3.1 Il D.Lgs. 231/2001 e il sistema di controllo interno20
Come già più volte detto, il decreto legislativo 231/2001 ha introdotto nel nostro ordinamento giuridico la responsabilità amministrativa, ovvero la responsabilità degli enti per gli “illeciti amministrativi dipendenti da reato”. La responsabilità risulta essere di natura amministrativa e deriva dalla commissione di alcuni reati da parte di soggetti che si trovano in un rapporto determinato con l’ente stesso, sempreché, naturalmente, il reato sia stato commesso “nell’interesse dell’ente o a suo vantaggio”, cioè la già citata “colpa da organizzazione”. L’ente incorre nella
20 Su approfondimenti sul sistema di controllo interno nella letteratura economico-aziendale si veda
in particolare: L. Marchi, Principi di revisione, Bologna, Clueb, 1999; M. Pini, Il sistema di
controllo interno. Dimensione logico-aziendali e valenze normative, Milano, Egea, 2000; M. Comoli, I sistemi di controllo interno nella corporate governance, Milano, Egea, 2002.
responsabilità amministrativa, rischiando perciò di subire sanzioni di diverso tipo, se il reato è stato commesso:
§ da soggetti in posizione apicale, quali appunto persone che rivestono funzioni di rappresentanza, di amministrazione o direzione dell’ente o di una unità operativa autonoma, o comunque persone che esercitano, anche di fatto, la gestione e il controllo dell’ente
§ oppure da soggetti sottoposti alla direzione o alla vigilanza di soggetti apicali.
Il D.Lgs. 231/2001, prevede anche la possibilità per l’ente di esimersi dalla responsabilità per i reati commessi dai soggetti posti in posizione apicale, ma ciò avviene solo se esso è in grado di dimostrare che:
a) l’organo dirigente ha adottato ed efficacemente attuato, prima che l’illecito fosse stato commesso, modelli di organizzazione e gestione idonei alla prevenzione dei reati del tipo di quello commesso;
b) il compito di vigilare sull’osservanza dei modelli e di aggiornarli è stato affidato ad un organismo dell’ente dotato di autonomi potere di iniziativa e controllo;
c) gli autori del reato hanno commesso lo stesso eludendo fraudolentemente i modelli organizzativi;
d) e infine, non vi è stata omessa o insufficiente vigilanza da parte dell’organismo, di cui alla lettera b).
Qualora l’ente decida di avvalersi del dettato dell’art. 6 del D.Lgs. 231/2001, che prevede appunto la clausola esimente, la norma è sicuramente destinata ad influire sul sistema di controllo interno dell’organizzazione.
Ovviamente i modelli previsti dal D.Lgs. 231/2001 non coincidono in modo perfetto con il sistema di controllo interno, anche se presentano due importanti punti di intersezione:
1) La responsabilità dell’organo dirigente per la loro adozione. Infatti è sicuramente condivisibile l’opinione secondo cui il procedimento di
adozione ed implementazione dei modelli rappresenta l’esatto adempimento di un obbligo di corretta gestione dell’impresa da parte degli amministratori;
2) La costituzione dell’Organismo di Vigilanza sul funzionamento, sull’osservanza e sull’aggiornamento dei modelli.
Risulta quindi comprensibile come il sistema di “protocolli” per la gestione del rischio di reato, così come previsto dal D.Lgs. 231/2001 all’art. 6, comma 2, viene ad inserirsi, integrandolo allo stesso tempo, nel sistema di controllo interno della società.
Il sistema di controllo interno è parte integrante del più ampio sistema di Governance aziendale, e risulta infatti composto da un insieme piuttosto ampio di elementi, quali persone, strumenti, metodologie, ecc.., che complessivamente sono diretti a favorire il raggiungimento dei seguenti obiettivi:
§ l’efficacia e l’efficienza dei processi, siano essi informativi, decisionali ed operativi, il quale coincide con il controllo di gestione;
§ la trasparenza gestionale, o detto in altri termini l’attendibilità delle informazioni di bilancio, che equivale al controllo amministrativo contabile;
§ e il rispetto delle norme in vigore, ovvero il controllo di conformità alle leggi e ai regolamenti attualmente in vigore.
Una volta data questa prima definizione, è necessario evidenziare come, ancora oggi, non esiste una definizione di sistema di controllo interno univoca, condivisa e accettata da tutto il mondo operativo e dalla dottrina economico-aziendale21, anche se il tema del controllo interno risulta essere oggetto di analisi in numerosi
21 Per quanto riguarda le definizioni di sistema di controllo interno a livello italiano, meritano di essere segnalate le definizioni date da: Consiglio Nazionale dei Dottori Commercialisti, Doc. n. 400, La valutazione dei rischi e la valutazione del sistema di controllo interno, Milano, Giuffrè, 2002, e sempre della stessa associazione, la Guida operativa per la vigilanza al sistema di controllo interno, Milano, 1999. Inoltre, per un ulteriore approfondimento si veda: BORSA ITALIANA, Codice di autodisciplina delle società quotate, Milano, 1999.
ambiti, come ad esempio nella revisione contabile, nell’Internal Auditing, nella Corporate Governance, nella sicurezza informatica, ecc..
Una tra le definizioni più conosciute e diffuse di controllo interno risulta essere quella proposta in Italia dal “Progetto Corporate Governance per l’Italia” (PCGI). Secondo quanto stabilito in tale ambito il controllo interno è:
“un processo svolto dal consiglio di amministrazione, dai dirigenti e dagli altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sella realizzazione degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza della attività operative; attendibilità delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore”.
Risulta importante anche proporre la definizione che la Banca d’Italia da del sistema di controllo interno:
“L’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare delle strategie aziendali e il conseguimento dell’efficacia e dell’efficienza dei processi aziendali, della salvaguardia del valore delle attività 1e protezione dalle perdite, dell’affidabilità e integrità delle informazioni contabili gestionali, della conformità delle operazioni con la legge, la normativa di vigilanza, le disposizioni interne dell’intermediario”.
Tali definizioni sono molto importanti, in quanto in grado di mettere in luce alcuni concetti di estrema importanza, quali appunto che:
§ il sistema di controllo interno risulta essere un particolare tipo di processo; § il sistema di controllo interno viene svolto da persone;
§ il sistema di controllo interno può essere in grado di “garantire”, al consiglio di amministrazione e al management, in generale, una ragionevole sicurezza, anche se non assoluta, sulla realizzazione di determinati obiettivi. Per quanto riguarda poi gli obiettivi che il sistema di controllo interno intende raggiungere, secondo quanto disposto dal CoSO report22, questi sono identificabili:
• nell’impiego efficace ed efficiente delle risorse a disposizione dell’azienda; • nella redazione e nella pubblicazione di bilanci attendibili;
• e nell’osservanza delle leggi e dei regolamenti in vigore, da parte dell’azienda.
Ancora si può evidenziare come il CoSO report dispone che il sistema di controllo interno risulta essere composto da cinque componenti, strettamente collegate ed integrate con i processi gestionali aziendali:
1) l’ambiente di controllo o control environment; 2) la valutazione dei rischi, o risk assessment; 3) l’attività di controllo o control activities;
4) le informazioni e le comunicazioni, ovvero information & comunication; 5) e il monitoraggio, o monitoring.
Infine, è utile dire come l’efficacia di un sistema di controllo interno dipenda dall’attenzione continua di colui che si trova al vertice dell’azienda, il quale deve assumerne la “paternità”, determinando le condizioni ambientali favorevoli al pieno sviluppo del processo.
3.2 I Modelli di organizzazione, gestione e controllo
I modelli di organizzazione, gestione e controllo, definiti anche più semplicemente “Modelli 231”, fanno parte del sistema di controllo interno delle società e devono perseguire, tramite il loro operato, la conformità dell’azione dell’azienda
il testo conclusivo di uno studio nato negli Stati Uniti da un’iniziativa del settore privato e in particolare delle più prestigiose associazioni professionali d’America che hanno dato vita alla Treadway Commission. La Commissione è stata istituita nel 1985 per individuare le cause dei falsi in bilancio e formulare suggerimenti per arginare questo fenomeno. Il Rapporto è stato tradotto ed adattato alla realtà italiana dal Progetto Corporate Governance per l'Italia, il cui lavoro è stato raccolto in Il sistema di controllo interno, Coopers e Lybrand, 1997. E’ grazie al CoSO report che possono essere evidenziati ed analizzati i cinque componenti del sistema di controllo interno (ambiente di controllo, valutazione dei rischi, attività di controllo, informazioni e comunicazione, monitoraggio), legati da una forte interrelazione e derivanti dal modo in cui l’azienda è gestita e dal modo in cui gli stessi sono integrati nel processo manageriale.
all’insieme delle norme e dei regolamenti che regolano l’attività delle imprese. Il sistema dei modelli riguardo il D.Lgs. 231/2001 prende in considerazione una particolare tipologia di rischio: il rischio che vengano commessi reati all’interno dell’organizzazione aziendale, “dai soggetti posti in posizione apicale a da coloro sottoposti alla direzione o al coordinamento dei primi”. Il reato quindi, in quanto rischio intrinseco per l’organizzazione, deve essere sempre oggetto di attenzione dei massimi livelli dell’organizzazione23.
Se si parla di Modelli organizzativi è indispensabile citare il Gruppo di Lavoro sulla responsabilità amministrativa delle persone giuridiche, istituito in seno alla Confindustria, il quale ha emanato, nel marzo del 2002, le Linee Guida per la costruzione dei Modelli di Organizzazione, Gestione e Controllo ex D.Lgs. n.231/2001.
Secondo quanto stabilito da queste linee guida, e tenendo ben presente il dettato dell’art.6, comma 2, del D.Lgs. 231/2001, il processo di costruzione del modello esimente si articola in due fasi:
1) l’identificazione dei rischi: ovvero il contesto aziendale deve essere sottoposto ad analisi al fine di identificare le aree gestionali e le modalità secondo cui si possono verificare i comportamenti sanzionati dal D.Lgs. 231/2001;
2) la progettazione e la realizzazione del sistema di controllo (i cosiddetti protocolli che debbono guidare la formazione e l’attuazione delle decisioni dell’ente, di cui parla, per l’appunto, l’art. 6 del D.Lgs. 231/2001): il sistema esistente all’interno dell’ente deve essere sottoposto a valutazioni e ad eventuali adeguamenti in termini di capacità di contrastare efficacemente i rischi identificati. In altri termini ciò significa ridurre il rischio ad un livello accettabile, e per ottenere questo risultato sarà necessario agire su due fattori determinanti:
a) la probabilità di accadimento dell’evento,
23 G. D’Onza, Le condizioni di efficacia dei modelli di organizzazione, gestione e controllo ex D.LGS. 231/2001, in Revisione Contabile, fascicolo 72, 2006.
b) e l’impatto dell’evento stesso24.
Tale sistema di controllo mira a raggiungere l’obiettivo di escludere che un qualunque soggetto, operante all’interno della società, possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali ed evitare che il reato possa essere causato da errore umano, negligenza o imperizia nell’applicazione delle direttive aziendali. Inoltre, il fine ultimo cui tende un efficace sistema di gestione del rischio è sicuramente quello di ridurre il rischio di commissione dei reati, essendo comunque impossibile costruire un sistema in grado di eliminare completamente la possibilità che una persona violi la legge penale.
Poiché il rischio di commissione di illeciti è di natura continua, deriva la necessità che un sistema di gestione del rischio non possa tradursi in un’attività da svolgersi una tantum, dovendo invece tradursi in un processo appunto continuo, o comunque periodico, da reiterare con particolare attenzione in alcuni momenti di rilievo per l’attività dell’ente stesso.
Una volta implementato un sistema di controllo basato sul Modello 231, le procedure, ovvero i protocolli, saranno disegnate in maniera tale che il soggetto non solo deve avere la volontà di commettere il reato, ma per potere perpetrare il suo proposito criminoso deve anche aggirare fraudolentemente le indicazioni fornite dall’ente.
Da tutto ciò si evince che la realizzazione di un sistema di gestione del rischio richiede che si compiano i seguenti passi operativi:
1) l’inventariazione degli ambiti aziendali di attività; 2) l’analisi dei rischi potenziali;
3) infine la valutazione, costruzione, e adeguamento dei sistemi di controlli preventivi.
Per garantire un’efficacia preventiva adeguata, il Modello di organizzazione deve essere redatto secondo le specifiche caratteristiche del singolo ente; si procede
24 L’impatto dannoso del reato è rappresentato, in via principale, dalle sanzioni potenzialmente
dunque alla “mappatura dei rischi”, che sarà personalizzata e quindi univoca per ogni ente, primo elemento questo da valutare per identificare le aree in cui l’attività di gestione potrebbe essere esposta alla commissione dei reati previsti dal D.Lgs. 231/2001.
Secondo quanto disposto dall’art. 6, comma 2, del D.Lgs. 231/2001, i Modelli di organizzazione e controllo atti prevenire gli illeciti devono rispondere alle seguenti esigenze:
a) individuare le attività nel cui ambito possono essere commessi reati; è necessario individuare l’ambito di attività della singola impresa, dopodiché sarà necessario elencare e approfondire le zone “a rischio”, fornendo particolare attenzione a quei reati che possono essere commessi da soggetti posti in posizione apicale o a loro subordinati. Per essere adeguato, il sistema di prevenzione degli illeciti deve essere in grado di escludere che nessun soggetto operante all’interno dell’impresa possa giustificare il compimento del reato adducendo l’ignoranza delle direttive impartite a livello aziendale25. Detto in altri termini, le misure preventive del modello devono essere tali che l’agente non solo dovrà “volere” il reato, ma dovrà pure, per poter attuare il suo proposito criminoso, aggirare fraudolentemente le policies dell’ente.
b) Prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; i Modelli devono essere il più dettagliati possibile e devono contenere al loro interno le procedure che permettono una adeguata formazione sui rischi dei reati da prevenire. Prima di procedere alla individuazione dei reati, devono essere individuati i soggetti a cui compete il potere di prendere le decisioni; una volta poi individuati i soggetti, si dovrà procedere stabilendo le
25 Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, 2008. Queste linee guida sono state in alcuni casi declinate nel dettaglio da alcune associazioni di categoria, così come previsto dal decreto, come ad esempio ABI (Associazione bancaria italiana), ANIA (Associazione nazionale fra le imprese assicuratrici), ASSOBIOMEDICA, FARMAINDUSTRIA, AIOP (Associazione italiana ospedalità privata), ANCE (Associazione nazionale costruttori edili), ASSOSIM, ASSTRA (Associazione trasporti).
specifiche procedure da seguire nel processo di scelta delle singole operazioni.
c) Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; anche questo requisito risulta essere molto soggettivo; si dovrà infatti andare ad effettuare una valutazione delle condizioni delle singole società, a seconda delle diverse dimensioni.
d) Prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli; perché l’Organismo di Vigilanza possa svolgere i propri compiti in maniera corretta ed adeguata, è necessario che questo organo possa avere accesso alle informazioni aziendali. Perciò nei Modelli devono essere previsti obblighi di informazione periodica nei confronti dell’Organismo.
e) Introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Per assicurare che vengano rispettate le disposizioni contenute nel Modello di Organizzazione e Controllo, la violazione delle disposizioni in esso contenute devono essere sanzionate con adeguati provvedimenti di natura disciplinare; anche l’omessa, insufficiente o inadeguata comunicazione di informazioni o il rifiuto di mettere a disposizione dell’Organismo di Vigilanza la documentazione da quest’ultimo richiesta, devono essere sanzionate dall’ente per violazione del codice disciplinare.
Resta comunque da dire che il Modello di organizzazione e controllo previsto dal D.Lgs. 231/2001 per essere efficace, deve far sì che il valore della diminuzione dei rischi di commissione dei reati sia superiore a quello della sua messa in opera, il cosiddetto rapporto costo-benefici. In altri termini, se l’implementazione del Modello 231 ha un costo maggiore rispetto alle eventuali sanzioni derivanti dalla commissione dei reati previsti dal D.Lgs.231/01, allora gli enti e le società trovano maggior convenienza nella non applicazione.
3.3 Le fasi di implementazione del Modello 231
Come già detto prima, le aziende che decidono di avvalersi della clausola esimente prevista dall’art.6 del D.Lgs. 231/2001, devono implementare al proprio interno un Modello di Organizzazione, Gestione e Controllo. Tale processo di implementazione prevede quattro fasi, le quali sono necessarie per istituire un Modello 231 all’interno di una azienda:
1) la prima fase è quella della pianificazione, attraverso la quale si procede a raccogliere le informazioni e i dati della società, che occorreranno per una corretta pianificazione delle attività. Questa prima fase può prevedere:
• riunioni preliminari per la pianificazione organizzativa dell’intervento, con il coinvolgimento dell’Amministratore Delegato e dei responsabili delle varie funzioni aziendali;
• interviste con i referenti delle varie unità operative per raccogliere informazioni relative alle caratteristiche dell’attività aziendale e attuare così una prima ricognizione delle aree a rischio;
• l’analisi, qualora sia presente, del manuale dei processi ed del sistema di certificazione della qualità.
Una volta acquisite tutte queste conoscenze, la fase della pianificazione terminerà con la predisposizione di un piano dettagliato di lavoro.
2) La seconda fase per l’adeguamento al D.Lgs. 231/2001 è quella dell’attività di diagnostica, la quale al suo interno prevede tre micro fasi differenti:
• la programmazione dell’attività di risk assessment e l’attuazione di interviste ai responsabili delle aree più sensibili ai rischi;
• la raccolta e l’elaborazione delle informazioni individuate al punto sopra citato;
• l’individuazione e la definizione delle attività più rischiose e le diverse modalità di attuare i reati.
3) La terza fase è quella della progettazione. Durante questa fase vengono analizzati il sistema organizzativo e il sistema di controllo interno esistenti all’interno dell’azienda, con il fine ultimo di individuare se i controlli
presenti all’interno dell’ente stesso sono in grado di poter prevenire i reati ed individuare i potenziali ambiti di miglioramento. Nella fase della progettazione viene utilizzata la “gap analysis” che consiste nel confrontare:
• il sistema di controllo interno già esistente,
• ed il modello di organizzazione, gestione e controllo che dovrà essere implementato secondo quanto disposto dal D.Lgs. 231/2001. Da questo confronto possono scaturire eventuali carenze ed aree nelle quali è preferibile intervenire.
Una volta svolte queste operazioni, sarà possibile fornire raccomandazioni e suggerimenti per migliorare le procedure, la tracciabilità delle operazioni, i poteri autorizzativi, ed infine i controlli di linea e i livelli di supervisione per predisporre un adeguato modello organizzativo.
4) Infine, l’ultima fase è quella della predisposizione del Modello 231.
Normalmente il Modello organizzativo, gestione e controllo, ai sensi del Decreto 231/2001 si suddivide in due parti:
Ø parte generale; Ø parti speciali;
Nella parte “generale” si fornisce ai destinatari del Modello un quadro sintetico sulla realtà dell'Ente e sulla sua attività, sulla normativa di riferimento, sulla funzione del Modello adottato e sui suoi principi ispiratori. Si indica, altresì, la presenza dell'Organismo di Vigilanza e vengono stabilite sia le modalità di diffusione del Modello sia all'interno dell'Ente che all'esterno che le modalità di formazione obbligatoria del personale. La sezione “generale” non riguarda una categoria di rischi/reati: le parti generali sono dette tali perché trasversali, ovvero coprono tutte le categorie di reato, il cui scopo è riscontrabile nell'intento di creare sistemi di controllo per tutte le tipologie di reato.
La parte “speciale” si compone, invece, di tante sezioni quante sono le singole categorie di reato a rischio. All'interno di ogni sezione si
indicano i reati ipotizzabili, le funzioni coinvolte, le modalità di commissione del reato, le procedure di controllo adottate al fine di ridurre i rischi.
Al Modello 231, nella sezione “generale”, devono essere allegati i seguenti documenti:
• il codice etico, il quali risulta essere un documento ufficiale di una impresa, contenente:
a) l’enunciazione dei valori su cui si fonda la cultura dell’impresa; b) e/o la dichiarazione delle responsabilità verso ciascuna categoria di
stakeholders;
c) e/o la specificazione più o meno dettagliata delle politiche aziendali in materia di etica d’impresa;
d) e/o l’indicazione delle prescrizioni alle quali i lavoratori devono attenersi per tradurre in atto le “politiche etiche” dell’impresa. In sostanza, quindi, il codice etico, rappresenta una enunciazione formale dei principi generali volti a regolare i comportamenti della società, dei suoi dipendenti e dei vari collaboratori che ruotano nell’orbita dell’azienda. L’adozione di principi etici in relazione ai comportamenti che possono integrare le fattispecie dei reati previste dal D.Lgs. 231/2001 costituisce la base su cui impiantare il sistema di controllo preventivo.
• Il sistema disciplinare, viene implementato per garantire che nel caso di mancato rispetto delle direttive impartite dal Modello 231, vengano predisposte delle sanzioni a carico dei lavoratori dipendenti, degli