【コラム】企業コンプライアンス・プログラムの評価ガイダンス
企業コンプライアンス・プログラムの評価ガイダンス(Guidance on the Evaluation of Corporate Compliance Programs)についてご紹介します。
(コロナ禍における海外腐敗行為防止法(FCPA)の動向/FCPAのためのリソースガイド【第2版】)
なお、下記の情報は、米国法律事務所 Winston & Strawn より提供いただいています。
2020年ガイダンス
Evaluation of Corporate Compliance Programs
2020年6月1日、米国司法省(U.S. Department of Justice)の刑事局は、企業コンプライアンス・プログラムの評価ガイダンスの改訂版(以下「2020年ガイダンス」)を発表しました。2020年ガイダンスは、企業コンプライアンス・プログラムのあり方を米国司法省がどのように評価するかという枠組みを更新しており、米国独占禁止法、海外腐敗行為防止法(Foreign Corrupt Practices Act:FCPA)及びこれらに関する制裁措置等様々な分野に対処しようとする企業コンプライアンス・プログラムのあり方に影響を与えるものです。
米国司法省による昨年2019年の企業コンプライアンス・プログラム公表からわずか1年後、COVID-19 のパンデミックが発生するこの時期に更新されたことは、特に激動の時代における企業コンプライアンス・プログラムの重要性を強調するものといえるでしょう。米国司法省は、コロナ禍により企業が直面している更なるコンプライアンスリスクについては明確に言及していませんが、2020年ガイダンスは、企業がコンプライアンス部署に十分かつ継続的なリソース(人員配置やアクセスの容易さを含む)を確保し続ける必要性を明確に示しています。
企業コンプライアンス方針を評価する際の核心的な質問は従前より変わりません。
- 企業コンプライアンス・プログラムは適切に設計されているか?
- 企業コンプライアンス・プログラムは真摯かつ誠実に運用されているか?
- 企業コンプライアンス・プログラムは実際に機能しているか?
しかし、2020年ガイダンスでは、2.の質問、すなわち、企業コンプライアンス・プログラムの運用についての質問が深掘りされています。具体的には、2020年ガイダンスでは、企業コンプライアンス・プログラムが「効果的に機能するための十分なリソースと権限が与えられているかどうか」を評価しており、これは、プログラムが「効果的に実施されているかどうか」という米国司法省の従来の着目点をより正確に定式化したものです。
米国司法省は、個々の企業毎のリスク・プロファイルに注目する一方、2020年ガイダンスは、企業コンプライアンス・プログラムが一定のリスクのみに配慮し、他に配慮しない(例えば、FCPAには対処しているが、独禁法リスクには対処していない)場合、これを高くは評価しない旨明示しています。企業コンプライアンス・プログラムは、一部法域に特化するのではなく、全法域に包括的に配慮すべきとしています。
【2020年ガイダンスの主な留意点】
網羅的ではありませんが、以下、2020年ガイダンス上、企業コンプライアンス・プログラムを策定、実施、修正する際に考慮すべき追加的な分野をご紹介します。
個別アプローチ:2020年ガイダンスは、企業コンプライアンス・プログラムを評価する際に考慮すべき企業固有の要因(企業のサイズ、業界、地理的範囲、業種規制等、企業の対内・対外業務内容)を特定しています。これらの個別の要因を考慮することで、企業コンプライアンス・プログラムの構造と企業が直面する可能性のある制限をより深く評価することができます。
発展するプログラムのためのリソース:米国司法省は、以前より「効果的な企業コンプライアンス・プログラムの特徴は、その改善と発展の能力にある」と明言しています。このことは、2020年ガイダンスでさらに強調され、企業コンプライアンス・プログラムを継続的に適応させるための適切なリソースの必要性に焦点が当てられています。2020年ガイダンスでは、リスク評価が、適時の情報や業務データや新情報の継続的なモニタリングに基づくものか、又は、企業が自社の過去の問題や同業他社の問題から得た教訓を取り入れているかどうかが直接的に問われています。2020年ガイダンスでは、企業が企業コンプライアンス・プログラムをモニター・テストするために必要なリソースを投入し、必要に応じて組織や方針を修正することが奨励されています。
ストラクチャー:2020年ガイダンスは、企業コンプライアンス・プログラムのストラクチャーをさらに重視しており、なぜ企業が当該方法でプログラムを構成したのか、また、変動リスクを考慮して、企業コンプライアンス・プログラムのストラクチャーが時間の経過とともにどのように進化してきたのかを評価しています。企業コンプライアンス・プログラムのストラクチャーは、プログラムが物理的にどこに備置されているか(ジェネラルカウンセルや独立した部門等)、及び、コンプライアンス担当者が経営陣やその他の重要な意思決定者にどのようにアクセスできるかに関係しています。
コンプライアンス研修:研修プログラムを評価する際の主な考慮事項は、受講者の規模、知的素養、専門知識レベルに合わせた方法で情報を伝達しているかどうかであり、研修の効果をさらに評価するための新たな質問が設けられています。2020年ガイダンスでは、コンプライアンス研修の効果をさらに評価するために、研修が対話型であるかどうか、コンプライアンス研修のテストに不合格となった従業員をどのように扱うか、研修が従業員の行動に与える影響を評価しているかどうかを検討する新たな質問が盛り込まれています。
通報制度:2020年ガイダンスは、匿名のホットライン等の通報メカニズムの適切性と実用性に焦点を当てています。2020年ガイダンスでは、(1) 企業が従業員と第三者の双方に不正行為に関する通報ラインを公表しているかどうか、(2) 企業が従業員が公式の通報ラインを利用して十分に快適であるかどうかをどのように判断しているか、(3) 企業が通報ラインを積極的にテストして通報の開始から終了までを追跡しその有効性を評価しているかどうかを対象としています。
代理店・コンサルタント等第三者関連:代理店、コンサルタント等の第三者との取引に関する継続的なリスク管理も強調されており、ビジネス関係の開始時だけでなく、その関係性の生涯を通じて、企業が第三者に関してどのような監査プロセスを採用しているのかを評価しています。
M&A:2020年ガイダンスでは、買収対象企業に関するデューデリジェンスに加えて、十分に設計された企業コンプライアンス・プログラムには既存の企業コンプライアンス・プログラムのストラクチャーや内部統制において買収対象企業を適時かつ整然と統合するためのプロセスが含まれるべきであることが明確にされています。また、買収前と買収後のデューデリジェンスを実施することの重要性も強調されています。
データリソース:最後に、2020年ガイダンスでは、コンプライアンス担当者が企業の業務を効果的かつ適宜にモニターするために、さまざまなデータソースへの十分なアクセスが認められているかどうか、また、そのようなアクセスの障害に会社がどのように対処しているかについて、新たな検討事項が示されています。
企業が、法的なコンプライアンス問題に現在直面していなくても、2020年ガイダンスでは、米国司法省調査開始時においては、企業コンプライアンス・プログラムの存在や当初の実施状況だけでなく、企業が時間をかけてプログラムをどのように更新し、改訂してきたかを検討することも明らかになっています。2020年ガイダンスは、企業コンプライアンス・プログラムを継続的に再評価・試験し、内部評価の結果と外部状況の変化の両方に対応するために進化する企業を評価しています。
米国司法省は、もはや企業の業務に関連性がないかもしれない、古くて時代遅れのリスク評価に依存した「紙のプログラム」では足らないと考えています。米国司法省や他の政府機関がCOVID-19後の再開に対処し、企業が新たな課題に取り組む中で、今後数ヶ月間における企業コンプライアンス・プログラムの有効性は非常に重要です。
(執筆担当者:岩崎)
※本記事の内容は、一般的な情報提供であり、具体的な法的アドバイスではありません。
ご質問などございましたら、ご遠慮なくご連絡ください。
連絡先:岩崎 大 Tel: 03-6273-3544(直通)E-mail: dai.iwasaki@tkilaw.com