Revisioni del DOJ sulle compliance policies: l’aggiornamento della “evaluation guidance”

di Claudia Cantisani,  Assegnista di ricerca in Diritto penale

 

 

 

 

1. Introduzione.

Il Dipartimento di giustizia americano (U.S. Department of Justice – DOJ) ha recentemente annunciato una serie di aggiornamenti con riferimento alla compliance d’impresa.

 

 

Le revisioni toccano più documenti, il primo dei quali, che prendiamo in esame in questo focus, è intitolato 2023 Evaluation Guidance: si tratta della raccolta di indicazioni operative sui corporate compliance programs dirette agli organi investigativi per la valutazione dei programmi di compliance aziendali.  A questo si aggiungono il cd. Monitor Memo, vale a dire il Revised Memorandum on Selection of Monitors in Criminal Division Matters, e il cd. Pilot Program sui sistemi di riparazione e money recovery (lett. Criminal Division’s Pilot Program Regarding Compensation Incentives and Clawbacks).

 

 

L’aggiornamento sui compliance programs incorpora parte delle osservazioni contenute nel memorandum del Deputy Attorney General (DAG) Lisa Monaco (cd. Monaco Memo) del 15 settembre 2022 (già oggetto di trattazione in precedenti focus, di cui ai link 1 e link 2) e sembra dedicare particolare attenzione ad alcuni temi-chiave: 1. le strategie di intervento sul piano salariale con funzione deterrente o incentivante (compensation structures); 2. le politiche e procedure di compliance adeguate con riferimento all’uso di dispositivi personali e piattaforme di comunicazione (communication channels).

 

 

Vediamo tuttavia in primo luogo – prima di entrare, cioè, nel dettaglio dei contenuti – le principali funzioni della Guidance.

 

 

 

2. A cosa serve la Guidance?

Quest’ultima edizione della Evaluation Guidance – la cui prima versione, redatta dalla Fraud Section del DOJ, risale al 2017 con successivi aggiornamenti – ripropone una serie di quesiti di orientamento per permettere agli organi investigativi una più compiuta misurazione dell’effettività dei programmi di compliance aziendale.

 

 

Più precisamente, il documento è pensato per fornire indicazioni ai prosecutors che debbano esaminare e valutare i programmi di compliance delle imprese coinvolte in procedimenti penali, con importanti ricadute ai fini dell’eventuale stipula di agreements tra accusa e corporation (ossia i non-prosecution agreements (NPA), i deferred prosecution agreements (DPA) o i plea agreements). La Guidance, infatti, dovrebbe assistere i prosecutors nel formulare decisioni informate sul grado di efficacia del programma al tempo dell’illecito, nonché al tempo dell’imputazione e della decisione definitiva. Ciò all’ulteriore scopo di determinare il contenuto delle decisioni più adeguate al caso.

 

 

La Guidance non è vincolante per le imprese, ma rappresenta un punto di riferimento essenziale per quelle che intendono strutturare, implementare, e sottoporre a verifica i propri programmi di corporate compliance.

 

 

Vi è da dire che – così viene anche precisato nella parte introduttiva della Guidance – poiché i programmi di compliance delle imprese devono essere valutati in relazione allo specifico contesto di riferimento, i criteri ivi elencati sono formulati in termini ampi e generali. I punti prioritari che gli organi investigativi devono tenere in considerazione nel corso delle indagini sono comunque compendiabili in tre quesiti fondamentali, così formulati: 1. Il programma di compliance aziendale è ben progettato?; 2. Il programma è stato applicato seriamente e in buona fede? Il programma è sostenuto da adeguate risorse e implementato per funzionare in modo efficace?; 3.  Il programma è in grado di funzionare e operare in pratica?

 

 

Per ciascun quesito, la Guidance enuclea ulteriori sotto-temi come parametri di orientamento. Di seguito una breve sinossi sulla struttura di ogni quesito.

 

 

 

3. Il primo quesito: “Is the Corporation’s Compliance Program well designed?”

La definizione efficace di un programma di compliance serve a prevenire ed individuare gli illeciti aziendali; pertanto, i profili da sottoporre a verifica riguardano la capacità monitoria del programma e la sua capacità di integrazione nel corredo aziendale. Rientrano in questo primo quesito i temi di seguito elencati, ciascuno peraltro oggetto di breve analisi nella Guidance:

 

• Risk Assessment: esso comprende, in particolare, il processo di individuazione dei rischi (il Risk Management Process), la distribuzione delle risorse per una loro adeguata previsione (cd. Risk Tailored Resource Allocation), la periodica revisione dei contenuti del programma (Updates And Revisions), e i sistemi di tracking con riferimento alle precedenti questioni affrontate dall’ente (Lessons Learned).

 

• Policies And Procedures: qui la verifica tocca la sussistenza di strategie per l’implementazione di una “cultura” di compliance nelle attività quotidiane (day-to-day operations), come, ad esempio, un codice di condotta accessibile e applicabile a tutti i dipendenti dell’impresa. Tra i temi oggetto di verifica, con riferimento a questo secondo punto, la Guidance enumera: il processo di implementazione delle policies (cd. Design), gli sforzi compiuti per implementare strategie di controllo dei rischi (Comprehensiveness), l’accessibilità (Accessibility), la definizione dei soggetti responsabili per l’attuazione delle policies (Responsibility for Operational Integration); guida e training per inserire i gatekeepers nei sistemi di controllo (Gatekeepers).

 

• Training And Communication: questo punto riguarda strategie di comunicazione e di formazione per istruire i dipendenti dell’impresa. Comprende ulteriori parametri come: il cd. Risk Based Training diretto soprattutto ai dipendenti con incarichi di controllo; il Form/Content/Effectiveness Of Training per valutare la qualità delle strategie di (in)formazione; la comunicazione sugli illeciti (Communications About Misconduct); la disponibilità delle linee guida sulla compliance ai dipendenti (Availability Of Guidance).

 

• Confidential Reporting Structure And Investigation Process: si tratta qui del sistema di segnalazioni nel rispetto dell’anonimato e della confidenzialità a tutela del whistleblowing e a prevenzione degli illeciti aziendali. Tra i fattori da considerare: efficacia delle strategie di reporting (cd. Effectiveness Of The Reporting Mechanism); individuazione delle red flags e definizione delle procedure d’indagine (cd. Properly Scoped Investigations By Qualified Personel); sistemi per verificare i risultati delle indagini (Investigation Response); finanziamento dei meccanismi di reporting e di investigazione (Resources And Tracking Of Results).

 

• Third Party Management: concerne la capacità dell’ente di acquisire contezza delle qualifiche e delle relazioni delle terze parti con altri partners commerciali e comprende i seguenti parametri di valutazione: processi di third-party management fondate su un’adeguata valutazione dei rischi (Risk-Based And Integrated Processes); controlli adeguati sulle strategie di business fondate sul ricorso alle third parties (Appropriate Controls); gestione dei rapporti con le terze parti (Management Of Relationships); infine, individuazione concreta delle cd. red flags (Real Actions And Consequences).

 

• Mergers And Acquisitions (M&A): il programma di compliance dovrebbe estendersi anche alle operazioni di fusione e acquisizione societarie, assicurando una tempestiva e adeguata integrazione dell’ente (nuovo) nella realtà aziendale già esistente. Rientrano in questo ambito le verifiche sui processi di due diligence (Due Diligence Process), di integrazione (Integration In The M&A Process), nonché, infine, le verifiche sul legame tra due diligence e programma di compliance (Process Connecting Due Diligence To Implementation).

 

 

 

4. Il secondo quesito: “Is the Corporation’s Compliance Program Adequately Resourced and Empowered to Function effectively?”

Rispetto a questo punto i prosecutors sono tenuti a verificare che il programma non sia rimasto “lettera morta”, bensì incorpori un insieme di strategie per l’attuazione delle quali siano stati devoluti fondi e risorse adeguati, e che siano costantemente sottoposte a verifiche e revisioni. Occorre dunque accertare che l’impresa abbia adottato metodi di valutazione e prevenzione del rischio efficaci, nonché sistemi di controllo, documentazione e reporting interni in grado di rendere noti gli sforzi dell’ente.   Tra le sotto-categorie di temi ricompresi nel secondo quesito troviamo:

 

• Commitment by Senior and Middle Management: la verifica di questo punto concerne il ruolo effettivamente giocato dagli apicali nella comunicazione e nell’implementazione dell’etica aziendale. Esso comprende una serie di valutazioni che tengono conto delle condotte dei vertici (Conduct At The Top), anche in coordinamento con quello dei middle-management stakeholders (cd. Shared Commitment), nonché della loro capacità di valutare le diverse situazioni oggetto di controllo (Oversight).

 

• Autonomy and Resources: i prosecutors sono tenuti a verificare che la funzione di compliance sia fondata su una adeguata disponibilità di risorse economiche e umane, in modo da garantire autonomia agli organi che esercitano funzioni di controllo. Benché tale disponibilità dipenda concretamente dall’ambito di esercizio dell’impresa, nonché dalle sue dimensioni, in ogni caso la verifica degli organi investigativi riguarderà la qualità delle funzioni di audit interne. Tale esame può comprendere i seguenti punti: il luogo in cui si radica, all’interno dell’impresa, la funzione di compliance (Structure); lo spessore delle funzioni di compliance all’interno dell’ente (Seniority And Stature); competenze professionali (Experience And Qualification); risorse umane e materiali (Funding And Resources); grado di accessibilità da parte del personale con funzioni di compliance ai dati aziendali (Data Resources And Access); grado di autonomia delle funzioni di controllo (Autonomy); esternalizzazione delle funzioni di compliance (Outsourced Compliance Functions).

 

• Compensation Structures and Consequence Management: si avverte nella Guidance che un buon programma di compliance dovrebbe essere fondato su strategie di incentivo e deterrenza. I prosecutors sono anzitutto tenuti a verificare che l’ente abbia adottato “clear consequence management procedures”, dirette a individuare, indagare, disciplinare e riparare le violazioni aziendali: per esempio, se siano state pubblicizzate azioni disciplinari interne, oppure se l’ente si sia dotato di un sistema di tracking dei dati relativi alle misure disciplinari precedentemente adottate per misurarne l’efficacia.

 

Il buon design di un programma di compliance passa però soprattutto dalla predisposizione di strumenti premiali (avanzamenti di carriera, aumenti stipendiali, bonus etc.) per far attecchire la cultura d’impresa tra i dipendenti. Più precisamente, una forte spinta alla compliance – e, a contrario, alla prevenzione delle sue violazioni – potrebbe provenire dai “compensation systems” diretti ad incidere sugli aspetti retributivi dei rapporti contrattuali tra ente e soggetti coinvolti in condotte illecite.

 

 

Nel valutare se i cd. Compensation And Consequence Management Schemes siano espressione di una cultura di compliance aziendale positiva, l’esame dei prosecutors dovrebbe estendersi anche ai punti di seguito elencati: funzionamento del processo disciplinare (Human Resources Process); contenuto e applicazione delle misure disciplinari (Disciplinary Measures); imparzialità e coerenza del sistema disciplinare e di incentivi (Consistent Application); sistema di incentivi finanziari (Financial Incentive System); effettività del sistema di compliance attraverso l’esame delle strategie di applicazione e esecuzione delle conseguenze derivanti dalle violazioni (Effectiveness). Quest’ultimo punto è peraltro oggetto del terzo ed ultimo quesito che ora si esamina.

 

 

 

5. Il terzo quesito: “Does the Corporation’s Compliance Program Work in Practice?”

La commissione di un illecito aziendale non indizia di per sé un sistema di compliance difettoso. Per valutare la reale tenuta del programma aziendale i prosecutors dovrebbero considerare il particolare contesto in cui l’illecito si è consumato, quali risorse e strumenti investigativi sono stati impiegati per accertarne le cause e l’intensità degli sforzi compiuti dall’ente per porre rimedio alle conseguenze dannose. In particolare, dovrebbe essere accertato che l’ente abbia davvero svolto un’analisi approfondita delle cause in relazione ai rischi individuati e via via aggiornati dal programma aziendale. Tra i punti compresi nel terzo quesito la Guidance richiama:

 

• Continuous Improvement, Periodic Testing and Review: una delle tracce più vistose di un buon programma di compliance sta nella capacità dell’ente di saper apprendere dai precedenti errori e incentivare il progresso e la sostenibilità attraverso lo sviluppo di un piano di compliance fondato sul costante aggiornamento dei rischi. Il tema abbraccia gli Internal Audits (la loro frequenza, tipologia, funzionamento etc.); il Control Testing relativo alle verifiche effettuate in relazione allo specifico contesto in cui l’illecito si è verificato; capacità di aggiornamento dei piani di rischio (Evolving Updates); e misura della compliance culture.

 

• Investigation and Misconduct: la verifica di questo punto è in buona misura riferita alla capacità dell’ente di documentare le indagini, inclusi gli strumenti disciplinari o rimediali adottati. Essa comprende la valutazione sulla qualità e la tenuta delle indagini (Properly Scoped Investigation By Qualified Personnel); valutazione sulle conseguenze e sull’utilità delle investigazioni (Response To Investigation); indipendenza e empowerment (Independence And Empowerment) a garanzia dell’imparzialità; implementazione di un sistema di comunicazioni efficiente e “risk-related” (Communication Channels); policy su utilizzo dei dati e dei dispositivi (Policy Environment); Risk Management.

 

• Analysis and Remediation to Any Underlying Misconduct: il punto si riferisce alla capacità analitica dell’ente nell’individuare le cause dell’illecito e nel predisporre adeguati strumenti per la loro eliminazione radicale. Esso si fonda sulla considerazione delle misure repressive adottate e degli sforzi compiuti per dimostrare resipiscenza e disponibilità al cambiamento. Di questo tema fanno parte: l’analisi eziologica (Root Cause Analysis); l’individuazione delle inadempienze (Prior Waeknesses); sistemi di finanziamento dell’illecito (Payment System); Vendor Management; indicatori di rischio ignorati (Prior Indications); strumenti per ridurre il rischio (Remediation); misure disciplinari e tempi di esecuzione (Accountability).

 

 

6. I temi più rilevanti della Guidance 2023.

Come prima anticipato, il documento richiama alcuni degli essenziali messaggi contenuti nel Memorandum Monaco – relativi, ad esempio, alla disciplina delle misure disciplinari – e si concentra poi su aspetti “nuovi”, come, in particolare, le strategie di compliance fondate sulle cd. compensation structures, a promozione di una cultura virtuosa interna all’impresa, e quelle relative ai sistemi di comunicazione.

 

 

In effetti, le modifiche più significative contenute nella Guidance 2023 riguardano la sezione intitolata “Compensation Structures and Consequence Management” in cui si sottolinea l’importanza di mantenere una cultura di compliance positiva stabilendo incentivi per la sua concreta attuazione e disincentivi in caso di cd. compliance failures.

 

 

Come già visto, i prosecutors federali devono verificare che il corporate compliance program abbia appropriatamente “identificato, indagato, disciplinato e posto rimedio a violazioni del diritto, di regole o di policy”. Ciò appare possibile quando l’impresa abbia implementato sistemi di comunicazione trasparenti sui procedimenti e sulle azioni disciplinari o sistemi di tracking data sulle azioni disciplinari per controllare l’effettività del programma compliance.

 

 

Il tema delle comunicazioni e della trasparenza rappresenta, del resto, il secondo “hallmark” della Guidance, ripreso dagli orientamenti più recenti emersi dal dibattito statunitense. Ivi si rileva che strategie che regolano l’uso dei sistemi di comunicazione devono essere adattate ai profili di rischio specifici di ogni singolo ente, nonché alle sue esigenze di business e rappresentano uno dei punti cruciali sui quali fondare una politica d’impresa efficace.

 

 

Va tuttavia rammentato – come è stato fatto in alcuni commenti della Guidance – che uno dei problemi della policy sulle comunicazioni riguarda la giurisdizione. L’implementazione delle indicazioni ivi contenute deve infatti passare attraverso gli ostacoli che derivano dall’essere le multinazionali sottoposte a plurime giurisdizioni. Ciò significa che gli enti dovrebbero revisionare le proprie policies sulla privacy e sulla comunicazione per verificare se debbano o possano essere aggiornate in conformità al nuovo documento e, in caso di conflitto, quali rimedi adottare.

 

 

 

7. Conclusioni.

I recenti aggiornamenti ai programmi di compliance segnalano un incremento dell’attenzione per strategie dirette alla loro massima efficacia. Le aziende dovrebbero valutare le proprie politiche e procedure di compliance esistenti per verificare quali modifiche apportare – anche in base alle leggi vigenti – soprattutto con riferimento ai canali di comunicazione e alle piattaforme, nonché alle azioni disciplinari dei dipendenti e alle compensation structures di incentivo alla compliance. Il messaggio lanciato nel recente update va inoltre combinato con gli ultimi programmi governativi statunitensi (si rinvia per un loro richiamo al paragrafo introduttivo), perché solo una lettura onnicomprensiva delle policies attuali è possibile comprendere quali temi debbano davvero considerarsi prioritari nella gestione della compliance d’impresa.