainty in business transactions, and secures a company’s assets.302 A well-constructed, thoughtfully implemented, and consistently enforced compliance and ethics program helps prevent, detect, remediate, and report misconduct, including FCPA violations. In addition to considering whether a company has self-reported, cooperated, and taken appropriate remedial actions, DOJ and SEC also consider the adequacy of a company’s compliance program when deciding what, if any, action to take. The program may influence whether or not charges should be resolved through a deferred prosecution agreement (DPA) or non-prosecution agreement (NPA), as well as the appropriate length of any DPA or NPA, or the term of corporate probation. It will often affect the penalty amount and the need for a monitor or self-reporting. As discussed above, SEC’s Seaboard Report focuses, among other things, on a company’s self-policing prior to the discovery of the misconduct, including whether it had established effective compliance procedures. Likewise, three of the nine factors set forth in DOJ’s Principles of Federal Prosecution of Business Organizations relate, either directly or indirectly, to a compliance program’s design and implementation, including the pervasiveness of wrongdoing within the company, the existence and effectiveness of the company’s pre-existing compliance program, and the companys remedial actions. DOJ also considers the U.S. Sentencing Guidelines’ elements of an effective compliance program, as set forth in § 8B2.1 of the Guidelines. These considerations reflect the recognition that a company’s failure to prevent every single violation does not necessarily mean that a particular company’s compliance program was not generally effective. DOJ and SEC understand that “no compliance program can ever prevent all criminal activity by a corporation’s employees,” and they do not hold companies to a standard of perfection. An assessment of a company’s compliance program, including its design and good faith implementation and enforcement, is an important part of the government’s assessment of whether a violation occurred, and if so, what action should be taken. In appropriate circumstances, DOJ and SEC may decline to pursue charges against a company based on the company’s effective compliance program, or may otherwise seek to reward a company for its program, even when that program did not prevent the particular underlying FCPA violation that gave rise to the investigation.307 DOJ and SEC have no formulaic requirements regarding compliance programs. Rather, they employ a common-sense and pragmatic approach to evaluating compliance programs, making inquiries related to three basic questions: • Is the company’s compliance program well designed? • Is it being applied in good faith? • Does it work? This guide contains information regarding some of the basic elements DOJ and SEC consider when evaluating compliance programs. Although the focus is on compliance with the FCPA, given the existence of anti-corruption laws in many other countries, businesses should consider designing programs focused on anti-corruption compliance more broadly.

Hallmarks of Effective Compliance Programs

Individual companies may have different compliance needs depending on their size and the particular risks associated with their businesses, among other factors. When it comes to compliance, there is no one-size-fits-all program. Thus, the discussion below is meant to provide insight into the aspects of compliance programs that DOJ and SEC assess, recognizing that companies may consider a variety of factors when making their own determination of what is appropriate for their specific business needs.310 Indeed, small- and medium-size enterprises likely will have different compliance programs from large multi-national corporations, a fact DOJ and SEC take into account when evaluating companies’ compliance programs. Compliance programs that employ a “check-the-box” approach may be inefficient and, more importantly, ineffective. Because each compliance program should be tailored to an organization’s specific needs, risks, and challenges, the information provided below should not be considered a substitute for a company’s own assessment of the corporate compliance program most appropriate for that particular business organization. In the end, if designed carefully, implemented earnestly, and enforced fairly, a company’s compliance program—no matter how large or small the organization—will allow the company generally to prevent violations, detect those that do occur, and remediate them promptly and appropriately.

Commitment from Senior Management and a Clearly Articulated Policy Against Corruption

Within a business organization, compliance begins with the board of directors and senior executives setting the proper tone for the rest of the company. Managers and employees take their cues from these corporate leaders. Thus, DOJ and SEC consider the commitment of corporate leaders to a “culture of compliance” and look to see if this high-level commitment is also reinforced and implemented by middle managers and employees at all levels of a business. A well-designed compliance program that is not enforced in good faith, such as when corporate management explicitly or implicitly encourages employees to engage in misconduct to achieve business objectives, will be ineffective. DOJ and SEC have often encountered companies with compliance programs that are strong on paper but that nevertheless have significant FCPA violations because management has failed to effectively implement the program even in the face of obvious signs of corruption. This may be the result of aggressive sales staff preventing compliance personnel from doing their jobs effectively and of senior management, more concerned with securing a valuable business opportunity than enforcing a culture of compliance, siding with the sales team. The higher the financial stakes of the transaction, the greater the temptation for management to choose profit over compliance. A strong ethical culture directly supports a strong compliance program. By adhering to ethical standards, senior managers will inspire middle managers to reinforce those standards. Compliant middle managers, in turn, will encourage employees to strive to attain those standards throughout the organizational structure. In short, compliance with the FCPA and ethical rules must start at the top. DOJ and SEC thus evaluate whether senior management has clearly articulated company standards, communicated them in unambiguous terms, adhered to them scrupulously, and disseminated them throughout the organization.

Code of Conduct and Compliance Policies and Procedures

A company’s code of conduct is often the foundation upon which an effective compliance program is built. As DOJ has repeatedly noted in its charging documents, the most effective codes are clear, concise, and accessible to all employees and to those conducting business on the company’s behalf. Indeed, it would be difficult to effectively implement a compliance program if it was not available in the local language so that employees in foreign subsidiaries can access and understand it. When assessing a compliance program, DOJ and SEC will review whether the company has taken steps to make certain that the code of conduct remains current and effective and whether a company has periodically reviewed and updated its code. Whether a company has policies and procedures that outline responsibilities for compliance within the company, detail proper internal controls, auditing practices, and documentation policies, and set forth disciplinary procedures will also be considered by DOJ and SEC. These types of policies and procedures will depend on the size and nature of the business and the risks associated with the business. Effective policies and procedures require an in-depth understanding of the company’s business model, including its products and services, third-party agents, customers, government interactions, and industry and geographic risks. Among the risks that a company may need to address include the nature and extent of transactions with foreign governments, including payments to foreign officials; use of third parties; gifts, travel, and entertainment expenses; charitable and political donations; and facilitating and expediting payments. For example, some companies with global operations have created web-based approval processes to review and approve routine gifts, travel, and entertainment involving foreign officials and private customers with clear monetary limits and annual limitations. Many of these systems have built-in flexibility so that senior management, or in-house legal counsel, can be apprised of and, in appropriate circumstances, approve unique requests. These types of systems can be a good way to conserve corporate resources while, if properly implemented, preventing and detecting potential FCPA violations. Regardless of the specific policies and procedures implemented, these standards should apply to personnel at all levels of the company.

Oversight, Autonomy, and Resources

In appraising a compliance program, DOJ and SEC also consider whether a company has assigned responsibility for the oversight and implementation of a company’s compliance program to one or more specific senior executives within an organization. Those individuals must have appropriate authority within the organization, adequate autonomy from management, and sufficient resources to ensure that the company’s compliance program is implemented effectively. Adequate autonomy generally includes direct access to an organization’s governing authority, such as the board of directors and committees of the board of directors (e.g., the audit committee). Depending on the size and structure of an organization, it may be appropriate for day-to-day operational responsibility to be delegated to other specific individuals within a company. DOJ and SEC recognize that the reporting structure will depend on the size and complexity of an organization. Moreover, the amount of resources devoted to compliance will depend on the company’s size, complexity, industry, geographical reach, and risks associated with the business. In assessing whether a company has reasonable internal controls, DOJ and SEC typically consider whether the company devoted adequate staffing and resources to the compliance program given the size, structure, and risk profile of the business.

Risk Assessment

Assessment of risk is fundamental to developing a strong compliance program, and is another factor DOJ and SEC evaluate when assessing a company’s compliance program.317 One-size-fits-all compliance programs are generally ill-conceived and ineffective because resources inevitably are spread too thin, with too much focus on low risk markets and transactions to the detriment of high-risk areas. Devoting a disproportionate amount of time policing modest entertainment and gift-giving instead of focusing on large government bids, questionable payments to third-party consultants, or excessive discounts to resellers and distributors may indicate that a company’s compliance program is ineffective. A $50 million contract with a government agency in a high-risk country warrants greater scrutiny than modest and routine gifts and entertainment. Similarly, performing identical due diligence on all third party agents, irrespective of risk factors, is often counterproductive, diverting attention and resources away from those third parties that pose the most significant risks. DOJ and SEC will give meaningful credit to a company that implements in good faith a comprehensive, risk-based compliance program, even if that program does not prevent an infraction in a low risk area because greater attention and resources had been devoted to a higher risk area. Conversely, a company that fails to prevent an FCPA violation on an economically significant, high-risk transaction because it failed to perform a level of due diligence commensurate with the size and risk of the transaction is likely to receive reduced credit based on the quality and effectiveness of its compliance program. As a company’s risk for FCPA violations increases, that business should consider increasing its compliance procedures, including due diligence and periodic internal audits. The degree of appropriate due diligence is fact-specific and should vary based on industry, country, size, and nature of the transaction, and the method and amount of third-party compensation. Factors to consider, for instance, include risks presented by: the country and industry sector, the business opportunity, potential business partners, level of involvement with governments, amount of government regulation and oversight, and exposure to customs and immigration in conducting business affairs. When assessing a company’s compliance program, DOJ and SEC take into account whether and to what degree a company analyzes and addresses the particular risks it faces.

Training and Continuing Advice

Compliance policies cannot work unless effectively communicated throughout a company. Accordingly, DOJ and SEC will evaluate whether a company has taken steps to ensure that relevant policies and procedures have been communicated throughout the organization, including through periodic training and certification for all directors, officers, relevant employees, and, where appropriate, agents and business partners. For example, many larger companies have implemented a mix of web-based and in-person training conducted at varying intervals. Such training typically covers company policies and procedures, instruction on applicable laws, practical advice to address real-life scenarios, and case studies. Regardless of how a company chooses to conduct its training, however, the information should be presented in a manner appropriate for the targeted audience, including providing training and training materials in the local language. For example, companies may want to consider providing different types of training to their sales personnel and accounting personnel with hypotheticals or sample situations that are similar to the situations they might encounter. In addition to the existence and scope of a company’s training program, a company should develop appropriate measures, depending on the size and sophistication of the particular company, to provide guidance and advice on complying with the company’s ethics and compliance program, including when such advice is needed urgently. Such measures will help ensure that the compliance program is understood and followed appropriately at all levels of the company.

Incentives and Disciplinary Measures

In addition to evaluating the design and implementation of a compliance program throughout an organization, enforcement of that program is fundamental to its effectiveness. A compliance program should apply from the board room to the supply room—no one should be beyond its reach. DOJ and SEC will thus consider whether, when enforcing a compliance program, a company has appropriate and clear disciplinary procedures, whether those procedures are applied reliably and promptly, and whether they are commensurate with the violation. Many companies have found that publicizing disciplinary actions internally, where appropriate under local law, can have an important deterrent effect, demonstrating that unethical and unlawful actions have swift and sure consequences. DOJ and SEC recognize that positive incentives can also drive compliant behavior. These incentives can take many forms such as personnel evaluations and promotions, rewards for improving and developing a company’s compliance program, and rewards for ethics and compliance leadership. Some organizations, for example, have made adherence to compliance a significant metric for management’s bonuses so that compliance becomes an integral part of management’s everyday concern. Beyond financial incentives, some companies have highlighted compliance within their organizations by recognizing compliance professionals and internal audit staff. Others have made working in the company’s compliance organization a way to advance an employee’s career. SEC, for instance, has encouraged companies to embrace methods to incentivize ethical and lawful behavior: [M]ake integrity, ethics and compliance part of the promotion, compensation and evaluation processes as well. For at the end of the day, the most effective way to communicate that “doing the right thing” is a priority, is to reward it. Conversely, if employees are led to believe that, when it comes to compensation and career advancement, all that counts is short-term profitability, and that cutting ethical corners is an acceptable way of getting there, they’ll perform to that measure. To cite an example from a different walk of life: a college football coach can be told that the graduation rates of his players are what matters, but he’ll know differently if the sole focus of his contract extension talks or the decision to fire him is his winloss record. No matter what the disciplinary scheme or potential incentives a company decides to adopt, DOJ and SEC will consider whether they are fairly and consistently applied across the organization. No executive should be above compliance, no employee below compliance, and no person within an organization deemed too valuable to be disciplined, if warranted. Rewarding good behavior and sanctioning bad behavior reinforces a culture of compliance and ethics throughout an organization.

Third-Party Due Diligence and Payments

DOJ’s and SEC’s FCPA enforcement actions demonstrate that third parties, including agents, consultants, and distributors, are commonly used to conceal the payment of bribes to foreign officials in international business transactions. Risk-based due diligence is particularly important with third parties and will also be considered by DOJ and SEC in assessing the effectiveness of a company’s compliance program. Although the degree of appropriate due diligence may vary based on industry, country, size and nature of the transaction, and historical relationship with the third-party, some guiding principles always apply. First, as part of risk-based due diligence, companies should understand the qualifications and associations of its third-party partners, including its business reputation, and relationship, if any, with foreign officials. The degree of scrutiny should increase as red flags surface. Second, companies should have an understanding of the business rationale for including the third party in the transaction. Among other things, the company should understand the role of and need for the third party and ensure that the contract terms specifically describe the services to be performed. Additional considerations include payment terms and how those payment terms compare to typical terms in that industry and country, as well as the timing of the third party’s introduction to the business. Moreover, companies may want to confirm and document that the third party is actually performing the work for which it is being paid and that its compensation is commensurate with the work being provided. Third, companies should undertake some form of ongoing monitoring of third-party relationships. Where appropriate, this may include updating due diligence periodically, exercising audit rights, providing periodic training, and requesting annual compliance certifications by the third party. In addition to considering a company’s due diligence on third parties, DOJ and SEC also assess whether the company has informed third parties of the company’s compliance program and commitment to ethical and lawful business practices and, where appropriate, whether it has sought assurances from third parties, through certifications and otherwise, of reciprocal commitments. These can be meaningful ways to mitigate third-party risk.

Confidential Reporting and Internal Investigation

An effective compliance program should include a mechanism for an organization’s employees and others to report suspected or actual misconduct or violations of the company’s policies on a confidential basis and without fear of retaliation. Companies may employ, for example, anonymous hotlines or ombudsmen. Moreover, once an allegation is made, companies should have in place an efficient, reliable, and properly funded process for investigating the allegation and documenting the company’s response, including any disciplinary or remediation measures taken. Companies will want to consider taking “lessons learned” from any reported violations and the outcome of any resulting investigation to update their internal controls and compliance program and focus future training on such issues, as appropriate.

Continuous Improvement: Periodic Testing and Review

Finally, a good compliance program should constantly evolve. A company’s business changes over time, as do the environments in which it operates, the nature of its customers, the laws that govern its actions, and the standards of its industry. In addition, compliance programs that do not just exist on paper but are followed in practice will inevitably uncover compliance weaknesses and require enhancements. Consequently, DOJ and SEC evaluate whether companies regularly review and improve their compliance programs and not allow them to become stale. According to one survey, 64% of general counsel whose companies are subject to the FCPA say there is room for improvement in their FCPA training and compliance programs. An organization should take the time to review and test its controls, and it should think critically about its potential weaknesses and risk areas. For example, some companies have undertaken employee surveys to measure their compliance culture and strength of internal controls, identify best practices, and detect new risk areas. Other companies periodically test their internal controls with targeted audits to make certain that controls on paper are working in practice. DOJ and SEC will give meaningful credit to thoughtful efforts to create a sustainable compliance program if a problem is later discovered. Similarly, undertaking proactive evaluations before a problem strikes can lower the applicable penalty range under the U.S. Sentencing Guidelines. Although the nature and the frequency of proactive evaluations may vary depending on the size and complexity of an organization, the idea behind such efforts is the same: continuous improvement and sustainability.

Mergers and Acquisitions: Pre-Acquisition Due Diligence and Post-Acquisition Integration

In the context of the FCPA, mergers and acquisitions present both risks and opportunities. A company that does not perform adequate FCPA due diligence prior to a merger or acquisition may face both legal and business risks. Perhaps most commonly, inadequate due diligence can allow a course of bribery to continue—with all the attendant harms to a business’s profitability and reputation, as well as potential civil and criminal liability. In contrast, companies that conduct effective FCPA due diligence on their acquisition targets are able to evaluate more accurately each target’s value and negotiate for the costs of the bribery to be borne by the target. In addition, such actions demonstrate to DOJ and SEC a company’s commitment to compliance and are taken into account when evaluating any potential enforcement action. For example, DOJ and SEC declined to take enforcement action against an acquiring issuer when the issuer, among other things, uncovered the corruption at the company being acquired as part of due diligence, ensured that the corruption was voluntarily disclosed to the government, cooperated with the investigation, and incorporated the acquired company into its compliance program and internal controls. On the other hand, SEC took action against the acquired company, and DOJ took action against a subsidiary of the acquired company. When pre-acquisition due diligence is not possible, DOJ has described procedures, contained in Opinion Procedure Release No. 08-02, pursuant to which companies can nevertheless be rewarded if they choose to conduct thorough post-acquisition FCPA due diligence. FCPA due diligence, however, is normally only a portion of the compliance process for mergers and acquisitions. DOJ and SEC evaluate whether the acquiring company promptly incorporated the acquired company into all of its internal controls, including its compliance program. Companies should consider training new employees, reevaluating third parties under company standards, and, where appropriate, conducting audits on new business units. For example, as a result of due diligence conducted by a California-based issuer before acquiring the majority interest in a joint venture, the issuer learned of corrupt payments to obtain business. However, the issuer only implemented its internal controls “halfway” so as not to “choke the sales engine and cause a distraction for the sales guys.” As a result, the improper payments continued, and the issuer was held liable for violating the FCPA’s internal controls and books and records provisions.

Other Guidance on Compliance and International Best Practices

In addition to this guide, the U.S. Departments of Commerce and State have both issued publications that contain guidance regarding compliance programs. The Department of Commerce’s International Trade Administration has published Business Ethics: A Manual for Managing a Responsible Business Enterprise in Emerging Market Economies,331 and the Department of State has published Fighting Global Corruption: Business Risk Management.332 There is also an emerging international consensus on compliance best practices, and a number of inter-governmental and non-governmental organizations have issued guidance regarding best practices for compliance. Most notably, the OECD’s 2009 Anti-Bribery Recommendation and its Annex II, Good Practice Guidance on Internal Controls, Ethics, and Compliance,334 published in February 2010, were drafted based on consultations with the private sector and civil society and set forth specific good practices for ensuring effective compliance programs and measures for preventing and detecting foreign bribery. In addition, businesses may wish to refer to the following resources: • Asia-Pacific Economic Cooperation—AntiCorruption Code of Conduct for Business; • International Chamber of Commerce—ICC Rules on Combating Corruption;336 • Transparency International—Business Principles for Countering Bribery;337 • United Nations Global Compact—The Ten Principles;338 • World Bank—Integrity Compliance Guidelines; • World Economic Forum—Partnering Against Corruption–Principles for Countering Bribery.