Alla luce di quanto sin qui riferito, è evidente l’importanza del ruolo svolto dall’Organismo di Vigilanza rispetto al Modello di Organizzazione e di Gestione e alla sua adeguatezza.
Quello che l’Organismo deve assicurare non è semplicemente la vigilanza sul funzionamento e sull’osservanza del Modello ma anche la documentazione puntuale di tale attività, della pianificazione, delle modalità di svolgimento e dei relativi esiti. In particolare, la pianificazione – anche degli interventi “a sorpresa” - va sviluppata tenendo conto del tipo di verifiche da effettuare (flussi informativi, singole aree a
rischio, formazione, ecc.), della diversa esposizione al rischio delle aree considerate, del coinvolgimento di altri organi o di altri funzioni nonché di professionalità esterne, delle risorse necessarie e delle informazioni possedute254. Ciò per quanto attiene all’attività dell’Organismo in un regime, per così dire, ordinario e dunque in ipotesi diverse da quelle che invece prevedono la gestione di situazioni straordinarie magari emerse a seguito di segnalazioni. L’oggetto della vigilanza è quindi rappresentato dai flussi informativi (rectius, dalla loro analisi eventualmente condotta attraverso gli approfondimenti ritenuti opportuni), dallo svolgimento di appositi audit nelle aree del Modello reputate sensibili, dal miglioramento (follow-up) delle criticità riscontrate e delle misure correttive esistenti, dallo stimolo apportato sia relativamente all’attività di formazione che a quella di aggiornamento del Modello, nonché dal reporting agli organi di controllo e governo della società.
Imprescindibile nel corso delle verifiche in parola è poi l’acquisizione delle informazioni da parte degli altri organi societari e delle altre funzioni preposte al controllo. Al fine di ottimizzare i monitoraggi ed evitare duplicazioni degli interventi è infatti utile che si programmino occasioni di interazione con la funzione Compliance, l’Internal Auditing, il Dirigente Preposto alla redazione dei documenti contabili
254 Secondo i risultati cui è pervenuta AODV231, Le verifiche dell’OdV: programmazione e
svolgimento, cit., p. 11, con riferimento agli interventi programmabili, nel determinare gli
ambiti e gli elementi oggetto di verifica ed approfondimento, nonché le relative priorità, può essere utile considerare: i contenuti del Modello, “da intendersi sia con riferimento alle Aree a
Rischio identificate sia alle misure di prevenzione ad esse associate (principi comportamentali e sistema dei controlli preventivi), nonché al più ampio sistema di prevenzione individuato nel Modello (formazione ed informazione, Codice Etico, sistema organizzativo, sistema dei poteri, ecc.), ciò al fine di assicurarne l’appropriata copertura”; gli esiti delle attività di Risk Assessment & Gap Analysis, “per una più approfondita comprensione delle Aree a maggior rischio, dello stato del disegno del sistema dei controlli, delle eventuali carenze ed opportunità di miglioramento nonché delle azioni correttive identificate e di cui monitorare l’effettiva e tempestiva implementazione”, gli esiti e le tempistiche di eventuali verifiche precedenti, “al fine di dare priorità alle verifiche relative ad ambiti a maggior rischio oppure oggetto di verifiche più remote”, altre informazioni relative allo stato dei controlli ed all’esito di eventuali
verifiche ed aggiornamenti (es. esito di attività di Internal Auditing, informazioni provenienti dal Collegio Sindacale, osservazioni della società di revisione legale dei conti, esito di accertamenti/verifiche ispettive da parte dell’Autorità di Vigilanza, ecc.), eventuali cambi nelle attività aziendali, “che possano determinare l’opportunità di interventi specifici oppure di
anticipare/posticipare le tempistiche di svolgimento di alcuni interventi”, i contenuti delle
informazioni acquisite attraverso l’interazione con il personale (gestione di segnalazioni, attuazione delle procedure in merito ai flussi da attivare verso l’OdV).
societari, il Responsabile del Servizio Prevenzione e Protezione, il Responsabile della Prevenzione della Corruzione, ecc. Spetta sempre all’Organismo di Vigilanza valutare l’opportunità di ricorrere alle funzioni di controllo di secondo e terzo livello e di avvalersi delle relative professionalità, ove naturalmente non preferisca – utilizzando il
budget affidatogli dall’organo dirigente - avvalersi di soggetti esterni.
Con riguardo agli aspetti di sinergia e interazione nell’apparato dei controlli, deve inoltre rammentarsi che il Modello previsto dal D.lgs. 231/2001 spesso convive con altri sistemi di prevenzione e gestione dei rischi.
Si tratta dei sistemi – quasi sempre certificati255 – in materia di salute e sicurezza sul lavoro, di sicurezza informatica, di sicurezza ambientale, i quali peraltro hanno dimostrato la loro efficacia esimente della responsabilità amministrativa degli enti nelle ipotesi di commissione dei corrispondenti reati-presupposto. È allora opportuno che l’OdV si giovi anche dei risultati dei monitoraggi di tali sistemi, a condizione però che gli esiti del controllo operato da “terzi” non finiscano col sostituire il proprio.
Resta fermo infatti il valore rappresentato dal dialogo dell’Organismo di Vigilanza con il management e, in generale, dalle attività di verifica effettuate per acquisire informazioni specifiche e cogliere eventuali disallineamenti del Modello rispetto ai rischi e ai presidi adottati.
L’importanza dell’attività di verifica dell’OdV per come illustrata in tutti i suoi aspetti risiede nella circostanza che il suo corretto ed efficace svolgimento consente all’ente – unitamente agli altri elementi indicati dall’art. 6 del D.lgs. 231/2001 – l’esonero dalla responsabilità nel caso in cui vi sia un procedimento che lo veda indagato/imputato per un reato-presupposto commesso nel suo (presunto) vantaggio e/o interesse.
I controlli espletati ma soprattutto la loro rendicontazione e documentazione ben possono divenire la prova – in termini di oggettivo rilievo delle misure organizzative - della “non omessa o insufficiente vigilanza” sul funzionamento e sull’osservanza del Modello in un procedimento penale volto ad accertare la c.d. colpa d’organizzazione dell’ente.
255 Il riferimento è alle certificazioni BH OHSAS 18001, ISO 27001, EMAS 14001 e tutti gli
standard internazionalmente riconosciuti rispetto alla gestione dei sistemi organizzati e alla loro qualità.
L’analisi sin qui svolta ha dunque delineato il ruolo e i compiti dell’Organismo di Vigilanza rispetto alla prevenzione del rischio-reato e nell’ambito del sistema di controllo interno all’impresa.
Si è già messo in rilievo come, da un lato, le funzioni dell’Organismo deputato a vigilare sul Modello di Organizzazione e di Gestione siano connotate da una natura eminentemente “propositiva” rispetto alle carenze o anomalie eventualmente riscontrate in sede di controllo; dall’altro, come a causa delle scarne indicazioni legislative, la fisionomia dell’Organismo abbia dei confini incerti la cui definizione è stata, di fatto, delegata alle Associazioni di categoria e alla giurisprudenza, con conseguenti problematiche ricadute su molti aspetti del suo funzionamento.
Tra questi ultimi, uno dei più rilevanti – e che peraltro interseca i profili sin qui illustrati quale necessaria conseguenza dell’azione dell’Organismo – attiene alla sua responsabilità e a quella dei suoi componenti. Tale tema sarà pertanto oggetto di specifica disamina nel capitolo successivo dove, a seguito dell’approfondimento di ulteriori strumenti tipici della corporate criminal compliance, si analizzeranno le azioni (e le omissioni) dell’Organismo di Vigilanza nello svolgimento dei suoi compiti con particolare riguardo alla loro rilevanza causale nell’impianto della responsabilità da reato delle persone giuridiche.
Come anticipato nella prima parte dell’elaborato, il rimprovero mosso all’ente secondo la disciplina del D.lgs. 231/2001 non può – o meglio, chi scrive non ritiene che possa – prescindere dalla considerazione dell’atteggiamento assunto dal soggetto collettivo (anche in base alle sue dimensioni)256 nel predisporre, attuare e adeguare le misure organizzative volte alla prevenzione del reato ma soprattutto nell’attivarsi affinché ne sia ostacolata la commissione. La corretta e tempestiva reazione dell’Organismo di Vigilanza - e dei meccanismi preventivi - è senz’altro elemento rivelatore di un siffatto atteggiamento dell’ente.
256 Sul tema della responsabilità ai sensi del D.lgs. 231/2001 delle piccole e medie imprese e
sulla “tendenziale indifferenza dell’ordinamento italiano rispetto al problema della responsabilità da reato delle PMI”, F. CENTONZE, La responsabilità degli enti e la piccola e
CAPITOLO III
DINAMICITA’ DEI SISTEMI DI CONTROLLO DEL RISCHIO-REATO SOMMARIO: 1. Profili dinamici del controllo: premessa. - 2. I flussi informativi. – 2.1. I flussi informativi periodici – 2.2. I flussi informativi “ad hoc”. – 2.3. I flussi dell’OdV verso i vertici societari. - 3. Canali interni di segnalazione dell’illecito: la disciplina del Whistleblowing prima della L. 179/2017. – 3.1. Segue: Whistleblowing e altre normative di settore. - 3.2. Il Whistleblowing e la Legge 197/2017. – 3.3. Il Whistleblowing e la Legge 197/2017: le modifiche al D.lgs. 231/2001. – 3.4. Breve analisi della novella legislativa. – 3.5. I rapporti tra Whistleblowing e Organismo di Vigilanza. - 4. Aspetti evolutivi della criminal compliance: internal investigations. – 4.1. Segue: Brevi cenni dell’esperienza statunitense. – 4.2. Investigazioni difensive nel sistema domestico: la Legge 397/2000. – 4.3. Profili dinamici delle investigazioni interne.
1. PROFILI DINAMICI DEL CONTROLLO: PREMESSA
Il fabbisogno conoscitivo tipico delle realtà organizzate viene soddisfatto dai circuiti informativi che all’interno di quelle stesse realtà sono predisposti e che sono concretamente rappresentati dall’insieme degli strumenti – umani e tecnici – a cui vengono affidati la formazione, la trasmissione e il controllo delle informazioni.
Dal punto di vista dell’ascrizione della responsabilità da reato, in particolare, l’ente può trarre benefici dal corretto funzionamento dei flussi informativi endosocietari: una appropriata e concretamente operativa strutturazione di questi ultimi può infatti garantire effettività ed efficacia all’attività di sorveglianza del sistema di prevenzione del rischio-reato, parimenti a quanto avviene per l’attività di gestione.
Come ribadito, il sistema di prevenzione in parola attribuisce all’Organismo di Vigilanza il ruolo di guardiano della legalità e, più precisamente, di vagliare il livello qualitativo del Modello di Organizzazione e di Gestione, del suo contenuto e della sua concreta attuazione.
Concepito quale perno soggettivo del sistema di prevenzione, intercorre una relazione di stretta interdipendenza tra i poteri di iniziativa e controllo attribuiti tale Organismo e i circuiti informativi interni all’ente. L’ampiezza dei poteri di sorveglianza è in effetti correlata al concreto accesso alle informazioni e il controllo prescelto dal Legislatore del 2001 può dispiegare la sua forza preventiva con cui è stato concepito se dalle varie aree della società e/o da coloro che rivestono al suo interno determinate funzioni pervengono le informazioni sull’osservanza e sull’attuazione dei Modelli.
In altri termini, se l’Organismo di Vigilanza è l’ultimo destinatario dei dati informativi, il corretto sistema dei flussi garantirà l’operatività di quello di controllo e dunque di prevenzione; al contrario, invece, ossia in presenza di un’anomalia nei canali dell’informazione, sarebbe ipotizzabile una lacuna di organizzazione dell’ente e perciò sarebbe ad esso attribuibile un difetto concepito quale rimproverabile inefficienza secondo i canoni del D.lgs. 231/2001.