Le componenti del Modello 231

Il Modello di Organizzazione, Gestione e Controllo 231 si compone dei seguenti elementi:

- una Parte Generale che comprende misure organizzative e di controllo trasversali ai processi gestionali che riguardano l’azienda nel suo complesso e comprende:

- il Codice Etico che rappresenta le fondamenta su cui si basa il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/01.30

Si tratta di un documento ufficiale che deve essere approvato dal massimo vertice dell’Ente. Esso contiene l’insieme dei diritti, doveri e responsabilità nei confronti degli stakeholder e raccomanda, promuove o vieta determinati comportamenti. In ottica 231, il documento si concentra sui comportamenti rilevanti ai fini del Decreto; le linee guida suggeriscono di strutturare una Parte Generale relativa ai reati dolosi ed una Parte Specifica relativa ai reati colposi e, in base al rischio specifico di commettere un certo reato, introdurre principi etici mirati.

Per quanto concerne la Parte Generale del Codice Etico, le linee guida individuano i seguenti requisiti minimi: una premessa che fornisca una definizione di codice etico, la missione e la visione etica; i destinatari e l’ambito di applicazione per individuare chi è soggetto a conformare i propri comportamenti a quanto previsto dal Codice, i principi etici che determinano quali aspettative degli stakeholder devono essere soddisfatte in via prioritaria e il livello di soddisfazione da garantire; le norme di comportamento e i rapporti con gli stakeholder al fine di evitare comportamenti opportunistici e contrari ai valori etici. Le norme di comportamento si sostanziano in divieti che corrispondono a proibizione di adottare determinati comportamenti e regole di comportamento che prescrivono il tipo di condotta alla quale conformarsi.

29

IRDCEC, Circolare n. 26 del 18 novembre 2011

32 All’interno del Codice sono presenti le procedure di attuazione, controllo e diffusione del codice stesso.

Le procedure e gli obblighi contenuti nel Codice Etico costituiscono obbligazioni contrattuali assunte dal prestatore di lavoro ai sensi dell’art. 2104 del codice civile. I principi inderogabili richiamati da Confindustria sono i seguenti: il rispetto di leggi e regolamenti in tutti i Paesi in cui esso opera; la tracciabilità delle operazioni, ossia che ogni operazione deve essere correttamente registrata, autorizzata, verificabile, legittima, coerente e congrua; i principi relativi al comportamento da tenere nei rapporti con la Pubblica amministrazione e gli enti concessionari di pubblico servizio ed i relativi dipendenti. Qualora nei rapporti con la Pubblica Amministrazione l’ente si faccia rappresentare da soggetti “terzi” dovrà comunque essere verificata l’assenza di conflitti di interesse.

Con riferimento ai reati colposi, nel Codice Etico dovranno essere inseriti la politica aziendale relativa alle materie della salute e sicurezza sul lavoro e ambientale, i principi specifici relativi alle materie della salute e sicurezza dei luoghi di lavoro e in questo caso occorre fare riferimento al D.Lgs. 81/08 che regolamenta la materia e l’impegno a rispettare la normativa ambientale e ad adottare misure preventive per evitare o minimizzare l’impatto ambientale.

Il Codice Etico potrà assumere una struttura articolata in tre sezioni: principi etici generali, regole di comportamento etico e norme di attuazione;

- il sistema disciplinare: è un altro aspetto fondamentale per ottenere l’efficacia esimente del modello. Infatti, il Modello deve essere non solo presente, ma anche efficacemente attuato.

Tale sistema deve essere formalizzato per scritto nel codice disciplinare, deve contenere le sanzioni per il mancato rispetto delle misure organizzative indicate nel Modello e deve essere applicato sia rispetto ai soggetti apicali sia rispetto ai subordinati.

Tele sistema deve avere finalità preventive e si considera efficace quando è in grado di far emergere e sanzionare comportamenti prodromici al reato.

Il sistema può comprendere meccanismi premianti per chi segnala comportamenti devianti e anomalie (ad esempio il whistleblowing che offre una tutela legale ai dipendenti che effettuano segnalazioni). L’esercizio del potere disciplinare deve

33 osservare i principi di proporzione rispetto all’atto contestato e di contraddittorio con il soggetto interessato per consentirgli di addurre le proprie giustificazioni.

Con riferimento ai lavoratori subordinati, il sistema sanzionatorio deve essere configurato nel rispetto dell’art. 7 dello Statuto dei lavoratori, da cui deriva il principio di tipicità delle violazioni e delle sanzioni, e deve essere coordinato con le disposizioni contenute nel CCNL applicato. Per ciò che riguarda la tipicità delle violazioni, è necessario procedere ad un’adeguata pubblicità inserendole all’interno del codice disciplinare e mediante affissione del codice in bacheca.

Il sistema sanzionatorio deve inoltre includere le violazioni degli obblighi di cui all’art. 20 del D.Lgs. 81/08 sulla sicurezza ed e’ opportuno che tali obblighi siano richiamati nel codice di comportamento.

Con riferimento ai soggetti apicali, cioè a coloro che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o esercitano, anche di fatto, poteri di gestione e controllo potranno essere commisurate sanzioni quali il richiamo in forma scritta, la sospensione temporanea e la decadenza o la revoca dalla carica ricoperta.

Per gli amministratori il sistema disciplinare si può integrare con le azioni di responsabilità ed altri strumenti previsti dal codice civile.

Il sistema disciplinare deve riguardare anche i soggetti esterni con i quali l’azienda intrattiene rapporti quali, ad esempio, i fornitori, i consulenti, i partner e i collaboratori esterni.

Questi soggetti dovranno essere portati a conoscenza del Modello 231 e del Codice etico e dovranno prenderne visione e impegnarsi al rispetto delle prescrizioni in essi contenute e ad astenersi dal porre in essere comportamenti che possano integrare una delle fattispecie dei reati presupposto 231. Tale impegno dovrà risultare da apposita clausola inserita nel contratto.

In caso di violazione di tali impegni, sarà possibile applicare le sanzioni quali ad esempio la diffida al puntuale rispetto del modello, l’applicazione di una penale o la risoluzione del contratto al fine di scongiurare le ipotesi di concorso nel reato.

Dovranno inoltre essere specificate le procedure di applicazione delle sanzioni che regolamentino aspetti tra i quali la modalità di acquisizione della notizia dell’illecito disciplinare, e i soggetti preposti all’accertamento dell’illecito e all’applicazione delle sanzioni, i parametri ai quali fare riferimento per la commisurazione della

34 sanzione; l’esecuzione della sanzione con indicazione dei soggetti incaricati e delle regole di applicazione31;

- un sistema organizzativo formalizzato e chiaro in cui siano individuate le attribuzioni di responsabilità, le linee di dipendenza gerarchica e la descrizione dei compiti con previsione di principi di controllo quali la contrapposizione di funzioni; i principi di trasparenza, verificabilità e inerenza all’attività aziendale. Utili strumenti possono essere organigrammi, mansionari, job description ecc.. Per quanto attiene la materia della sicurezza, il D.Lgs. 81/08 individua una cornice per l’attribuzione di ruoli e responsabilità all’interno dell’organizzazione aziendale entro la quale occorre attenersi: definisce le figure del Datore di Lavoro, del Dirigente, del Preposto, del Responsabile Servizio di prevenzione e protezione ecc…e disciplina la delega di funzioni. Devono essere assicurati la presenza di competenze tecniche adeguate e i poteri necessari per poter gestire e controllare il rischio in materia di salute e sicurezza sul luogo di lavoro. I compiti e le responsabilità devono essere definiti formalmente. E’ opportuno che siano formalizzate anche le disposizioni per l’individuazione delle responsabilità del rispetto della normativa ambientale e per la gestione operativa di tali aspetti;

- le procedure manuali ed informatiche che devono regolamentare le attività prevedendo adeguati punti di controllo e la separazione dei compiti fra coloro che svolgono fasi cruciali di un processo a rischio in quanto strumento di particolare efficacia. Nessun soggetto dovrebbe gestire in autonomia un intero processo, bensì questo dovrebbe essere scomposto in attività da suddividere tra più attori. Per tale motivo la struttura delle procedure aziendali dovrebbe garantire la separazione tra le fasi di: - decisione - autorizzazione - esecuzione - controllo - registrazione e archiviazione delle operazioni riguardanti le diverse attività aziendali, con specifico riferimento a quelle ritenute maggiormente sensibili, ovvero soggette a un elevato rischio reato. In tale ambito particolare attenzione dovrà essere dedicata alla gestione delle risorse finanziarie, al fine di definire procedure che garantiscano una trasparente e corretta gestione della liquidità dell’Ente. La cattiva gestione delle risorse finanziarie può rivelarsi strumentale alla commissione di alcuni reati- presupposto sanzionati pesantemente, quali la corruzione, la concussione, il

35 riciclaggio, l’autoriciclaggio, ecc.. Di conseguenza, è opportuno che il Modello preveda apposite procedure tese a stabilire soglie di importo, meccanismi di firme abbinate, deleghe formali per i rapporti bancari e i pagamenti e tutti i presidi necessari alla riduzione dei rischi in quest'ambito. 32 Inoltre, con riferimento ai reati colposi, per la prevenzione dei reati in materia di salute e sicurezza sul lavoro e ambientale deve essere previsto un sistema di controllo che si vada ad integrare con la gestione operativa e con i presidi implementati in tali ambiti e che tenga conto delle possibili sinergie;

- i poteri autorizzativi e di firma che devono essere formalizzati e raccolti in un sistema coerente che comprenda deleghe e procure. Il CNDEC suggerisce di strutturare vere e proprie “schede di evidenza”, vale a dire documenti e format da compilare al fine di effettuare un matching tra le attività svolte e i poteri attribuiti, oltre a conferire tracciabilità alle operazioni effettuate. Esempi significativi sono i rapporti con gli enti pubblici, la partecipazione a gare di appalto, la gestione di ispezioni o verifiche, il processo di formazione del bilancio. L'individuazione del sistema di deleghe esistente (meccanismi di firme incrociate, particolari percorsi autorizzativi per operazioni sensibili per tipologie o importi e così via). e la sua revisione assumono un’importanza fondamentale al fine di aumentarne l’efficacia quale meccanismo di contrasto di eventuali fenomeni anomali;

- comunicazione al personale e sua formazione.

Per ciò che concerne questa componente, deve essere sottolineato che una effettiva e concreta formazione ed informazione sono centrali rispetto all’efficace attuazione del modello organizzativo: infatti, il modello potrà esplicare concretamente la propria funzione preventiva solo nel caso in cui ogni suo destinatario sappia esattamente quale condotta tenere in presenza di una determinata situazione” 33

La comunicazione deve riguardare non soltanto il codice etico, ma anche gli altri strumenti quali la struttura organizzativa, le procedure, i poteri autorizzativi e flussi di informazione e deve essere capillare, efficace ed autorevole; i destinatari sono sia i soggetti interni sia quelli esterni all’azienda.34 L’ampiezza e il grado di dettaglio del

32

CNDCEC, Principi di redazione del Modello di Gestione, organizzazione e Controllo ex D.Lgs. 231/01, 2016

33 _{Circ. GdF n. 83607/2012} 34

36 flusso variano a seconda dei destinatari. La comunicazione è di solito limitata alla parte generale del Modello ed al Codice Etico se riferita ai soggetti esterni all’azienda, ed estesa a parti speciali e protocolli specifici se rivolta ai soggetti interni. La comunicazione del Modello verso l’esterno indirizzata agli stakeholder e volta a migliorare l’immagine dell’organizzazione, può avvenire per mezzo di pubblicazione sul sito Internet, se il riferimento è alla comunicazione interna, si può ricorrere alla pubblicazione del modello anche sulla intranet aziendale, all’esposizione nelle bacheche aziendali, alla consegna anche in cartaceo al momento dell’assunzione o in occasione di specifiche attività formative. La comunicazione deve essere di norma tracciabile; è opportuno acquisire una specifica attestazione di ricevuta da parte del destinatario, tale da dare evidenza di quanti siano stati effettivamente raggiunti, nonché da lasciare traccia dell’attività di comunicazione effettuata.

Per quanto riguarda la prevenzione dei reati colposi in materia di D.Lgs. 81/08, (es. RLS, medico competente) devono essere previste consultazioni e riunioni periodiche tra le varie figure previste dal decreto per la gestione di alcuni aspetti alle quali dovrebbe poi seguire la diffusione di informazioni all’interno dell’organizzazione;

- La formazione 35deve essere modulata in funzione del livello dei destinatari. La formazione dell’organo amministrativo, del collegio sindacale, dell’organismo di vigilanza e dei responsabili di funzione deve avvenire a cura di chi ha progettato il modello, mentre la formazione degli altri soggetti sarà di competenza del Responsabile Risorse Umane in cooperazione con l’Organismo di vigilanza. Deve essere pianificato il contenuto dei corsi di formazione, le modalità di effettuazione dei corsi, deve essere previsto l’obbligo di partecipare, i controlli di frequenza e la verifica di apprendimento. L’obiettivo della formazione è portare a conoscenza dei destinatari che un determinato tipo di comportamento in violazione delle procedure stabilite può dar luogo a sanzioni disciplinari da parte della società e ad un illecito perseguibile in sede giudiziaria che può mettere a rischio l’azienda stessa e che le deviazioni dalle procedure e dai comportamenti consentiti sono condannati dall’ente

35

Ghini P., La formazione sul Modello 231: contenuti e metodi per garantire effettività e concretezza, 2015

37 in quanto in contrasto con le disposizioni legislative e contrari ai valori etici fondanti dell’azienda.

È possibile distinguere tra contenuti di base, contenuti specifici, contenuti “a richiesta”.

I contenuti di base afferiscono, normalmente, alle tematiche cosiddette “istituzionali”, ossia il Codice Etico, il sistema disciplinare, le modalità, il contenuto e finalità delle segnalazioni all’Organismo di Vigilanza. La formazione su tali contenuti è destinata alla gran parte dell’organizzazione aziendale, se non alla sua totalità, senza sostanziali differenziazioni. Ai destinatari esposti a rischi-reato devono invece essere somministrati ulteriori contenuti specifici afferenti alle caratteristiche del reato, alle relative modalità di commissione, ai presidi implementati in azienda ai fini preventivi, agli specifici flussi informativi previsti. E’ opportuno che anche ai ruoli dirigenziale siano erogati, oltre alla formazione di base, contenuti specifici, legati sia alle possibili criticità aziendali sia ai potenziali profili problematici dei processi decisionali.

Infine, i contenuti ”a richiesta” possono essere sviluppati in situazioni particolari (ad esempio in occasione di modifiche normative od organizzative) oppure su impulso dell’Organismo di Vigilanza, qualora, nello svolgimento della sua attività, ravvisi l’opportunità di approfondire le conoscenze dei destinatari su tematiche generali o specifiche. La qualità del materiale utilizzato, quale che sia il contenuto del processo di formazione è rilevante e deve essere monitorata.

Deve essere prevista specifica formazione anche per i reati colposi in materia di sicurezza e ambiente.

- sistema di controllo integrato: deve considerare tutti i rischi di commissione dei reati presupposto e essere in grado di segnalare tempestivamente situazioni di criticità generale e/o particolare.

Perciò è necessario impostare un piano di monitoraggio delle misure tecniche, organizzative e procedurali adottate per verificare il corretto funzionamento e garantire che il modello organizzativo sia costantemente aggiornato e adeguato, individuare indicatori per le singole categorie di rischio e processi di valutazione del

38 rischio interni alle singole funzioni aziendali. Tale sistema include anche il controllo di gestione.36

Il CNDEC ritiene che, al fine di verificare i principi di dinamicità ed efficace attuazione individuati dallo stesso Consiglio nel già citato documento redatto nel giugno 2016, l’approccio proposto da Deming, molto diffuso nell'ambito dei Sistemi di Gestione per la qualità, vale a dire il ciclo PDCA (Plan - Do - Check - Act), possa risultare di grande interesse come framework di base. Tale modello prevede che la gestione dei processi organizzativi, il miglioramento continuo e la riduzione dei rischi avvengano secondo un'azione basata sulla ripetizione di un ciclo composto da quattro fasi: pianificazione, attuazione, controllo e retroazione.

L’aggiornamento del modello è un compito specificatamente attribuito all’Organismo di Vigilanza e può rendersi necessario in diverse circostanze, tra cui eventuali modifiche normative: un ampliamento del catalogo dei reati-presupposto o delle relative sanzioni può modificare il profilo di rischio di alcuni processi o il coinvolgimento di alcune aree aziendali, imponendo, di conseguenza, un aggiornamento del Modello; variazioni nella struttura organizzativa della Società o delle modalità di svolgimento delle attività d'impresa che siano significative, ossia determinino un mutamento del profilo rischio di commissione dei reati, con un impatto diretto sul sistema di controllo interno.

In sintesi, un possibile schema di Modello di organizzazione, Gestione e Controllo sarà composto da:

- una parte generale che fornisce un quadro sintetico della normativa di riferimento del catalogo dei reati e relative sanzioni, obiettivi e funzioni del modello, principi ispiratori, caratteristiche e ruolo dell’ODV, modalità di divulgazione del modello, attività di formazione obbligatoria;

- una parte speciale che si compone di una parte introduttiva in cui viene descritta la situazione dell’azienda, la valutazione del sistema di controllo interno ed la valutazione del rischio che comprende la mappatura e l’identificazione delle attività a rischio, la valutazione del rischio in relazione alle fattispecie di reato, l’elaborazione della mappa di posizionamento dei rischi, la as-is analysis e gap analysis suddivise in sezioni per ciascuna categoria di reato da analizzare.

39 All’interno di ciascuna sezione speciale sono indicati i reati ipotizzabili, le funzioni coinvolte, le modalità di commissione del reato, le procedure di controllo specifiche volte e a evitare o ridurre il rischio che l’illecito possa accadere.37

- gli allegati: il codice etico, il sistema disciplinare e il regolamento dell’Organismo di Vigilanza.38

Nel caso in cui l’impresa sia dotata di un sistema di gestione (ISO 9001, ISO 14001 o EMAS, OHSAS 18001, Privacy) o di più sistemi integrati, risulterà opportuno procedere all’integrazione tra Procedure 231 e Procedure del Sistema di gestione Integrato in modo da includere tutte le procedure, le istruzioni, la documentazione comunque emessa dalla Società nel Modello 231.

Le linee guida redatte da Confindustria individuano inoltre i seguenti principi di controllo da osservare nella definizione dei contenuti del Modello:

- ogni operazione, transazione e azione deve essere: verificabile, documentata, coerente e congrua”: per ogni operazione si deve poter procedere all’effettuazione di controlli e deve essere possibile verificare la motivazione dell’operazione. Deve essere individuato chi ha autorizzato, effettuato, registrato e verificato l’operazione stessa. Devono essere adottate le misure per ridurre al minimo il rischio di perdita di dati;

- nessuno può gestire in autonomia un intero processo: separazione di funzioni, chi autorizza deve essere soggetto diverso da chi contabilizza, esegue o controlla l’operazione;

- I controlli devono essere documentati: il sistema di controllo dovrebbe prevedere un sistema di reporting adatto a documentare l’effettuazione e gli esiti dei controlli, anche di supervisione.

Il modello 231 deve, quindi, essere personalizzato e calato nella realtà di ogni singolo ente per poter essere considerato idoneo alla prevenzione e vedersi riconosciuta

37 _{G. Di Nuzzo, R.Borsari, F.Bencini, V.e F. Ferragina, 2007, responsabilità delle persone giuridiche e}

modelli organizzativi Il D.Lgs. 231/01, Il Sole 24 Ore

38

40 l’efficacia esimente che presenta sempre un’alea di incertezza in quanto soggetta alla discrezionalità del giudice.39

Tra i provvedimenti giurisdizionali che si sono espressi sull’idoneità e l’efficacia esimente dei Modelli, l’ Ordinanza cautelare del Giudice per le indagini preliminari del Tribunale di Milano dott.ssa Secchi depositata il 9 novembre 2004, nota come “Decalogo 231”, individua in maniera puntuale i requisiti che il Modello deve tassativamente rispettare:

1) il Modello deve essere adottato dopo una identificazione dei rischi di reato specifica ed esaustiva e non semplicemente descrittiva e ripetitiva della norma;

2) il Modello deve prevedere che i componenti dell’Organo di Vigilanza siano in possesso di capacità specifiche sia in tema di attività ispettiva e che di proposizione; 3) il Modello deve prevedere, per i componenti dell’OdV, quale causa di

incompatibilità, la sentenza di condanna, o di patteggiamento non irrevocabile, non solamente per i reati previsti dal d.lgs 231/01;

4) il Modello deve precedere una formazione specifica per i dipendenti nella loro generalità, per i dipendenti che operino in specifiche aree di rischio, per l’Organo di Vigilanza e per i preposti al controllo interno;

5) il Modello deve prevedere, per quanto riguarda i corsi di formazione, il controllo della loro frequenza e la qualità sul contenuto dei programmi, oltre l’obbligatorietà della partecipazione;

6) il Modello deve prevedere espressamente sanzioni disciplinari nei confronti degli amministratori, direttori generali e più in generale dei “soggetti apicali” che per negligenza o imperizia non abbiano individuato, e conseguentemente eliminato, violazioni al modello e, nei casi più gravi, compimento di reati.

7) il Modello deve prevedere procedure in grado, in presenza di particolari circostanze,