• Non ci sono risultati.

L'Elenco delle attività aziendali a rischio (sensibili)è il risultato dell'attività di Risk Assessment, ottenuta nella seconda fase di “Diagnostica” (nell'ambito del processo di Creazione del Modello di organizzazione, gestione e controllo) nella quale sono individuati i processi a rischio (sensibili), momento imprescindibile per la realizzazione del Modello stesso.

La Decrizione del presidio organizzativo e di controllo (o Protocolli) è l'elenco dei controlli impostati in azienda per presidiare i rischi; infatti oltre alle regole generali di condotta, sono previsti presidi specifici per ciascuna delle attività sensibili individuate nell'ambito della fase di Risk Assessment. I presidi specifici, per ciascuna attività sensibile, sono distinti in:

Sistema organizzativo, che comprende le procure, le deleghe, le job description (mansionari), il sistema autorizzativo, la separazione dei compiti e la contrapposizione di funzioni;

Procedure di riferimento, che comprendono le procedure previste nell'ambito del sistema di gestione della qualità e la altre procedure di cui la società si è dotata per regolare lo svolgimento dei processi aziendali e rafforzare il Modello di organizzazione, gestione e controllo 231;

Documentabilità (Tracciabilità) del processo, garantito dall'insieme di documenti cartacei ed elettronici che consentono di documentare le attività, i controlli o le altre entità di un processo consentendo, in tal modo, la verifica successiva;

Narrative (Controlli), fanno riferimento alle procedure istituite nell'ambito del progetto di adeguamento alla Legge 262/2005. Tali procedure si pongono l'obiettivo di descrivere le responsabilità dei soggetti coinvolti nel processo, i flussi di comunicazione tra i vari owner coinvolti nel processo, nonché gli applicativi informatici utilizzati, le attività di controllo legate all'operatività descritta nel processo ed i relativi owner, la verifica e la supervisione delle attività e delle fasi del processo;

Altri controlli, categoria residuale comprendente attività di controllo previste dai framework più noti in ambito nazionale ed internazionale quali CoSO, ERM, COCO, etc). A titolo esemplificativo in questa categoria rientrano i cosiddetti controlli di carattere generale (entity level) quali le attività di verifica svolte dall'unità di Internal Auditing, dalla società di revisione contabile o da altri attori della Control Governance.

I Flussi informativi verso l'Organismo di Vigilanza sono dei REPORT INFORMATIVI FORMALI inviati dai responsabili delle aree aziendali ritenute sensibili all'Organismo di Vigilanza; con tali documenti si informa circa lo svolgimento di determinate operazioni sensibili38 (c.d informazioni ordinarie), sia situazioni anomale o possibili violazioni del Modello (c.d informazioni straordinarie), in quanto l'Organismo è chiamato a vigilare sul funzionamento e l'osservanza dei Modelli stessi.

Naturalmente i flussi informativi devono essere disegnati in base alle specifiche esigenze di ciascuna azienda e a seguito della mappatura dei processi a rischio: l'individuazione delle aree sensibili e dei relativi processi strumentali, è infatti, il primo passo per la definizione dei flussi informativi verso l'OdV.

Il Modello deve indicare le informazioni e/o i documenti che devono essere notificati all'organo tenuto alla vigilanza.

2. L'Organismo di Vigilanza:

L'istituzione di un “organo di controllo interno all'Ente dotato di autonomi poteri di iniziativa e controllo”, il cosiddetto Organismo di Vigilanza (o Compliance Officer), come già annunciato, è un elemento indispensabile e imprescindibile di un Modello 231 che abbia, come finalità ultima, l'esonero dalla responsabilità amministrativa, il cui compito è quello di vigilare sull'efficacia del Modello39.

Le Linee guida per la costruzione dei Modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, dettate da Confindustria suggeriscono di non interpretare l'istituzione dell'Organismo di Vigilanza come mero adempimento formale, bensì guidato dal principio di effettività: tale organo deve essere posto nelle condizioni di assolvere realmente ai complessi e delicati compiti di cui la legge lo investe.

2.1 Composizione dell'Organismo di Vigilanza:

Si precisa che il Decreto in esame non fornisce indicazioni puntuali circa la composizione dell'OdV, lasciando la possibilità di optare per una composizione sia monosoggettiva che plurisoggettiva40; la normativa si limita in tale sede a fornire delle

38A titolo esemplificatico, tra le operazioni sensibili rientrano, nell'ambito dell'area commerciale, la

partecipazione a gare d'appalto da parte dell'azienda; il Responsabile commerciale sarà chiamato a comunicare formalmente a quante gare ha partecipato l'azienda, quali sono state vinte dalla stessa e il valore delle gare vinte. In questo modo l'OdV, grazie al flusso informativo inviatogli, sarà in grado di monitorare l'andamento della gestione, mediante attività di vigilanza.

39

Articolo 6 del Decreto Legislativo, comma 1, lettera b)

“indicazioni” riguardanti particolari situazioni, quali ad esempio:

l'articolo 6 del Decreto in esame riconosce la facoltà (non l'obbligo) per le società di capitali di attribuire le funzioni dell'Organismo di Vigilanza all'organo di controllo societario41; indipendentemente dalla scelta organizzativa effettuata dall'Ente, l'OdV dovrà rispettare alcuni basilari requisiti, elencati nei paragrafi successivi;

il medesimo articolo 6, comma 4, consente alle imprese di piccole dimensioni42 di affidare i compiti di Organismo di Vigilanza all'organo dirigente; invece per le imprese di medie-grandi dimensioni sembra preferibile una composizione di tipo collegiale.

L'Organismo di Vigilanza può essere identificato in strutture aziendali già esistenti preposte al controllo (es. Comitato per il controllo interno, funzione di Internal Audit), ovvero, in assenza di queste e come di più frequente si registra le prassi applicativa, un organismo costituito ad hoc a composizione collegiale.

Per poter assolvere efficacemente ai propri compiti l'Organismo di Vigilanza deve essere dotato delle caratteristiche essenziali di “autonomia, indipendenza, professionalità, onorabilità e continuità d'azione”, in assenza delle quali andrebbe a vanificare nei fatti l'intero Modello 231.

L'articolazione e la composizione dell'Organismo di Vigilanza (monosoggettivo o plurisoggettivo) è direttamente correlata alla complessità strutturale dell'impresa (dimensioni, articolazione interna, dislocazione sul territorio, presenza su determinati mercati particolarmente a rischio, etc). In effetti non è possibile fissare limiti quantitativi, né in termini di fatturato, né di numero di dipendenti dell'ente interessato: la complessità dell'OdV va, infatti, valutata caso per caso a seconda dei risultati dell'analisi dei rischi, dalla quale emergano quante aree, processi, funzioni devono

che esterni, purché dotati di determinati requisiti, che saranno enunciati nei paragrafi successivi.

41Nel sistema tradizionale (maggiormente diffuso) l'organo interno preposto al controllo interno è il

Collegio sindacale; nel sistema monistico il controllo sulla gestione è affidato ad un Comitato per il Controllo interno istituito in seno al CdA e ad un revisore esterno il controllo contabile;

42Poiché la normativa in esame non stabilisce alcuna definizione di “enti di piccole dimensione”, si ritiene

possibile ricorrere alla definizione comunitaria di cui alla raccomandazione della Commissione europea 2003/361/Ce, ratificata con D.M 18/04/2005, che l'inserimento in tale categoria rientrano gli enti dotati di due requisiti: 1) un numero di occupati non superiore a 49 (dipendenti occupati a tempo determinato e indeterminato, iscritti nel libro matricola dell'impresa e legati alla stessa mediante forme contrattuali che precedono il vincolo di dipendenza, eccezion fatta per quei soggetti posti in cassa integrazione straordinaria); 2) un totale di bilancio annuo (totale attivo patrimoniale) o un fatturato annuo (risultante dall'ultimo esercizio contabile chiuso ed approvato) non superiore a 10 milioni di euro.

essere assoggettate a controllo.

Entrando nel merito della composizione dell'Organismo di Vigilanza, è opportuno evidenziare che, fatta eccezione per il caso sopra evidenziato, la necessità di disporre di diverse professionalità porta a privilegiare il ricorso ad una composizione collegiale dell'OdV, declinata nella ricerca del giusto equilibrio tra professionalità esterne all'ente, in grado di conferire autorevolezza ed indipendenza all'Organismo e soggetti interni. Questi ultimi, per inciso, sono spesso gli unici in grado di assicurare l'approfondita conoscenza dei profili organizzativi e gestionali dell'ente e la continuità d'azione rischiesta dalla norma e dalla prassi. In sintesi la composizione “ideale” dell'Odv vede la compresenza di professionalità diverse e di componenti esterni ed interni (per contemperare indipendenza e continuità d'azione).

2.2 Compiti e poteri dell'Organismo di Vigilanza

In virtù delle indicazioni fornite dagli articoli 6 e 7 del Decreto in esame, le attività che l'Organismo è chiamato ad assolvere possono essere così riassunte:

vigilanza sull'effettività del Modello, ossia sulla coerenza tra i comportamenti concreti e il modello istituito;

valutazione dell'adeguatezza del Modello, ovvero della sua reale capacità di prevenire comportamenti vietati;

analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del Modello;

• provvedere a curare l'aggiornamento in senso dinamico del Modello, nell'ipotesi in cui le analisi realizzate rendano necessario effettuare correzioni ed adeguamenti. Quest'ultimo aspetto può essere concretamente attuato mediante:

suggerimenti e proposte di adeguamento del Modello agli organi o funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale, a seconda della tipologia e della portata degli interventi: le proposte riguardanti aspetti formali o di minor rilievo saranno rivolte alla funzione del Personale e Organizzazione o all'Amministratore, mentre negli altri casi di maggiore rilevanza verranno sottoposte al Consiglio di Amministrazione;

follow-up: verifica circa l'attuazione e dell'effettiva funzionalità delle socluzioni proposte.

L'Organismo di Vigilanza svolge una funzione di raccordo tra tutte le varie unità organizzative che compongono l'Ente, in modo da garantire la trasparenza delle decisioni e il controllo delle procedure tipiche delle attività di gestione e prestazione di beni e servizi. Si evince, dunque, che il profilo professionale di tale organo deve possedere una connotazione specialistica, prevalentemente di controllo e presuppone la conoscenza di tecniche e strumenti ad hoc, nonché una continuità di azione elevata. Dal dettato del Decreto 231/2001, nonché dalle indicazioni della Relazione ministeriale di accompagnamento al decreto 231, si evince che è esclusa l'ipotesi che l'OdV possa coincidere con il Consiglio di Amministrazione; infatti nella Relazione si parla di “una struttura che deve essere costituita all'interno dell'Ente...” al fine di garantire la massima effettività del sistema, onde evitare facili manovre volte a legittimare l'operato dell'ente mediante organi compiacenti.

Inoltre, a conferma di quanto appena esposto, il massimo vertice societario (es. Consiglio di Amministrazione o Amministratore delegato), anche dopo l'istituzione dell'OdV, mantiene invariate tutte le attribuzioni e le responsabilità previste dal codice civile, oltre il compito di adottare ed efficacemente attuare il Modello, nonché istituire l'Organismo di Vigilanza43.

2.3 Requisiti

L'adeguatezza dei soggetti ad assumere il ruolo di membri dell'Organismo di Vigilanza presuppone che essi siano dotati dei requisiti di:

autonomia e indipendenza: l'OdV non deve subire alcun condizionamento nell'espletamento di ogni sua attività, dal momento della nomina, che deve avvenire in modo trasparente, al concreto funzionamento quotidiano, né deve essere dotato di compiti operativi, che andrebbero a pregiudicare l'obiettività di giudizio al momento della verifica del comportamento dei soggetti interni/esterni alla società. Tuttavia è ovvio che se l'Organo ha composizione collegiale mista, poiché vi partecipano anche soggetti interni all'ente, da questi ultimi non potrà pretendersi una assoluta indipendenza. Dunque, il grado di indipendenza dovrà essere valutato nella sua globalità. Di fondamentale importanza è, altresì, la collocazione in una posizione gerarchica la più

alta possibile, al fine di evitare qualsiasi tipo di soggezione nei confronti della società che, inevitabilmente, minerebbe l'indipendenza di azione; si precisa che al primo requisito (autonomia) la giurisprudenza ha affiancato quello dell'indipendenza; infatti l'autonomia perderebbe di significato se i membri dell'OdV risultassero condizionati a livello economico o personale o versassero in situazioni di conflitto d'interesse, anche solo potenziale44. All'Organo di Vigilanza deve essere assicurata completa autonomia finanziaria45 rispetto ai soggetti in posizione apicale, configurandolo come struttura di staff con collocazione organizzativa in posizione di vertice, originaria ed autonoma rispetto agli altri organi o funzioni dell'Ente. Si ritiene, altresì, applicabile all'Organismo di Vigilanza il disposto dell'art. 2399 c.c relativo al Collegio Sindacale: tale norma estrinseca a contrario il requisito di indipendenza, stabilendo alcune cause di ineleggibilità, sinteticamente riconducibili a:

◦ una mancanza di capacità del sindaco (lettera a); ◦ rapporti di parentela con gli amministratori (lettera b);

◦ rapporti di lavoro con la società estranei all'incarico in oggetto (lettera c);

La lettera b) della norma in questione prevede l'ineleggibilità per il sindaco coiuge e/o parente (entro il quarto grado) e/o affine di un amministratore della società e delle eventuali altre società del gruppo. Non costituisce, invece, causa d'ineleggibilità o decadenza la parentela o affinità con il direttore generale e/o un procuratore della società, anche se tale situazione si ritiene debba essere segnalata ed adeguatamente valutata.

Inoltre, si escludono dalla composizione dell'Organo oggetto di analisi, tutti i soggetti che svolgono in azienda attività decisionali o operative (processi a rischio), quali: ◦ Amministratore Delegato;

◦ Dirigenti;

◦ Responsabile Amministrativo; Responsabile Acquisti, etc..;

44

cfr. G.i.p. Tribunale Milano, ordinanza 20 settembre 2004

45L'OdV deve essere provvisto di risorse finanziarie e logistiche adeguate al fine di garantire il normale

svolgimento dell'attività cui è preposto. Spetterà all'Organo amministrativo in carica provvedere a dotare l'OdV di un fondo adeguato, che dovrà essere impiegato esclusivamente per le spese inerenti l'esercizio delle funzioni di vigilanza e controllo. Tuttavia, si preci sa che l'Organismo può estendere la propria autonomia in presenza di stuazioni eccezionali o urgenti, che saranno oggetto di successiva relazione.

◦ Subordinati.

Da ciò si evince che l'Organismo di Vigilanza può essere composto da:

 un membro del Collegio Sindacale o dall'intero organo (infatti non possiede poteri esecutivi);

 un soggetto esterno (nel caso di organismo monocratico)46;  Internal Auditor (organo di controllo).

professionalità: intesa innanzitutto come bagaglio di strumenti e tecniche47 di natura giuridica, contabile, aziendale ed organizzativa di cui l'OdV nel suo complesso, e non necessariamente anche i singoli componenti, deve essere dotato per svolgere al meglio l'attività ispettiva e di vigilanza. Come chiarito dalla Giurisprudenza, è essenziale che la scelta dei membri non si limiti al generico rinvio al curriculum vitae dei singoli; il Modello deve esigere “...le conoscenze specifiche, idonee a garantire l'efficacia dei poteri di controllo e del potere propositivo ad esso demandati”48

. È, peraltro, auspicabile che almeno un membro dell'Organismo di Vigilanza abbia competenze in tema di analisi dei sistemi di controllo e di tipo giuridico e, più del dettaglio, penalistico49.

Onorabilità: desumibile dalla normativa civilistica relativa agli Amministratori di S.p.A, al pari di tali soggetti non possono essere eletti nell'OdV, e se eletti decadono, “L'interdetto, l'inabilitato, il fallito, o chi è stato condannato ad una pena che comporta l'interdizione, anche temporanea, dai pubblici uffici o l'incapacità ad esercitare uffici direttivi”50

.

Continuità d'azione: per garantire l'efficace e costante attuazione del Modello si rende necessaria la presenza di una struttura dedicata a tempo pieno all'attività di vigilanza sul Modello 231, tale da ravvisare tempestivamente eventuali situazioni anomale, priva di mansioni operative che possano portarla ad assumere decisioni con

46

È esclusa la figura del commercialista, in quanto tra i processi a rischio vi è anche il bilancio

47Tecniche che possono essere utilizzate per verificare che i comportamenti quotidiani rispettino

effettivamente quelli formalizzati: in via preventiva, per adottare – all'atto del disegno dei Modello e delle successive modifiche – le misure più idonee a prevenire, con ragionevole certezza, la commissione dei reati (approccio di tipo consulenziale); oppure ancora a posteriori per accertare come si sia potuto verificare il reato presupposto (approccio ispettivo).

48 Trib. Napoli, 26 giugno 2007

49Si richiedono competenze in ambito penalistico poiché la disciplina in esame ha natura sostanzialmente

punitiva e lo scopo del modello è prevenire la realizzazione dei reati.

effetti economico-finanziari. Tuttavia, ciò non esclude che tale struttura possa fornire pareri anche sulla costruzione del Modello, affinché questo non risulti debole e lacunoso sin dalla sua elaborazione: eventuali consulenze, infatti, non pregiudicano i requisiti di autonomia e indipendenza su specifici eventi. Al fine di garantire l'effettività del Modello si dovrà provvedere a monitorare in modo costante la coerenza tra i comportamenti previsti nello stesso e le attività svolte in concreto dai suoi destinatari, svolgendo i propri compiti in modo sistematico: calendarizzazione delle attività, verbalizzazioni, flussi informativi, etc.

L'azione di controllo e monitoraggio dell'OdV deve essere svolta in continua interazione con il management aziendale ed i soggetti collocati in posizione di staff.

2.4 Funzioni e poteri

All'Organismo di Vigilanza è affidato sul piano generale il compito di vigilare sulla: • effettività del Modello: vigilare affinché i comportamenti posti in essere all'interno dell'Ente corrispondano al Modello predisposto;

• efficacia del Modello: verificare che il Modello predisposto sia concretamente idoneo a prevenire il verificarsi dei reati previsti dalla Legge e dai successivi provvedimenti che ne modifichino il campo di applicazione;

• opportunità di aggiornamento del Modello: al fine di adeguarlo ai mutamenti ambientali ed alle modifiche della struttura aziendale.

Sul piano più operativo è affidato all'Organismo di Vigilanza il compito di vigilare su: attivare le procedure di controllo, tenendo presente che una responsabilità primaria sul controllo delle attività, anche per quelle relative alle aree a rischio, resta comunque demandata al management operativo e forma parte integrante del processo aziendale; il che conferma l'importanza di un processo formativo del personale;

condurre ricognizioni dell'attività aziendale ai fini della mappatura aggiornata delle aree a rischio ed effettuare verifiche mirate su determinate operazioni o atti posti in essere nell'ambito delle aree a rischio;

promuovere idonee iniziative per la diffusione della conoscenza e della comprensione del Modello e predisporre la documentazione organizzativa contenente le istruzioni, chiarimenti o aggiornamenti per il funzionamento del Modello stesso;

raccogliere, elaborare e conservare le informazioni rilevanti in ordine al rispetto del Modello, nonché controllare l'effettiva presenza, la regolare tenuta e l'efficacia della documentazione richiesta in conformità a quanto previsto nella Parte Speciale del Modello per le diverse tipologie di reati. Inoltre, aggiornare la lista di informazioni che devono essere obbligatoriamente trasmesse allo stesso OdV o tenute a sua disposizione; coordinarsi con le altre funzioni aziendali (anche attraverso apposite riunioni) per un migliore monitoraggio delle attività nella aree a rischio. A tal fine, l'Organismo di Vigilanza viene tenuto costantemente informato circa l'evoluzione delle attività nei processi rischiosi ed ha libero accesso a tutta la documentazione aziendale rilevante, compresi i relativi dati di aggiornamento. All'OdV devono essere inoltre segnalate da parte del management eventuali situazioni dell'attività aziendale che possano esporre l'azienda a rischio di reato;

condurre le indagini interne per l'accertamento di presunte violazioni delle prescrizioni del Modello;

verificare che gli elementi previsti dalla Parte Speciale del Modello per le diverse tipologie di reato (adozione di clausole standard, espletamento di procedure, etc.) siano comunque adeguati e rispondenti alle esigenze di osservanza di quanto prescritto dal Decreto, provvedendo, in caso contrario, ad un aggiornamento degli elementi stessi; coordinarsi con i Responsabili delle diverse Funzioni Aziendali per i diversi aspetti attinenti all'attuazione del Modello (definizione delle clausole standard, formazione del personale, provvedimenti disciplinari, etc.).

Le funzioni sopra elencate possono essere così raggruppate in due ambiti di attività: a) analisi, vigilanza e controllo;

b) aggiornamento del Modello.

Le attività di cui alla lettera a) sono volte a verificare l'adeguatezza del Modello, ossia la sua reale capacità di prevenire i comportamenti illeciti, nonché la coerenza tra quanto stabilito e indicato nel Modello, da un lato, e il comportamento effettivamente tenuto in azienda, dall'altro.

Nell'ambito dell'attività di vigilanza, l'OdV può effettuare, a titolo esemplificativo e non esaustivo, i seguenti interventi:

di significativo valore economico ed impegno di spesa, specialmente qualora coinvolga la Pubblica Amministrazione;

 verifiche sulle operazioni di gestione finanziaria e di tesoreria;

 controlli tempestivi in caso di ispezioni o accertamenti della pubblica autorità;  controlli sulla regolarità formale dei moduli previsti nei protocolli, della documentazione di supporto, di eventuali fatture e rendicontazioni contabili, riscontrando possibili anomalie;

 verifiche sulla tenuta, sul rispetto e sull'interpretazione del Codice Etico, del modello e delle procedure aziendali di attuazione;

 verifiche sul rispetto delle leggi e del modello da parte di tutti i destinatari;  adempimenti dell'obbligo di informazione, con particolare attenzione alle risultanze periodiche dell'attività di controllo e delle anomalie eventualmente riscontrate;  verifiche sul modello di valutazione dei rischi in materia di salute e sicurezza sul posto di lavoro e del suo costante aggiornamento;

Le attività che l'Organismo di Vigilanza intende svolgere in attuazione del Decreto devono essere riportate formalmente in un documento, solitamente denominato Piano di Azione o Piano operativo dell'Organosmo di Vigilanza, funzionale alla pianificazione pluriennale degli interventi di verifica e controllo, nel quale devono essere riportati i

Documenti correlati