Milano, 20 novembre 2014 Guida ai programmi di Compliance anti-corruzione per le imprese italiane

Transcript

1 Milano, 20 novembre 2014 Guida ai programmi di Compliance anti-corruzione per le imprese italiane Proposta dell Osservatorio sull Eccellenza dei Sistemi di Governo in Italia

2 SOMMARIO 1 INTRODUZIONE: L IMPORTANZA DEI PROGRAMMI DI COMPLIANCE ANTI-CORRUZIONE I RISCHI DI RESPONSABILITÀ E SANZIONI PER LE SOCIETÀ IN CASO DI REATI DI CORRUZIONE COMMESSI DA PROPRI ESPONENTI SCOPO E BENEFICI DI UN PROGRAMMA SOCIETARIO DI COMPLIANCE ANTICORRUZIONE IL PROGRAMMA SOCIETARIO DI COMPLIANCE ANTICORRUZIONE E IL DECRETO CRITERI PER REALIZZARE ED ATTUARE IN MODO EFFICACE UN PROGRAMMA DI COMPLIANCE ANTICORRUZIONE LE LINEE GUIDA E BEST PRACTICE DI RIFERIMENTO I DIECI CRITERI FONDAMENTALI IMPEGNO DEI VERTICI SOCIETARI CONTRO LA CORRUZIONE («TOP-LEVEL COMMITMENT») PRINCIPI ETICI, PROCEDURE E CONTROLLI CHE PROIBISCANO E PREVENGANO LA CORRUZIONE ATTIVITÀ DI «RISK ASSESSMENT» E DI PERIODICO AGGIORNAMENTO PROGRAMMA DI COMPLIANCE ANTI-CORRUZIONE AFFIDAMENTO A UN SENIOR MANAGER DELLA RESPONSABILITÀ. DEL PROGRAMMA ANTI-CORRUZIONE «DUE DILIGENCE» E MISURE ANTI-CORRUZIONE NEI CONFRONTI DEI «BUSINESS PARTNER» (AGENTI, INTERMEDIARI, CONSULENTI,. CONSORZI, JOINT-VENTURE, ECC.) PROCEDURE E CONTROLLI CONTABILI FORMAZIONE DEL PERSONALE E ASSISTENZA SULLA CORRETTA... APPLICAZIONE DEL PROGRAMMA DI COMPLIANCE ANTI- CORRUZIONE MISURE DISCIPLINARI E INCENTIVI ULTERIORI MISURE PER L «EFFICACIA» ED «EFFETTIVITÀ» DEL... PROGRAMMA DI COMPLIANCE ANTI-CORRUZIONE MONITORAGGIO E ADEGUAMENTO DEL PROGRAMMA DI COMPLIANCE ANTI-CORRUZIONE CONCLUSIONI

3 1. INTRODUZIONE: L IMPORTANZA DEI PROGRAMMI DI COMPLIANCE ANTICORRUZIONE 1.1. I RISCHI DI RESPONSABILITÀ E SANZIONI PER LE SOCIETÀ IN CASO DI REATI DI CORRUZIONE COMMESSI DA PROPRI ESPONENTI Corruzione è l offerta, la promessa o la dazione di un beneficio finanziario o di altra natura da un soggetto a un altro, con cui il primo mira a trarre un vantaggio inducendo il secondo a favorirlo indebitamente. La corruzione è considerata un bad business nel mondo economico, in quanto altera il mercato inducendolo a operare scelte non in termini di competizione tra prezzi e qualità, ma di fattori che lo privano di efficienza e ne impediscono il corretto sviluppo. La corruzione opera inoltre come una hidden and illegal tax che allontana gli investitori, aumenta i costi per le società e, attraverso la catena commerciale, per i loro clienti. Gli ordinamenti giuridici considerano la corruzione un reato, la perseguono e la puniscono, nelle varie forme interne o internazionali in cui essa si manifesta, con sanzioni che sono diventate progressivamente più severe e incisive. In Italia sono previste tre ipotesi di reati di corruzione: corruzione interna di pubblici ufficiali (artt c.p.); corruzione internazionale di pubblici ufficiali stranieri (art. 322 bis c.p.); corruzione tra privati (art c.c.). Con l introduzione del D.Lgs. 8 giugno 2001, n. 231, come successivamente modificato e integrato (il Decreto 231 ), nell ordinamento italiano è stata introdotta un importante innovazione: la commissione di una determinata serie di reati (i c.d. reati presupposto ) comporta non solo la responsabilità penale dell autore del reato, ma anche la responsabilità della società nel cui interesse e vantaggio l autore abbia commesso il reato. I reati di corruzione rientrano tra i suddetti reati presupposto e, pertanto, possono dare luogo a responsabilità della società ai sensi del Decreto 231. In linea generale, la responsabilità prevista dal Decreto 231 può determinare a carico della società: sanzioni amministrative pecuniarie (artt ); confisca del profitto frutto del reato (art. 19); sanzioni interdittive (art. 13), tra cui la interdizione fino a due anni dall esercizio dell attività nel cui ambito è stato commesso l illecito, oppure la nomina di un commissario giudiziale che si sostituisca agli amministratori nella prosecuzione dell attività della società (art. 15). La confisca del profitto e le sanzioni interdittive possono essere applicate alla società anche in via cautelare, durante il procedimento di accertamento della responsabilità (si vedano, rispettivamente, gli artt e l art. 53 del Decreto 231). Sanzioni come la confisca del profitto e le sanzioni interdittive possono avere effetti devastanti su una società, soprattutto perché normalmente si combinano con i danni reputazionali e i costi che derivano dal coinvolgimento della società in un procedimento penale per corruzione. Responsabilità e sanzioni analoghe sono peraltro previste anche dagli ordinamenti di gran parte dei Paesi della comunità internazionale. Ne consegue che una società italiana operante anche in tali Paesi corre il rischio di essere esposta a pesanti responsabilità e sanzioni non solo in Italia, ma anche all estero, in caso di condotte corruttive transnazionali commesse da propri esponenti SCOPO E BENEFICI DI UN PROGRAMMA SOCIETARIO DI COMPLIANCE ANTI-CORRUZIONE In una realtà internazionale di attività economiche e di scambi commerciali sempre più integrati, la corruzione non può essere combattuta con azioni isolate. L impegno dei governi e dei giudici dei singoli Paesi della comunità internazionale deve essere integrato e coordinato; a tale scopo sono state stipulate numerose convenzioni internazionali per combattere la corruzione. Ma ciò non basta. 5

4 All impegno pubblico si è associato l impegno di numerosi operatori della comunità economica internazionale che, anche attraverso organizzazioni non-governative attivamente impegnate nella lotta alla corruzione, sollecitano l impegno delle società all adozione di strumenti idonei ed efficaci alla conduzione di questa lotta, considerandola come una componente necessaria per il successo del loro business. Consapevole dell importanza di un serio impegno contro la corruzione, ogni società deve quindi dotarsi di uno strumento che, attraverso l introduzione di efficienti modelli organizzativi, procedure operative e relativi controlli, nonché attraverso una loro efficace implementazione, le consenta di prevenire condotte corruttive all interno delle sue attività, di combattere rapidamente la loro comparsa ove queste dovessero manifestarsi e di limitare le conseguenze negative cui, diversamente, tali condotte la esporrebbero. Tale strumento è rappresentato dai c.d. programmi di compliance anti-corruzione. I benefici di questi programmi sono notevoli e non si limitano al vantaggio - del resto fondamentale - di evitare o comunque mitigare la responsabilità legale della società per eventuali reati commessi da suoi esponenti. I benefici dei programmi di compliance anti-corruzione possono sostanziarsi in termini di: 1. Corporate responsibility Oggi le società sono valutate ed apprezzate non solo in funzione dei loro risultati economici e commerciali, ma anche in funzione di altri valori che esse concorrono ad affermare e a diffondere nella collettività. L affermazione e la diffusione dei principi etici alla base di un programma di compliance anti-corruzione garantiscono alla società apprezzamento e tutela della sua reputazione, nell interesse del suo business, dei suoi amministratori, dirigenti e dipendenti, ma anche dei suoi azionisti, finanziatori e clienti. 2. Cultura aziendale L adozione di un programma di compliance anti-corruzione favorisce l instaurazione, all interno dell organizzazione e delle dinamiche operative della società, di una cultura aziendale ispirata al comportamento etico e all integrità. Gli effetti di ciò non si limitano a un efficace lotta alla corruzione, ma influiscono positivamente sull immagine e sul ruolo-guida del top-management, sui comportamenti dei dipendenti e sulla correttezza dei rapporti intercorrenti tra le varie componenti aziendali. In questo modo l adesione ai valori etici verrà percepita come uno strumento atto a raggiungere efficacemente gli obiettivi del business della società e non, invece, come un ostacolo che può solo limitarne l affermazione. 3. Efficienza operativa L elaborazione e l adozione di un programma di compliance anti-corruzione è occasione per identificare e introdurre adeguati meccanismi di funzionamento dei processi aziendali ispirati, oltre che al rispetto delle norme, anche a principi di onestà, trasparenza, integrità, fair competition, professionalità e protezione degli interessi aziendali. All esito di tale processo, la società potrà beneficiare dell efficienza operativa derivante dalla condotta del business ispirata a questi valori. 4. No disruption Se la società ha un programma di compliance anti corruzione che funziona, difficilmente sarà sottoposta a indagini per reati di corruzione. Questo beneficio non è trascurabile, in quanto le indagini comportano una serie di conseguenze negative, tra cui: (a) spese per l assistenza di legali e consulenti; (b) costi causati da internal distraction di dipendenti e strutture dal reale business della società; e, soprattutto, (c) pregiudizione alla reputazione, con conseguenti effetti economici negativi nei rapporti con business partner, clienti e pubbliche amministrazioni. 5. Legal compliance Ulteriore, ma non trascurabile, beneficio derivante dall adozione di un programma di compliance anti-corruzione consiste nel fatto che esso costituisce lo strumento per attuare all interno della società idonee misure organizzative di prevenzione dei reati di corruzione (v. 1.3). In proposito, va ricordato che l adozione di idonee misure organizzative per la legal compliance costituisce anche un dovere degli amministratori della società (art c.c.), dovere la cui violazione espone gli amministratori al rischio di azioni di responsabilità, indipendentemente dalla loro effettiva conoscenza o compartecipazione ad eventuali condotte illecite. 6

5 1.3 IL RUOLO DEL PROGRAMMA SOCIETARIO DI COMPLIANCE ANTICORRUZIONE NELL AMBITO DEL DECRETO 231 E DELLE NORMATIVE ANTI-CORRUZIONE DEGLI ALTRI PAESI Per configurare la responsabilità ex Decreto 231 di una società per un reato presupposto (inclusi i reati di corruzione), non è sufficiente che questo sia stato commesso da un suo esponente, ma occorre anche che: l esponente occupi una posizione apicale nella società, oppure sia un dipendente sottoposto a direzione e coordinamento di un soggetto apicale; l esponente abbia agito nell interesse e a vantaggio della società e non nell esclusivo interesse proprio o di un terzo ; sussista una colpa organizzativa della società, cioè che la commissione del reato sia stata consentita o agevolata da una carenza organizzativa della società. Secondo il Decreto 231 la società può andare esente da tale colpa organizzativa qualora: abbia adottato ed efficacemente attuato un modello di organizzazione e gestione idoneo a prevenire il reato; abbia affidato a un organismo dotato di autonomi poteri di iniziativa e controllo il compito di curare il funzionamento, l attuazione e l aggiornamento del modello; il modello sia stato eluso fraudolentemente da chi ha commesso il reato; l organismo non sia responsabile di omessa o insufficiente vigilanza. Pertanto l adozione e la efficace attuazione di un idoneo modello organizzativo può determinare rilevanti benefici per la società, in quanto: se adottato prima della commissione del reato può giungere fino ad escluderne la responsabilità e, quindi, a sottrarla all applicazione delle sanzioni; se adottato dopo la commissione del reato può comunque determinare una riduzione delle sanzioni ed escludere l applicazione di provvedimenti cautelari. Il modello organizzativo di prevenzione dei reati deve prevedere specifici protocolli diretti a disciplinare i processi decisionali e le modalità di attuazione delle decisioni assunte dalla società in relazione a fattispecie che possano risultate attinenti ai reati da prevenire (artt. 6-7 del Decreto 231). Ebbene, nell ambito del modello organizzativo ex Decreto 231, il programma di compliance anti-corruzione può svolgere il fondamentale ruolo di protocollo specificamente dedicato alla prevenzione dei reati di corruzione. Può quindi esservi un collegamento funzionale e una perfetta sinergia tra il programma di compliance anti-corruzione e il Decreto 231. Ciò richiederà naturalmente un attenzione particolare volta a coordinare alcuni degli elementi essenziali del programma anti-corruzione di seguito illustrati (il risk-assessment, la formazione, le misure disciplinari, ecc.) con i corrispondenti elementi che, a livello più generale e per tutti i reati-presupposto, fanno parte del modello organizzativo adottato ai sensi del Decreto 231. Il programma di compliance anti-corruzione può dunque essere parte integrante ed essenziale del modello 231 per l area della prevenzione dei reati di corruzione e, in questo suo ruolo, tale programma può servire ad evitare o comunque a mitigare la responsabilità ex Decreto 231 di una società per reati di corruzione commessi da suoi esponenti. Non solo. Un analogo ruolo il programma può svolgerlo anche nell ambito della quasi totalità degli ordinamenti stranieri dotati di normative anti-corruzione e che prevedono la responsabilità della società in aggiunta a quella dell esponente che ha commesso il reato. Anche in tali ordinamenti, infatti, l adozione e l effettiva attuazione di un idoneo programma di compliance anti-corruzione costituisce una espressa causa di esonero da responsabilità per la società o, comunque, secondo una prassi consolidata, è l elemento che viene sempre considerato dalle autorità quale possibile ragione per non perseguire la società o per irrogare sanzioni ridotte. Va però sottolineato, come già anticipato sopra, che sia per il Decreto 231, sia per gli ordinamenti degli altri Paesi, il programma di compliance anti-corruzione può avere il ruolo di presidio per evitare o mitigare un eventuale responsabilità della società solamente se risulti efficace ed effettivamente attuato in buona fede dalla società. Per fare ciò, ossia per creare un programma efficace e per attuarlo effettivamente e in buona fede in modo che esso possa avere valore esimente per la legge italiana e per gli ordinamenti stranieri, occorre seguire i criteri previsti dal Decreto 231 e dalle linee guida e best practice internazionali. 7

6 In questo modo il programma di compliance anti-corruption potrà comportare i seguenti vantaggi: in primo luogo, in base alla legge italiana, le possibilità di esonero da responsabilità della società o, comunque, di attenuazione delle sanzioni, previste dal Decreto 231; in secondo luogo, la possibilità per la società di dotarsi di un unica compliance anti-corruption valida anche per i paesi esteri in cui la società potrà trovarsi ad operare, in quanto i requisiti previsti dalle linee guida e best practices internazionali sono del tutto allineati ai principi delle legislazioni anti-corruzione della stragrande maggioranza dei Paesi del mondo che hanno aderito alle Convenzioni ONU e OCSE contro la corruzione. 2. CRITERI PER REALIZZARE ED ATTUARE IN MODO EFFICACE UN PROGRAMMA DI COMPLIANCE ANTI-CORRUZIONE 2.1 LE LINEE GUIDA E BEST PRACTICE DI RIFERIMENTO Il Decreto 231 contiene, negli art. 6 e 7, l indicazione dei requisiti che - in linea generale (e quindi anche per i reati di corruzione) - un modello organizzativo di prevenzione di reati deve avere per poter essere considerato idoneo ed efficacemente attuato. Il modello deve in particolare: 1. individuare le attività nel cui ambito possono essere commessi reati [il c.d. Risk Assessment ]; 2. prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire; 3. individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; 4. prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; 5. introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. 6. prevedere, in relazione alla natura e alla dimensione dell organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio; 7. prevedere una verifica periodica e l eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell organizzazione o nell attività; 8. essere dotato di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Si tratta però, come detto, di requisiti generali validi per la prevenzione di tutti i reati-presupposto che rientrano nell ambito del Decreto 231. Questi requisiti generali vanno quindi ulteriormente declinati e implementati per l area della prevenzione anti-corruzione facendo riferimento alle best practice disponibili (ossia alle migliori conoscenze sviluppate nel settore della compliance societaria anti-corruzione). Per fare ciò, nello specifico settore dell anti-corruzione, esistono ormai a livello internazionale diverse autorevoli linee guida e best practice concernenti i programmi anti-corruzione, e precisamente: 1. I principi e linee guida delle principali organizzazioni internazionali, tra cui (in ordine cronologico a partire dal più recente): Transparency International (2013) «Business Principles for Countering Bribery»; ICC - International Chamber of Commerce (2011), «Rules on Combating Corruption»; OCSE (2010) «Good Practice Guidance on Internal Controls, Ethics and Compliance»; World Bank (2010), «Integrity Compliance Guidelines»; 8

7 World Economic Forum (2005), «Partnering Against Corruption-Principles for Countering Bribery». 2. Le linee guida emesse da autorità di singoli Paesi in relazione alle normative anti-corruzione di tali Stati, tra cui: U.S. Department of Justice e Securities and Exchange Commission (2012), «Resource Guide to the U.S. Foreign Corrupt Practices Act» e UK Ministry of Justice (2010), «Guidance about procedures which relevant commercial organizations can put into place to prevent persons associated with them from bribing». Queste linee guida e best practice internazionali hanno il grande pregio di convergere tutte su una serie di criteri comuni, ormai consolidati, che definiscono i requisiti di un idoneo ed efficace programma di compliance anti-corruzione. Tali criteri sono anche totalmente allineati a quelli più generali previsti dai sopra citati artt. 6 e 7 del Decreto 231 italiano. Si tratta in pratica di dieci criteri fondamentali che possono quindi costituire una guida da seguire per qualsiasi società che intenda seriamente creare ed attuare efficacemente un programma di compliance anti-corruzione. 2.2 I DIECI CRITERI FONDAMENTALI Di seguito esamineremo i sopra menzionati dieci criteri per la costruzione e attuazione di un idoneo, efficace ed effettivo programma di compliance anti-corruzione (di seguito anche compliance program o programma ) Impegno dei vertici societari contro la corruzione («Top-level commitment») Un efficace programma di compliance anti-corruzione deve fondarsi sull impegno diretto, genuino ed esplicito dei vertici della società, nelle persone degli amministratori e del top management (c.d. Toplevel commitment ). Se i dipendenti e i business partner non percepiscono questo impegno, anche il programma meglio elaborato esisterà solo sulla carta, privo della concreta capacità di contrastare il rischio di condotte corruttive. L impegno dei vertici della società deve esprimere inequivocabilmente: il ripudio di qualsiasi pratica corruttiva, senza alcuna tolleranza, neppure per quei business o in quei paesi per i quali la corruzione è ritenuta una pratica usuale ; l adozione da parte dei suoi vertici di comportamenti e modalità operative che rappresentino un modello di riferimento; l obbligo per dirigenti, dipendenti e business partner della società di rispettare i principi etici, i controlli e le misure di prevenzione previste dal compliance program; la validità delle regole del programma a tutti i livelli organizzativi della società, per ogni rapporto e in ogni contesto ove questa svolge le sue attività. Ove consentito dalle dimensioni della società, l impegno dei suoi vertici deve sostanziarsi anche nell istituzione di strutture aziendali dedicate alla compliance anti-corruzione, dotate di adeguate risorse, autonomia e autorità. La società dovrà dare adeguata visibilità dell impegno assunto dai vertici soprattutto ai suoi dirigenti, dipendenti e business partner: formalizzandolo in una lettera di introduzione al documento che raccoglie i principi e i valori etici ispiratori della cultura della società (c.d. codice etico ) o in uno statement introduttivo al compliance program; avvalendosi del processo di comunicazione interna, degli incontri tra vertici e dipendenti, delle comunicazioni istituzionali e - ove del caso - dei materiali promozionali. ICC Rules On Combating Corruption III.10.(a); 2.2.1; PACI Principles for Countering Bribery 5.1.3; TI Business Principles for Countering Bribery 6.1.1; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.1; FCPA Resource Guidance 5; The Bribery Act 2010 Guidance - The Six Principles 2. La cultura e i valori di legalità, integrità e trasparenza devono costituire un tone from the top che identifichi nei vertici della società i primi artefici e i più assidui interpreti del compliance program. 9

8 2.2.2 Principi etici, procedure e controlli che proibiscano e prevengano la corruzione La società deve dotarsi di un compliance program efficace, efficiente e sostenibile. Tale programma deve contenere principi etici, procedure e controlli specificamente volti alla prevenzione delle pratiche corruttive. I principi etici costituiscono le prescrizioni di carattere generale del programma, ispirate alla cultura e ai valori di legalità, integrità e trasparenza cui devono essere informati i comportamenti e le azioni dei soggetti che operano all interno o a contatto con la società. Tali principi possono avere ad oggetto: un approccio al business fondato sulla fair competition e sulla liberta impresa intesi come strumenti per conseguire gli obiettivi economici della società in un ottica di efficiente profittabilità; la cultura della professionalità, dell eguaglianza, della sicurezza e della tutela della privacy nella conduzione del business; la valorizzazione dell onestà, dell integrità, della trasparenza e del rispetto all interno dell intera organizzazione della società; lo sviluppo sostenibile, la protezione dell ambiente, dei diritti umani e delle comunità dove il business viene svolto; l invito alla condotta responsabile anche da parte di azionisti e stakeholder, compresi i clienti, i dipendenti, i fornitori, gli appaltatori, i creditori e le autorità governative; la promozione di un aperto dialogo sui valori dell etica all interno della società, legato a un sistema che ne premi il rispetto. Tali principi devono essere raccolti nel codice etico della società e ricordati nella parte introduttiva del compliance program. Le procedure devono essere elaborate per disciplinare specificatamente le attività e i processi della società che presentano rischi di corruzione rilevati in base ad una preventiva analisi (c.d. risk assessment ). Le procedure devono prevedere anche i controlli da effettuarsi sistematicamente al fine di garantire che le procedure siano correttamente applicate. Sulla base delle linee guida e best practice internazionali, nonché dell esperienza di primarie società italiane ed estere da tempo all avanguardia nella lotta alla corruzione, le procedure e i controlli anti-corruzione da adottarsi riguardano in particolare: omaggi, viaggi, ospitalità, ecc.; rimborsi spese; donazioni e sponsorizzazioni; rapporti con intermediari e business partner; consulenze prestazioni professionali; attività di consorzi e joint-venture; controlli su contabilità e pagamenti; selezione del personale; acquisizione e cessione di società e aziende. Procedure e controlli devono essere adeguatamente articolati e divulgati all interno dell organizzazione aziendale, allo scopo di consentirne l effettiva conoscenza e attuazione e per consolidare la convinzione della loro obbligatoria applicazione a tutti i livelli e in ogni contesto. Al fine di evidenziarne l importanza e vincolatività, le procedure e i controlli anti-corruzione devono essere adottate ed emanate dai vertici della società (Consiglio di Amministrazione per le procedure più generali, Amministratore Delegato o Direttore Generale per le procedure più specifiche e operative). Le procedure e i controlli anti-corruzione devono altresì essere oggetto di continuo aggiornamento e miglioramento alla luce dell aggiornamento dell analisi dei rischi cui la società è esposta (v. infra 2.2.3). ICC Rules On Combating Corruption II4, II5, II6, II8 e III.10.(b); World Bank Group Integrity Compliance Guidelines 4; PACI Principles for Countering Bribery 4; TI Business Principles for Countering Bribery 3.1, 5 e 6.2; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.2 e A.5; FCPA Resource Guidance 5; The Bribery Act 2010 Guidance - The Six Principles Attività di «Risk Assessment» e di periodico aggiornamento programma di compliance anti-corruzione Nessuna società è immune dal rischio di corruzione, ma il rischio è negativo solo se resta trascurato e determina conseguenze inattese. Prevenire e combattere efficacemente la corruzione richiede un atteggiamento attivo nei confronti dell esposizione a rischio e, anzitutto, l identificazione e la valutazione del rischio stesso. L assessment del rischio di corruzione è alla base dell introduzione e del mantenimento di un efficace compliance program in quanto non può esistere un programma di compliance anti-corruzione a taglia unica. L assessment deve riguardare la società (dimensioni, struttura, organizzazione), il suo business (natura, modello, presenza geografica), nonché le categorie di soggetti e organizzazioni con cui la società entra in 10

9 contatto (c.d. business partner: soggetti privati, pubbliche amministrazioni, intermediari, organizzazioni non governative, etc.). L assessment deve prevedere la c.d. gap analysis, per identificare il livello di adeguatezza delle esistenti strutture organizzative, procedure e controlli rispetto all esposizione a rischio della società. L assessment deve essere condotto da soggetti interni o esterni all organizzazione aziendale dotati di adeguata competenza e di specifici poteri, che li sottraggano al rischio di condizionamenti e consentano loro di accedere a tutte le informazioni utili. I risultati dell assessment devono evidenziare le tipologie di rischio (legale, commerciale, finanziario, operativo, di reputazione) cui la società è esposta ricollegandolo a strutture e attività ove esso può concretamente verificarsi, nonché identificare il livello di probabilità che esso ha di manifestarsi. L assessment può contenere suggerimenti volti a mitigare il rischio, sulla base della gap analysis, di considerazioni derivanti dall esperienza e di iniziative adottate da altri soggetti assimilabili alla società per dimensioni, organizzazione, settore di attività e modello di business. I risultati dell assessment devono essere portati a conoscenza e sottoposti alla valutazione dei vertici della società, affinché questi adottino le opportune determinazioni (tra cui apposite procedure e controlli: v. sopra 2.2.2). L attività di assessment deve essere periodicamente ripetuta e il compliance program (incluse le sue procedure e i suoi controlli) deve essere aggiornato di conseguenza, anche alla luce di eventuali violazioni e condotte illecite. ICC Rules On Combating Corruption III.10.(c); 3; PACI Principles for Countering Bribery 4; TI Business Principles for Countering Bribery 3.2 e 4; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A; FCPA Resource Guidance 5; The Bribery Act 2010 Guidance - The Six Principles Affidamento a un senior manager della responsabilità del programma anti-corruzione I vertici della società, tra i cui doveri rientrano la predisposizione di un idoneo programma di compliance anti-corruzione e la sua efficace attuazione, devono affidare la responsabilità operativa dell implementazione del programma e del controllo della sua attuazione e osservanza a un senior manager in possesso di adeguata conoscenza della materia, dell organizzazione e del business della società (c.d. Compliance Officer). Il Compliance Officer deve essere nominato dai vertici della società. A lui devono essere assegnati i compiti di: dare attuazione al programma, curando l effettiva applicazione delle procedure e la regolare effettuazione dei controlli in esso previsti; curare la comunicazione dei contenuti del programma e la formazione del personale in materia; monitorare l evoluzione delle discipline e delle best practice in materia di compliance anti-corruzione; predisporre gli opportuni adeguamenti e aggiornamenti del programma da sottoporre all approvazione dei vertici della società. Il Compliance Officer deve: (i) costituire una funzione autonoma all interno della struttura aziendale, che riporti direttamente ai vertici della società e agli organi di controllo; (ii) disporre, all interno dell organizzazione aziendale, di autorità sufficiente a consentirgli di operare con i necessari margini di autonomia; (iii) disporre di adeguate risorse, economiche e organizzative, che gli permettano di svolgere pienamente le funzioni assegnategli; (iv) avere accesso direttamente e con continuità ai vertici della società per informare di eventuali inefficienze del e violazioni del programma; e (v) poter accedere direttamente agli organi di controllo in caso di violazioni commesse dai vertici della società. ICC Rules On Combating Corruption III.10.(e); 2.2.3; PACI Principles for Countering Bribery 5.1.2; TI Business Principles for Countering Bribery 6.1; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.4; FCPA Resource Guidance 5. 11

10 2.2.5 «Due diligence» e misure anti-corruzione nei confronti dei «business partner» (agenti, intermediari, consulenti, consorzi, joint-venture, ecc.) La società che opera in contesti complessi viene continuamente in contatto con numerosi business partner, quali agenti, intermediari, fornitori, consulenti, consorzi, joint-venture, ecc.. La prassi ha dimostrato che tali soggetti, operando per conto o nell interesse della società, possono divenire strumento di realizzazione di pratiche corruttive o tramite per l effettuazione di pagamenti illeciti. Una società può quindi essere esposta al rischio di pratiche corruttive compiute dai suoi business partner, fino al punto da diventarne essa stessa responsabile. Il compliance program deve quindi prevedere misure adeguate per prevenire che ciò avvenga, mediante: preventiva due diligence sui business partner; informativa rivolta a tali soggetti sui contenuti del compliance program della società; clausole contrattuali per vincolare i business partner all osservanza del compliance program della società. La due diligence deve essere mirata all individuazione di eventuali segnali d allarme (c.d. Red Flag ) che caratterizzano l attività del business partner, la sua struttura, i rapporti con la società o con soggetti terzi. In particolare i Red Flag possono essere individuati analizzando: forma giuridica e organizzazione del business partner, compresa la giurisdizione ove questi ha sede (per i business partner stranieri può essere utile una opinion rilasciata da avvocati abilitati all esercizio della professione nel paese dove il business partner ha sede); modalità di instaurazione del rapporto; entità e modalità di pagamento dei compensi; sussistenza di conflitti di interesse tra personale della società e il business partner o esistenza di rapporti tra il business partner e funzionari pubblici/politici. La due diligence deve essere svolta con un grado di approfondimento coerente con il rischio caratteristico del settore di business o del contesto geografico di riferimento, come emersi dal risk-assessment effettuato dalla società. I business partner che hanno superato la due diligence devono ricevere adeguata informativa sui contenuti del compliance program della società e sottoscriverlo per presa visione; può essere opportuna la partecipazione dei business partner alle attività di training anti-corruzione organizzate dalla società. La società deve poi adottare clausole contrattuali standard finalizzate a prevenire condotte corruttive da parte dei business partner, ivi incluse clausole che: impegnino il business partner al rispetto delle normative anti-corruzione e del compliance program della società; consentano alla società di eseguire audit sui business partner; e prevedano la facoltà per la società di sospendere i rapporti in caso di emersione di Red Flag e di risolvere il contratto per inadempimento del business partner in caso di sua violazione delle norme anti-corruzione e delle relative obbligazioni previste dal contratto. ICC Rules On Combating Corruption III.10.(g); 5; PACI Principles for Countering Bribery 5.2; TI Business Principles for Countering Bribery 6.2; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.6; FCPA Resource Guidance 5; The Bribery Act 2010 Guidance - The Six Principles Procedure e controlli contabili L esperienza dimostra che, in molti casi, le pratiche corruttive si accompagnano a irregolarità contabili finalizzate a occultare, mediante registrazioni non corrette, l uscita dalle casse sociali di somme destinate al pagamento di tangenti. Un efficace compliance program deve prevedere, come sua parte integrante ed essenziale, misure organizzative, procedure e controlli contabili che assicurino la veridicità, accuratezza e completezza delle registrazioni contabili. Tale obiettivo deve essere perseguito mediante l adozione di: misure organizzative che consentano la gestione dei processi decisionali per l assunzione di obblighi in capo alla società con adeguata individuazione di ruoli, definizione di limiti di autonomia decisionale e separazione di responsabilità; procedure finanziarie e contabili idonee a garantire la trasparenza, la tracciabilità e la corretta registrazione di tutte le operazioni effettuate dalla società, compresa la conservazione della documentazione relativa ai contratti stipulati; controlli contabili da effettuarsi su base periodica ad opera di strutture dotate di adeguata competenza e autonomia, che riportino direttamente ai vertici della società. 12

11 La normativa interna che istituisce e regola le misura organizzative, le procedure e i controlli contabili sopra citati dovrà essere adottata con provvedimenti dei vertici della società, cui dovrà periodicamente essere sottoposta per aggiornamenti e migliorie. ICC Rules On Combating Corruption III.10.(h); 6; PACI Principles for Countering Bribery 5.7; TI Business Principles for Countering Bribery 6.7; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.7; FCPA Resource Guidance Formazione del personale e assistenza sulla corretta applicazione del programma di compliance anti-corruzione Per l efficace attuazione del compliance program è indispensabile che le sue regole siano espressamente comunicate al personale, cui la società deve dedicare un adeguata formazione ai fini della corretta comprensione del programma e della sua applicazione. La comunicazione deve essere continuativa per consentire la massima diffusione delle regole del compliance program e dei loro aggiornamenti. Essa potrà essere effettuata avvalendosi dei sistemi di comunicazione interna comunemente utilizzati dalla società (reti intranet, mailing list, etc.). La formazione deve essere periodica, rivolta ad amministratori, dirigenti e dipendenti, soprattutto se coinvolti in attività a rischio di corruzione. Potrà essere articolata in corsi, con partecipazione diretta o remota degli interessati a seconda delle esigenze formative e organizzative. Le attività di formazione effettuate dalla società relativamente al compliance program devono essere documentate e controllate quanto ai contenuti e all effettiva partecipazione dei soggetti cui sono rivolte, con rilascio di certificazione dell effettivo svolgimento dei corsi e della partecipazione ad essi, nonché applicazione di sanzioni disciplinari per coloro che non li frequentino regolarmente. E opportuno che adeguata comunicazione e formazione sui principi e sulle regole del compliance program siano rivolte anche ai business partner che operano per conto o nell interesse della società. A corredo delle attività di comunicazione e formazione, la società potrà mettere a disposizione dei soggetti interessati servizi di supporto e consulenza sull interpretazione e la corretta applicazione del compliance program. Le attività di comunicazione e formazione sopra descritte devono essere affidate al soggetto responsabile per l attuazione e l applicazione del compliance program e, quindi, se nominato, al Compliance Officer. ICC Rules On Combating Corruption III.10.(j) e (k); 7 e 9.2; PACI Principles for Countering Bribery 5.3, 5.4, e 5.6; TI Business Principles for Countering Bribery 6.4, e 6.6; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.8 e A.11.(i); FCPA Resource Guidance 5. The Bribery Act 2010 Guidance - The Six Principles Misure disciplinari e incentivi L impegno della società alla tolleranza zero nei confronti della corruzione si manifesta anche con la previsione di un sistema disciplinare finalizzato a perseguire e sanzionare eventuali violazioni. La reazione della società a fronte di sospette violazioni (con l attivazione di procedimenti disciplinari interni e la collaborazione con le autorità pubbliche competenti), e l irrogazione di sanzioni, a fronte di accertate violazioni, costituiscono una prova della efficienza e della effettiva attuazione del programma che, diversamente, esisterebbe solo sulla carta. La società deve quindi dotarsi di procedure che prevedano, nel rispetto delle vigenti normative giuslavoristiche: modalità di attivazione e gestione dei procedimenti disciplinari; tipologie di sanzioni applicabili proporzionatamente alla gravità della violazione commessa Il compliance program deve prevedere procedimenti disciplinari e sanzioni non solo nei confronti dei dipendenti e dei dirigenti della società, ma anche nei confronti dei vertici della stessa (amministratori e top management). In coerenza con la disciplina degli accordi che ne regolano i rapporti, anche le violazioni dei business partner devono costituire oggetto di procedimenti disciplinari e sanzioni. Per questi aspetti (procedimenti disciplinari e sanzioni) potrà essere opportuno che il programma anti-corruzione sia coordinato, e preferibilmente, faccia riferimento alle regole disciplinari e sanzionatorie previste dal Modello 231 della società. Al sistema disciplinare e alle relative sanzioni possono inoltre affiancarsi appropriati meccanismi di in- 13

12 centivazione dei comportamenti virtuosi che concretamente contribuiscono alla più efficace applicazione del compliance program. A tale scopo, i comportamenti virtuosi e i contributi forniti all applicazione del programma dovranno essere positivamente considerati nella valutazione periodica di dirigenti e dipendenti ai fini di eventuali promozioni e/o aumenti. ICC Rules On Combating Corruption III.10.(l) e (n); 8; PACI Principles for Countering Bribery e 5.3.3; TI Business Principles for Countering Bribery 6.3; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.9 e A.10; FCPA Resource Guidance Ulteriori misure per l «efficacia» ed «effettività» del programma di compliance anti-corruzione 1. Confidential reporting (Whistle-blowing) Il confidential reporting - spesso definito anche whistle-blowing - consiste nella segnalazione in forma anonima di informazioni relative a violazioni, anche solo sospette o potenziali del compliance program, che espongono la società al rischio di corruzione. Il confidential reporting costituisce un importante asset per assicurare e dimostrare l efficacia e l effettività del compliance program, consentendo di intervenire tempestivamente in circostanze nelle quali l opacità informativa o l elevato livello di complessità renderebbero problematico individuare l esistenza di fattispecie corruttive. La società deve pertanto sfruttare i vantaggi derivanti dal confidential reporting dotandosi di un sistema che, all occorrenza, consenta efficaci e tempestive segnalazioni. Il sistema di segnalazione deve prevedere: possibilità di effettuare la segnalazione attraverso pratici canali di comunicazione (internet, , caselle postali, numeri telefonici dedicati, etc.) accessibili non solo a dipendenti e dirigenti della società, ma anche ai suoi business partner; garanzia di tutela dell anonimato del soggetto che effettua la segnalazione al fine di evitare ritorsioni e comportamenti discriminatori nei suoi confronti, utilizzando a tale scopo anche risorse tecnologiche che consentano di mantenere l anonimato in ogni fase del processo di valutazione della segnalazione; diretta destinazione delle segnalazioni agli organi di controllo e, se nominato, al responsabile del compliance program (Compliance Officer), affinché siano da questi esaminate per vagliarne la veridicità e la fondatezza. ICC Rules On Combating Corruption III.10.(m); 9.4; PACI Principles for Countering Bribery 5.5.2; TI Business Principles for Countering Bribery 6.5.1; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.11(ii); FCPA Resource Guidance 5 e Appropriate response La scoperta di violazioni del compliance program rappresenta per la società un importante opportunità per dimostrare la serietà del suo impegno anti-corruzione e la volontà di preservare l efficacia e l effettività del suo compliance program. In tale frangente la società deve dar prova di capacità di reazione adeguata, determinata e tempestiva, capace di limitare gli effetti del comportamento corruttivo, evitare il suo ripetersi e rimuovere le cause che ne hanno consentito il verificarsi. Solo in questo modo la società sarà in grado di dimostrare intransigenza e tolleranza-zero verso qualsiasi condotta corruttiva, a prescindere dagli artefici della stessa, dalla materialità della violazione e dall eventuale pregiudizio economico arrecato alla società stessa. A fronte della scoperta di violazioni, la società deve disporre: l immediata cessazione delle violazioni (blocco pagamenti, sospensione/risoluzione contratti con business partner coinvolti, ecc.); l avvio di audit o indagini interne (adeguate alla gravità delle circostanze) non solo per verificare l accaduto, ma anche per constatare l eventuale perdurare delle violazioni e scongiurare il possibile ripetersi di situazioni analoghe; la rimozione dal ruolo dei soggetti responsabili; e un piano di miglioramento del compliance program alla luce dei fatti accertati e delle debolezze emerse con riguardo al modello. ICC Rules On Combating Corruption III.10.(n); 10.2; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.11(iii); FCPA Resource Guidance 5. 14

13 Monitoraggio e adeguamento del programma di compliance anti-corruzione L attività di ciascuna società muta e si evolve nel tempo quanto a modello di business, organizzazione, contesto geo-politico e business partner di riferimento: analogamente muta il rischio di condotte illecite connessa a tale mutata attività. Il monitoraggio e l adeguamento permanente e periodico del compliance program, alla luce del mutato contesto in cui la società opera e delle risultanze della sua applicazione, costituiscono un elemento essenziale per assicurare l efficacia e l effettività del programma nel medio-lungo periodo. Per queste ragioni le best practice internazionali raccomandano che lo stesso compliance program preveda meccanismi per il controllo della sua efficacia e per il suo periodico adeguamento sulla base di un aggiornamento del risk assessment. Il monitoraggio ha principalmente lo scopo di verificare che al compliance program sia data piena attuazione; esso deve essere condotto continuativamente, tramite l attività di organi interni dotati di sufficiente competenza, autonomia e adeguatezza di risorse, oppure avvalendosi di esperti esterni. In aggiunta al sistema dei controlli interni, la società dovrà valutare l utilità di strumenti di monitoraggio quali la raccolta di certificazioni, questionari e commenti provenienti da dipendenti e business partner. A tale scopo la società deve valutare l opportunità di chiedere a dipendenti e business partner: (ii) secondariamente, di rispondere a un questionario relativo al compliance program e alla sua applicazione. Ai fini dell adeguamento del compliance program al mutato contesto in cui opera, la società deve inoltre testare periodicamente e sistematicamente l efficacia e l effettività dei principi, delle procedure e dei controlli in esso contenuti rispetto ai nuovi rischi cui risulta esposta. Anche tale attività deve essere condotta da esperti interni o esterni all organizzazione aziendale, dotati di autonomia e risorse sufficienti a garantire l efficienza della loro azione, allo scopo di evidenziare: i risultati ottenuti nel tempo attraverso l attuazione del compliance program; i punti di debolezza del programma; e gli aspetti che debbono essere oggetto di modifica o integrazione. La società deve sottoporre al vaglio dei suoi vertici le risultanze più significative delle attività di monitoraggio, nonché gli esiti del test periodicamente effettuati sul compliance program, unitamente a suggerimenti e proposte di modifica e integrazione del medesimo. ICC Rules On Combating Corruption III, 10; World Bank Group Integrity Compliance Guidelines 3; PACI Principles for Countering Bribery 5.8; TI Business Principles for Countering Bribery 6.8; OECD Good Practice Guidance on Internal Control, Ethics and Compliance A.12; FCPA Resource Guidance 5; The Bribery Act 2010 Guidance - The Six Principles 6. (i) in primo luogo, di trasmettere periodicamente al responsabile dell applicazione del compliance program (Compliance Officer, se nominato) la dichiarazione di avere ricevuto, compreso e rispettato il modello; e 3. CONCLUSIONI I programmi societari di compliance anti-corruzione sono l unica soluzione per prevenire condotte corruttive e evitare/mitigare danni e responsabilità per la Società. Tali programmi devono essere idonei ed efficacemente attuati in buona fede dalla società. I 10 criteri di questa Guida mirano specificamente a questo scopo. Un programma di compliance anti-corruption realizzato e attuato secondo tali criteri può essere unico e globale per tutti i Paesi in cui la società opera, permettendo così di adottare regole uniformi che soddisfano le normative anticorruzione dei diversi Paesi. 15

14 2014 The European House - Ambrosetti S.p.A. e Studio Legale Bonelli Erede Pappalardo TUTTI I DIRITTI RISERVATI. Questo documento è stato ideato e preparato da TEH-A e da Studio Bonelli Erede Pappalardo per il cliente destinatario; nessuna parte di esso può essere in alcun modo riprodotta per terze parti o da queste utilizzata, senza l autorizzazione scritta di TEH-A e di Studio Bonelli Erede Pappalardo. Il suo utilizzo non può essere disgiunto dalla presentazione e/o dai commenti che l hanno accompagnato.