Weitere Berichte

Compliance-Management

TAG übersicht

Ergebnisse für

Grundvoraussetzung für eine verantwortungsvolle Unternehmensführung ist die Einhaltung von Gesetzen – auch Compliance genannt. Weltweit müssen unsere Unternehmens­aktivitäten Gesetzen, Regulierungen und internationalen ethischen Standards entsprechen. Damit wollen wir unseren guten Ruf als Arbeitgeber und Geschäftspartner wahren.

Unser Compliance-Ansatz

Als weltweit tätiges Unternehmen stellen wir sehr strenge Anforderungen an ein wirksames Compliance-Management. Compliance bedeutet für uns vor allem: Wir handeln im Einklang mit unseren Unternehmenswerten und sind davon überzeugt, dass profitables Wirtschaften mit höchsten ethischen Ansprüchen einhergehen sollte.

Rollen und Verantwortlichkeiten

Unsere Konzernfunktion Group Compliance ist zuständig für das Rahmenwerk zu folgenden Kernthemen: Merck-Verhaltenskodex, Bekämpfung von Korruption und Bestechung (inklusive Einhaltung von Bestimmungen des Gesundheitswesens, Geschäftspartnerprüfung/Due Diligence, Transparenzberichterstattung), Geldwäschebekämpfung und Interessenkonflikte.

Für diese Themen gelten konzernweite Richtlinien, Standards und Verfahren. Diese sollen gewährleisten, dass unsere geschäftlichen Aktivitäten den geltenden Gesetzen, Vorschriften und internationalen ethischen Standards entsprechen. Andere Themen mit Compliance-Bezug wie Pharmakovigilanz, Export- und Importkontrollen sowie Umwelt, Gesundheit, Sicherheit und Qualität verantworten die jeweils zuständigen Funktionen – einschließlich der jeweiligen internen Vorschriften, Richt- und Leitlinien.

Unsere Compliance-Funktion ist für das Compliance-Portfolio verantwortlich. Das Programm besteht aus folgenden Elementen:

  • Risikobewertung: Identifikation interner und externer kritischer Risiken im regulären Geschäftsbetrieb
  • Richtlinien und Verfahren: Globale Richtlinien, Verfahren und Standards zur Minderung identifizierter Risiken
  • Compliance-Komitees/-Foren: Plattformen für Compliance-bezogene Diskussionen und Entscheidungsfindungen, inklusive relevanter Schlüsselfunktionen
  • Schulungen und Awareness: gezielte Schulungen und zusätzliche Maßnahmen zur Aufklärung und Aufrechterhaltung der Awareness
  • Programme und Tools: Umfassende Compliance-Programme und unterstützende Tools, die zur internen Kontrolle und Unternehmensführung beitragen
  • Monitoring und Berichterstattung: Analyse Compliance-bezogener Daten, sowie Durchführung interner und externer Berichterstattung
  • Fallmanagement: Rechtzeitige Reaktion auf Fehlverhalten und Umsetzung von Korrekturmaßnahmen
  • Kontinuierliche Verbesserung: basiert auf allen Elementen des Compliance-Programms und ist auf diese anwendbar.

Wir überprüfen unser Compliance-Portfolio regelmäßig und aktualisieren bei Bedarf unsere Initiativen und Programme. Dabei berücksichtigen wir neue Anforderungen ebenso wie interne und externe Risiken: Diese ergeben sich beispielsweise, wenn maßgebliche Gesetze oder Branchenstandards angepasst werden oder wenn sich anderweitige Veränderungen auf unser Unternehmen auswirken. Wir tauschen uns über aktuelle Compliance-Angelegenheiten, Trends und Ziele mit unseren Stakeholdergruppen–innerhalb unserer Compliance-Organisation sowie externen aus. Ein besonderes Augenmerk gilt unseren Mitarbeitenden: Wir stellen sicher, dass sie auf geeignete Ressourcen zurückgreifen können und dass sie die nötigen Fähigkeiten besitzen, zudem sorgen wir für klare Rollen und Verantwortlichkeiten. Auch legen wir Ziele fest, die auf das Feedback unserer Mitarbeitenden abgestimmt sind. Darüber hinaus wollen wir gewährleisten, dass unsere Organisationsstruktur auf dem neuesten Stand und für unsere geschäftlichen Anforderungen geeignet ist.

Unser Chief Compliance Officer berichtet der Geschäftsleitung und den Aufsichtsorganen mindestens zweimal jährlich den Status unserer Compliance-Aktivitäten, mögliche Risiken und schwerwiegende Verstöße. Wir stellen im Zuge unserer Berichtstätigkeit jährlich einen umfassenden Compliance- und Datenschutzbericht für die Geschäftsleitung zusammen. Darin informieren wir über den Stand unseres Compliance-Programms, anhaltende Verbesserungsinitiativen und Kennzahlen zu Compliance- und Datenschutzfällen. Zur Jahresmitte erscheint darüber hinaus ein Zwischenbericht, in dem wir über aktuelle Entwicklungen und den Status relevanter Projekte und Initiativen berichten.

Unserem Chief Compliance Officer sind weltweit alle Compliance-Abteilungen und Compliance-Fachkräfte unterstellt. Die Compliance Officer setzen unser Compliance-Programm innerhalb ihrer jeweiligen Verantwortungsbereiche um (in Anpassung an lokale Bestimmungen). Angeleitet werden sie von unserem Group Compliance Center of Expertise. Dieses zentrale Gremium gestaltet unser Compliance-Programm in sämtlichen Unternehmensbereichen und Konzernfunktionen und entwickelt es weiter.

Wozu wir uns verpflichten: Richtlinien und Standards

Unser Compliance-Programm baut auf unseren Werten auf und integriert diese in unser Compliance-Rahmenwerk. Dieses enthält konzernweite Richtlinien, Standards und Verfahren für unternehmerisches Handeln, die für unsere Mitarbeitenden bindend sind:

  • Der Merck-Verhaltenskodex unterstützt unsere Mitarbeitenden dabei, ethisch verantwortungsvoll zu handeln – gesetzeskonform und im Einklang mit unseren Werten. Er steht allen Beschäftigten weltweit in 22 Sprachen zur Verfügung.
  • Unsere Menschenrechtscharta (Human Rights Charter) ergänzt den Verhaltenskodex durch weltweit anerkannte Menschenrechtsgrundsätze.
  • Laut unserem Antikorruptionsstandard (Anti-Corruption Standard) müssen alle geschäftlichen Aktivitäten in Übereinstimmung mit geltenden Antikorruptionsregulierungen und -standards stehen. Jede Form von Bestechung ist strikt untersagt.
  • Unser Konzernstandard zur Geldwäschebekämpfung (Anti-Money Laundering Group Standard) definiert und beschreibt konzernweite Prozesse und Sicherheitsvorkehrungen. Diese sollen unser Unternehmen davor schützen, von Dritten zu Geldwäschezwecken oder zur Terrorismusfinanzierung missbraucht zu werden.
  • Unsere Richtlinie zu Interessenkonflikten (Conflict of Interest Policy) definiert Interessenkonflikte und die damit verbundenen Risiken. Sie gibt Hinweise, wie solche Situationen zu vermeiden sind. Außerdem enthält sie Regelungen zur Identifizierung, Offenlegung und Eindämmung sowie zur Steuerung der Risiken, die solchen Situationen innewohnen.
  • Unsere konzernweite Richtlinie für das Kartell- und Wettbewerbsrecht (Antitrust and Competition Law Policy) gibt vor, dass sämtliche Geschäftstätigkeiten im gesamten Konzern stets im Einklang mit geltenden Wettbewerbsvorgaben auszuüben sind. Wir erkennen die Bedeutung eines fairen Wettbewerbs an und erwarten dies auch von Vertragsparteien, die in unserem Auftrag handeln.
  • Seit Juli 2023 gilt unser Standard zu Whistleblowing und Untersuchungen (Whistleblowing and Investigations Standard). Damit bekräftigen wir unsere Absicht, eine Unternehmenskultur aufrechtzuerhalten und zu stärken, in der sich Mitarbeitende befähigt fühlen, etwaige Vorfälle und Compliance-Verstöße zu melden. Der Standard informiert über mögliche Meldewege. Er umfasst weiterhin die Prozesse, wie wir angezeigtes Fehlverhalten untersuchen, und gleichzeitig Vertraulichkeit wahren und Whistleblower schützen.
  • Darüber hinaus verfügen wir seit Januar 2023 über einen neuen Verhaltenskodex für Lieferanten, der unsere Responsible Sourcing Principles ersetzt. Er legt dar, was wir von unseren Lieferanten und Geschäftspartnern im Hinblick auf Menschenrechte, Gesundheit und Sicherheit, Geschäftsintegrität, Umweltschutz, kontinuierliche Verbesserung und Management der jeweiligen Lieferfirmen erwarten. Der Verhaltenskodex für Lieferanten beschreibt ebenfalls unsere diesbezüglichen Standards.

Um die Einhaltung geltender Anforderungen fortlaufend zu gewährleisten, erstellen wir jährlich eine Liste mit Änderungen der geltenden Gesetze und Vorschriften. Richtlinien, Standards sowie Verfahren aktualisieren wir entsprechend. In unseren wichtigsten Ländern vertrauen wir auf externe Rechtsberatung, um über diese Änderungen auf dem Laufenden zu bleiben. Die weiteren Länder decken unsere Compliance Officer ab. Bei unseren jährlichen Überprüfungen entscheiden wir zudem, ob unsere Richtlinien, Standards oder Verfahren im Anschluss an die Untersuchungen beziehungsweise internen Audits angepasst werden müssen.

Risikobewertung

Ein geeignetes Compliance-Risikomanagement ist unerlässlich, um unerkannte Risiken zu erkennen und unser Unternehmen nachhaltig zu schützen. Hierzu haben wir einen Prozess zur Bewertung der Compliance-Risiken in allen unseren Unternehmensbereichen. Die Bewertung basiert auf einer umfassenden Risikomatrix, die mehr Objektivität und einen stärker datenorientierten Risikoansatz ermöglicht. Die Matrix vermittelt ihren Schwerpunkt auf Bestechungs- und Korruptionsrisiken durch eine ausführliche Risikoklassifizierung und detaillierte Risikopräsenzszenarien. Zudem kommt eine länderspezifische Risikosegmentierung zur Anwendung. Dabei werden die Länder, in denen wir aktiv tätig sind, mittels objektiver und einheitlicher Kriterien nach ihrem Bestechungs- und Korruptions­risiko eingestuft. Anhand der Ergebnisse priorisieren wir anschließend unsere Initiativen und intensivieren die Aktivitäten in Ländern mit einem höheren Risiko.

Die Risikobewertung folgt einem mehrstufigen Ansatz, wobei der Fokus zunächst auf konzernweiten Geschäftseinheiten liegt. Anschließend wird sie erst auf Hochrisikoländer und daraufhin auf die Länder mit geringem Risiko ausgeweitet. Nach Durchführung der Risikobewertung in allen Ländern gleichen wir die wichtigsten Risiken je Land mit unserem globalen Risikominderungsplan und Compliance Monitoring Scope ab. Damit wollen wir sicherstellen, dass wir allen ermittelten hohen Risiken mit geeigneten Minderungsmaßnahmen begegnen. Zusätzlich führen wir im Rahmen eines gesonderten Verfahrens regelmäßige kartellrechtliche Bewertungen durch.

Umgang mit Interessenkonflikten

Wir nehmen jeden möglichen Interessenkonflikt ernst. Ein solcher liegt vor, wenn das fachliche Urteil eines Mitarbeitenden im Widerspruch zu seinen persönlichen Interessen stehen könnte. Mitarbeitende sind verpflichtet, solche Situationen unbedingt zu vermeiden. Außerdem müssen Beschäftigte ihren Vorgesetzten etwaige Interessenkonflikte melden und diese Meldungen dokumentieren. Interessenkonflikte werden grundsätzlich direkt zwischen den beteiligten Personen und ihren Vorgesetzten geklärt. Sie können aber auch an die Personal-, an die Rechts-, an die Compliance-Abteilung oder an andere einschlägige Funktionen weitergeleitet werden.

2023 lag die Abschlussquote unseres E-Learning-Moduls zu Interessenkonflikten bei 95 %.

Wie im Geschäftsbericht unter Vermeidung von Interessenkonflikten beschrieben, sind die Mitglieder der Geschäftsleitung und des Aufsichtsrats ausschließlich den Unternehmenszielen verpflichtet. Sie verfolgen weder persönliche Interessen, noch gewähren sie Dritten ungerechtfertigte Vorteile.

Wir setzen uns auch aktiv gegen Bestechung ein – durch die Anwendung strenger Wertgrenzen für Geschenke und Einladungen. Diese Werte sind in dem Unternehmenstool hinterlegt, das wir für die Erstattung von Reisekosten und Auslagen verwenden. Alle entsprechenden Anträge unterliegen der Genehmigung, wobei eine zusätzliche interne Prüfung vorgenommen wird, wenn bestimmte Kostenobergrenzen überschritten werden.

Darüber hinaus kommen bestimmte Regeln und Verfahrensweisen im Umgang mit medizinischen Fachkräften (Healthcare Professionals) zur Anwendung, wie im Abschnitt Verantwortungsvolle Interaktionen im Gesundheitswesen näher erläutert.

Management und Anforderungen an Drittparteien

Ein wirksames Compliance-Management darf nicht an den eigenen Unternehmenstoren haltmachen. Während es bei unseren Lieferantenmanagementprozessen um das regelkonforme Handeln der zuliefernden Unternehmen geht, regelt der weltweite Risikomanagementprozess für Drittparteien (Third Party Risk Management) den Umgang mit Vertriebsunternehmen. Dies betrifft die Bereiche Handelsvertretung, Distribution und Großhandel sowie Lieferanten, denen wir ein hohes Risiko zuschreiben. Wir erwarten von Drittparteien weltweit, dass sie unsere Compliance-Grundsätze einhalten. Wir gehen Geschäftsbeziehungen nur mit Dritten ein, die sich dazu verpflichten, rechtskonform zu handeln, jegliche Form der Bestechung abzulehnen und Umwelt-, Gesundheits- und Sicherheitsrichtlinien zu befolgen.

Bei der Auswahl unserer externen Partnerunternehmen verfolgt unser Unternehmen einen risikobasierten Ansatz. Je größer das geschätzte Risiko in Bezug auf ein bestimmtes Land, eine bestimmte Region oder eine bestimmte Dienstleistung ist, umso gründlicher prüfen wir die externe Partei, bevor eine Geschäftsbeziehung eingegangen wird. Zudem untersuchen wir Hintergrund­informationen aus verschiedenen Datenbanken sowie Informationen, die uns Drittparteien übermitteln.

Stoßen wir auf Compliance-bezogene Bedenken, werden die maßgeblichen Informationen von uns tiefer analysiert. Je nach Ergebnis wird entschieden, ob wir das potenzielle externe Partnerunter­nehmen ablehnen, Bedingungen zur Minderung der identifizierten Risiken stellen oder eine bestehende Geschäftsbeziehung beenden.

Im Jahr 2023 begannen wir, einen neuen workflowbasierten Prozess für das Risikomanagement bezüglich Drittparteien einzuführen. In Ergänzung zu den bestehenden Hochrisiko-Kategorien gibt es auch allgemeine Kategorien, mit denen wir unsere Due Diligence und rechtliche Compliance in allen Ländern stärken.

Schulungen zu Compliance-Themen

Wir bieten regelmäßige Compliance-Schulungen in Präsenz oder online an. Die Themen umfassen den Verhaltenskodex, Antikorruption, Kartellrecht, Datenschutz, Geldwäschebekämpfung sowie Compliance im Gesundheitswesen. Je nach Risikostatus fordern wir Mitarbeitende auf, an diesen Schulungen teilzunehmen. An manchen Schulungen nehmen außerdem Auftragnehmende und Zeitarbeitskräfte (beispielsweise aus der Leiharbeit) teil.

Wir aktualisieren den Schulungsplan fortlaufend und passen ihn an neue Entwicklungen an. So bilden wir Mitarbeitende kontinuierlich zu bestehenden und neuen Compliance-Anforderungen, -Richtlinien und-Projekten weiter.

Seit 2023 bieten wir einen neuen E-Learning-Kurs zum Thema Bekämpfung von Korruption, Bestechung und Geldwäsche an. Die Schulung basiert auf aktualisierten Fassungen der 2022 eingeführten Standards zu Geldwäsche- und Korruptionsbekämpfung.

Geldwäschebekämpfung

Wir verfügen über ein weltweites Programm zur Bekämpfung von Geldwäsche. Neben dem Konzernstandard zur Geldwäschebekämpfung und einer Schulung umfasst es einen speziellen Prozess mit dem Ziel, Warnsignale und Transaktionen mit hohem Risiko zu melden und zu untersuchen. Verdächtige Transaktionen leiten wir, wenn erforderlich, an die deutsche Zentralstelle für Finanztransaktionsuntersuchungen oder andere Behörden weiter.

Unser Programm zur Bekämpfung von Geldwäsche entwickeln wir laufend fort. Nach umfassenden Bewertungen des Geldwäscherisikos in Ländern, die strengere regulatorische Anforderungen stellen als unser Programm zur Bekämpfung von Geldwäsche, setzten wir nach Bedarf zusätzliche Programme auf lokaler Ebene um.

Melden möglicher Compliance-Verstöße

Wir halten unsere Beschäftigten weltweit dazu an, mögliche Compliance-Verstöße zu melden. Je nach Art des Fehlverhaltens und der Präferenz der meldenden Person stehen verschiedene Meldekanäle zur Verfügung. Wir empfehlen, einen unserer zentralen Kanäle zu nutzen. Über diese gehen Meldungen direkt bei einem dafür zuständigen, qualifizierten Team von Group Compliance ein, das die Meldungen unabhängig prüft. Je nach Art und Inhalt einer Meldung kann Compliance diese selbst untersuchen oder zur weiteren Prüfung einer anderen zuständigen Funktion zuweisen. Ein zentraler Meldekanal ist unsere konzernweite Whistleblowing-Compliance-Hotline, welche kostenlos und anonym genutzt werden kann, um Verstöße zu melden. Die Hotline ist in mehreren Sprachen telefonisch oder über eine Online-Plattform erreichbar.

Auch Externe können die Compliance-Hotline nutzen. Die Abschnitte Kontakt sowie Compliance und Ethik auf unserer Website informieren darüber.

Compliance-relevante Fälle mit einem bestimmten Risikoprofil werden dem Compliance Case Committee vorgestellt. Dieses Komitee besteht aus leitenden Angestellten der Abteilungen Compliance, Recht, Datenschutz, Interne Revision und Personal. Unter anderem bewertet und klassifiziert das Komitee bestimmte Compliance-Fälle und ergreift geeignete Maßnahmen zur Klärung der ermittelten Sachverhalte.

In allen Compliance-relevanten Fällen sind wir bestrebt, angemessene Abhilfemaßnahmen basierend auf dem Untersuchungsergebnis und den Empfehlungen von Compliance oder dem Compliance Case Committee zu treffen. Dies beinhaltet unter Umständen auch Disziplinarmaßnahmen gegen Beschäftigte, die einen Compliance-Verstoß begangen haben. Stellen wir bei der Untersuchung tiefer liegende Ursachen fest, die ein Risiko weiterer Compliance-Verstöße darstellen könnten, ergreifen wir zusätzliche Maßnahmen zur Korrektur oder Prävention.

Sowohl die Zahl der neuen Compliance-relevanten Fälle als auch die Zahl der bestätigten Compliance-Verstöße sind im Vergleich zum Vorjahr gestiegen. 2023 wurden über die Compliance-Hotline und andere Kanäle 106 neue Compliance-relevante Fälle gemeldet. In 32 abgeschlossenen Fällen bestätigte sich, dass gegen die Prinzipien des Verhaltenskodex beziehungsweise andere interne oder externe Richtlinien verstoßen worden war.

Compliance-Audits

Die Konzernfunktionen Group Compliance und Group Internal Auditing gewährleisten Compliance auf der zweiten beziehungsweise dritten Verteidigungslinie. Regelmäßig überprüft Group Internal Auditing innerhalb von Audits die weltweiten Funktionen, Prozesse und Gesellschaften. Dabei wird auch bewertet, wie wirkungsvoll die jeweiligen Compliance-Richtlinien, -Prozesse und -Strukturen sind. Zusätzlich ermitteln die Einheiten, ob es Verstöße gegen unseren Verhaltenskodex, den Antikorruptionsstandard, den Konzernstandard zur Geldwäschebekämpfung oder die Richtlinie für das Kartell- und Wettbewerbsrecht gibt.

Ziel unserer Auditplanung ist eine umfassende Risikoabsicherung durch eine bestmögliche Auditabdeckung unserer Prozesse, Märkte und Projekte. Der jährliche Auditplanungsprozess ist risikobasiert. Er bezieht Kennzahlen wie den Umsatz, die Mitarbeiteranzahl, systematisches Feedback relevanter Stakeholdergruppen und den Korruptionswahrungsindex (CPI) der Nichtregierungsorganisation Transparency International mit ein. Für den Fall, dass sich aus der Prüfung Empfehlungen für Verbesserungsmaßnahmen ergeben, verfolgt Group Internal Auditing diese Maßnahmen systematisch und kontrolliert ihre Umsetzung. Im Jahr 2023 führte Group Internal Auditing 80 interne Audits durch, die bestechungs- und korruptionsbezogene Risiken untersuchten (2022: 79). Davon waren 52 betriebliche Audits, 27 IT-Audits und ein spezielles Audit (zur Erfüllung rechtlicher Anforderungen).

Externe Zertifizierung des Compliance Management System

Seit 2022 lassen wir eine externe Überprüfung und Zertifizierung unseres Compliance Management System (CMS)vornehmen. Der Fokus liegt hierbei auf der Bekämpfung von Bestechung, Korruption und Geldwäsche. Ziel ist es, Bereiche mit potenziellem Verbesserungsbedarf auszumachen und zu beurteilen, ob mit den ergriffenen Maßnahmen die Einhaltung von Vorschriften, Richtlinien und Verfahrensweisen gewährleistet ist.

Die CMS-Prüfung begann im November 2022 und wird bis August 2025 drei Phasen durchlaufen. Die ersten beiden Phasen der Vorbewertung und Angemessenheitsprüfung wurden im zweiten Quartal 2023 mit positiven Ergebnissen abgeschlossen. Diese weisen darauf hin, dass die Verfahren und Maßnahmen im Zusammenhang mit unserem CMS zur Steuerung unserer Compliance-Risiken hinreichend geplant und umgesetzt wurden. Mit unserem CMS beabsichtigen wir auch, wesentliche Regelverstöße bereits im Voraus zu erkennen und Verstöße während der Prüfungen zu vermeiden. Die dritte Phase, die Beurteilung der Wirksamkeit, wird bis 2025 schrittweise in den einzelnen Regionen umgesetzt.

Stakeholder-Dialoge

Wir sind unter anderem Mitglied des Verbands der Chemischen Industrie (VCI), des Deutschen Instituts für Compliance (DICO), des Europäischen Pharmaverbands (European Federation of Pharmaceutical Industries and Associations, EFPIA), des Vereins Freiwillige Selbstkontrolle für die Arzneimittelindustrie (FSA), des Internationalen Verbands der pharmazeutischen Industrie (International Federation of Pharmaceutical Manufacturers and Associations, IFPMA), der Alliance for Integrity, des Bundesverbands Materialwirtschaft, Einkauf und Logistik (BME) und der Internationalen Vereinigung der Datenschutzbeauftragten (International Association of Privacy Professionals, IAPP).

Due Diligence
Unter Due Diligence versteht man eine mit besonderer Sorgfalt durchgeführte Risikoanalyse, die zur Vorbereitung eines Geschäftsvorgangs, beispielsweise einer Akquisition, durchgeführt wird.
Pharmakovigilanz
Forschung und Maßnahmen im Zusammenhang mit der Erkennung, Bewertung, dem Verständnis und der Prävention von Nebenwirkungen oder anderen arzneimittelbezogenen Problemen.
Unsere Auswirkungen

Diese Seite teilen: