Raccomandazioni AFA : la legge Sapin II e il suo dispositivo anticorruzione

Dalla sua creazione nel 2017, l’AFA (Agenzia francese anticorruzione) ha dedicato gran parte della sua attività di consulenza all’elaborazione di raccomandazioni e di guide pratiche , che insieme alla legge Sapin II (legge 2016-1691 del 9 dicembre 2016 relativa alla trasparenza, alla lotta contro la corruzione e alla modernizzazione della vita economica) e ai suoi decreti di applicazione costituiscono lo standard di riferimento anticorruzione francese.

Questi testi hanno permesso alla Francia di recuperare il ritardo nella lotta contro la corruzione e il traffico d’influenza e di allinearsi ai migliori standard internazionali, ispirandosi a legislazioni straniere, in particolare a quella americana.

Le raccomandazioni dell’AFA, aggiornate a gennaio 2021, si rivolgono alle imprese, di diritto privato e pubblico, che soddisfano cumulativamente il doppio criterio di 100 milioni di euro di fatturato e oltre 500 dipendenti. Anche le filiali, francesi o straniere, devono rispettare lo stesso doppio criterio.

L’AFA ha, quindi, stabilito le modalità di attuazione del dispositivo di conformità anticorruzione che ogni organizzazione – tenuto conto delle dimensioni, della struttura di governance, del settore di intervento e della zona geografica – deve dispiegare, in modo proporzionato e adeguato al suo profilo di rischio.

Il dispositivo anticorruzione deve essere definito e articolato attorno a tre pilastri indissociabili, vale a dire: 1. L’impegno dell’organo di governance, 2. La cartografia dei rischi di corruzione, 3. Misure e procedure da adottare per controllare tali rischi (si veda la tabella seguente).

Anche se le PMI non sono direttamente interessate dalla legge Sapin II, l’AFA sollecita queste ultime a mettere in atto misure anticorruzione per prevenire la commissione di reati le cui conseguenze possono essere pesanti da un punto di vista penale per il dirigente, oltre che da un punto di vista finanziario e di reputazione[1].

Regime dei tre pilastri indissociabili

Le nuove raccomandazioni dell’AFA, che annullano e sostituiscono quelle del 2017, tengono conto dell’evoluzione delle migliori prassi constatate dalla stessa Agenzia – in occasione dei controlli effettuati nei tre anni successive all’entrata in vigore della legge Sapin II – sulle organizzazioni soggette al suo controllo.

Queste raccomandazioni sono organizzate in tre sezioni:

• Disposizioni generali
• Declinazione delle disposizioni generali alle imprese soggette all’articolo 17 della legge Sapin II
• Declinazione delle disposizioni generali agli attori pubblici soggetti all’articolo 3, paragrafo 3, della stessa legge

Contrariamente alle raccomandazioni del 2017, il nuovo testo dell’AFA riorganizza le otto misure del programma anticorruzione contemplate dalla legge Sapin II attorno ai tre pilastri sopra menzionati.

Il dispositivo di conformità anticorruzione dell’AFA riguarda soltanto due dei sei reati elencati all’articolo 1 della legge, vale a dire la corruzione e il traffico di influenza.

Tuttavia, è fortemente raccomandato di attuare un dispositivo anticorruzione più ampio che comprenda anche i reati di contraffazione, di abuso di beni sociali, di ricettazione o di riciclaggio dei fatti di corruzione o di traffico di influenza.

Primo pilastro: Impegno dell’organo di gestione  

L’articolo 17-I della legge Sapin II impone all’organo direttivo di «prendere le misure destinate a prevenire e individuare la commissione, in Francia o all’estero, di fatti di corruzione o di traffico d’influenza secondo le modalità previste» al II della legge.

L’impegno dell’organo di gestione è considerato dall’AFA come l’elemento fondatore di qualsiasi dispositivo anticorruzione. Tale impegno si manifesta con:

• L’attuazione di una politica di tolleranza zero nei confronti della corruzione
• L’adozione di misure e procedure specifiche di controllo
• La mobilitazione di mezzi, umani e finanziari, proporzionati al profilo di rischio dell’impresa.

L’organo di gestione è invitato a partecipare personalmente all’attuazione di determinate misure e procedure che costituiscono il dispositivo anticorruzione. Ciò è richiesto soprattutto in occasione della validazione della cartografia dei rischi di corruzione, dell’adozione di decisioni al termine della valutazione di taluni terzi o quando si tratta di determinare le sanzioni da infliggere, in caso di violazione del Codice di condotta o di fatti che possono essere qualificati come atti di violazione della probità.

Al termine del processo di identificazione e valutazione dei rischi, l’organo di gestione deve elaborare un piano d’azione e verificare, mediante indicatori e rapporti di controllo e di audit, che il sistema anticorruzione sia organizzato, efficace e aggiornato.

Spetta sempre a lui il compito di nominare il responsabile della conformità, di formalizzare con una lettera di incarico gli obiettivi e i compiti affidati a quest’ultimo, e di indirizzare una comunicazione della nomina a tutto il personale dell’azienda.

Tale comunicazione è importante in quanto dimostra che l’organo di gestione sostiene l’attuazione di un dispositivo anticorruzione. E peraltro, offre la possibilità di spiegare a tutti i collaboratori dell’azienda perché l’attuazione di misure e procedure specifiche di controllo è così necessaria e in che modo esse proteggono l’azienda.

Nel caso di imprese strutturate attorno a un’entità centrale con capogruppo e controllate, l’AFA raccomanda di designare un responsabile della conformità a livello centrale e dei referenti locali, ad esempio per paese, filiale o unità operativa.

Il responsabile della conformità può promuovere l’attuazione di programmi di conformità anticorruzione all’interno delle controllate del gruppo e assisterle in tale esercizio, mediante la definizione di metodologie e politiche comuni, che devono essere adattate, se del caso, alle esigenze locali.

Per svolgere al meglio i suoi compiti, il responsabile della conformità deve essere indipendente dai dirigenti e dalle altre funzioni dell’impresa, possedere competenze e conoscenze solide in materia di corruzione, avere accesso a tutte le informazioni utili all’esercizio delle sue funzioni, avere un collegamento diretto e regolare con l’organo di amministrazione e avere facile accesso al consiglio di amministrazione.

Secondo pilastro: La cartografia dei rischi

L’arte. 17-II, paragrafo 3, della legge Sapin II impone alle imprese incluse nel suo perimetro di attuare una cartografia dei rischi «sotto forma di documentazione regolarmente aggiornata e destinata ad identificare, analizzare e gerarchizzare i rischi di esposizione della società a sollecitazioni esterne a fini di corruzione, in funzione in particolare dei settori di attività e delle zone geografiche in cui la società esercita la sua attività».

La cartografia dei rischi è, senza dubbio, la pietra angolare del dispositivo anticorruzione della legge Sapin II. È sulla base di questo strumento di monitoraggio che l’alta dirigenza dell’impresa definisce la strategia e le misure, proporzionate e adeguate, da adottare per premunirsi contro le conseguenze reputazionali, giuridiche, umane, economiche e finanziarie che possono derivare da una cattiva gestione dei rischi di corruzione.

Naturalmente, l’elaborazione della cartografia dei rischi presuppone che i ruoli e le responsabilità all’interno dell’impresa siano ben definiti, e che i diversi livelli gerarchici coinvolti in tale processo di elaborazione abbiano una conoscenza approfondita dell’organizzazione, delle attività e dei processi gestionali e operativi della medesima.

Ogni organizzazione elabora la propria cartografia dei rischi che deve essere formalizzata, ossia deve assumere la forma di una documentazione scritta e strutturata, che permette di visualizzare in dettaglio la metodologia scelta (se si tratta di un approccio per mestiere, per processo, per area geografica, per entità) e le misure adottate per controllare i rischi.

E deve essere regolarmente migliorata e aggiornata, soprattutto in occasione di operazioni significative (ad esempio: operazioni di fusione e acquisizione, di cessione di attivi o di associazione di un nuovo partner strategico) in grado di determinare cambiamenti importanti in seno all’organizzazione dell’impresa.

L’AFA ha quindi individuato le 6 tappe seguenti che devono essere rispettate nell’elaborazione e nell’attuazione della cartografia dei rischi:

1. Ruoli e responsabilità delle parti interessate alla cartografia dei rischi

La segregazione dei ruoli e delle responsabilità è un prerequisito indispensabile. Così, l’organo di gestione promuove la mappatura del rischio, designa il responsabile della conformità – che deve essere dotato dei mezzi, umani e finanziari, necessari per svolgere la sua missione – e approva la strategia di gestione dei rischi di corruzione e ne assicura la sua effettiva attuazione.

Il responsabile della conformità, dal canto suo, deve coordinare la cartografia dei rischi di corruzione, accompagnando l’impresa nell’identificazione, classificazione, valutazione e attuazione delle misure e procedure di controllo.

L’elaborazione della cartografia dei rischi è un processo che non può essere condotto da una sola persona, ma ogni dipartimento dell’impresa (i responsabili dei processi decisionali, operativi e contabili, il responsabile del controllo dei rischi, ma anche il personale dell’azienda), tutti e ciascuno, nel loro ambito, devono contribuire e intervenire in questo processo di elaborazione.

2. Identificazione dei rischi inerenti alle attività dell’impresa (individuazione dei processi e dei scenari di rischio)

L’identificazione dei rischi – che deve essere realizzata attraverso l’organizzazione di scambi di informazione e di ateliers utilizzando anche questionari e avvalendosi anche del contributo del personale operativo dell’impresa – permette di procedere ad una classificazione dei rischi inerenti all’attività dell’impresa.

Inoltre, l’identificazione degli scenari di rischio realizzata prendendo in considerazione: i paesi in cui l’impresa svolge le sue attività, la natura delle operazioni e delle relazioni commerciali con terzi, i mezzi di pagamento, la cronologia degli incidenti constatati e la durata del ciclo di vendita (…) consente di conoscere meglio l’ambiente in cui opera l’impresa.

3. Valutazione dei rischi lordi

L’analisi degli scenari di rischio permette di valutare il livello di vulnerabilità dell’impresa e di identificare i rischi lordi ai quali l’impresa è esposta mediante tre indicatori: l’impatto, la frequenza e i fattori aggravanti.

4. Valutazione dei rischi netti

Questa fase consente, invece, di valutare l’efficacia delle misure di controllo dei rischi. Da questo punto di vista, l’analisi degli scenari di rischio è essenziale per identificare eventuali carenze o lacune nel sistema di controllo interno esistente e per adottare, di conseguenza, le misure necessarie per trattare i rischi netti e residuali.

5. Gerarchizzazione dei rischi netti o residuali ed elaborazione del Piano d’azione

La gerarchizzazione dei rischi consente di distinguere tra i rischi per i quali il livello di controllo è considerato sufficiente e i rischi che, invece, l’alta dirigenza intende migliorare attraverso il rafforzamento del sistema di controllo interno e la definizione del livello di accettabilità del rischio al quale essa intende esporsi.

Partendo da queste informazioni, che sono rappresentate graficamente nella cartografia dei rischi, l’alta dirigenza deve elaborare un Piano d’azione, nel quale deve essere definita in maniera chiara la strategia, le responsabilità degli attori coinvolti, le misure correttive da attuare, le modalità di rendiconto e di monitoraggio.

6. Formazione, attualizzazione e conservazione della cartografia dei rischi

La mappatura dei rischi è quindi un documento formale che comprende tutti gli elementi già menzionati. Essa deve essere aggiornata e valutata ogni anno, tenendo conto dell’evoluzione dell’attività dell’impresa, al fine di adattare la metodologia ai rischi ai quali quest’ultima è effettivamente esposta.

Terzo pilastro: La gestione dei rischi

L’AFA raggruppa, nell’ambito del terzo pilastro del dispositivo anticorruzione, tutte le altre misure richieste dalla legge Sapin II.

La sezione relativa alla prevenzione dei rischi è dedicata alle tre seguenti tematiche: 1. Codice di condotta, 2. Sensibilizzazione e formazione, 3. Valutazione dei terzi.

Codice di condotta: l’AFA ricorda, in primo luogo, che il paragrafo 1° dell’articolo 17-II della legge Sapin II dispone che le persone menzionate nel I della stessa legge devono adottare “un codice di condotta che definisce e illustra i diversi tipi di comportamenti da vietare come atti di corruzione o di traffico di influenza. Tale codice di condotta è integrato nel regolamento interno dell’impresa ed è pertanto oggetto della procedura di consultazione dei rappresentanti del personale prevista all’articolo L.1321-4 del codice del lavoro».

Il codice di condotta è un documento che permette di formalizzare l’impegno dell’organo dirigente a favore di una tolleranza zero in materia di corruzione, di descrivere la politica anticorruzione adottata dall’impresa, nonché i comportamenti da vietare all’interno dell’impresa e nei rapporti commerciali con i terzi.

Il codice di condotta deve essere elaborato preferibilmente dopo aver definito la cartografia dei rischi. Ciò permette di arricchire il codice di condotta con esempi di rischi concreti e specifici ai quali può essere esposta l’impresa. Peraltro, la redazione del codice coinvolge congiuntamente il responsabile della conformità e i responsabili delle funzioni (risorse umane, direzione giuridica, personale operativo) che si occupano, più delle altre, di fare evolvere le buone pratiche in materia di corruzione.

Il codice deve essere approvato, firmato e contenere una prefazione con un messaggio chiaro dell’organo dirigente in modo da sottolineare che quest’ultimo intende davvero favorire lo sviluppo della cultura della conformità, dell’etica, dell’integrità e della probità all’interno dell’impresa e del suo ambiente di sviluppo.

Il codice di condotta deve essere regolarmente aggiornato, unitamente alla valutazione della cartografia dei rischi, e comunicato a tutto il personale. Può essere tradotto in una o più lingue straniere e deve essere imposto a terzi.

Sensibilizzazione e formazione: il paragrafo 6° dell’articolo 17-II della legge Sapin II stabilisce che l’impresa deve definire e attuare «un dispositivo di formazione destinato ai quadri e alle persone più esposte ai rischi di corruzione e di traffico d’influenza».

Il dispositivo di formazione si rivolge prioritariamente ai quadri e ai collaboratori più esposti ai rischi di corruzione, ma è possibile organizzare all’interno dell’impresa delle azioni di sensibilizzazione e di formazione che coinvolgono anche altri collaboratori.

Non esiste un dispositivo ideale di formazione. Il suo formato può variare a seconda dei rischi identificati, dei mezzi e delle risorse che l’impresa può dedicarvi e del numero di persone da formare. Può trattarsi, ad esempio di:

• Formazione che prevede la partecipazione a conferenze, corsi, ateliers, studio di casi, giochi di ruolo, ecc.
• E-formazione via internet.

È importante che il dispositivo di formazione si basi su casi pratici e che sia accompagnato da questionari o test per verificare le nozioni e conoscenze acquisite.

Valutazione dell’integrità dei terzi: il paragrafo 4° dell’articolo 17-II della legge Sapin II prevede che l’impresa deve attuare una «procedure di valutazione della situazione dei clienti, fornitori di primo livello e intermediari identificati nella cartografia dei rischi».

L’impresa deve conoscere i clienti, i fornitori e gli intermediari con i quali intrattiene una relazione commerciale regolare, e che possono, in alcuni casi, esporla a rischi di corruzione. Il dispositivo di valutazione dei terzi permette all’impresa di identificare i suoi partner, di classificarli per gruppi secondo il loro profilo di rischio e di valutare le misure da attuare per proteggere l’ambiente nel quale interviene.

L’organo di gestione, in collaborazione con il responsabile della conformità e i responsabili addetti alla valutazione dei terzi, definisce e formalizza la procedura di valutazione dei terzi sulla base della cartografia dei rischi.

L’AFA incoraggia le imprese assoggettate a raccogliere le informazioni pertinenti per valutare i terzi, vale a dire: identità dell’impresa e dei suoi azionisti, eventuali condanne o procedimenti giudiziari, eventuali interazioni con il settore pubblico, conflitti di interesse, forte dipendenza economica, scarsa competenza del prestatore di servizi, mezzi di pagamento inadeguati, insediamento all’estero (…).

Le informazioni devono essere ottenute nel rispetto della normativa vigente. Esse devono essere analizzate e, sulla base del livello di rischio individuato, l’impresa deve decidere se:

• Approvare la relazione con i terzi (con o senza misure rafforzate di vigilanza)
• Terminare la relazione con i terzi o decidere di non impegnarsi con loro fin dall’inizio
• Rinviare il processo decisionale perché mancante di informazioni essenziali

La valutazione dei terzi deve essere ripetuta periodicamente poiché l’ambiente nel quale si svolge la relazione con il partner può evolvere. Per questa ragione, è utile che l’impresa fissi fin dall’inizio del rapporto con i terzi le modalità e la frequenza dei controlli e delle valutazioni tenendo conto del profilo di rischio del partner.

La sezione relativa al rilevamento dei rischi è dedicata alle due seguenti tematiche: 1. Segnalazioni di irregolarità (whisteblowing), 2. Controllo interno, compreso il controllo contabile.

Segnalazioni di irregolarità: l’AFA ricorda che, in conformità dell’articolo 17-II, paragrafo 2, della legge Sapin II, l’impresa è tenuta ad attuare «un dispositivo di allarme interno destinato a permettere la raccolta delle segnalazioni provenienti da dipendenti e relative all’esistenza di condotte o situazioni contrarie al codice di condotta».

L’attuazione di questo dispositivo permette all’impresa di raccogliere segnalazioni di comportamenti contrari al Codice di condotta anticorruzione, al fine di porvi fine e di adottare, se del caso, le sanzioni appropriate.

Il sistema di segnalazione interna è quindi un elemento cruciale del dispositivo di conformità anticorruzione, in quanto costituisce una fonte di informazioni per l’organo di gestione su situazioni potenzialmente a rischio di corruzione. Esso deve essere facilmente accessibile ai dipendenti e ai collaboratori esterni dell’impresa e garantire l’anonimato di questi ultimi.

L’AFA rafforza in particolare le esigenze di formalizzazione della procedura di segnalazione interna, che deve precisare in particolare: le varie tappe da seguire per effettuare una segnalazione, le modalità di trattamento delle segnalazioni, il diritto delle persone che eseguono una segnalazione (in particolare diritto relativo alla loro protezione) e le misure di sicurezza e di conservazione dei dati personali.

Il controllo interno: l’articolo 17 della legge Sapin II impone alle imprese assoggettate di istituire misure di controllo contabile, e di rafforzare il sistema di controllo e di valutazione interna delle misure e delle procedure che compongono il dispositivo anticorruzione.

Le imprese – ricorda l’AFA – sono generalmente dotate di un dispositivo di controllo interno basato sulle tre linee di difesa e organizzato secondo lo schema seguente:

• I controlli di primo livello mirano a garantire che i compiti inerenti ad un processo operativo o di supporto siano stati effettuati conformemente alle procedure dell’impresa
• I controlli di secondo livello mirano a garantire, con una frequenza predefinita, la corretta esecuzione dei controlli di primo livello
• I controlli di terzo livello effettuati dall’audit interno mirano a garantire che il dispositivo di controllo sia conforme alle esigenze dell’impresa, efficacemente attuato e aggiornato.

L’AFA insiste molto sul fatto che il sistema di controllo interno deve essere rafforzato – in modo da coprire le situazioni a rischio identificate dalla cartografia dei rischi di corruzione – e deve essere adattato ai rischi identificati.

Per quanto riguarda i controlli contabili, l’AFA sottolinea che l’articolo 17 della legge Sapin II dispone che tali controlli hanno lo scopo di «assicurarsi che libri, registri e conti non siano utilizzati per mascherare fatti di corruzione e di traffico di influenza».

I controlli contabili fanno parte del sistema di controllo interno. L’AFA invita, dunque, l’organo di gestione a garantire che il suo dispositivo di controllo interno abbia carattere generale e includa anche i controlli contabili anticorruzione.

E in particolare, insiste anche sul fatto che l’impresa deve dotarsi di una procedura formalizzata in materia di controlli contabili, che deve precisare i punti seguenti:

• Oggetto e ambito dei controlli contabili
• Ruoli e responsabilità nell’attuazione dei controlli contabili di livello 1, 2 e 3 livello
• Definizione di un piano di controllo che può comprendere, secondo i livelli di rischio individuati, controlli sistematici e controlli a rotazione, nonché la loro temporalità
• Modalità di gestione delle anomalie.

In definitiva, se correttamente applicati, i controlli contabili anticorruzione permettono di dare una garanzia ragionevole che l’impresa ha adottato tutte le misure necessarie per gestire i rischi evidenziati dalla cartografia dei rischi di corruzione.

gp@giovannellapolidoro.com

———————————–

[1] v. AFA « Guide pratique anticorruption à destination des PME et des petites ETI »