Con un riferimento ad una teoria cara alla dottrina aziendalista, i controlli presenti in un’impresa possono essere classificati secondo una triplice categoria: di linea, o di primo livello (misurano il corretto svolgimento delle operazioni, e sono tendenzialmente lasciati agli stessi soggetti che operano nei vari settori, eventualmente ai capi funzione); di secondo livello, che si può scomporre in risk management (verifica dei metodi di misurazione del rischio, e dei paradigmi affidati ai responsabili delle singole funzioni), compliance (definizione dei metodi di rischio di conformità, individuazione delle più idonee procedure di prevenzione, monitoraggio per l’adozione), antiriciclaggio (si occupa di tracciare ed affrontare il rischio di realizzazione di questo specifico reato e di altri affini, secondo quanto disposto dalle leggi in materia), dirigenza preposta al controllo contabile (per la verifica della veridicità ed adeguatezza della informazione contabile societaria); di terzo livello, ovvero la funzione di internal audit (verifica che i controlli dei livelli inferiori siano conformi ai regolamenti ed alle procedure, e si accerta del complessivo funzionamento del sistema). Al vertice si trova l’organo investito del potere gestionale (tipicamente, il consiglio di amministrazione; eventualmente può essere individuato al suo interno un comitato per il controllo interno), che annovera tra i suoi compiti la sorveglianza sull’adeguatezza generale dell’assetto societario.
Occorre comprendere in che punto di questa gerarchia di controlli si collochi l’odv. Il tentativo di rispondere a tale quesito deve necessariamente muovere dall’oggetto delle sue attività di controllo. Esso deve sorvegliare i processi di gestione del rischio da reato ed i controlli di linea; disporre verifiche periodiche sulle attività, con particolare riguardo a quelle aree “a rischio”
all’interno dell’organizzazione; raccogliere dati circa il funzionamento del modello, avvalendosi anche delle relazioni dei capi-funzione dei singoli settori; vigilare che i protocolli siano adatti e costantemente aggiornati; verificare il corretto impiego dello strumento delle deleghe operative (in particolare, per assicurare una corrispondenza tra i compiti funzionali e i poteri effettivamente esercitabili); accertarsi, per esempio attraverso interviste e controlli a campione, del livello di conoscenza e comprensione del modello da parte del personale; valutare le segnalazioni di eventuali violazioni ed inosservanze dello stesso e verificarle direttamente, per esempio con attività di indagine interna; avanzare proposte alla funzione responsabile dei procedimenti disciplinari. All’inizio di ogni anno, viene elaborato un piano delle attività di verifica ed indagine, con particolare attenzione alla sorveglianza delle aree a rischio, ed ai controlli nei confronti dei responsabili funzionali; inoltre, il piano dovrà essere sensibile all’evoluzione del quadro legislativo e regolamentare ed ai cambiamenti dell’assetto interno all’ente.
Forse l’aspetto più interessante delle attività di quest’organo, gravido di conseguenze sul piano della responsabilità penale, è la limitazione delle sue funzioni: pur rivolgendosi, infatti, ad un oggetto assai ampio, la vigilanza non deve essere prodromica all’esercizio di un potere impeditivo sul piano gestionale, che esorbita dalle sue competenze. Una volta rilevati operazioni a rischio o irregolarità, infatti, il compito si esaurisce con la segnalazione ai responsabili gestionali292. Il controllo sull’efficacia del modello si declina nella ricognizione delle procedure che l’ente adotta per mappare aree, processi ed attività a rischio di commissione di illeciti. Inoltre, l’odv promuove la conoscenza del modello e delle sue prescrizioni all’interno dell’organizzazione, anche coordinandosi con i responsabili della formazione dei dipendenti; predispone e aggiorna le informazioni rilevanti per un’adesione alle regole di condotta che sia il più ampia e consapevole possibile293.
Si potrebbe quindi affermare che l’attività dell’organismo rientri nella vigilanza di terzo livello, e che mostri anche una certa affinità con la funzione di
292 C. PIERGALLLINI,2005.
internal audit, rilievo confermato dalla collaborazione che spesso si instaura tra i due per alcuni controlli specifici.
Per quanto attiene al finanziamento di tali attività, ogni anno il consiglio di amministrazione, o comunque l’organo che è titolare della gestione dell’ente, in sede di approvazione del bilancio, è tenuto a riservare alcuni fondi per l’organismo stesso. Tale destinazione non deve però essere intesa in senso vincolante: in caso si rendano necessarie delle attività straordinarie (o dirette contro gli amministratori che ben potrebbero non aver voluto finanziare l’organismo per disincentivare la sua azione), l’odv deve ritenersi legittimato, per adempiere al suo ruolo, a svolgerle (ed anche – per citare un esempio di attività che richiede un finanziamento separato – a rivolgersi a consulenti esterni), rimandando ad un momento successivo la giustificazioni di tali ulteriori spese.
Riprendendo il dettato normativo dell’art. 6, si potrebbero riassumere le attività di questo organismo in prerogative di azione, cioè “iniziative” (accesso ad informazioni sensibili, predisposizione di piani annuali di verifica, ispezioni interne, sollecitazione di ottemperanza alle raccomandazioni, etc.) e di monitoraggio, ovvero “controllo” (essenzialmente, raccolta di informazioni tanto a flusso continuo, quanto necessarie sulla base di alcuni avvenimenti e/o rischi rilevanti).
La necessità di ritoccare il modello può provenire dal riscontro di violazioni notevoli nell’applicazione del medesimo, dalla commissione di uno o più reati, da innovazioni legislative, da cambiamenti nell’assetto imprenditoriale e societario.
Il dato legislativo parla di “curare l’aggiornamento”, cioè di un’attività sospesa tra due possibili, opposte applicazioni: da un lato, la concreta attività di modifica (che sarebbe quindi condivisa con gli amministratori); dall’altro, una verifica ex post del loro operato. Una soluzione intermedia è quella di costituire un tavolo operativo che realizzi una sorta di co-gestione tra l’odv ed altri organi e funzioni dell’impresa: uno o più membri dell’organismo fornirebbero informazioni e suggerimenti di merito e di metodo ad altri soggetti (in ipotesi, delegati dell’organo amministrativo, membri della funzione di internal audit, compiance officer, etc.), mantenendo così, allo stesso tempo, un ruolo attivo ed una funzione preminente.