Weitere Berichte

Compliance-Management

Als weltweit tätiges Unternehmen stellen wir sehr strenge Anforderungen an ein wirksames Compliance Management. Compliance bedeutet für uns vor allem: Wir handeln im Einklang mit unseren Unternehmenswerten und sind davon überzeugt, dass profitables Wirtschaften mit höchsten ethischen Ansprüchen einhergehen sollte.

Rollen und Verantwortlichkeiten

Unsere Konzernfunktion Group Compliance ist zuständig für das Regelwerk zu folgenden Kernthemen: Merck-Verhaltenskodex, Bekämpfung von Korruption und Bestechung (inklusive Einhaltung von Bestimmungen des Gesundheitswesens, Geschäftspartnerprüfung/Due Diligence, Transparenzberichterstattung), Geldwäschebekämpfung, Kartellrecht und Interessenkonflikte.

Für diese Themen gelten konzernweite Richtlinien, Standards und Verfahren. So gewährleisten wir, dass unsere geschäftlichen Aktivitäten den geltenden Gesetzen, Vorschriften und internationalen ethischen Standards entsprechen. Andere Themen mit Compliance-Bezug wie Pharmakovigilanz, Export- und Importkontrollen sowie Umwelt, Gesundheit, Sicherheit und Qualität verantworten die zuständigen Funktionen – einschließlich der jeweiligen internen Vorschriften, Richt- und Leitlinien.

Unsere Compliance-Funktion ist für das Compliance-Portfolio verantwortlich. Das Programm besteht aus folgenden Elementen:

  • Risikobewertung: Identifikation interner und externer kritischer Risiken im regulären Geschäftsbetrieb
  • Richtlinien und Verfahren: globale Richtlinien, Verfahren und Standards zur Reduzierung identifizierter Risiken
  • Compliance-Komitees/-Foren: Plattformen für Compliance-bezogene Diskussion und Entscheidungsfindung inklusive relevanter Schlüsselfunktionen
  • Schulungen und Awareness: gezielte Schulungen und zusätzliche Maßnahmen zur Aufklärung und Aufrechterhaltung der Awareness
  • Programme und Tools: umfassende Compliance-Programme und unterstützende Tools, die zur internen Kontrolle und zur Unternehmensführung beitragen
  • Monitoring und Berichterstattung: Analyse Compliance-bezogener Daten; Durchführung interner und externer Berichterstattung
  • Fallmanagement: rechtzeitige Reaktion auf Fehlverhalten und Umsetzung von Korrekturmaßnahmen
  • Kontinuierliche Verbesserung: basierend auf und anwendbar auf alle Elemente des Compliance-Programms

Unser Chief Compliance Officer berichtet der Geschäftsleitung und den Aufsichtsorganen mindestens zweimal jährlich über den Status unserer Compliance-Aktivitäten, mögliche Risiken und schwerwiegende Verstöße. Wir stellen im Zuge unserer Berichtstätigkeit jährlich einen umfassenden Compliance- und Datenschutzbericht für die Geschäftsleitung zusammen. Darin informieren wir über den Stand unseres Compliance-Programms, anhaltende Verbesserungsinitiativen und Kennzahlen zu Compliance- und Datenschutzfällen. Zur Jahresmitte erscheint darüber hinaus ein Zwischenbericht, in dem wir über aktuelle Entwicklungen und den Status relevanter Projekte und Initiativen berichten.

Unserem Chief Compliance Officer sind weltweit alle Compliance-Abteilungen und Compliance-Fachkräfte unterstellt. Die Compliance Officer setzen unser Compliance-Programm innerhalb ihrer jeweiligen Verantwortungsbereiche um (in Anpassung an lokale Bestimmungen). Angeleitet werden sie von unserem Group Compliance Center of Expertise. Dieses zentrale Gremium gestaltet unser Compliance-Programm in sämtlichen Unternehmensbereichen und Konzernfunktionen und entwickelt es weiter.

Wozu wir uns verpflichten: Richtlinien und Standards

Unser Compliance-Programm baut auf unseren Werten auf und integriert diese in unser Compliance-Rahmenwerk. Dieses enthält konzernweite Richtlinien, Standards und Verfahren für das unternehmerische Handeln, die für unser Personal bindend sind:

  • Merck Verhaltenskodex
  • Menschenrechtscharta (Human Rights Charter)
  • Antikorruptionsstandard (Anti-Corruption Standard)
  • Konzernstandard zur Geldwäschebekämpfung (Anti-Money Laundering Group Standard)
  • Richtlinie zu Interessenkonflikten (Conflict of Interest Policy)
  • Richtlinie für das Kartell- und Wettbewerbsrecht (Antitrust and Competition Law Policy)
  • Richtlinie über Compliance-Berichterstattung und die Untersuchung von Vorfällen (Compliance Reporting and Investigation Policy)
  • Richtlinie über unangekündigte Behördenbesuche (Dawn Raid Policy)
  • Standard für lokale Compliance-Standards (Standard on Local Compliance Standards)
  • Verhaltenskodex für Lieferanten (ehemals Responsible Sourcing Principles)

Risikobewertung

Ein geeignetes Compliance-Risikomanagement ist unerlässlich, um unerkannte Risiken zu entdecken und unser Unternehmen anhaltend zu schützen. Hierzu führen wir einen Prozess durch, um Compliance-Risiken zu identifizieren. Wir starteten mit einem konzernweiten Compliance-Risikoprozess für alle unsere Unternehmensbereiche. Dieser Prozess ermöglicht mehr Objektivität und einen stärker datenorientierten Risikoansatz. Zudem erstellten wir eine umfassende Risikomatrix mit Schwerpunkt auf Bestechungs- und Korruptionsrisiken. Die Matrix beinhaltet eine ausführliche Risikoklassifizierung und detaillierte Risikopräsenzszenarien. Im nächsten Schritt begannen wir 2022 damit, länderspezifische Risikobewertungen durchzuführen. Dabei berücksichtigen wir das Brutto- und Nettorisiko und untersuchen konkrete Risikoszenarien für den jeweiligen Geschäftsbereich. Hierbei arbeitet Group Compliance eng mit den Bereichen zusammen, um deren Risikobewusstsein zu stärken und ein besseres Verständnis für Compliance-Risiken zu schaffen. Die erste Phase dieses Prozesses umfasst Länder mit hohem Risiko. Bis 2022 führen wir schrittweise einen Prozess zur Risikoidentifizierung ein, um einen besseren Überblick über die Risiken bezüglich Bestechung und Korruption zu erhalten.

Umgang mit Interessenkonflikten

Wir nehmen jeden möglichen Interessenkonflikt ernst. Ein solcher liegt vor, wenn das fachliche Urteil eines Mitarbeitenden im Widerspruch zu seinen persönlichen Interessen stehen könnte. Unser Personal muss solche Situationen unbedingt vermeiden. Außerdem müssen Beschäftigte ihren Vorgesetzten etwaige Interessenkonflikte melden und diese Meldungen dokumentieren. Interessenkonflikte werden grundsätzlich direkt zwischen den beteiligten Personen und ihren Vorgesetzten geklärt. Sie können aber auch an die Personal-, an die Rechtsabteilung, an Compliance oder an andere einschlägige Funktionen weitergeleitet werden.

Management und Anforderungen an Drittparteien

Ein wirksames Compliance-Management darf nicht an den eigenen Unternehmenstoren haltmachen. Während es bei unseren Lieferantenmanagementprozessen um das regelkonforme Handeln der zuliefernden Unternehmen geht, regelt der weltweite Risikomanagementprozess für Drittparteien (Third Party Risk Management) den Umgang mit Vertriebsunternehmen aus den Bereichen Handelsvertretung, Distribution und Großhandel. Wir erwarten von Drittparteien weltweit, dass sie unsere Compliance-Grundsätze einhalten. Wir gehen Geschäftsbeziehungen nur mit Dritten ein, die sich dazu verpflichten, rechtskonform zu handeln, jegliche Form der Bestechung abzulehnen und Umwelt-, Gesundheits- und Sicherheitsrichtlinien zu befolgen.

Bei der Auswahl unserer externen Partnerunternehmen verfolgen wir einen risikobasierten Ansatz. Je größer das geschätzte Risiko in Bezug auf ein bestimmtes Land, eine bestimmte Region oder eine bestimmte Dienstleistung ist, umso gründlicher prüfen wir die externe Partei, bevor wir eine Geschäftsbeziehung eingehen. Zudem untersuchen wir Hintergrundinformationen aus verschiedenen Datenbanken sowie Informationen, die uns Drittparteien übermitteln.

Stoßen wir auf Compliance-bezogene Bedenken, analysieren wir die maßgeblichen Informationen tiefer. Je nach Ergebnis entscheiden wir, ob wir das potenzielle externe Partnerunternehmen ablehnen, Bedingungen zur Minderung der identifizierten Risiken stellen oder eine bestehende Geschäftsbeziehung beenden. Wir planen, dass bis Ende 2023 alle Tochtergesellschaften unseres Unternehmens über einen neuen Prozess und ein neues Tool für das Risikomanagement von Dritten verfügen. Durch eine Due-Diligence-Prüfung aller Dritten mit hohem Risiko prüfen wir so die Rechtskonformität von Geschäftspartnerschaften.

Schulungen zu Compliance-Themen

Wir bieten regelmäßige Compliance-Schulungen in Präsenz oder online an. Die Themen: Verhaltenskodex, Antikorruption, Kartellrecht, Datenschutz, Geldwäschebekämpfung sowie Compliance im Gesundheitswesen. Je nach Risikostatus fordern wir Mitarbeitende auf, an diesen Schulungen teilzunehmen. An manchen Schulungen nehmen außerdem Auftragnehmende und Zeitarbeitskräfte (beispielsweise aus der Leiharbeit) teil.

Zu Interessenkonflikten führten wir ein neues E-Learning-Modul ein. Darin wird erläutert, was Interessenkonflikte sind und wie sie in unserem Unternehmen gehandhabt werden sollten. Der Kurs ist in neun Sprachen verfügbar. Darüber hinaus gibt es eine neue E-Learning-Schulung, die einen Überblick über unser Risikomanagement bezüglich Drittparteien bietet.

Geldwäschebekämpfung

Wir verfügen über ein weltweites Programm zur Bekämpfung von Geldwäsche. Neben dem Konzernstandard zur Geldwäschebekämpfung und einer Schulung umfasst es einen speziellen Prozess mit dem Ziel, Warnsignale und Transaktionen mit hohem Risiko zu melden und zu untersuchen. Verdächtige Transaktionen leiten wir, wenn erforderlich, an die deutsche Zentralstelle für Finanztransaktionsuntersuchungen oder andere Behörden weiter.

Unser Programm zur Bekämpfung von Geldwäsche entwickeln wir laufend weiter. Wir führten seit 2021 eine weltweite Risikobewertung durch und ermittelten die Länder und Regionen, in denen die strengsten regulatorischen Anforderungen und Rechtsvorschriften für Geldwäschetätigkeiten gelten. Anschließend bewerteten wir umfassend das Geldwäscherisiko in Ländern und Regionen mit hohem Risiko. Auf Basis dieser Bewertungen und der laufenden Überprüfung von Änderungen der Rechtslage führen wir, wo erforderlich, strengere lokale Programme ein, um Geldwäsche zu bekämpfen.

Melden möglicher Compliance-Verstöße

Wir halten unsere Beschäftigten weltweit dazu an, mögliche Compliance-Verstöße zu melden – ihren Vorgesetzten, der Rechts- oder Personalabteilung oder anderen relevanten Abteilungen. Weltweit können sie außerdem kostenlos, anonym und in ihrer lokalen Sprache unser zentrales Meldesystem – eine Compliance-Hotline – nutzen, um so per Telefon oder per Internet Verstöße anzuzeigen. Unsere Einheit Compliance Investigations and Case Management prüft Meldungen über mögliche Compliance-Verstöße, die über die Compliance-Hotline eingehen.

Fälle mit einem bestimmten Risikoprofil werden dem Compliance Case Committee vorgestellt. Dieses Komitee besteht aus leitenden Angestellten der Abteilungen Compliance, Konzernsicherheit, Datenschutz, Personal, Interne Revision und Recht. Unter anderem bewertet und klassifiziert das Komitee bestimmte Compliance-Fragestellungen, untersucht deren Hintergründe und ergreift geeignete Maßnahmen zu ihrer Lösung.

Basierend auf dem Untersuchungsergebnis und den Empfehlungen des Compliance Investigation Teams oder des Compliance Case Committees können wir gegen Beschäftigte, die einen Compliance-Verstoß zu verantworten haben, geeignete disziplinarische Maßnahmen ergreifen. Stellen wir bei der Untersuchung tiefer liegende Ursachen fest, die ein Risiko von weiteren Compliance-Verstößen darstellen könnten, ergreifen wir Maßnahmen zur Korrektur oder Prävention.

Auch Externe können die Compliance-Hotline nutzen. Der Abschnitt Compliance und Ethik auf unserer Website informiert darüber.

Die Zahl der gemeldeten mutmaßlichen Compliance-Verstöße blieb im Vergleich zum Vorjahr stabil, während die Zahl der bestätigten Compliance-Falle zurückging. Im Jahr 2022 erhielten wir 79 Compliance-relevante Meldungen über die Compliance-Hotline und andere Informationskanäle, die als Fall bearbeitet wurden. In 28 Fällen bestätigte sich, dass gegen die Prinzipien des Verhaltenskodex beziehungsweise andere interne oder externe Richtlinien verstoßen worden war.

Gemeldete Compliance-Vorfälle

 

 

2019

 

2020

 

2021

 

2022 Merck-Gruppe

 

2022 Davon: Merck KGaA

Gesamtzahl gemeldeter Vorfälle

 

 

 

 

 

 

 

 

 

 

Anzahl gemeldeter Compliance-Vorfälle

 

75

 

81

 

79

 

79

 

3

Anzahl bestätigter Fälle

 

30

 

41

 

42

 

28

 

0

Bestätigte Fälle nach Kategorie

 

 

 

 

 

 

 

 

 

 

Bestechung und Korruption

 

9

 

6

 

1

 

2

 

0

Verletzung des Kartellrechts und unfaire Geschäftspraktiken

 

0

 

0

 

0

 

1

 

0

Betrügerische Handlungen gegen Merck

 

8

 

11

 

6

 

11

 

0

Andere Missachtungen der Merck-Compliance-Prinzipien für die Beziehungen zu Geschäftspartnern

 

4

 

0

 

0

 

2

 

0

Sonstige Verstöße gegen Merck-Werte, interne Richtlinien oder gesetzliche Anforderungen

 

9

 

24

 

35

 

12

 

0

Compliance-Audits

Die Konzernfunktionen Group Compliance und Group Internal Auditing gewährleisten Compliance auf der zweiten beziehungsweise dritten Verteidigungslinie. Regelmäßig überprüft Group Internal Auditing innerhalb von Audits die weltweiten Funktionen, Prozesse und Gesellschaften. Dabei wird auch bewertet, wie wirkungsvoll die jeweiligen Compliance-Richtlinien, -Prozesse und -Strukturen sind. Zusätzlich ermitteln die Einheiten, ob es Verstöße gegen unseren Verhaltenskodex oder den Antikorruptionsstandard gibt.

Ziel unserer Auditplanung ist eine umfassende Risikoabsicherung durch eine bestmögliche Auditabdeckung unserer Prozesse. Der jährliche Auditplanungsprozess ist risikobasiert. Er bezieht Kennzahlen wie den Umsatz, die Mitarbeiteranzahl, systematisches Feedback relevanter Stakeholder-Gruppen und den Korruptionswahrungsindex (CPI) der Nichtregierungsorganisation Transparency International. Für den Fall, dass sich aus der Prüfung Empfehlungen für Verbesserungsmaßnahmen ergeben, verfolgt Group Internal Auditing diese Maßnahmen systematisch und kontrolliert ihre Umsetzung. Im Jahr 2022 führte Group Internal Auditing 79 interne Audits durch, die bestechungs- und korruptionsbezogene Risiken untersuchten. Davon waren 52 betriebliche Audits, 24 IT-Audits und drei spezielle Audits (beispielsweise interne Untersuchungen bestimmter Ereignisse).

Diese Seite teilen: