Skip to main content

Guidance from Attachment C: Recent Resolutions Include DOJ Updates to the Requirements for an Effective Compliance Program

International Alert

English Version | Versión en Español | Versão Portuguesa

Continuing with recent policy updates (and with more analysis to come on today's M&A policy announcement), the U.S. Department of Justice (DOJ) has revised its detailed requirements for effective corporate compliance programs found in "Attachment C"1 to better reflect its policy guidance and incorporate lessons learned from recent cases and monitorships. These edits focus on management commitment, training, third party management, remediating misconduct, monitoring and testing, compensation structures, and consequence management

Attachment C requirements present a clear guide to DOJ thinking on critical compliance program elements. They have become standardized over the years, and when DOJ revises or alters them, it is a noteworthy development for compliance professionals as well as practitioners. Companies defending their programs before DOJ will need to be prepared to address these new program criteria. 

DOJ has long recognized the crucial significance of management's commitment to compliance, but, in the past, Attachment C has focused "High Level Commitment" on support by directors and senior managers. In the recent resolutions, DOJ has expanded the focus of this requirement, renamed "Commitment to Compliance," to ensure "that mid-level management . . . reinforce leadership's commitment to compliance policies and principles." DOJ has also sought to clarify "tone and conduct" to mean demonstrating support for compliance through "actions and words" that "create and foster a culture of ethics and compliance" in their "day-to-day operations at all levels of the company." Taken together, these new edits make clear the expectation that the concept of "high-level commitment" found in prior guidance must translate into the governance and business processes of the organization, which requires more a granular, visible effort than occasional communications from the C-suite. When presenting a program before DOJ, companies should be able to provide evidence of meaningful engagement in the compliance effort, reflected in actions as well as words, across all levels of management. In short, the business must own compliance.

The Attachment C training and guidance requirements have been updated to promote effectiveness in practice, a theme that DOJ has increasingly emphasized in its policy pronouncements since at least 2020. Among other changes, Attachment C now requires that the mechanisms designed to ensure that policies, including the Code of Conduct, are effectively communicated include "metrics for measuring knowledge retention and effectiveness" of training. In the same vein, training must be "tailored to the audience's size, sophistication, or subject matter expertise." Lastly, DOJ wants companies to "discuss prior compliance incidents" in training, where appropriate. All these revisions appear to be aimed at enhancing the practical utility of training, by making it more targeted, measurable, and impactful.

The most extensive revisions to Attachment C are reflected in the always-important area of third party management. Recent resolutions include a new paragraph that, among other requirements, imposes explicit obligations that companies understand and document the reasons for using a third party in a transaction (documenting business justification is a fundamental step too often overlooked in due diligence), and likewise ensure that contract terms with those third parties "specifically describe the services to be performed." Companies must have an effective way to confirm "that the third party is actually performing the described work" and is receiving compensation "commensurate with the work being provided," including relative to the "industry and geographical region." Just as importantly, the revisions to Attachment C show that DOJ expects companies to monitor their third party relationships on an ongoing basis through "updated due diligence, training, audits, and/or annual compliance certifications," a key feature that DOJ has underscored in other recent guidance as well.

Another entirely new provision in the recent resolutions' Attachment C addresses remediation of misconduct. This change tracks DOJ's rubric for evaluating compliance programs, which includes the question of whether the program is working effectively in practice. Following the Criminal Division's March 2023 Evaluation of Corporate Compliance Programs (ECCP), Attachment C now requires that companies subject to FCPA resolutions "conduct a root cause analysis of misconduct, including prior misconduct, to identify any systemic issues and/or any control failures." This root cause analysis must be accompanied by "timely and appropriate" remediation, and – in what is likely part of DOJ's effort to reduce siloing of information – the identified root causes of misconduct, and actions to address them, are to be "shared with management as appropriate."

The new Attachment C also includes two short but significant additions relevant to a company's ability to perform effective data monitoring and testing, an area of increased DOJ focus in recent years. First, in the section regarding Mergers and Acquisitions, DOJ added that companies should "where warranted, establish a plan to integrate the acquired businesses or entities into the Company's enterprise resource planning [ERP] systems as quickly as practicable." This addition reflects learnings from a collection of enforcement actions, spanning several years, brought against companies that had grown largely by acquisition, but had not effectively integrated ERP systems. Complex ERP environments present obstacles to clear sight lines into data needed to inform effective monitoring of transactions. Relatedly, in the Monitoring and Testing section, DOJ added that companies should "ensure that compliance and control personnel have sufficient direct or indirect access to relevant sources of data to allow for timely and effective monitoring and/or testing of transactions." This requirement will serve to drive cross-functional coordination, since functions other than Compliance own the data that companies are now expected to monitor to identify issues and to ensure program effectiveness.

Lastly, the DOJ has revised its requirements related to incentives and compensation, in line with policies first introduced in a memo issued last year by Deputy Attorney General Lisa Monaco and subsequently reflected in changes to the ECCP. Consistent with DOJ's publicly articulated position, Attachment C now specifies that compensation structures and consequence management incentivize behavior that complies with company policy against violations of anti-corruption laws. These efforts shall include implementing criteria related to compliance and discipline "in the Company's compensation and bonus system." These revisions reinforce DOJ's policy focus on compensation and clawbacks to incentivize compliance and disincentivize noncompliance. 

Companies should benchmark their policies and practices against these revisions to Attachment C. With post-resolution self-reporting now the norm in FCPA (and other) corporate criminal resolutions, companies are well advised to incorporate these mandates from DOJ into the realities of their business operations and existing compliance program and internal controls.

For more information, please contact:

Kathryn Cameron Atkinson,, 202-626-5957

Joshua Drew,, 202-626-5811

Matteson Ellis,, 202-626-1477

James G. Tillen,, 202-626-6068

This alert was republished by the New York University School of Law Program on Corporate Compliance and Enforcement.


1Attachment C to the typical FCPA corporate resolution is where DOJ specifies the defendant company's obligations to establish and maintain an effective corporate compliance program. 

Orientaciones del Attachment C: Resoluciones Recientes Incluyen Actualizaciones del Departamento de Justicia sobre los Requisitos para un Programa de Cumplimiento Efectivo

English Version | Versión en Español | Versão Portuguesa

Continuando con las recientes actualizaciones de políticas, el DOJ ha revisado sus detallados requisitos para programas efectivos de compliance corporativo que se encuentran en el "Attachment C"a para reflejar de mejor manera la orientación de sus políticas e incorporar las lecciones aprendidas de los recientes casos y monitoreos. Estos ajustes se centran en el compromiso de gerencia, capacitaciones, la gestión de terceros, la remediación de la falta de conducta, monitoreo y pruebas, las estructuras de compensación, y la gestión de las consecuencias

Los requisitos del Attachment C constituyen una clara guía sobre lo que piensa el DOJ sobre los elementos fundamentales del programa de compliance. Con el paso de los años se han normalizado y, cuando el DOJ los revisa o los modifica, es un acontecimiento notable para los profesionales del compliance y los que ejercen la práctica. Las empresas que defienden sus programas ante el DOJ tendrán que estar preparadas para abordar estos nuevos criterios del programa.

El DOJ ha reconocido desde hace mucho tiempo la importancia crucial del compromiso de la gerencia con el compliance, pero en el pasado el Attachment C se ha centrado en el "High Level Commitment" en el apoyo de los directores y la alta gerencia. En las resoluciones recientes, el DOJ ha ampliado el alcance de este requisito, que ha pasado a denominarse "Compromiso con el Cumplimiento", para asegurar "que la gerencia de nivel medio ... refuerce el compromiso de los líderes con las políticas y principios de cumplimiento". El DOJ también ha tratado de aclarar el "tono y la conducta" para demostrar su apoyo al compliance mediante "acciones y palabras" que "creen y fomenten una cultura de ética y cumplimiento" en sus "operaciones cotidianas en todos los niveles de la empresa". En conjunto, estas nuevas actualizaciones dejan en claro la expectativa de que el concepto de "compromiso de alto nivel" que figura en guías anteriores debe traducirse en la gobernanza y los procesos institucionales de la organización, lo que requiere un esfuerzo más granular y visible que comunicaciones ocasionales de la C-suite. Al presentar un programa ante el DOJ, las empresas deberían poder aportar pruebas de una participación significativa en la labor de cumplimiento, reflejada en acciones y palabras, en todos los niveles de la gerencia. En resumen, la empresa debe adueñarse del cumplimiento.

Los requisitos de capacitación y orientación del Attachment C se han actualizado para promover la efectividad en la práctica, tema que el DOJ ha destacado cada vez más en sus declaraciones sobre políticas desde por lo menos 2020. Entre otros cambios, el Attachment C exige ahora que los mecanismos concebidos para asegurar que las políticas, incluido el Código de Conducta, se comuniquen efectivamente incluyan "parámetros para medir la retención de conocimientos y la efectividad" de la capacitación. En la misma línea, la capacitación debe "adaptarse al tamaño, la sofisticación o la experiencia de la audiencia en la materia". Por último, el DOJ quiere que las empresas "examinen los incidentes de cumplimiento anteriores" en la capacitación, cuando proceda. Todas estas revisiones parecen apuntar a mejorar la utilidad práctica de la capacitación, haciéndola más específica, mensurable e impactante.

Las revisiones más amplias del Attachment C se reflejan en la siempre importante área de la gestión de terceros. Las resoluciones recientes incluyen un nuevo párrafo que, entre otros requisitos, impone obligaciones explícitas de que las empresas entiendan y documenten las razones para utilizar a un tercero en una transacción (documentar la justificación comercial es un paso fundamental que con demasiada frecuencia se pasa por alto en la debida diligencia), y de igual manera garantizar que los términos del contrato con esos terceros "describan específicamente los servicios a realizar". Las empresas deben tener una manera efectiva de confirmar "que el tercero está realizando realmente el trabajo descrito" y está recibiendo una compensación "proporcional al trabajo que se está proporcionando", incluso en relación con la "industria y región geográfica". Igualmente importante, las revisiones al Attachment C muestran que el DOJ espera que las compañías monitoreen sus relaciones con terceros de manera continua a través de "debidas diligencias actualizadas, capacitación, auditorías y/o certificaciones anuales de cumplimiento", una característica clave que el DOJ ha subrayado en otras guías recientes también.

Otra disposición totalmente nueva del Attachment C en las resoluciones recientes se refiere a la remediación de las faltas de conducta. Este cambio hace un seguimiento de la rúbrica del DOJ para evaluar los programas de cumplimiento, que incluye la cuestión de si el programa está funcionando efectivamente en la práctica. Luego de la Evaluación de Programas de Cumplimiento Corporativo (ECCP) de marzo de 2023 de la División Penal, el Attachment C ahora exige que las empresas sujetas a las resoluciones de la FCPA "realicen un análisis de la causa raíz ("root cause") de la falta de conducta, incluida la mala conducta previa, para identificar cualquier problema sistémico y/o cualquier falla de control". Este análisis de las causas raíz debe ir acompañado de medidas correctivas "oportunas y apropiadas" y -en lo que probablemente sea parte de los esfuerzos del DOJ para reducir el aislamiento de la información- las causas raíz identificadas de la mala conducta, y las medidas para abordarlas, deben "compartirse con la gerencia según corresponda".

El nuevo Attachment C también incluye dos adiciones breves pero significativas que son relevantes para la capacidad de una empresa de realizar monitoreos y pruebas de datos efectivas, un área de mayor enfoque del DOJ en los últimos años. En primer lugar, en la sección relativa a las Fusiones y Adquisiciones, el DOJ añadió que las empresas deberían "establecer, cuando se justificara, un plan para integrar las empresas o entidades adquiridas en los sistemas de planificación de los recursos empresariales [ERP] de la empresa lo antes posible". Esta adición refleja las enseñanzas extraídas de una serie de medidas coercitivas adoptadas durante varios años contra empresas que habían crecido en gran medida gracias a adquisiciones, pero que no habían integrado eficazmente en los sistemas ERP. Los entornos complejos de ERP presentan obstáculos para delimitar claramente los datos necesarios para la supervisión eficaz de las transacciones. En relación a esto, en la sección de Monitoreo y Pruebas, el DOJ agregó que las compañías deberían "asegurar que el personal de cumplimiento y control tenga suficiente acceso directo o indirecto a las fuentes relevantes de datos para permitir un monitoreo y/o pruebas oportunas y efectivas de las transacciones". Este requisito servirá para impulsar la coordinación entre funciones, ya que otras funciones distintas a la de cumplimiento son propietarias de los datos que se espera que las empresas supervisen para detectar problemas y garantizar la efectividad de los programas.

Por último, el DOJ ha revisado sus requisitos relativos a los incentivos y las compensaciones, en consonancia con las políticas introducidas por primera vez en un memorando publicado el año pasado por la Fiscal General Adjunta Lisa Monaco y reflejadas posteriormente en cambios al ECCP. En consonancia con la posición expresada públicamente por el DOJ, el Attachment C especifica ahora que las estructuras de compensación y la gestión de las consecuencias incentivan un comportamiento que se ajusta a la política de la empresa contra las violaciones de las leyes anticorrupción. Estos esfuerzos deberán incluir la implementación de criterios relacionados con el cumplimiento y la disciplina "en el sistema de compensación y bonificación de la Compañía". Estas revisiones refuerzan el foco de la política del DOJ en la compensación y las devoluciones de dinero para incentivar el cumplimiento y desincentivar el incumplimiento. 

Las empresas deben comparar sus políticas y prácticas con las revisiones del Attachment C. Con la autodenuncia posterior a la resolución ahora la norma en la FCPA (y otras) resoluciones criminales corporativas, las empresas son bien aconsejadas de incorporar estos mandatos del DOJ a las realidades de sus operaciones comerciales y el programa de cumplimiento existente y los controles internos.

Para mas informacion contacte:

Kathryn Cameron Atkinson,, 202-626-5957

Joshua Drew,, 202-626-5811

Matteson Ellis,, 202-626-1477

James G. Tillen,, 202-626-6068

Esta alerta fue publicada nuevamente por el Programa de Cumplimiento Corporativo de la Facultad de Derecho de la Universidad de Nueva York.


aEl Attachment C de la resolución corporativa típica de la FCPA es donde el DOJ especifica las obligaciones de la compañía demandada de establecer y mantener un programa efectivo de cumplimiento corporativo. 

Orientação do Attachment C: As recentes resoluções incluem atualizações do DOJ para os requisitos de um programa de compliance eficaz

English Version | Versión en Español | Versão Portuguesa

Continuando com as recentes atualizações de políticas, o DOJ revisou seus requisitos detalhados para programas de compliance corporativa eficazes encontrados no "Attachment C"a fim de refletir melhor sua orientação política e incorporar as lições aprendidas com casos e monitoramentos recentes. Essas edições se concentram no compromisso de gerenciamento, treinamento, gerenciamento de terceiros, correção de má conduta, monitoramento e testes, estruturas de compensação e gerenciamento de consequências

Os requisitos do Attachment C constituem um guia claro para a reflexão do DOJ sobre os elementos críticos do programa de compliance. Eles se tornaram padronizados ao longo dos anos e, quando o DOJ os revisa ou altera, é um desenvolvimento notável para profissionais de compliance, assim como praticantes. As empresas que defendem os seus programas perante o DOJ terão de estar preparadas para cumprir estes novos critérios do programa. 

O DOJ há muito tempo reconhece a importância crucial do compromisso da gerência com compliance, mas, no passado, o Attachment C focou em "Compromisso de Alto Nível" no apoio por parte dos diretores e gerentes sêniores. Nas últimas resoluções, o DOJ ampliou o foco desse requisito, renomeado como "Compromisso com compliance", para garantir "que o gerenciamento de nível médio. . . reforça o compromisso da liderança com as políticas e os princípios de compliance." O DOJ também procurou esclarecer "tom e conduta" para significar demonstrar apoio à compliance através de "ações e palavras" que "criam e promovem uma cultura de ética e compliance" em suas "operações diárias em todos os níveis da empresa". Juntas, essas novas edições deixam clara a expectativa de que o conceito de "compromisso de alto nível" encontrado na orientação anterior deve se traduzir nos processos de negócios e governança da organização, o que requer mais um esforço granular e visível do que as comunicações ocasionais do C-suite. Ao apresentar um programa ao DOJ, as empresas devem poder fornecer provas de um envolvimento significativo no esforço de compliance, refletido em ações e palavras, em todos os níveis de gestão. Em resumo, o lado commercial da empresa deve ser proprietário do compliance.

Os requisitos de formação e orientação do Attachment C foram atualizados para promover a eficácia na prática, um tema que o DOJ tem vindo a sublinhar cada vez mais nas suas declarações políticas desde, pelo menos, 2020. Entre outras mudanças, o Attachment C agora exige que os mecanismos projetados para garantir que as políticas, incluindo o Código de Conduta, sejam efetivamente comunicadas incluam "métricas para medir a retenção de conhecimento e a eficácia" do treinamento. Na mesma linha, o treinamento deve ser "feito sob medida para o tamanho, a sofisticação ou o conhecimento especializado do público". Por último, o DOJ quer que as empresas "discutam situações de incumprimento" em treinamento, quando apropriado. Todas estas revisões parecem destinar-se a melhorar a utilidade prática da formação, tornando-a mais direcionada, mensurável e impactante.

As revisões mais extensas do Attachment C refletem-se na sempre importante área da gestão de terceiros. Resoluções recentes incluem um novo parágrafo que, entre outros requisitos, impõe obrigações explícitas que as empresas compreendem e documentam os motivos para usar um terceiro em uma transação (documentar a justificativa de negócios é uma etapa fundamental que é muitas vezes negligenciada na due diligence), e também assegura que os termos do contrato com esses terceiros "descrevem especificamente os serviços a serem executados". As empresas devem ter uma maneira eficaz de confirmar "que o terceiro está realmente realizando o trabalho descrito" e está recebendo uma compensação "proporcional ao trabalho que está sendo fornecido", inclusive em relação à "indústria e região geográfica". Igualmente importante é o fato das revisões do Attachment C mostrarem que o DOJ espera que as empresas monitorizem as suas relações com terceiros de forma contínua através de "diligências adequadas atualizadas, formação, auditorias e/ou certificações de compliance anuais", uma característica fundamental que o DOJ também sublinhou em outras orientações recentes.

Outra disposição inteiramente nova do Attachment C das recentes resoluções aborda reparação de faltas cometidas. Esta alteração acompanha a rubrica do DOJ para avaliar os programas de compliance, que inclui a questão de saber se o programa está a funcionar eficazmente na prática. Após a Avaliação de Programas de Conformidade Corporativa (ECCP) de março de 2023 da Divisão Criminal, o Attachment C agora exige que as empresas sujeitas às resoluções da FCPA "realizem uma análise de causas básicas de má conduta, incluindo atos ilícitos anteriores, para identificar quaisquer problemas sistêmicos e/ou falhas de controle". Essa análise de causa básica deve ser acompanhada por uma correção "oportuna e apropriada" e - no que provavelmente faz parte do esforço do DOJ para reduzir o armazenamento de informações - as causas básicas identificadas de má conduta e as ações para solucioná-las devem ser "compartilhadas com a gerência conforme apropriado".

O novo Attachment C também inclui duas adições curtas, mas significativas, relevantes para a capacidade de uma empresa realizar monitoramento e testes de dados eficazes, uma área de maior foco no DOJ nos últimos anos. Em primeiro lugar, na seção relativa às fusões e aquisições, o DOJ acrescentou que as empresas devem "sempre que tal se justifique, estabelecer um plano para integrar as empresas ou entidades adquiridas nos sistemas de planeamento dos recursos empresariais da empresa (ERP) o mais rapidamente possível". Este acréscimo reflete os ensinamentos retirados de um conjunto de ações coercivas, ao longo de vários anos, intentadas contra empresas que tinham crescido em grande parte devido à aquisição, mas não tinham efetivamente integrado sistemas de ERP. Ambientes de ERP complexos apresentam obstáculos  à linhas claras de visão nos dados necessários para informar o monitoramento eficaz das transações. Mais especificamente, na seção Monitorização e testes, o DOJ acrescentou que as empresas devem "garantir que o pessoal responsável pela compliance e pelo controlo tem acesso direto ou indireto suficiente às fontes de dados pertinentes, a fim de permitir o acompanhamento e/ou o teste atempado e eficaz das transações". Esse requisito servirá para orientar a coordenação interfuncional, já que outras funções além de Compliance são proprietárias dos dados que as empresas agora devem monitorar para identificar problemas e garantir a eficácia do programa.

Por último, o DOJ reviu os seus requisitos relativos aos incentivos e compensações, em conformidade com as políticas introduzidas pela primeira vez num memorando emitido no ano passado pela procuradora-geral adjunta Lisa Monaco e posteriormente refletido em alterações ao ECCP. Em consonância com a posição publicamente articulada do DOJ, o Attachment C especifica agora que as estruturas de compensação e a gestão das consequências incentivam o comportamento que cumpre a política da empresa contra as violações das leis anticorrupção. Esses esforços devem incluir critérios de implementação relacionados à compliance e disciplina "no sistema de remuneração e bônus da Empresa". Estas revisões reforçam o foco da política do DOJ em compensação e clawbacks, ou restituições, para incentivar a compliance e desincentivar a não compliance

As empresas devem comparar as suas políticas e práticas com estas revisões do Attachment C. Com a emissão de relatórios automáticos pós-resolução agora sendo a norma nas resoluções de crimes corporativos do FCPA (e outras), as empresas são bem aconselhadas a incorporar esses mandatos do DOJ às realidades das suas operações de negócios e aos programas de compliance e controles internos existentes.

Para mais informações entre em contato:

Kathryn Cameron Atkinson,, 202-626-5957

Joshua Drew,, 202-626-5811

Matteson Ellis,, 202-626-1477

James G. Tillen,, 202-626-6068

Este alerta foi republicado pelo Programa de Conformidade e Execução Corporativa da Escola de Direito da Universidade de Nova York


*O Attachment C da resolução corporativa típica da FCPA é onde o DOJ especifica as obrigações da empresa recorrida de estabelecer e manter um programa de compliance corporativa eficaz.

The information contained in this communication is not intended as legal advice or as an opinion on specific facts. This information is not intended to create, and receipt of it does not constitute, a lawyer-client relationship. For more information, please contact one of the senders or your existing Miller & Chevalier lawyer contact. The invitation to contact the firm and its lawyers is not to be construed as a solicitation for legal work. Any new lawyer-client relationship will be confirmed in writing.

This, and related communications, are protected by copyright laws and treaties. You may make a single copy for personal use. You may make copies for others, but not for commercial purposes. If you give a copy to anyone else, it must be in its original, unmodified form, and must include all attributions of authorship, copyright notices, and republication notices. Except as described above, it is unlawful to copy, republish, redistribute, and/or alter this presentation without prior written consent of the copyright holder.