Regole eccessivamente severe e misure organizzative costose non sempre risultano idonee a impedire gli abusi, anzi, possono incidere negativamente sull’efficienza e la redditività del business. In questa prospettiva, con l’indagine svolta, l’Assonime si è posta l’obiettivo sia di valutare lo stato di attuazione della disciplina, sia di formulare eventuali proposte per una razionalizzazione e semplificazione delle funzioni di controllo interno delle aziende e per ricondurre a sistema coerente la molteplicità dei controlli.
Di seguito sono elencate le attività svolte nella fase 1:
1. inventario completo di tutti i processi e sotto-processi aziendali; 2. raccolta delle informazioni/documentazione preliminare;
3. individuazione delle persone chiave per il supporto operativo nell’individuazione delle aree/attività a rischio;
4. definizione del perimetro di intervento individuando preliminarmente le aree che hanno riferimento, diretto o indiretto, con le attività sensibili individuate, collegate alle fattispecie di reato (e di illecito amministrativo) rilevanti ai fini della responsabilità amministrativa degli enti.
Obiettivo di tale fase è stata l’effettuazione dell’analisi e della valutazione, attraverso le interviste alle persone chiave, delle attività sensibili precedentemente individuate con particolare enfasi sui controlli. Nello specifico, per ogni processo/attività sensibile individuato nella fase 1, sono state analizzate le sue fasi principali, le funzioni e i ruoli/responsabilità dei soggetti interni ed esterni coinvolti nonché gli elementi di controllo esistenti al fine di
verificare in quali aree/settori di attività e secondo quali modalità si potessero astrattamente realizzare le fattispecie di reato (e di illecito amministrativo) rilevanti ai fini della responsabilità amministrativa degli enti. In questa fase è stata realizzata una mappa delle attività che, in considerazione degli specifici contenuti, siano potenzialmente esposte alla commissione dei reati (e degli illeciti amministrativi) rilevanti ai fini della responsabilità amministrativa degli enti (c.d. MIAR – Matrice Individuazione Aree di Rischio). L’analisi è stata compiuta attraverso interviste personali con le persone chiave, che hanno avuto anche lo scopo di stabilire per ogni attività sensibile i processi di gestione e gli strumenti di controllo con particolare attenzione agli esistenti elementi di conformità alle norme.
Nella rilevazione del sistema di controllo esistente sono stati presi come riferimento i seguenti principi di controllo:
• esistenza di procedure formalizzate;
• tracciabilità e verificabilità ex post delle transazioni tramite adeguati supporti documentali/informativi;
• segregazione dei compiti;
• esistenza di deleghe formalizzate coerenti con le responsabilità organizzative assegnate.
La fase in oggetto è stata caratterizzata dall’esecuzione di interviste strutturate con le persone chiave, nonché con il personale da loro indicato, al fine di raccogliere, per i processi/attività sensibili individuati nella fase precedente, le informazioni necessarie a comprendere:
• i processi elementari/attività svolte;
• le funzioni/soggetti interni/esterni coinvolti; • i relativi ruoli/responsabilità;
• il sistema dei controlli esistenti.
Al termine della suddetta fase si elaborata la MIAR definitiva e si procede alla rilevazione della situazione aziendale (la c.d. mappatura delle attività sensibili).
Lo scopo di questa fase è consistito nell’individuazione dei requisiti organizzativi caratterizzanti un modello organizzativo idoneo a prevenire i reati (e gli illeciti amministrativi) rilevanti ai fini della responsabilità amministrativa degli enti. Pertanto, si esegue un’analisi comparativa (la c.d. “gap analysis”) tra il modello di controllo esistente a presidio dei rischi evidenziati (“as is”) e un modello astratto di riferimento valutato sulla base delle esigenze manifestate dalla disciplina di cui al D.Lgs. 231/2001 (“to be”).
Attraverso il confronto operato con la gap analysis è stato possibile desumere aree di miglioramento del sistema di controllo interno esistente e, sulla scorta di quanto emerso, è stato predisposto un piano di attuazione teso a individuare i requisiti organizzativi caratterizzanti un modello di organizzazione, gestione e controllo conforme a quanto disposto dal D.Lgs. 231/2001 e le azioni di miglioramento del sistema di controllo interno (il c.d. “piano di azione” o anche “action plan”).
Scopo della fase è la definizione del Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, articolato in tutte le sue componenti e regole di funzionamento, idoneo alla prevenzione dei reati e personalizzato alla realtà aziendale, in conformità alle disposizioni del D.Lgs. 231/2001 ed alle Linee guida.
Il Modello adottato si struttura in:
a) Parte Generale, che descrive il quadro normativo di riferimento e disciplina il funzionamento complessivo del sistema di organizzazione, gestione e controllo adottato, volto a prevenire la commissione dei reati presupposto;
b) Parte Speciale, volta ad integrare il contenuto della Parte Generale fornendo dettaglio relativo: alle fattispecie di reato richiamate dal Decreto che la Società ha ritenuto necessario prendere in considerazione in ragione delle caratteristiche delle attività svolte; ai processi/attività sensibili rispetto alle fattispecie di reati di cui al punto precedente presenti nella realtà aziendali.
c) Protocolli Operativi, volti a fornire descrizione di dettaglio dei “principi generali di controllo” e degli “standard di controllo generali e/o specifici” posti in essere dalla Società a prevenzione dei reati potenzialmente perpetrabili per ogni singola attività operativa ritenuta “sensibile” ai fini 231;
d) Codice Disciplinare (o sanzionatorio), che definisce la natura dei provvedimenti che possono essere assunti a seguito di violazione del Modello 231.
Il modello 231 si articola come segue:
• Parte generale (identificante le caratteristiche strutturali dell’Organizzazione nonché le modalità di creazione del modello e della sua diffusione – formazione/informazione); • Parte speciale (afferente le diverse tipologie di reati presupposto contemplati nel
D.Lgs. 231/2001, e recante la mappatura dei rischi di commissione dei reati);
• Codice Etico-Comportamentale (indicante le regole di condotta proprie dell’Organizzazione);
• Sistema disciplinare (riportante i principi base del CCNL applicato, e le altre regole sanzionatorie a carico dei soggetti che collaborano senza essere dipendenti ecc.);
• Statuto dell’OdV; • Regolamento dell’OdV, • Sistema di Procure e deleghe;
• Organizzazione gerarchico-funzionale;
• Documento di analisi rischi (mappatura dei rischi).
Il Modello di Organizzazione, gestione e controllo, sia nella sua fase di realizzazione sia nella successiva fase di implementazione, viene configurato quale completamento dei sistemi presenti nell’Organizzazione.
Il Modello 231, pertanto, non si pone quale strumento aziendale a sé stante ma risulta interattivo con il sistema di gestione qualità ed ambientale (ISO 9001, ISO 14001/ EMAS e/o di responsabilità sociale (SA 8000 o SCR), il sistema di controllo e gestione sicurezza (D.Lgs. 81/2008 - OHSAS 18001), il sistema Privacy (D.Lgs. 196/2003).
Il processo di gestione del rischio non è di tipo statico, ma deve tenere in considerazione i cambiamenti che si verificano all’interno dell’organizzazione aziendale, nel suo ambiente di riferimento e nel settore in cui opera. Nuovi rischi possono sorgere, così come vecchi rischi scomparire, rendendo inadeguate le tecniche di risk management introdotte in sede di definizione della mappatura dei processi a rischio reato. Dopo la prima costruzione del Modello tra i compiti specifici che la normativa attribuisce all’OdV figura quello di curare
l’aggiornamento del modello, ossia fare in modo che lo stesso si mantenga adeguato sotto il
profilo della solidità e funzionalità e risponda in maniera sostanziale e concreta all’analisi e valutazione del rischio reato. Sempre con lo scopo di garantire efficacia all’attuazione del modello, è opportuno porre in essere un’attività di monitoraggio continuo circa il suo corretto funzionamento e sul rispetto degli standard di comportamento contenuti nel Codice etico. La revisione periodica potrebbe consentire di scoprire eventuali errori di valutazioni relativi alla definizione della criticità dei rischi, oppure all’adeguatezza o al tipo di strumenti utilizzati per la loro gestione prima che si manifestino eventi non previsti. L’obiettivo dell’attività di monitoraggio è garantire che il modello sia costantemente aggiornato e adeguato rispetto alla specifica struttura amministrativa, ai mutamenti del contesto competitivo ed alle modifiche che dovessero essere apportate alla normativa di riferimento.