Grundvoraussetzung für eine verantwortungsvolle Unternehmensführung ist die Einhaltung von Gesetzen – auch Compliance genannt. Weltweit müssen alle unsere Aktivitäten Gesetzen, Regulierungen und internationalen ethischen Standards entsprechen. Damit wahren wir unseren guten Ruf als Arbeitgeber und Geschäftspartner.
Unser Compliance-Ansatz
Als global tätiges Unternehmen stellen wir sehr strenge Anforderungen an ein wirksames Compliance-Management. Compliance bedeutet für uns vor allem: Wir handeln im Einklang mit unseren Unternehmenswerten und sind davon überzeugt, dass profitables Wirtschaften mit höchsten ethischen Ansprüchen einhergehen sollte.
Rollen und Verantwortlichkeiten
Unsere Konzernfunktion „Group Compliance“ ist zuständig für die Richtlinien zu folgenden Kernthemen: Bekämpfung von Korruption und Bestechung (inklusive Einhaltung von Bestimmungen des Gesundheitswesens, Geschäftspartnerprüfung/Due Diligence, Transparenzberichterstattung), Geldwäschebekämpfung, Kartellrecht, Interessenkonflikte sowie Vorbereitung und Bereitschaft für unangekündigte Behördenbesuche.
Für diese Compliance-Themen gelten konzernweite Richtlinien und Verfahren. So gewährleisten wir, dass unsere geschäftlichen Aktivitäten den geltenden Gesetzen, Vorschriften und internationalen ethischen Standards entsprechen. Andere Themen mit Compliance-Bezug wie Pharmakovigilanz, Export- und Importkontrollen sowie Umwelt, Gesundheit, Sicherheit und Qualität verantworten die zuständigen Funktionen – einschließlich der jeweiligen internen Vorschriften, Richt- und Leitlinien.
Unsere Compliance-Funktion ist für das Compliance-Portfolio verantwortlich. Das Programm besteht aus folgenden Elementen:
- Risikobewertung: Identifikation von internen und externen kritischen Risiken im regulären Geschäftsbetrieb
- Richtlinien und Verfahren: globale Richtlinien, Verfahren und Standards zur Reduzierung identifizierter Risiken (Näheres im Abschnitt „Wozu wir uns verpflichten: Richtlinien und Standards“)
- Compliance-Komitees/-Foren: Plattformen für Compliance-bezogene Diskussion und Entscheidungsfindung inklusive relevanter Schlüsselfunktionen
- Schulungen und Awareness: gezielte Schulungen und zusätzliche Maßnahmen zur Aufklärung und Aufrechterhaltung der Awareness
- Programme und Tools: umfassende Compliance-Programme und unterstützende Tools, die zur internen Kontrolle und zur Unternehmensführung beitragen
- Monitoring und Berichterstattung: Analyse von Compliance-bezogenen Daten; Durchführung interner und externer Berichterstattung
- Fallmanagement: rechtzeitige Reaktion auf Fehlverhalten und Umsetzung von Korrekturmaßnahmen
- Kontinuierliche Verbesserung: basierend auf und anwendbar auf alle Compliance Programmelemente
Wir überprüfen unser Compliance-Portfolio regelmäßig und aktualisieren bei Bedarf unsere Initiativen und Programme. Dabei berücksichtigen wir neue Anforderungen ebenso wie interne und externe Risiken: Diese ergeben sich beispielsweise, wenn maßgebliche Gesetze oder Branchenstandards angepasst werden oder wenn sich anderweitige Veränderungen auf unser Unternehmen auswirken. Wir tauschen uns über aktuelle Compliance-Angelegenheiten, Trends und Ziele aus – intern mit unserer Compliance-Organisation und extern mit unseren Stakeholdern und Geschäftspartnern. Ein besonderes Augenmerk gilt unseren Mitarbeitern: Wir stellen sicher, dass sie auf geeignete Ressourcen zurückgreifen können und dass sie nötige Fähigkeiten besitzen; zudem sorgen wir für klare Rollen und Verantwortlichkeiten. Auch legen wir Ziele fest, die auf das Feedback unserer Mitarbeiter abgestimmt sind. Darüber hinaus gewährleisten wir, dass unsere Organisationsstruktur auf dem neuesten Stand ist und geeignet für unsere geschäftlichen Anforderungen.
Unser Group Compliance Officer berichtet der Geschäftsleitung und den Aufsichtsorganen mindestens zweimal jährlich über den Status unserer Compliance-Aktivitäten, mögliche Risiken und schwerwiegende Verstöße. Wir stellen im Zuge unserer Berichtstätigkeit jährlich einen umfassenden Compliance- und Datenschutzbericht für die Geschäftsleitung zusammen. Darin informieren wir über den Stand unseres Compliance-Programms, anhaltende Verbesserungsinitiativen und Kennzahlen zu Compliance- und Datenschutzfällen. Zur Jahresmitte erscheint darüber hinaus ein Zwischenbericht, in dem wir über aktuelle Entwicklungen und den Status relevanter Projekte und Initiativen berichten.
Unserem Group Compliance Officer sind weltweit rund 94 Compliance Officer und Compliance-Fachkräfte unterstellt. Die Compliance Officer setzen unser Compliance-Programm innerhalb ihrer jeweiligen Verantwortungsbereiche um und passen es an die lokale Rechtslage an, falls gesetzlich vorgeschrieben. Angeleitet werden sie von unserem Group Compliance Center of Expertise. Dieses zentrale Gremium gestaltet unser Compliance-Programm in sämtlichen Unternehmensbereichen und Konzernfunktionen und entwickelt es weiter.
Ein Bestandteil des Group Compliance Center of Expertise ist unser weltweites Team für die Koordination der Transparenzberichterstattung. Es ist für die Umsetzung aktueller und künftiger Transparenzvorschriften im Gesundheitswesen verantwortlich. Dazu gehören beispielsweise die Vorgaben des Europäischen Pharmaverbands (European Federation of Pharmaceutical Industries and Associations, EFPIA) und des US-amerikanischen Gesetzes über die Zusammenarbeit zwischen der Pharmaindustrie und Gesundheitsdienstleistern (United States Physician Payments Sunshine Act). Weitere Informationen zu unseren Aktivitäten im Bereich Healthcare Governance und Compliance finden Sie im Kapitel Verantwortungsvolle Interaktionen im Gesundheitswesen.
Wozu wir uns verpflichten: Richtlinien und Standards
Unser Compliance-Programm baut auf unseren Werten auf. Es integriert diese in unser Compliance-Rahmenwerk. Darin enthalten sind konzernweite Richtlinien und Verfahren für das unternehmerische Handeln, die für alle Mitarbeiter bindend sind:
- Der Merck-Verhaltenskodex unterstützt unsere Mitarbeiter dabei, ethisch einwandfrei zu handeln – gesetzeskonform und im Einklang mit unseren Werten. Er steht allen Mitarbeitern weltweit in 22 Sprachen zur Verfügung.
- Unsere Menschenrechtscharta (Human Rights Charter) ergänzt den Verhaltenskodex durch weltweit anerkannte Menschenrechtsgrundsätze.
- Laut unserer Antikorruptionsrichtlinie (Anti-Corruption Policy) müssen alle geschäftlichen Aktivitäten in Übereinstimmung mit rechtsverbindlichen Antikorruptionsvorgaben stehen. Jede Form von Bestechung ist strikt untersagt.
- Unsere Konzernrichtlinie zur Geldwäscheprävention (Money Laundering Prevention Policy) definiert und beschreibt konzernweite Prozesse und Sicherheitsvorkehrungen. Sie sollen unser Unternehmen davor schützen, von Dritten zu Geldwäschezwecken missbraucht zu werden.
- Unsere Richtlinie zu Interessenkonflikten erklärt das Wesen von Interessenkonflikten und die damit verbundenen Risiken. Sie stellt dar, wie solche Situationen vermieden werden können. Für den Fall, dass ein Interessenkonflikt unvermeidbar ist, enthält sie außerdem Regelungen zur Identifizierung, Offenlegung und Reduzierung sowie zum Management der Risiken, die sich aus dieser Situation ergeben können.
- Unsere konzernweite Richtlinie für das Kartell- und Wettbewerbsrecht (Antitrust and Competition Law Policy) gibt vor, dass sämtliche Geschäftstätigkeiten im gesamten Konzern stets im Einklang mit geltenden Wettbewerbsvorgaben auszuüben sind. Wir erkennen die Bedeutung eines fairen Wettbewerbs an und erwarten dies auch von Vertragspartnern, die in unserem Auftrag handeln.
- Unsere Richtlinie über Compliance-Berichterstattung und die Untersuchung von Vorfällen (Compliance Reporting and Investigation Policy) regelt die wesentlichen Schritte interner Compliance-Untersuchungen. Die Richtlinie soll eine angemessene, rechtzeitige und umfassende Antwort auf Compliance-bezogene Berichte über mutmaßliches Fehlverhalten im Zusammenhang mit internen oder externen Richtlinien und Vorschriften gewährleisten.
- Unsere Richtlinie über unangekündigte Behördenbesuche (Dawn Raid Policy) stellt Handlungsoptionen vor, legt allgemeine Verhaltensregeln fest und informiert über Rechte und Pflichten im Falle unangekündigter behördlicher Ermittlungen, Durchsuchungen und Beschlagnahmungen auf unserem Gelände.
- Mit unseren ethischen Leitsätzen für das Gesundheitswesen (Healthcare Ethical Guiding Principles) geben wir unseren Mitarbeitern im Unternehmensbereich Healthcare Orientierungshilfen für ethische Entscheidungen und Aktivitäten. Dabei werden die besonderen Herausforderungen und Aufgaben dieses Bereichs berücksichtigt. Nähere Informationen finden sich im Kapitel Verantwortungsvolle Interaktionen im Gesundheitswesen.
- Verhaltenskodex für den Umgang mit unseren Partnern im Gesundheitswesen sind in unserem „Pharma Code“ für verschreibungspflichtige Medikamente sowie in den zugrunde liegenden Richtlinien und zusätzlichen Leitfäden festgelegt.
- Unser Standard für lokale Compliance-Standards (Standard on Local Compliance Standards) beschreibt einen Prüf- und Genehmigungsprozess für örtliche Governance-Dokumente in Bereichen, für die unsere Konzernfunktion „Group Compliance“ verantwortlich ist. Das sorgt für einen einheitlichen Ansatz. Gleichzeitig bleiben wir flexibel genug, um strengere oder konkretere Anforderungen und Bedürfnisse auf lokaler Ebene zu berücksichtigen. Unsere Teams vor Ort können sich so an unsere Compliance-Grundsätze und -Empfehlungen halten und gleichzeitig spezifische lokale Richtlinien oder Verfahren einführen, die örtlichen Regulierungen entsprechen.
Risikobewertung
Ein geeignetes Compliance-Risikomanagement ist unerlässlich, um unerkannte Risiken zu entdecken und unser Unternehmen nachhaltig zu schützen. Im Jahr 2021 führten wir einen globalen, überarbeiteten Risikomanagementprozess in all unseren Unternehmensbereichen ein. Der neue Prozess ermöglicht mehr Objektivität und einen stärker datenorientierten Risikoansatz. Wir erstellten eine umfassende Risikomatrix mit Schwerpunkt auf Bestechungs- und Korruptionsrisiken. Diese Risikomatrix beinhaltet eine ausführliche Risikoklassifizierung und detaillierte Risikoszenarien. Die Matrix besteht aus zwei Fragebögen – den einen, um das Risikopotenzial der Unternehmensbereiche zu ermitteln, den anderen zur Risikominderung, der die Umsetzung des Compliance-Programms abfragt. Die Risikofragebögen werden hauptsächlich von den Business Heads beantwortet.
Wir führen den Prozess zur Risikoidentifizierung über einen gestaffelten Top-down-Ansatz durch. Im Jahr 2021 begannen wir mit der Risikobewertung bei den globalen Funktionen. In einem zweiten Schritt sollen 2022 länderspezifische Bewertungen folgen.
Umgang mit Interessenkonflikten
Wir nehmen jeden möglichen Interessenkonflikt ernst. Ein solcher liegt vor, wenn das fachliche Urteil eines Mitarbeiters im Widerspruch zu seinen persönlichen Interessen stehen könnte. Unsere Mitarbeiter müssen solche Situationen unbedingt vermeiden. Außerdem sollen sie ihrem Vorgesetzten etwaige Interessenkonflikte melden und diese Meldungen dokumentieren. Interessenkonflikte werden grundsätzlich direkt zwischen dem beteiligten Mitarbeiter und seinem Vorgesetzten geklärt. Sie können aber auch an die Personal-, an die Rechtsabteilung, an Compliance oder an andere einschlägige Funktionen weitergeleitet werden.
Im Jahr 2021 führten wir ein eigenes konzernweites, interaktives Schulungsprogramm ein und intensivierten unsere Kommunikation, um die Mitarbeiter noch stärker für Interessenkonflikte zu sensibilisieren.
Wie im Geschäftsbericht unter „Vermeidung von Interessenkonflikten“ beschrieben, sind die Mitglieder der Geschäftsleitung und des Aufsichtsrats ausschließlich dem Unternehmensinteresse verpflichtet. Sie verfolgen weder persönliche Interessen, noch gewähren sie Dritten ungerechtfertigte Vorteile.
Management der und Anforderungen an Geschäftspartner
Ein wirksames Compliance-Management darf nicht an den eigenen Unternehmenstoren haltmachen. Während es beim Lieferantenmanagement um das regelkonforme Handeln der Zulieferer geht, regelt der weltweite Risikomanagementprozess für externe Partner (Third Partner Risk Management) den Umgang mit vertriebsnahen Geschäftspartnern wie Handelsvertretern, Distributoren und Großhändlern. Wir erwarten von unseren Geschäftspartnern weltweit, dass sie unsere Compliance-Grundsätze einhalten. Wir gehen Geschäftsbeziehungen nur mit Partnern ein, die sich dazu verpflichten, rechtskonform zu handeln, jegliche Form der Bestechung abzulehnen und Umwelt-, Gesundheits- und Sicherheitsrichtlinien zu befolgen.
Bei der Auswahl unserer Geschäftspartner verfolgen wir einen risikobasierten Ansatz. Je größer das geschätzte Risiko in Bezug auf ein bestimmtes Land, eine bestimmte Region oder eine bestimmte Dienstleistung ist, umso gründlicher prüfen wir das Unternehmen, bevor wir eine Geschäftsbeziehung eingehen. Zudem untersuchen wir Hintergrundinformationen aus verschiedenen Datenbanken sowie Informationen, die uns unsere Geschäftspartner übermitteln.
Stoßen wir auf Compliance-bezogene Bedenken, analysieren wir die maßgeblichen Informationen tiefer. Je nach Ergebnis entscheiden wir, ob wir den potenziellen Geschäftspartner ablehnen, Bedingungen zur Minderung der identifizierten Risiken stellen oder eine bestehende Geschäftsbeziehung beenden.
Schulungen zu Compliance-Themen
Wir bieten regelmäßige Compliance-Schulungen als Präsenzveranstaltungen und Online-Kurse an. Die Themen: Verhaltenskodex, Antikorruption, Kartellrecht, Datenschutz, Geldwäscheprävention sowie Compliance im Gesundheitswesen. Je nach Risikostatus fordern wir Mitarbeiter auf, an diesen Schulungen teilzunehmen. An manchen Schulungen nehmen außerdem Auftragnehmer und Zeitarbeitskräfte (beispielsweise Leiharbeiter) teil.
Im Jahr 2021 führten wir zwei neue Versionen unserer E-Learning-Schulungen zum Kartellrecht ein: eine Grundlagen- und eine Aufbauschulung. Beide Schulungen sind für alle betroffenen Mitarbeiter verpflichtend und in zehn Sprachen verfügbar. Die Grundlagenschulung absolvierten 12.560 Mitarbeiter. Darüber hinaus nahmen 6.057 Mitarbeiter mit potenziell höherem Risikostatus an der Aufbauschulung teil.
Wir aktualisieren den Schulungsplan fortlaufend und passen ihn an neue Entwicklungen an. So bilden wir unsere Mitarbeiter kontinuierlich zu bestehenden und neuen Compliance-Anforderungen, -Richtlinien und -Projekten weiter.
Geldwäschebekämpfung
Wir verfügen über ein weltweites Programm zur Bekämpfung von Geldwäsche. Es umfasst eine globale Richtlinie, eine Schulung und einen eigenen Prozess. Ziel ist es, Warnsignale und Transaktionen mit hohem Risiko zu melden, zu untersuchen und verdächtige Transaktionen an die deutsche Zentralstelle für Finanztransaktionsuntersuchungen weiterzuleiten.
Unser Antigeldwäsche-Programm wollen wir laufend weiterentwickeln. 2021 führten wir diesbezüglich eine weltweite Risikoanalyse durch: Ziel war es, Länder und Regionen zu ermitteln, in denen die strengsten regulatorischen Anforderungen und Rechtsvorschriften für Geldwäschetätigkeiten gelten, und unser Programm dementsprechend anzupassen. Auf dieser Analyse aufbauend begannen wir damit, risikoreiche Gebiete einer tief gehenden Geldwäsche-Risikobewertung zu unterziehen. So können wir dort, falls erforderlich, strengere Antigeldwäschemaßnahmen einführen.
Melden möglicher Compliance-Verstöße
Wir halten alle Mitarbeiter weltweit dazu an, mögliche Compliance-Verstöße zu melden – ihrem Vorgesetzten, der Rechts- oder Personalabteilung oder anderen relevanten Abteilungen. Weltweit können sie außerdem kostenlos, anonym und in ihrer lokalen Sprache unser zentrales Meldesystem – „Compliance-Hotline“ – nutzen, um so per Telefon oder per Internet Verstöße anzuzeigen. Unsere Einheit „Compliance Investigations and Case Management“ prüft Meldungen über mögliche Compliance-Verstöße, die über die „Compliance-Hotline“ eingehen. Fälle mit einem bestimmten Risikoprofil werden dem „Compliance Case Committee“ vorgestellt. Dieses Komitee besteht aus leitenden Vertretern der Abteilungen Compliance, Konzernsicherheit, Datenschutz, Personal, Interne Revision und Recht.
Unter anderem bewertet und klassifiziert das Komitee ethische Fragestellungen, untersucht deren Hintergründe und ergreift geeignete Maßnahmen zu ihrer Lösung. Basierend auf dem Untersuchungsergebnis und den Empfehlungen des Compliance-Investigation-Teams oder des Compliance-Case-Komitees können gegen Mitarbeiter, die einen Compliance-Verstoß begangen haben, geeignete disziplinarische Maßnahmen ergriffen werden. Stellen wir bei der Untersuchung tief liegende Ursachen fest, die zu weiteren Compliance-Verstößen führen könnten, ergreifen wir Maßnahmen zur Korrektur oder Prävention.
Auch Externe können die „Compliance-Hotline“ nutzen. Der Abschnitt „Compliance und Ethik“ auf unserer Website enthält die relevanten Details.
Sowohl die Zahl der Meldungen, die einen möglichen Compliance-Verstoß vermuten ließen, als auch die Zahl tatsächlicher Compliance-Fälle blieb im Vergleich zum vergangenen Jahr stabil. 2021 erhielten wir 79 Compliance-relevante Meldungen über die „Compliance-Hotline“ und andere Informationskanäle, die eine entsprechende Untersuchung des Sachverhalts auslösten. In 42 Fällen bestätigte sich, dass gegen die Prinzipien des Verhaltenskodex beziehungsweise andere interne oder externe Richtlinien verstoßen worden war.
Compliance-Audits
Die Konzernfunktionen „Group Compliance“ und „Group Internal Auditing“ gewährleisten Compliance auf der zweiten beziehungsweise dritten Verteidigungslinie. Regelmäßig überprüft „Group Internal Auditing“ innerhalb von Audits die weltweiten Funktionen, Prozesse und Gesellschaften. Dabei wird auch bewertet, wie wirkungsvoll die jeweiligen Compliance-Richtlinien, -Prozesse und -Strukturen sind. Zusätzlich ermittelt die Einheit, ob es Verstöße gegen unseren Verhaltenskodex oder die Antikorruptionsrichtlinie gibt. Sie verlangt und bewertet außerdem eine Selbsteinschätzung zu den Arbeitsplatzanforderungen gemäß unserer Menschenrechtscharta.
Ziel unserer Auditplanung ist eine umfassende Risikoabsicherung durch eine bestmögliche Auditabdeckung unserer Prozesse. Der jährliche Auditplanungsprozess ist risikobasiert. Er bezieht Kennzahlen wie den Umsatz, die Mitarbeiterzahl, systematisches Feedback relevanter Stakeholder und den Korruptionswahrungsindex (CPI) der Nichtregierungsorganisation Transparency International ein. Für den Fall, dass sich aus der Prüfung Empfehlungen für Verbesserungsmaßnahmen ergeben, verfolgt „Group Internal Auditing“ diese Maßnahmen systematisch nach und kontrolliert ihre Umsetzung. Im Jahr 2021 führte „Group Internal Auditing“ 84 interne Audits durch, die bestechungs- und korruptionsbezogene Risiken untersuchten. Davon waren 55 betriebliche Audits, 28 IT-Audits und ein spezielles Audit (zum Beispiel interne Untersuchungen bestimmter Ereignisse).
Stakeholder-Dialoge
Wir sind unter anderem Mitglied des Verbands der Chemischen Industrie (VCI), des Deutschen Instituts für Compliance (DICO), des Europäischen Pharmaverbands (European Federation of Pharmaceutical Industries and Associations, EFPIA), des Vereins Freiwillige Selbstkontrolle für die Arzneimittelindustrie (FSA), des Internationalen Verbands der pharmazeutischen Industrie (International Federation of Pharmaceutical Manufacturers and Associations, IFPMA), der Alliance for Integrity, des Bundesverbands Materialwirtschaft, Einkauf und Logistik (BME) und der Internationalen Vereinigung der Datenschutzbeauftragten (International Association of Privacy Professionals, IAPP).