Analisi e disegno del modello di organizzazione, gestione e controllo

modello; è evidente che valutazioni errate in questa prima fase possono comprometterne la validità e l’efficacia. È quindi necessario effettuare delle attente analisi sia del contesto ambientale sia del contesto interno in cui l’azienda si trova ad operare, al fine di esprimere un giudizio su aspetti quali i reati potenziali, i sistemi di controllo eventualmente presenti all’interno dell’organizzazione e le azioni necessarie alla neutralizzazione dei rischi derivanti dai possibili reati individuati. Analisi e disegno del modello di organizzazione, gestione e controllo Attività di vigilanza, aggiornamento e maintenance del modello Definizione dei protocolli e implementazione del modello

60

L’analisi del contesto aziendale

Per prima cosa occorre avere una “fotografia” della struttura organizzativa della società in questione, in modo da circoscrivere l’area di intervento. Pertanto, ai fini della costruzione di un modello di organizzazione, gestione e controllo, è necessaria una fase di check-up, in cui si va a conoscere la realtà aziendale attraverso lo studio del settore di attività, dell’organizzazione aziendale, dei suoi obiettivi, strategie e risorse.

Dovranno perciò essere note una serie di informazioni generali, tra le quali quelle riguardanti:

 il core business aziendale, cioè l’insieme delle principali attività svolte dall’ente;

 le dimensioni aziendali, in termini di personale impiegato, numero di stabilimenti, mercati operanti, fatturato;

 i rapporti con la pubblica amministrazione, eventuali o abituali;  il sistema di governance adottato;

 l’eventuale appartenenza a gruppi nazionali o internazionali, al fine di valutare influenze nell’attività operativa ordinaria e nella strategia aziendale.

A tale scopo conoscitivo saranno analizzati alcuni tra i principali indicatori documentali quali l’atto costitutivo, lo statuto, le copie degli ultimi bilanci redatti, i contratti conclusi con i più importanti clienti/fornitori, e così via.

Sarà utile valutare anche le procedure già esistenti in materia di ambiente, sicurezza sul lavoro e qualità di processo; a tal fine saranno analizzate documentazioni quali eventuali certificazioni di qualità, manuali di qualità, documento di valutazione dei rischi ex d.lgs. 81/2008, eventuali certificazioni in materia di sicurezza e salute sul lavoro; questo perché il modello in esame spesso va ad affiancarsi ad altri sistemi di prevenzione e gestione dei rischi già presenti nell’organizzazione aziendale.

Dovrà poi essere approfondita la documentazione inerente alla struttura organizzativa, in particolare:

61

 il manuale organizzativo: è il documento che rappresenta la situazione organizzativa dell’ente, indicando con precisione le funzioni e i soggetti responsabili. Si tratta di uno strumento dinamico, che deve essere aggiornato ogni qualvolta l’azienda sia interessata da cambiamenti che modificano in maniera significativa aspetti organizzativi41_.

Indispensabile è la conoscenza approfondita dei processi aziendali; infatti, l’ente che intende dotarsi di tale modello di organizzazione, gestione e controllo deve identificare e mappare tutti i processi aziendali.

 l’organigramma: è il documento che contiene la rappresentazione grafica dell’organizzazione aziendale e da cui si desumono la connessione fra organi funzionali e sociali, le linee di responsabilità e di autorità e i meccanismi di coordinamento.

 il mansionario (o job-description): è il documento nel quale, per ogni figura aziendale dotata di responsabilità, vengono specificate competenze, scopo della posizione, responsabilità e sistema relazioni interne ed esterne.

 il sistema delle deleghe e delle procure: si tratta di due atti con cui viene traferito un potere da una funzione ad un’altra di livello gerarchico inferiore. Si parla di delega quando il trasferimento di potere avviene internamente attraverso una decisione dell’organo amministrativo, mentre in caso di atto notarile si parla di procura.

È importante che l’azienda costruisca e formalizzi il cosiddetto “albero delle deleghe/procure”, in modo da rendere chiari i sistemi di trasferimento di potere e i limiti di spesa attribuiti a ciascun delegato.

 le procedure aziendali: sono documenti predisposti per far rispettare determinate modalità di gestione e svolgimento delle attività aziendali. Gli strumenti appena visti sono utili alla determinazione dei processi aziendali e rappresentano il punto di partenza per l’individuazione delle attività a rischio reato.

41 _{L’adozione del modello di organizzazione, gestione e controllo di cui al d.lgs. n. 231/2001}

potrebbe generare cambiamenti a livello organizzativo tali da portare l’organo dirigente a proporre modifiche dell’organigramma e di conseguenza del manuale organizzativo.

62

La fase di check-up illustrata costituisce quindi la fase preparatoria alla mappatura dei rischi di commissione dei reati di cui al d.lgs. 231/2001.

La mappatura delle aree di rischio

Una volta delineato lo spazio operativo dell’organizzazione, si vanno ad individuare le aree che, più di altre, sono “sensibili” alla commissione dei reati per i quali l’azienda potrebbe essere chiamata a rispondere ex d.lgs. 231/2001. A tal fine, è necessario effettuare un’analisi che prevede un duplice focus: da un lato si vanno ad analizzare le caratteristiche del mercato in cui l’azienda opera in modo da individuare gli elementi esterni che possono costituire una minaccia per l’operato della stessa; dall’altro lato occorre porre l’attenzione sui processi e le procedure interne. Ciò significa che, una volta determinati i fattori di rischio esogeni ed endogeni42_{, saranno identificati:}

 le aree di attività “sensibili” alla commissione dei reati, cioè quelle attività nel cui ambito potrebbero crearsi le occasioni per la realizzazione dei comportamenti illeciti che costituiscono reato ai sensi del d.lgs. 231/2001;  i processi strumentali alla realizzazione dei suddetti reati, cioè quei processi

che potrebbero presentare le condizioni idonee alla commissione dei comportamenti illeciti.

Di seguito si riporta un esempio in cui si individuano alcune aree aziendali che presentano un elevato rischio di commissione dei reati ex d.lgs. 231/2001:

42 _{L’attività di impresa è caratterizzata da fattori di rischio, i quali possono influire sul}

raggiungimento degli obiettivi, e che possono essere distinti in esogeni e endogeni. I fattori di rischio esogeni sono quelli che vanno ricercati esternamente all’attività aziendale; quelli endogeni, invece, corrispondono a fenomeni che hanno origine all’interno dei processi aziendali, produttivi e decisionali. Tra i fattori di rischio endogeni possiamo poi distinguere tra fattori oggettivi e soggettivi: i primi sono riconducibili alla tipologia di attività aziendale e al suo assetto organizzativo e produttivo; i secondi si collegano invece alla sfera dei comportamenti individuali.

63

Fattispecie di reato Aree/attività aziendali a

rischio Reati commessi contro la Pubblica

Amministrazione:

Corruzione per un atto d’ufficio (art. 318 c.p.) Istigazione alla corruzione (art. 322 c.p.) Concussione (art. 317 c.p.) …  Ufficio Appalti  Amministrazione  Componenti CdA  Finanza e tesoreria  Ufficio Acquisti  Ufficio Vendite Reati societari:

False comunicazioni sociali (art. 2621 c.c.) Impedito controllo (art. 2625, c. 2, c.c)

Formazione fittizia del capitale (art. 2632 c.c) …  Amministrazione  Componenti organi sociali  Finanza e tesoreria  Ufficio legale

Omicidio colposo e lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro: Omicidio colposo (art. 589 c.p.)

Lesioni personali colpose (art. 590 c.p.)

 Tutte le aree

Come si evince dalla tabella, è possibile individuare le aree e le attività a rischio partendo dalle fattispecie di reato. L’azienda è comunque libera di individuare aree di rischio in cui è possibile commettere tipologie di reato diverse rispetto a quelle previste dal d.lgs. in esame. Il modello, infatti, può essere utilizzato per perseguire anche politiche di efficienza dell’organizzazione aziendale.

Le attività individuate nella tabella possono poi essere ulteriormente scomposte in più sottoprocessi; ad esempio, nella macro-area “Amministrazione”, possiamo

64

individuare le attività relative all’ “Ufficio del personale”, all’ “Ufficio contabilità”, all’ “Ufficio Controllo di gestione”.

Una volta individuate le aree a rischio, sarà opportuno approfondire l’analisi mediante la somministrazione di questionari informativi ai responsabili.

Di seguito si riporta un esempio riguardante la selezione del personale, area ritenuta a rischio perché attraverso le assunzioni possono essere commessi reati nel caso in cui le stesse costituiscano occasione di “scambi di favore” con soggetti appartenenti alla pubblica amministrazione.

QUESTIONARIO SI NO Altro Note

1 Esiste una procedura specifica per la selezione del personale da assumere?

2 Se la risposta alla precedente domanda è positiva, l’azienda formalizza nella procedura i criteri di selezione utilizzati? 3 Vengono conservati i verbali

relativi ai colloqui di selezione in modo da garantirne la tracciabilità nel tempo? 4 Vengono coinvolte più figure

aziendali nelle fasi di selezione per l’assunzione del personale?

65

Per ogni area definita come a rischio reato dovrà essere poi individuata la funzione responsabile coinvolta.

ATTIVITA’ INDICARE QUALI PERSONE

SVOLGONO LE SEGUENTI FUNZIONI  Ricezione e archiviazione curriculum vitae  Colloqui di presentazione e selezione

 Individuazione delle necessità aziendali in termini di personale

 Scelta del candidato da

assumere

 Scelta della tipologia di contratto

 ecc…

La valutazione del rischio

Una volta identificati i rischi, si procede alla loro valutazione al fine di determinare quando un rischio possa essere considerato sostenibile e quindi accettato dall’ente. In generale, un rischio può essere ritenuto accettabile quando i costi aggiuntivi relativi alle attività di controllo risultano essere maggiori della perdita attesa che l’azienda subirebbe in caso di realizzazione dell’evento rischioso. Per quanto riguarda i sistemi di controllo da costruire ai fini del d.lgs. 231/2001, però, la logica economica del costo, per quanto elemento da tenere in considerazione, non risulta essere l’unico fattore. Nel documento di Confindustria viene quindi definita una soglia di accettabilità che, nei casi di reati dolosi, è rappresentata da un sistema di prevenzione tale da non poter essere aggirato se non intenzionalmente43_.

43 _{In linea con la logica dell’elusione fraudolenta del modello organizzativo quale esimente}

prevista dal d.lgs. 231/2001, il modello è ritenuto idoneo per sollevare l’ente da responsabilità nel caso in cui i dipendenti commettano il reato non per errore o per ignoranza delle direttive aziendali, ma per la specifica volontà di commettere l’illecito e di aggirare le prescrizioni aziendali adottate per prevenire la commissione dello specifico reato.

66

Dunque, l’obiettivo principale dell’analisi è quello di identificare le tipologie di reati che potenzialmente possono essere commessi nell’interesse e a vantaggio della società, determinando rispetto a quali l’azienda si ritiene a basso o alto rischio. Ci saranno, infatti, reati la cui realizzazione, in concreto, pur non potendosi escludere completamente, risulterà più o meno probabile considerando la realtà operativa aziendale.

La fase di identificazione delle attività aziendali e successivamente delle aree in cui vi è il rischio di commissione reato non va effettuata una tantum, ma va ripetuta periodicamente.

La valutazione del rischio è effettuata mettendo in correlazione due dimensioni:  la probabilità che l’evento rischioso si verifichi;

 l’impatto provocato dall’evento.

Nel calcolo della probabilità dovrà essere stabilito un arco temporale di riferimento nel quale valutare il possibile verificarsi del rischio; la quantificazione dell’impatto potrà avvenire utilizzando vari parametri, ad esempio l’importo della sanzione amministrativa o il danno di immagine conseguente alla commissione del reato. La valutazione del rischio può essere fatta con le stesse metodologie utilizzate per l’identificazione delle aree a rischio, quindi, ad esempio, somministrando questionari ai direttori di funzione o ai livelli operativi.

La scala della probabilità può essere rappresentata da valori che vanno da 1 a 5 in base alla probabilità di accadimento dell’evento; ad esempio:

Probabilità Rischio Descrizione

1 Improbabile Se la possibilità che si verifichi va oltre

l’orizzonte triennale

2 Molto raro Se la possibilità che si verifichi è

circoscritta all’ambito di un triennio

3 Raro Se la possibilità che si verifichi è

67

4 Possibile Se la possibilità che si verifichi è

mensile

5 Frequente Se la possibilità che si verifichi è

settimanale

La scala dell’impatto può essere anche essa rappresentata da valori che vanno da 1 a 5, in base al danno potenziale che l’azienda subirebbe in conseguenza del verificarsi del fatto illecito; ad esempio:

Impatto Rischio Descrizione

1 Insignificante Il danno conseguente è quantificabile in

sanzione pecuniaria inferiore a 5.000 €

2 Minimo Il danno conseguente è quantificabile in

un trasferimento di personale in altra sede operativa

3 Sensibile Il danno conseguente è quantificabile

nella perdita di un cliente

4 Critico Il danno conseguente è quantificabile in

una lesione dell’immagine aziendale nei confronti del principale cliente

5 Minaccioso Il danno conseguente è quantificabile in

arresto con detenzione fino a 6 mesi

Partendo da queste valutazioni, è possibile costruire la cosiddetta matrice di significatività, in cui, dal prodotto tra probabilità e impatto, si definisce una scala di esposizione al rischio da parte dell’azienda.

68

Figura 3: matrice di significatività

Legenda:

Il grafico sopra riportato mostra il risultato della valutazione del rischio aziendale quale prodotto della probabilità che l’evento si verifichi per l’effetto che ne consegue. Dall’intersezione delle due dimensioni si ricava un giudizio complessivo sul rischio, che può essere giudicato basso, medio, alto.

Questa mappa è molto utile poiché consente ai manager di:

 avere una rappresentazione immediata del portafoglio dei rischi aziendali e giungere ad una determinazione sintetica del profilo di rischio complessivo;  definire le priorità di intervento, cioè capire su quali rischi agire prima;  analizzare le possibili risposte al rischio in funzione dei due diversi fattori,

probabilità e impatto, e avere un’idea sull’ammontare di risorse da impiegare nel processo di gestione del rischio.

As is analysis

Dopo aver analizzato le attività, l’organizzazione esistente e aver identificato e valutato i rischi aziendali, si giunge alla fase chiamata “As is analysis” (o “Gap analysis”). Una volta valutati i rischi a cui è soggetta l’azienda, si dovranno assumere decisioni circa i sistemi di controllo più appropriati da porre in essere; a

69

tal fine saranno presi in considerazione anche i sistemi di controllo già esistenti in azienda, quali il sistema di deleghe e procure, le procedure, i codici di autocontrollo o di comportamento, le attività svolte da organismi eventualmente già esistenti in azienda. Questa fase rappresenta quindi un quadro del rischio precedente all’implementazione del modello, ma anche una misurazione circa l’efficacia e l’efficienza dei sistemi di controllo preesistenti in azienda; questa analisi ci consente quindi di passare dal cosiddetto rischio lordo, cioè il rischio in assenza di controlli, al cosiddetto rischio netto (o residuo), cioè il rischio valutato considerando anche i controlli già esistenti in azienda.

A questo punto è possibile valutare il rischio reato; ad un gruppo di soggetti con specifiche competenze in materia viene richiesta una valutazione in termini di:

 probabilità del verificarsi del reato alla luce dei controlli già esistenti in azienda;

 importanza del reato, considerando l’entità delle conseguenze sia economiche che di immagine.

Di conseguenza, l’azienda deciderà se procedere con un intervento correttivo, nel caso di alta probabilità di verificarsi del reato e conseguenze rilevanti, oppure di accettare il rischio reato, considerando bassa la probabilità di accadimento e scarso l’impatto in termini di effetti conseguenti.

Le valutazioni appena viste pongono le basi per poter definire i protocolli di gestione e di controllo finalizzati a prevenire la commissione di reati all’interno delle attività considerate a maggior rischio. In genere, i sistemi di controllo si limitano a gestire i rischi valutati come alti, anche se in realtà niente impedisce ad un’azienda di abbassare la soglia di tollerabilità del rischio e, di conseguenza, di disegnare procedure di controllo anche per le attività considerate a rischio medio. Affinché l’attività di disegno delle procedure di controllo, volte a mitigare i rischi precedentemente individuati, sia efficace, deve coinvolgere i responsabili delle attività considerate rischiose. In pratica, l’obiettivo è quello di garantire l’esecuzione di processi che si auto-controllano, senza però appesantire la struttura organizzativa.

70

Nel documento L'implementazione del modello organizzativo 231. Il caso Sammontana (pagine 59-70)