Il procedimento di adozione del Modello organizzativo d

Si procede, adesso, all’analisi del modello di UnipolSai. Alla descrizione delle modalità di costruzione di questo sono dedicate le pagine da 24 a 26251_.

Le prime operazioni compiute sono quelle di analisi della documentazione esistente, di individuazione delle funzioni aziendali interessate e di predisposizione della matrice processi/reati252_.

Quest’ultima consiste in una tabella che è il risultato dell’incrocio fra i macro-processi in cui si esplica l’attività aziendale e i reati (raggruppati per macro-famiglie) che possono essere commessi nell’esercizio della stessa. Ad esempio, sono stati ritenuti come suscettibili di commissione

effetto, analisi SWOT, event tree analysis, Risk Breakdown Structure (RBS) e conseguente costruzione della matrice eventi/ minacce»; C. DE LUCA - R. DE LUCA, op. cit., p. 70.

249 _{C. DE LUCA - R. DE LUCA, op. cit., pp. 71 e 80; T. ROMOLOTTI, Modelli} organizzativi e soluzioni applicative, cit., p. 268.

250 _{A. BERNASCONI, L’esimente: il modello organizzativo per i reati degli “apicali”,} cit., p. 102 definisce la gap analysis «operazione logica di sottrazione»; G. MAGLIOCCA, op cit., p. 49; C. DE LUCA - R. DE LUCA, op. cit., p. 88; T. ROMOLOTTI, Modelli organizzativi e soluzioni applicative, cit., p. 269.

251 _{Come si vedrà nel par. 3 del capitolo III, l’indicazione delle modalità seguite per la} redazione del modello confluisce nella parte generale dello stesso.

nell’esercizio delle funzioni di “gestione delle liquidazioni” i seguenti reati: delitti contro la Pubblica Amministrazione; reati societari; abuso di mercato e aggiotaggio; ricettazione, riciclaggio, autoriciclaggio e finanziamento del terrorismo; delitti di criminalità organizzata e reati transazionali.

La costruzione della matrice avviene secondo una precisa scansione di fasi. In prima battuta si ricercano i processi applicabili alla società e successivamente si identificano quelli di rilevanza 231. Di seguito, si verifica se si tratta di processi insourcing o outsourcing — ossia se sono funzioni svolte da personale interno all’ente o affidate ad una società esterna — identificandone il relativo responsabile. In ultimo si valuta alla luce di quali reati-presupposto è sensibile ogni singolo processo253_.

Dopo la predisposizione della matrice, si procede all’intervista del responsabile, al quale è stato previamente recapitato un verbale comprensivo dei macroprocessi e dei singoli sotto-processi interessati dalla funzione da questi esercitata. Il responsabile deve provvedere — ove non sia stata già predisposta, anche in parte, sulla base delle indicazioni provenienti dalla normativa aziendale interna o sulla base dell’esperienza — alla descrizione del processo, indicandone le finalità dello stesso in modo da poter individuare i rischi e i presidi.

L’intervista ha lo scopo di identificare in maniera concreta le famiglie di reato che possono interessare la funzione in esame, basandosi anche sulla matrice processi/reati precedentemente elaborata e prefigurando al responsabile almeno un esempio di condotta illecita per ogni rischio («nel dettaglio si è proceduto a […] individuare e descrivere la possibile

253 _{Il modello di UnipolSai, p. 25, indica come operazioni all’uopo poste in essere:} l’identificazione della «“macro-operatività” adottata dalla Compagnia in merito ai cosiddetti processi “sensibili”»; la descrizione, «nell’ambito organizzativo analizzato, (del)le posizioni e (de)i soggetti coinvolti, le loro responsabilità ed i loro poteri, distinguendo fra figure “apicali” o “sottoposte”, così come indicato nel D.Lgs. 231/2001»; l’identificazione e la descrizione dei «reati commissibili e (del)le conseguenze che essi potrebbero avere».

condotta illecita propria dell’attività in esame e le modalità pratiche attraverso cui i reati potrebbero essere commessi»254_).

In termini di valutazione dei rischi, nel corso delle interviste, «al responsabile di ciascun sottoprocesso è stato richiesto di valutare il rischio che vengano commessi illeciti amministrativi dipendenti da reato, tenuto conto del grado di efficacia e di efficienza delle procedure e dei sistemi di controllo esistenti all’interno del sottoprocesso, in quanto idonei a valere anche come misure di prevenzione dei reati (anche al fine di «stimare la frequenza con la quale, nella normale operatività aziendale, si svolgono le attività in esame e dunque con quale frequenza si presentino occasioni di commissione dei reati individuati», n.d.r.); sulla base di dette valutazioni e delle metriche di valutazione definite è stato determinato il livello di criticità, sotto il profilo del rischio ai sensi del D. Lgs. 231/2001, nell’ambito di ciascun sottoprocesso identificato; in relazione alle aree di rischio identificate sono state individuate le opportune azioni correttive per migliorare il sistema dei controlli e ridurre il livello di criticità»255_.

Le «azioni correttive», di cui sopra, sono indicate nel verbale dell’intervista come “azioni di miglioramento”, mediante le quali si suggerisce al responsabile — garante della realizzazione delle stesse — di adottare determinate misure volte a prevenire la commissione dei reati prospettatigli, stabilendo, inoltre, una “data di scadenza” entro cui queste devono essere predisposte.

Dall’analisi effettuata si può vedere come ricorrano alcuni elementi di quelli indicati dalle elaborazioni teoriche di dottrina e associazioni di categoria (ex multis, la raccolta della documentazione aziendale, le interviste, etc.); ma si registra, al contempo, una maggiore fluidità delle fasi, che tendono ad avere demarcazioni meno nette di quanto si profili nell’elaborazione teorica. Ad esempio, la gap analysis, nel contesto e nel modello esaminato, non costituisce una fase a sé, bensì viene ad

254 _Ibidem. 255 _Ibidem.

essere inglobata all’interno delle interviste, come momento conclusivo. Le azioni di miglioramento, infatti, altro non sono che il risultato della fase di individuazione «in maniera puntuale (de)i controlli esistenti (preventivi e successivi) e (di valutazione del)l’allineamento della struttura di controllo ai dettami del D. Lgs. 231/2001 in termini di esistenza, efficacia ed efficienza dei controlli, esistenza di procedure formalizzate, adeguatezza del sistema delle deleghe e procure, esistenza e adeguatezza del sistema disciplinare»256_.