Il recente aggiornamento delle linee guida per l’Evaluation of Corporate Compliance Programs
di Claudia Cantisani, dottoressa di ricerca in diritto penale e docente a contratto presso Università di Pisa
1. Introduzione
La Criminal Division del Dipartimento di Giustizia statunitense (d’ora innanzi DOJ – Department of Justice) ha reso pubblico lo scorso settembre 2024 il recente aggiornamento delle linee-guida destinate ai prosecutors per la valutazione dei programmi di compliance aziendale.
Il documento, intitolato “Evaluation of Corporate Compliance Programs” (ECCP), la cui prima pubblicazione risale al 2017, contiene una serie di indicazioni per assistere i prosecutors nella valutazione dei programmi di compliance delle imprese.
In particolare, le linee-guida agevolano le autorità investigative nel valutare l’effettività del programma di compliance al momento dell’illecito nonché nel momento in cui deve essere deciso se esercitare l’azione penale.
Pur essendo dirette in via prioritaria ai prosecutors, esse rappresentano altresì un valido parametro di riferimento per le imprese, in quanto permette loro di anticipare la valutazione che il DOJ possa fare sui rispettivi programmi di compliance, fermo restando – come viene segnalato nel documento – che tale valutazione è sempre relativa allo specifico contesto investigativo e che non possono essere impiegate rigide formule di giudizio. Piuttosto, si dovrà tenere conto delle specifiche caratteristiche dell’impresa, tra le quali le dimensioni, l’area di business, il contesto normativo e ulteriori fattori legati alle operazioni commerciali interne ed esterne.
A conferma che le linee guida non adottano un metodo “tick the box”, ma ambiscono ad indirizzare i prosecutors verso l’effettiva comprensione del contenuto del compliance program e della sua attuazione, sono individuati in premessa tre interrogativi fondamentali, di carattere appunto generale, che ciascun prosecutor è tenuto a formulare, indipendentemente dalle particolari caratteristiche dell’impresa:
- Il programma di compliance è ben strutturato?;
- Il programma viene applicato tempestivamente e in buona fede? In altre parole, è adeguatamente finanziato e potenziato così da funzionare in modo effettivo?;
- Il programma di compliance funziona in pratica?
La struttura delle linee-guida segue i tre interrogativi ora formulati ed elenca per ciascuno di essi alcuni fattori principali (topics) sui quali dovrebbe basarsi la valutazione delle autorità investigative. I fattori sono elencati a titolo esemplificativo e non devono necessariamente rilevare contemporaneamente.
Per fare un quadro dei contenuti del nuovo testo relativo all’ECCP si seguirà dunque l’ordine dei tre interrogativi appena menzionati. Tuttavia è possibile segnalare trasversalmente che gli elementi ai quali sembra essere dedicata maggiore attenzione sono:
- Rischi associati all’impiego delle nuove tecnologie (come impiego dell’AI nelle operazioni commerciali e nei programmi di compliance);
- Protezione dei Whistleblowers e incentivo alle pratiche di segnalazione interna;
- c. Accesso ai dati e alle risorse per agevolare l’esercizio delle funzioni di compliance;
- Formazione e consolidamento della cultura aziendale sulla base della previa esperienza (o di esperienze derivate da altre imprese);
- Operazioni di cd post-transaction integration relative alle fusioni e alle acquisizioni aziendali.
- Il programma di compliance è ben strutturato?
L’interrogativo è articolato in ulteriori punti, tra i quali si ritrovano la valutazione del rischio, le politiche di formazione e training del personale, nonché i canali di reporting interno e la tutela dei whistleblowers. Ci si concentra per lo più su questi argomenti, lasciando in questa sede da parte le ulteriori tematiche ricomprese in questo primo interrogativo, tra le quali vengono anche menzionate le procedure di fusione e acquisizione aziendali e la gestione dei rapporti con terze parti (rispettivamente Mergers & Acquisition e Third Party Management).
Si tratta del resto di tre materie fra loro strettamente legate, dalle quali dipende l’effettività della compliance in concreto.
- La valutazione del rischio (Risk assessment)
Tra i fattori prioritari che i prosecutors devono osservare vengono richiamati in apertura il business d’impresa e il modo in cui l’ente ha valutato e definito i profili di rischio ad esso relativi. Devono risultare chiari, cioè, i motivi per i quali l’impresa ha adottato un certo programma di compliance e come questo si è sviluppato nel tempo in relazione all’attività economica svolta.
L’effettività del risk assessment aziendale può essere infatti apprezzata in base al modo in cui è stato strutturato il programma di compliance aziendale e dei suoi periodici aggiornamenti, effettuati in base alle “lezioni imparate” (lett. “revisions to corporate compliance programs in light of lessons learned”).
I prosecutors dovrebbero inoltre tenere conto dell’impiego della tecnologia nel business d’impresa, e che siano stati adeguatamente valutati i rischi associati al suo utilizzo.
Il risk assessment comprende: a. il processo di gestione del rischio (risk management process); b. le strategie di allocazione delle risorse in base ai rischi (risk tailored resource allocation); c. aggiornamenti e revisioni (updates and revisions); d. valutazione retrospettiva sull’esperienza acquisita (lessons learned); e. gestione dei rischi emergenti per assicurare conformità alla disciplina applicabile (management of emerging risks to ensure compliance with applicable law).
- Politiche aziendali (Policies and Procedures)
Si fa qui riferimento al modo in cui il programma di compliance impiega le politiche aziendali per dare corpo alle norme etiche dirette al contenimento dei rischi d’impresa.
Per esempio, i prosecutors potrebbero valutare se l’impresa possieda un codice di condotta oppure se al suo interno sia stata effettivamente implementata la cultura della compliance nelle quotidiane attività di esercizio.
I fattori sulla base dei quali valutare le politiche aziendali riguardano la struttura (design), la completezza (comprehensiveness), le modalità di divulgazione e comunicazione (accessibility), responsabilità di chi deve integrare tali politiche (responsibility for operational integration) e l’individuazione dei soggetti addetti al controllo (gatekeepers).
- Formazione e comunicazione (Training and Communication)
L’integrazione delle politiche aziendali e della cultura di compliance passa anche attraverso piani di formazione periodica destinati a tutti i membri dell’organigramma aziendale (direttori, dipendenti, e ove opportuno, agenti e business partners).
Appartiene a queste attività anche la divulgazione di informazioni da parte dell’ente ai dipendenti, ad esempio attraverso guide pratiche o raccolte di casistica per affrontare situazioni dell’ordinario svolgersi dell’attività d’impresa o, ancora, guide per l’orientamento di carattere etico.
Secondo quanto indicato nel documento, i punti essenziali su cui la valutazione dei prosecutors deve vertere sono: la formazione ritagliata sugli scenari di rischio (risk-based training); struttura/contenuto/effettività delle attività di formazione (form/content/effectiveness of training); comunicazione relativa all’illecito (communication about misconduct); accessibilità delle linee-guida (accessibility of guidance).
- Canali di reporting e indagini interne (Confidential Reporting Structure and Investigation Process)
La verifica circa la robustezza dei sistemi di compliance comprende anche i canali di segnalazione messi a disposizione dei dipendenti per inviare notizie degli illeciti, delle violazioni del codice di condotta o delle politiche aziendali in maniera anonima e riservata.
I prosecutors devono verificare che l’impresa abbia implementato misure proattive per la creazione di un ambiente aziendale privo di rischi di ritorsione, anche attraverso iniziative di informazione ai dipendenti, e misure di protezione a tutela dei whistleblowers.
I meccanismi di reporting aziendale, infatti, forniscono la prova – nella lettura fornita dal DOJ – dell’effettività degli strumenti che l’ente ha adottato al suo interno per individuare e prevenire gli illeciti. Tali meccanismi devono includere sistemi affidabili d’investigazione interna, assegnati alle competenze di persone altamente qualificate, e finemente costruiti in relazione allo specifico scopo a cui sono diretti (properly scoped). Devono inoltre essere documentati e assicurare l’indipendenza e l’imparzialità.
Infine, la verifica passa dalle risorse destinate al sostegno di tali sistemi, nonché dalle attività di tracciamento e analisi delle segnalazioni e dalla loro frequenza.
I parametri di riferimento per la specifica valutazione del sistema di segnalazione aziendale sono i seguenti: effettività del sistema di reporting (effectiveness of the reporting mechanism); protezione dei whistleblowers e misure di tutela contro le condotte ritorsive (committment to whistleblower protection and anti-retaliation); orientamento specifico allo scopo delle indagini (properly scoped investigations by qualified personnel); risposta alle indagini (investigation response); risorse e tracciamento dei risultati (resources and tracking of results).
2. Il programma di compliance è adeguatamente finanziato e potenziato in modo da funzionare in modo effettivo?
Il secondo macro-quesito posto a mo’ di guida per le autorità investigative riguarda il livello di concretezza delle procedure di compliance, il grado di effettività della loro implementazione.
A tale fine, i prosecutors devono verificare il metodo adottato dall’ente per valutare e prevenire i rischi attraverso un efficace sistema di controlli (auditing, analisi etc.).
L’oggetto di tale verifica dovrà in particolare riguardare: 1. Impegno degli apicali e del middle management d’impresa (Commitment by Senior and Middle Management); 2. Autonomia e Risorse (Autonomy and Resources); 3. Strutture premiali e gestione delle conseguenze (Compensation Structures and Consequence Management).
- La partecipazione degli apicali e del Middle Management
Il ruolo dei soggetti dotati di potere direttivo si rivela di centrale importanza nella divulgazione e nella trasmissione dei valori etici a sostegno della compliance aziendale.
In particolare, il contributo essenziale del senior management consiste nel dare concreta dimostrazione delle condotte da adottare attraverso esempi (rigorous adherence by example).
Quello del middle management, invece, consiste per lo più in un’opera di rafforzamento di tali modelli e d’incoraggiamento ai dipendenti nel darvi adesione.
I prosecutors condurranno la propria verifica seguendo in particolare i tre binari che di seguito sono indicati, ciascuno dei quali corredato di ulteriori interrogativi, relativi agli specifici aspetti da considerare in relazione alla condotta degli organi direttivi: a. condotta degli apicali (Conduct at the Top); b. impegno condiviso (Shared Commitment); c. Supervisione (Oversight).
- Autonomia e Risorse
Si tratta di valutare il grado di competenze delle persone coinvolte e i mezzi impiegati nel management d’impresa in relazione alle funzioni di compliance.
Tra gli aspetti da valutare con riguardo al personale coinvolto nelle attività di compliance vengono richiamate le qualifiche e la statura professionali dei responsabili della compliance, la presenza di staff adeguato per attività di auditing, di documentazione e di analisi, la sufficiente autonomia dal management: tutti profili da valutare in relazione alle dimensioni, alla struttura e al profilo di rischio di ogni ente nello specifico.
I responsabili della compliance aziendale devono inoltre poter adeguatamente accedere a canali di informazioni e di dati per un monitoraggio tempestivo e accurato ed essere dotati di canali di reporting direttamente collegati con il board d’impresa.
Quest’ultimo tema diventa ancor più significativo quando le funzioni di compliance vengono affidate ad un terzo esterno, secondo un modello esternalizzato.
I punti richiamati sono sinteticamente riferiti a: a. struttura (Structure); b. Seniority (Seniority and Stature); c. esperienza e qualifiche (Experience and Qualifications); d. finanziamento e risorse (Funding and Resources); e. dati, risorse e accesso (Data, Resources and Access); f. adeguata allocazione delle risorse (Proportionate Resource Allocation); g. autonomia (Autonomia); funzioni di compliance esternalizzate (Outsourced Compliance Structures).
- Strutture premiali e gestione delle conseguenze
Si tratta qui di verificare la predisposizione di un sistema di incentivi per la compliance e di disincentivi per la non-compliance, nonché la sussistenza di adeguate procedure di gestione e comunicazione delle conseguenze derivate dagli illeciti aziendali, da implementare all’interno dell’intero organigramma in modo da garantire la proporzione sanzionatoria e dei rimedi.
Una corretta implementazione passa anche dalla pubblicizzazione delle azioni disciplinari interne a scopo di deterrenza e dall’implementazione di strumenti di rilevamento e di analisi delle azioni in corso con l’obiettivo di valutare l’adeguatezza delle misure disciplinari adottate.
Quanto ai sistemi premiali e agli incentivi, che sicuramente appartengono agli strumenti per consolidare una buona cultura d’impresa, sono molteplici gli aspetti che possono diventare oggetto di valutazione: fra questi, ad esempio, la predisposizione di avanzamenti di carriera e premi per apicali e dipendenti.
In sintesi, i fattori da valutare sono così riportati: a. Procedure (disciplinari) relative alle risorse umane (Human Resources Process); b. Misure Disciplinari (Disciplinary Measures); Coerenza applicativa (Consistent Application); Sistema di incentivo finanziario (Financial Incentive System); Effettività (Effectiveness).
3. Il programma di compliance funziona in pratica?
Il terzo quesito funge quasi da sintesi dei primi due, compendiandone i punti essenziali.
Il problema della verifica dell’effettività è il suo carattere intrinsecamente relativo: anzitutto occorre considerare quando e come è stato individuato l’illecito, quali risorse siano state investite per avviare le indagini e quale sia stato lo sforzo dell’ente per provvedere con interventi rimediali. Inoltre, i prosecutors dovrebbero tenere conto della due diligence nella prevenzione e nell’individuazione degli illeciti d’impresa, nonché delle sue capacità di analisi retrospettiva per accertare i fattori eziologici che hanno contribuito alla loro commissione (honest root cause analysis).
Il quesito segue tre direttici. Il primo riguarda il continuo potenziamento, la verifica periodica e la revisione (Continuous Improvement, Periodic Testing, and Review), rifacendosi alla capacità di adattamento e di evoluzione del programma di compliance in relazione al contesto, nonché alla capacità dell’ente di promuovere lo sviluppo e la sostenibilità, soprattutto sulla base della conoscenza acquisita dalle passate esperienze.
Tra le questioni che vengono suggerite per la valutazione delle autorità dipartimentali sono menzionate le attività di Internal Audit, i controlli relativi all’attuazione del programma e agli aggiornamenti (Control Testing, Evolving Updates e Measurement), la cultura di compliance (Culture of Compliance), nonché l’impiego dei dati e la trasparenza (Data and Transparency).
Il secondo punto concerne le indagini sull’illecito (Investigation of Misconduct). In particolare, i prosecutors potranno valutare se le indagini siano ben orientate e condotte da personale qualificato (Properly Scoped Investigation by Qualified Personnel), quale sia la risposta alle investigazioni (Response to Investigations), la loro indipendenza e il potenziamento attraverso premi (Indipendence and Empowerment).
Le investigazioni dovranno inoltre tenere conto dell’impiego dei sistemi di comunicazione adottati dai dipendenti – come le applicazioni di messaggistica sui dispositivi personali e sulle piattaforme – con accertamenti capaci di rivelare il grado di disponibilità di accesso dell’ente ai dati e alle risorse elettroniche.
Appartengono a questo secondo argomento dunque i canali di comunicazione (cd. Communication Channels), il cd. Policy Environment, relativo alle politiche aziendali per la gestione e per l’impiego dei dati, nonché la gestione dei rischi legati alle comunicazioni (Risk Management).
Infine, il terzo punto si concentra su analisi e i rimedi adottati in caso di violazione del compliance program (Analysis and Remediation of any underlying Misconduct). Si tratta di valutare le capacità analitiche dell’ente nella ricostruzione dell’eziologia degli illeciti d’impresa e di individuare lo specifico contesto il cui l’illecito è stato commesso, nonché i rimedi o le azioni disciplinari intraprese a livello aziendale.
I concetti-chiave di quest’ultima valutazione sono la capacità di analisi eziologica (cd. Root-Cause Analysis), l’esame delle debolezze (Prior Weaknesses), delle indicazioni preventive (Prior Indications) e dei rimedi (Remediation), nonché quanto relativo alla contestazione della responsabilità (Accountability).
4. Conclusioni
Il recente aggiornamento dell’ECCP consente di guardare con un estremo grado di dettaglio ai contenuti di ciò che viene considerata una compliance efficace da parte del DOJ.
La struttura delle linee-guida, costruita per quesiti e articolata in una serie di sottotemi è evidentemente concepita per agevolare al massimo grado l’attività delle autorità investigative e, d’altra parte, le imprese, favorendo un approccio analitico e critico alla valutazione dei programmi di compliance.
Un simile impianto rappresenta un modello per tutte le imprese – non soltanto, dunque, per quelle operanti negli Stati Uniti – incluse quelle domestiche che ambiscono ad avere un programma di compliance efficace.
Esistono temi, in effetti, che nel nostro sistema risultano meno approfonditi e rispetto ai quali le linee-guida possono rappresentare per questo un punto di riferimento significativo, come, per esempio, le investigazioni interne e la gestione dei sistemi di AI.