Flussi di comunicazione da e verso l'Organismo di Vigilanza nel Modello Organizzativo 231

DIPARTIMENTO DI ECONOMIA E MANAGEMENT

LAUREA MAGISTRALE IN STRATEGIA, MANAGEMENT E

CONTROLLO

TESI DI LAUREA:

FLUSSI DI COMUNICAZIONE DA E VERSO

L’ORGANISMO DI VIGILANZA

NEL MODELLO ORGANIZZATIVO 231

CANDIDATA: RELATORE:

LIVIA BATTELLA PROF. SIMONE LAZZINI

E così eccoci qua! Questo percorso è quasi terminato…. Se ho raggiunto la fine è solo grazie al Prof. Marco Giannini e al Prof. Simone Lazzini, che mi hanno saputo incoraggiare con immensa pazienza (che con me è veramente necessaria!), tanta motivazione e grande competenza. Non avrei potuto immaginare dei mentori migliori e mi sento estremamente fortunata di questo!

Un ringraziamento alla mia famiglia che mi ha permesso di inseguire i miei sogni affiancandomi nelle difficoltà, permettendomi di dare il massimo.

Un ringraziamento a enti in cui ho svolto esperienze di stage perché grazie alla pazienza e disponibilità dei loro tutor

ho maturato conoscenze nei vari ambiti tali da guidarmi nella scelta del mio percorso lavorativo.

INDICE

PREFAZIONE 5

1. IL MODELLO 231 E LE PREROGATIVE DI UN SISTEMA EFFICACE 11

1.1. IL D.LGS. 231 E NATURA DELLA RESPONSABILITA’ 11

1.2. EVOLUZIONE NORMATIVA DELLE FATTISPECIE DI REATO AI SENSI DEL

D.LGS. 231/2001 E SUCCESSIVE INTEGRAZIONI 15

1.3. IL SISTEMA SANZIONATORIO 231 19

1.4. PRESUPPOSTI SOGGETTIVI ED OGGETTIVI 20

1.5. BENEFICI E COSTI DERIVANTI DAI PROGRAMMI DI

CONFORMITA’ ALLA 231 21

1.6. MODELLI DI ORGANIZZAZIONE E GESTIONE IDONEI 23

1.7. MANUALE DELLE PROCEDURE DI ATTUAZIONE DEI MODELLI

NELLA REALTA’ AZIENDALE 29

1.8. MAPPATURA DEI RISCHI E PRESIDI PREVENTIVI 30

1.9. FORMAZIONE ED INFORMAZIONE DEL PERSONALE 32

1.10. CODICE DI CONDOTTA AZIENDALE ANTI-CORRUZIONE/ ANTIFRODE

E MODALITA’ DI ATTUAZIONE DEL CODICE ETICO 37

1.11. IMPEGNI COMUNI 41

1.12. COSTRUZIONE DEL MODELLO E SUCCESSIVI MONITORAGGI ED

AGGIORNAMENTO DA PARTE DELL’ODV 42

1.13. PERSEGUIRE MAGGIORI EFFICIENZE: CORRETTO DIMENSIONAMENTO DELLA

DOCUMENTAZIONE 45

2. PRINCIPI APPLICATIVI PER L’ORGANISMO DI VIGILANZA: MANSIONI, DOVERI, INCOMBENZE

E SUO REGOLAMENTO 47

2.1. ODV <<FULCRO E FONDAMENTO>> DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E

CONTROLLO: REQUISITI SOGGETTIVI 47

2.2. ATTIVITA’ DI VIGILANZA: REQUISITI OPERATIVI, STRUMENTI ED OUTPUT 52

2.3. LA COMPOSIZIONE OTTIMALE E L’INQUADRAMENTO ORGANIZZATIVO 56

2.4. NUOVE FUNZIONI E PROFILI DI RESPONSABILITA’ 59

2.5. NOMINA 61

2.6. COMPITI: FUNZIONI E DOVERI 64

2.7. POTERI 69

2.8. REGOLAMENTO 71

3. RAPPORTI TRA ODV E ALTRI ORGANI DI CONTROLLO AZIENDALI CHE

IMPATTANO SUL MODELLO 231 76

3.1 ALCUNE CONSIDERAZIONI SULLA RETE DEI CONTROLLI 76

3.2. COLLEGIO SINDACALE 79

3.2.1. ATTRIBUZIONI E CARATTERISTICHE 82

3.2.2. RUOLO DEL COLLEGIO SINDACALE IN RELAZIONE ALL’ ATTUAZIONE DEL MODELLO DI

ORGANIZZAZIONE, GESTIONE E CONTROLLO D.LGS. 231/2001 87

3.3. SOCIETA’ DI REVISIONE 92

3.3.2. RUOLO DELLA SOCIETA’ DI REVISIONE CONTABILE IN RELAZIONE ALL’ ATTUAZIONE

DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO D.LGS. 231/2001 97

3.4. RAPPORTI TRA ORGANISMO DI VIGILANZA E COLLEGIO SINDACALE 98

3.5. RAPPORTI TRA ORGANISMO DI VIGILANZA E SOCIETA’ DI REVISIONE 102

4. FLUSSI INFORMATIVI IN AMBITO 231 105

4.1. LA COMUNICAZIONE AZIENDALE 105

4.2. REQUISITI PER LA COMUNICAZIONE NEL MODELLO 231 105

4.3. PIANIFICAZIONE DELLA COMUNICAZIONE 106

4.4. FLUSSI INFORMATIVI VERSO GLI ORGANI DI GOVERNANCE E VERSO TERZI 107

4.5. FLUSSI INFORMATIVI VERSO L’ORGANISMO DI VIGILANZA E CONTROLLO 110

4.6. FLUSSI INFORMATIVI: INTERNI ED ESTERNI 112

4.7. NECESSITA’ DI UNA COMUNICAZIONE DETTAGLIATA 114

4.8. LA NUOVA NORMATIVA SUL “ WHISTLEBLOWING” 117

5. UN CASO AZIENDALE DI FLUSSI DI COMUNICAZIONE DA E VERSO L’ODV 133

5.1. PRESENTAZIONE DELL’ AZIENDA 134

5.2. MODALITA’ DI COMUNICAZIONE CON L’ODV 138

5.3. ESEMPI DI COMUNICAZIONE VERSO L’ODV 139

5.3.1. COMUNICAZIONE DAI SOCI 140

5.3.2 COMUNICAZIONE DALLA SOCIETA’ DI REVISIONE 140

5.3.3. COMUNICAZIONE DALLA DIREZIONE AMMINISTRAZIONE E FINANZA 140

5.3.4. COMUNICAZIONE DAI SISTEMI DI GESTIONE INTEGRATI 140

5.3.5. COMUNICAZIONE DALLE DIVISIONI OPERATIVE 141

5.3.6. COMUNICAZIONE DAL COLLEGIO SINDACALE 142

5.3.7. COMUNICAZIONE DALL’ UFFICIO LEGALE 142

5.3.8. COMUNICAZIONE DALLA DIREZIONE GENERALE 143

5.3.9. COMUNICAZIONE DALL’UFFICIO GARE 143

5.3.10. COMUNICAZIONE DALL’UFFICIO ACQUISTI 143

5.3.11. COMUNICAZIONE DAL RESPONSABILE PATRIMONIO IMMOBILIARE 143

5.3.12. COMUNICAZIONE DAI RESPONSABILI SINGOLE FUNZIONI 144

5.3.13. COMUNICAZIONE DAI DESTINATARI MODELLO 144

5.3.14. COMUNICAZIONE DA QUALSIASI DIPENDENTE 144

5.3.15. COMUNICAZIONE DALLA SEGRETERIA 144

5.3.16. COMUNICAZIONE DAL SERVIZIO PREVENZIONE E PROTEZIONE 145

5.3.17. COMUNICAZIONE DALLA DIREZIONE RISORSE UMANE 145

5.3.18. COMUNICAZIONE DAI SISTEMI INFORMATIVI 145

5.4. ESEMPI DI COMUNICAZIONE DALL’ODV 145

5.5 CONCLUSIONI 146

ALLEGATI 148

Prefazione

In uno scenario caratterizzato da una crescente complessità e da rapidi cambiamenti che moltiplicano le opportunità di sviluppo, riveste importanza fondamentale la capacità di governare la propria operatività, adottando presidi organizzativi idonei a censire, prevenire e monitorare costantemente le varie tipologie di rischio assunte. Una gestione aziendale sana e prudente dipende anche da un assetto organizzativo adeguato alla dimensione ed alla vocazione operativa dell’impresa; la struttura aziendale deve pertanto rispondere a criteri di coerenza con le linee strategiche gestionali indicate dalla Compagine Sociale e dall’Organo Amministrativo. In tale contesto, particolare rilievo assume il Sistema dei Controlli Interni che mira ad assicurare il rispetto delle strategie aziendali ed il conseguimento dell’efficacia e dell’efficienza dei processi aziendali, la salvaguardia del valore delle attività e della protezione dalle perdite, l’affidabilità ed integrità delle informazioni contabili e gestionali nonché la conformità delle operazioni con la normativa e le disposizioni interne.

L’identificazione dei rischi da gestire comporta l’analisi dei processi interni al fine di evidenziare i fattori che sono ritenuti critici per i diversi livelli organizzativi e per le diverse aree di business; la criticità è da intendersi come correlata alla possibilità di subire perdite significative in termini di risultati o di immagine. L’obiettivo di tali valutazioni non è l’eliminazione del rischio, bensì il suo contenimento a un livello accettabile con costi adeguati al grado del rischio assunto. Con cadenza prefissata, coerentemente con la specificità dimensionali ed operative della Società, e comunque in relazioni ad eventuali discontinuità nell’attività aziendale, devono essere valutate la completezza, la funzionalità e l’adeguatezza del Sistema dei Controlli Interni, tenuto conto della natura e dell’intensità dei rischi e delle complessive esigenze aziendali.

Attraverso lo stesso si dovrà anche perseguire lo scopo di promuovere una cultura aziendale che valorizzi la funzione di controllo e renda, a tutti i livelli, il Personale consapevole e pienamente coinvolto nel ruolo a ciascuno attribuito nel sistema dei controlli.

Con l’entrata in vigore del Decreto Legislativo 8 giugno 2001, n. 231 è stata profondamente rivisitata la posizione della responsabilità della Società, introducendo nel nostro ordinamento la responsabilità amministrativa delle persone giuridiche quale conseguenza della commissione di determinati reati da parte di soggetti che rivestono nell’ente funzioni di rappresentanza, di amministrazione, di direzione, di gestione e controllo ed a loro sottoposti, ovvero da parte di unità organizzative dotate di autonomia finanziaria e

funzionale, sempre che tali fatti siano messi in atto nell’interesse o a vantaggio dell’ente stesso.

Tale circostanza ha richiesto, quindi, un adeguamento del Sistema dei Controlli che tenga opportunamente conto di tale variabile nella definizione dei profili di rischio.

L’adozione di un Modello di organizzazione e gestione calibrato sui “rischi reato” cui è esposta concretamente la Società, al fine di impedire la commissione di determinati illeciti attraverso la fissazione di regole di condotta, adempie ad una funzione preventiva e costituisce altresì il primo presidio del sistema volto al controllo dei rischi.

Ciascun Destinatario è tenuto alla conoscenza ed osservanza dei principi contenuti nel presente documento.

Il crescente fenomeno dei cosiddetti “white collar crimes” (reati dei colletti bianchi, vale a dire di criminalità economica), registrato fin dagli anni 70, ha reso pressante per l’Unione Europea l’esigenza di introdurre un efficace sistema di contrasto dell’attività criminale, non di matrice individuale, ma riferibile appunto agli Enti intesi come persone giuridiche, società e associazioni anche prive di personalità giuridica. Al finire degli anni ’90 rispondere a tale esigenza è divenuto indispensabile vista la gravità e la frequenza degli scandali imprenditoriali (sia nazionali che internazionali: Cirio, Parmalat, Enron, Worldcom, Vivendi su tutti). Il fenomeno considerato ha riguardato non solo le imprese intrinsecamente illecite, cioè operanti per il perseguimento di un fine criminale, ma anche gli Enti mossi da fini in sè leciti, ma perseguiti con policies aziendali aperte a pratiche illecite quali la corruzione, la truffa finanziaria, la lesione di interessi patrimoniali pubblici, ecc. Ciò ha indotto il legislatore comunitario a sollecitare i singoli legislatori nazionali ad assumere strumenti legislativi capaci di perseguire direttamente le persone giuridiche ritenute responsabili di reati economici. Su tali premesse interviene a livello nazionale la Legge Delega n. 300/2000, la quale rappresenta storicamente un punto di partenza in quanto per la prima volta il legislatore italiano è chiamato a disciplinare la responsabilità amministrativa degli Enti collettivi per gli illeciti dipendenti da reato.

Ciò ha costituito un’importante novità per il nostro ordinamento giuridico che, più di altri, ha sempre manifestato una forte resistenza all’accoglimento del principio della responsabilità penale degli Enti, trovando un ostacolo insormontabile nel principio “societas delinquere non potest” codificato nell’art. 27 della Costituzione.

Per dare applicazione al mandato della Legge Delega 300/2000 è stato emanato il D.Lgs. 231/2001, che istituisce la responsabilità amministrativa dell’Ente per i reati posti in essere dai suoi amministratori, dirigenti o dipendenti nell’interesse e/o a vantaggio dell’Ente stesso.

Il legislatore italiano, tra le possibili opzioni normative - quali la proclamazione di una vera e propria responsabilità penale degli Enti (prevista ad esempio in Belgio, Francia, Olanda, Irlanda, Canada, altri) o in alternativa la configurazione di una responsabilità non penale, sebbene connessa all’illecito penale - ha scelto di introdurre quello che nella relazione governativa accompagnatoria del D.Lgs. 231 viene definito un “tertium genus” di responsabilità.

Tale responsabilità non implica una natura solo amministrativa, poiché presuppone la commissione di un vero e proprio reato (illecito penale), poiché la sanzione comminabile all’Ente, seppur tipicamente punitiva, è priva della funzione rieducativa che è propria della pena. La scelta normativa italiana, secondo alcuni commentatori, è stata quella di contemperare i tratti essenziali del sistema amministrativo e di quello penale, cercando di recepire e adattare ai sistemi di matrice codicistica l’esperienza anglosassone dei Compliance Programs nordamericani. Il D.Lgs. 231/2001 persegue l’intento di sensibilizzare gli stessi operatori economici sui fenomeni della criminalità d’impresa, coinvolgendoli nell’azione di contrasto dei reati e rompendo quella relazione di “estraneità” in virtù della quale il reato di natura economica veniva percepito come un evento episodico ed individuale del quale l’Ente poteva disinteressarsi. All’Ente viene quindi demandata una funzione di “garanzia”, volta ad adottare ogni misura idonea alla prevenzione dei crimini economici, nel contesto di un esercizio dell’impresa conforme alla legge e rispondente a principi etici.

Un sistema di controllo policentrico presenta sicuramente aree di miglioramento: ma l’overlapping è un rischio che, analogamente agli altri rischi, se ben indirizzato si trasforma da limite in opportunità. Basti pensare ai benefici che potrebbero derivare dalla creazione di una cultura ed un linguaggio comuni al generale sistema di controllo interno e gestione dei rischi nonché la definizione e adozione di metodologie e strumenti uniformi; pianificazione integrata delle attività di verifica (cd. Piano di audit integrato), evitando ridondanze e focalizzandosi sulle aree di maggior complessità; la conduzione dell’impresa coerente con gli obiettivi definiti dal CdA, favorendo l’assunzione di decisioni pienamente consapevoli.

Tutto ciò considerata anche l’assenza di disposizioni che permettono di graduare l’articolazione del sistema di controllo interno in relazione alle dimensioni della società.

Risulta, perciò, necessario razionalizzare l’insieme delle norme, primarie e regolamentari. La moderna concezione dei controlli ruota attorno alla nozione di rischi aziendali, alla loro identificazione, valutazione e monitoraggio, è anche per questo motivo che la normativa e il Codice si riferiscono al sistema di controllo interno e di gestione dei rischi come a un sistema unitario di cui il rischio rappresenta il filo conduttore.

La seconda premessa, collegata alla prima, è che un sistema dei controlli, per essere efficace, deve essere “integrato”: ciò presuppone che le sue componenti siano tra loro coordinate e interdipendenti e che il sistema, nel suo complesso, sia a sua volta integrato nel generale assetto organizzativo, amministrativo e contabile della società”.

Nel corso del 2010 sono stati proposti due progetti innovativi e nuove eventuali regole: a) Proposta di legge C-3640 sull’onere della prova ai fini della responsabilità

amministrativa dell’ente, in caso di commissione di reato da parte di soggetti che occupano una posizione apicale.

b) Proposta AREL per il D.Lgs. 231/2001 Tale proposta contempla:

• eliminazione dell’inversione dell’onere della prova nell’ipotesi di reato apicale; • definizione di ente di piccole dimensioni;

• certificazioni del modello.

Proposta di legge C-3640. Per quanto riguarda l’onere della prova ai fini della

responsabilità amministrativa dell’ente, in caso di commissione di reati da parte di soggetti che occupano una posizione apicale si passa dalla presunzione di colpevolezza dell’ente alla presunzione di 6innocenza spostando, in capo alla pubblica accusa, l’onere di dimostrare l’inefficacia dei modelli organizzativi e di gestone adottati per prevenire il reato verificatosi.

Tale spostamento dell’onere della prova è contenuto nell’articolo 1 della proposta di legge C-3640, assegnata il 29 Luglio 2010 alla Commissione Giustizia di Montecitorio, che va a modificare l’art. 6 del D.Lgs. 231/2001; nella formulazione oggi in vigore, infatti, la responsabilità amministrativa dell’ente nei casi in questione è presunta a meno che l’ente non provi diversamente.

Nella proposta C-3640, invece, ai fini della responsabilità amministrativa dell’ente sarà la pubblica accusa a dover dimostrare che:

a) l’organo dirigente non ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e gestione idonei a prevenire reati della specie di quello verificatosi;

b) il compito di vigilare sul funzionamento e sull’osservanza dei modelli e di curare il loro aggiornamento non è stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo;

c) l’organismo di vigilanza di cui alla lettera b), nell’ambito degli enti di interesse pubblico economico di cui all’articolo 16 del decreto legislativo 27 gennaio 2010, n.39:

1) deve essere nominato dall’assemblea dei soci a maggioranza semplice; 2) deve avere natura collegiale;

3) almeno un suo membro deve essere scelto tra soggetti esterni all’ente e dotati delle stesse caratteristiche di indipendenza di cui all’articolo 2399 del codice civile;

d) in tutte le società o enti i cui è nominato un Organismo di Vigilanza ai sensi della lettera b):

1) deve essere data apposita comunicazione della nomina dell’organismo di vigilanza al registro delle imprese entro trenta giorni a cura degli amministratori;

2) l’organismo di vigilanza deve riferire annualmente all’assemblea in merito al suo operato con apposita relazione da presentare in occasione dell’approvazione del bilancio;

e) le persone hanno commesso il reato non eludendo fraudolentemente i modelli di organizzazione e di gestione;

f) vi è stata omessa o insufficiente vigilanza da parte dell’organismo di vigilanza di cui alla lettera b).

Proposta AREL. Secondo questa proposta la responsabilità dell’ente è esclusa a 3

condizioni:

• il modello sia regolarmente certificato, secondo le modalità definite dal Ministero di Giustizia;

• il modello concretamente attuato corrisponda al modello certificato;

• non siano sopravvenute significative violazioni delle prescrizioni che abbiano resa manifesta la lacuna organizzativa causa del reato (che sembra ricordare il concetto di “elusione fraudolenta” introdotto nelle prime linee guida di Confindustria).

La certificazione dell’ente costituirebbe solo il primo dei requisiti perché possa essere esclusa la responsabilità dell’ente. E per quanto riguarda i due requisiti restanti l’azienda dovrebbe dimostrare sia la coerenza del modello attuato con quello certificato, sia l’elusione o forzatura fraudolenta del sistema organizzativo.

Assonime e Confindustria hanno criticato questa proposta in quanto hanno rilevato alcune perplessità. Una prima, invero giustificata, è che si possa innescare un procedimento di indagine da parte del pubblico ministero che avrebbe, in luogo delle motivazioni di

approfondimento indagatorio, una natura di ingiustificata e penetrante valutazione organizzativa nei confronti dell’impresa mossa con strumenti non propriamente adatti.

In secondo luogo, in ordine al modello della riforma, vi è da parte di Assonime il timore che si vengano a costruire strutture private, in seno agli enti preposti al rilascio delle certificazioni, in grado di produrre effetti impropriamente invasivi nell’organizzazione interna e nei processi del SCI (Sistema di Controllo Interno) e su procedimenti giudiziari di tipo penale.

1. IL MODELLO 231 E LE PREROGATIVE DI UN SISTEMA EFFICACE

SOMMARIO: 1.1. Il D.Lgs. 231/2001 e natura della responsabilità; 1.2. Evoluzione normativa delle fattispecie di reato ai sensi del D.Lgs. 231/2001 e successive integrazioni; 1.3. Il Sistema sanzionatorio 231; 1.4. Riferimenti normativi; 1.5. Presupposti soggettivi ed oggettivi; 1.6. Benefici e costi derivanti dai programmi di conformità alla 231; 1.7. Modelli di organizzazione e gestione idonei; 1.8. Manuale delle procedure di attuazione dei modelli nella realtà aziendale; 1.9. Mappatura dei rischi e presidi preventivi; 1.10. Formazione ed informazione del personale; 1.11. Codice di condotta aziendale anticorruzione/ antifrode e modalità di attuazione del Codice Etico; 1.12. Impegni comuni; 1.13. Costruzione del modello e successivi monitoraggi ed aggiornamento da parte dell’ODV; 1.14. Perseguire maggiori efficienze: corretto dimensionamento della documentazione.

1.1. Il D.Lgs. 231/2001 e natura della responsabilità

Sulla base del D.Lgs. 231/2001, le aziende e gli enti in genere possono essere chiamati a rispondere in sede penale per taluni reati commessi nel proprio interesse o le società possono essere ritenute “responsabili” per alcuni reati colposi e dolosi commessi o tentati, nell’interesse o a vantaggio delle società stesse, da esponenti dei vertici aziendali (i c.d. soggetti “in posizione apicale” o semplicemente “apicali”) o da coloro che sono sottoposti alla direzione o vigilanza di questi ultimi (art. 5, comma 1, del D.Lgs. 231/2001).

Con l’espressione “la 231” si fa, pertanto, riferimento al quadro normativo che disciplina la responsabilità diretta delle aziende e degli enti in genere che si aggiunge, senza sostituirsi, a quella (da sempre esistita) delle persone fisiche che hanno materialmente commesso il reato.

La responsabilità amministrativa delle società è autonoma rispetto alla responsabilità penale della persona fisica che ha commesso il reato e si affianca a quest’ultima. Tale ampliamento di responsabilità mira sostanzialmente a coinvolgere nella punizione di determinati reati il patrimonio delle società e, in ultima analisi, gli interessi economici dei soci, i quali, fino all’entrata in vigore del decreto in esame, non pativano conseguenze dirette dalla realizzazione di reati commessi, nell’interesse o a vantaggio della propria società, da amministratori e/o dipendenti. Il D.Lgs. 231/2001 innova l’ordinamento giuridico italiano in quanto alle società sono ora applicabili, in via diretta ed autonoma, sanzioni di natura sia pecuniaria che interdittiva in relazione a reati ascritti a soggetti funzionalmente legati alla società ai sensi dell’art. 5 del decreto.

La responsabilità amministrativa della società è, tuttavia, esclusa se la società ha, tra l’altro, adottato ed efficacemente attuato, prima della commissione dei reati, modelli di organizzazione, gestione e controllo idonei a prevenire i reati stessi; tali modelli possono essere adottati sulla base di codici di comportamento (linee guida) elaborati dalle associazioni

rappresentative delle società e comunicati al Ministero della Giustizia. La responsabilità amministrativa della società è, in ogni caso, esclusa se i soggetti apicali e/o i loro sottoposti hanno agito nell’interesse esclusivo proprio o di terzi. Il programma di conformità ai requisiti discendenti dal D.Lgs. 231/2001 e, in particolare, l’adozione e l’efficace attuazione di un Modello di organizzazione, gestione e controllo con funzioni di prevenzione e contrasto all’interno dell’azienda o ente in genere nei confronti dei reati sanzionati dalla 231, non è obbligatorio. Essere conformi è, piuttosto, un’opportunità che la 231 concede alle aziende o enti in genere per poter ridurre il rischio di essere chiamati a rispondere per uno dei reati sanzionati dalla 231 medesima. In altre parole, l’azienda o ente in genere che ha intrapreso il programma di conformità alla 231 ha uno strumento difensivo in più nell’ipotesi di contestazione di un reato: invocare la propria diligenza organizzativa per richiedere l’esclusione o la limitazione della propria responsabilità derivante da uno dei reati sanzionati dalla 231.

Il Modello di organizzazione, gestione e controllo è il sistema, interno all’azienda o all’ente in genere, che mira a impedire o contrastare la commissione dei reati sanzionati dalla 231 da parte degli amministratori o dipendenti.

In quanto sistema esso si articola in diverse componenti, tra cui a titolo di esempio: forme di organizzazione, linee guida, principi, procure, deleghe, processi, procedure, istruzioni, software, standard, programmi di formazione, clausole, organi, piani, report, checklist, metodi, sanzioni, internal auditing, etc. Alcune componenti del Modello 231 sono caratteristiche (ad esempio Organismo di Vigilanza, identificazione e valutazione attività c.d. sensibili in quanto a rischio-reato, codifica degli obblighi informativi in favore dell’Organismo di Vigilanza, etc.), altre non caratteristiche ed, eventualmente, esistenti in azienda indipendentemente dai requisiti 231 (ad esempio procedure, sistema disciplinare, internal auditing, etc.). È preferibile che il Modello sia documentato e formalmente adottato dalla società o ente in genere. Infine è necessario che il Modello sia concretamente in esercizio (assicurando ad esempio l’effettiva operatività di una procedura), verificato e aggiornato periodicamente. Il modello di organizzazione, gestione e controllo è stato predisposto attraverso un progetto che ha coinvolto tutta l’organizzazione. Il vertice aziendale è stato coinvolto attraverso un percorso di informazione e sensibilizzazione e le varie funzioni aziendali sono state coinvolte attraverso un processo di analisi dei rischi svolto in collaborazione con consulenti e professionisti qualificati.

La direzione aziendale, da tale analisi, ha individuato le aree a rischio significativo e impostato un modello, dei regolamenti e dei protocolli operativi per la gestione dei possibili

rischi reato. In particolare, sono state integrate all’interno del modello 231 quelle parti del sistema di gestione per la qualità ISO 9001 compatibili. Infatti, lo standard ISO, adottato anche a livello europeo come riferimento nelle direttive per la conformità dei prodotti e dei servizi, prevede analogie evidenti con i modelli di compliance aziendale come quelli previsti dal Decreto 231. In particolare, l’approccio per processi, la finalità preventiva ed il requisito di controllo e monitoraggio dei processi per garantire a terzi l’efficacia delle prassi aziendali adottate sono elementi comuni ai due modelli.

Le parti del modello ISO 9001 applicate direttamente sono le seguenti:

1. Processo formazione: per gli aspetti di pianificazione della formazione in ingresso, di analisi delle esigenze (periodica) e di verifica dell’efficacia;

2. Gestione della documentazione e delle registrazioni: in particolare per l’identificazione, approvazione, distribuzione e dei documenti;

3. Verifiche ispettive interne: ampliamento alla conformità al codice e al modello; 4. Azioni correttive: per gli aspetti di correzione e registrazioni delle azioni intraprese

(incluse l’analisi delle cause).

La sola adozione di un Modello 231 non è sufficiente e non esaurisce di certo i requisiti da soddisfare per poter ottenere il più importante dei benefici derivanti dai programmi di conformità al D.Lgs. 231/2001: l’esclusione o la limitazione della responsabilità dell’azienda in caso di commissione di un reato sanzionato dalla 231.

Successivamente all’adozione del Modello 231 devono assicurarsi il concreto esercizio da parte dei destinatari (ad esempio, il rispetto puntuale di una procedura) e, quantomeno, il mantenimento nel tempo del Modello stesso che, a sua volta, include le attività generalmente assegnate all’Organismo di Vigilanza, tra cui: vigilare e controllare l’osservanza e efficacia del Modello, formare e informare i destinatari del Modello, aggiornare e adattare il Modello.

L’indagine sullo stato di attuazione della disciplina del decreto 231 rientra in un progetto più ampio di analisi dedicata al sistema dei controlli societari, dopo un decennio di interventi legislativi che hanno profondamente mutato il quadro delle regole sui controlli e sulla responsabilità d’impresa.

Le tappe della riforma della materia dei controlli partono dal Testo Unico sull’intermediazione finanziaria (1998), con cui vengono rafforzati i requisiti d’indipendenza dei sindaci ed è imposta alle società quotate la predisposizione di un sistema di controllo interno.

Con il decreto legislativo 231 del 2001 sono introdotti i modelli organizzativi di prevenzione dei reati con la istituzione di un organismo di vigilanza sui modelli.

La riforma societaria (2003) ha, poi, innovato profondamente la materia: per i profili che qui interessano, si è delineata la nuova disciplina degli amministratori in cui sono differenziati i compiti e le responsabilità degli amministratori con deleghe e senza deleghe; si è affermata la rilevanza di assetti organizzativi adeguati per un’efficiente gestione dell’impresa; il controllo contabile è stato attribuito ai revisori anche per le società non quotate; sono stati introdotti modelli di governo societario alternativi al sistema tradizionale in cui il controllo sulla gestione è affidato a organi diversi dal Collegio sindacale. Da ultimo, con la legge risparmio (2005) sono stati rafforzati i profili di professionalità, onorabilità e indipendenza di gestori e controllori e si è prevista la nuova figura del dirigente preposto alla redazione dei documenti contabili. Una ricognizione dell’evoluzione normativa in tema di controlli deve altresì tener conto del ruolo importante svolto dall’Autodisciplina e degli influssi sulla normativa italiana della legislazione comunitaria e statunitense, in particolare del Sarbanes– Oxley Act (2002)1_.

Il D.Lgs. 231/01 ha rappresentato un momento legislativo importante in questo percorso normativo: l’introduzione di sistemi di monitoraggio dell’agire imprenditoriale e la valorizzazione dei flussi informativi all’interno dell’azienda, tra organi e uffici, hanno rivoluzionato un certo modo di pensare i controlli sull’attività d’impresa, attribuendo maggiore rilevanza all’efficienza dei controlli preventivi sulla gestione.

La disciplina 231 ha inciso in modo significativo sui comportamenti delle imprese, costrette a rivedere i propri processi organizzativi per individuare soluzioni efficienti per la gestione dei rischi. Con riferimento all’esperienza di questi primi anni di vigenza della legge 231 merita di essere segnalato il fatto che, nonostante l’adozione dei modelli organizzativi non sia obbligatoria e nonostante i costi elevati della compliance, la maggior parte delle società di capitali di media e grande dimensione ha scelto di adottare modelli organizzativi.

Ciò ha portato un contributo significativo, soprattutto delle grandi società, al miglioramento della governance. Tuttavia, l’espandersi del reticolo delle procedure interne e dei soggetti coinvolti nell’attività di controllo (Collegio sindacale, revisori contabili, OdV, controllo interno, dirigente preposto ai controlli contabili, ecc.), che il quadro normativo

1_{La Sarbanes-Oxley Act, conosciuta anche con il nome di Public Company Accounting Reform and Investor Protection Act of 2002 e}

comunemente chiamata Sarbanes-Oxley, Sarbox (o semplicemente SOX) è una federale emanata nel luglio 2002 dal governo degli Stati Uniti d’America a seguito di diversi scandali contabili che hanno coinvolto importanti aziende americane come Enron, la Società di Revisione Arthur Andersen, WorldCom, Tyco International. Suddetti scandali hanno causato grande sfiducia da parte degli investitori nei confronti dei mercati, sollevandone altresì diversi dubbi circa le loro politiche di sicurezza. La legge mira ad intervenire per chiudere alcuni "buchi" nella legislazione, al fine di migliorare la corporate governance e garantire la trasparenza delle scritture contabili, agendo tuttavia anche dal lato penale, con l'incremento della pena nei casi di falso in bilancio e simili. Viene inoltre aumentata la responsabilità degli auditor all'atto della revisione contabile.

attuale riflette, porta con sé il pericolo di una sovrapposizione di ruoli e di una frammentazione del controllo sulla gestione.

La progressiva estensione dell’applicazione della disciplina del decreto 231 conferma questo pericolo. Inoltre, l’eterogeneità dei reati di riferimento accresce il rischio di attribuire all’ente funzioni di controllo estranee a quelle tipiche di controllo dei rischi d’impresa. La complessità della disciplina porta ad accentuare il ruolo del giudice penale, chiamato a valutare in concreto l’idoneità dei modelli organizzativi. Quest’attività di valutazione è delicata: infatti, dalla commissione del reato non si dovrebbe desumere automaticamente la prova dell’inadeguatezza della struttura organizzativa dell’impresa. Altro aspetto critico è quello della valutazione dei costi dei sistemi di controllo: occorre qui domandarsi se sia stato raggiunto un punto di equilibrio tra benefici attesi (esigenze di prevenzione, limitazione dei danni patrimoniali, efficienza gestionale) e costi per le imprese. Regole eccessivamente severe e misure organizzative costose non sempre risultano idonee a impedire gli abusi, anzi, possono incidere negativamente sull’efficienza e la redditività del business. In questa prospettiva, con l’indagine svolta, l’Assonime si è posta l’obiettivo sia di valutare lo stato di attuazione della disciplina, sia di formulare eventuali proposte per una razionalizzazione e semplificazione delle funzioni di controllo interno delle aziende e per ricondurre a sistema coerente la molteplicità dei controlli.

1.2. Evoluzione normativa delle fattispecie di reato ai sensi del D.Lgs. 231/2001 e successive integrazioni

Quanto alla tipologia di reati cui si applica la disciplina in esame, il legislatore delegato ha operato inizialmente una scelta minimalista rispetto alle indicazioni contenute nella legge delega (L. n. 300/2000). Infatti, delle quattro categorie di reati indicate nella L. n. 300/2000, il Governo ha, preliminarmente, preso in considerazione soltanto quelle indicate dagli artt. 24 (Indebita percezione di erogazioni pubbliche, Truffa in danno dello Stato o di altro ente

pubblico o per il conseguimento di erogazioni pubbliche e Frode informatica in danno dello Stato o di altro ente pubblico) e 25 (Concussione e Corruzione), evidenziando, nella relazione

di accompagnamento al D.Lgs. 231/2001, la prevedibile estensione della disciplina in questione anche ad altre categorie di reati. Tale relazione è stata profetica, giacché successivi normativi hanno esteso l’elenco dei reati cui si applica la disciplina del D.Lgs. 231/2001.

La legge 23 novembre 2001 n. 4092, di conversione del D.L. n. 350/2001 recante disposizioni urgenti in vista dell’euro, ha introdotto, all’art. 4, un nuovo articolo al D.Lgs. n.

231/2001 (l’art. 25-bis) relativo alle falsità in monete, carte di pubblico credito e in valori di

bollo.

Un ulteriore importante intervento è però rappresentato dal D.Lgs. 61/2002 in tema di reati societari, che ha aggiunto al D.Lgs. 231 l’art. 25-ter, estendendo la responsabilità amministrativa ad alcune fattispecie di reati societari commessi nell’interesse (ma non anche a vantaggio, come invece previsto dal D.Lgs. 231) della società da amministratori, direttori generali, liquidatori o da persone sottoposte alla loro vigilanza, qualora il fatto non si sarebbe realizzato se essi avessero vigilato in conformità agli obblighi inerenti la loro carica. L’art. 25-ter disciplina, in particolare, i reati di: falsità in bilancio, nelle relazioni e nelle altre

comunicazioni sociali, falsità nelle relazioni o comunicazioni della Società di Revisione, impedito controllo, formazione fittizia del capitale, indebita restituzione dei conferimenti, illegale ripartizione degli utili e delle riserve, illecite operazioni sulle azioni o quote sociali o della società controllante, operazioni in pregiudizio dei creditori, indebita ripartizione dei beni sociali da parte dei liquidatori, indebita influenza sull’assemblea, aggiotaggio e ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza.

Successivamente, la legge di “Ratifica ed esecuzione della Convenzione internazionale per la repressione del finanziamento del terrorismo fatta a New York il 9 dicembre 1999”, ha inserito un nuovo art. 25-quater al D.Lgs. 231, che stabilisce la responsabilità amministrativa

dell’ente anche in relazione alla commissione dei delitti aventi finalità di terrorismo o di eversione dell'ordine democratico. La legge trova inoltre applicazione (art. 25-quater, ult. co.)

con riferimento alla commissione di delitti, diversi da quelli espressamente richiamati, “che siano comunque stati posti in essere in violazione di quanto previsto dall'articolo 2 della Convenzione internazionale per la repressione del finanziamento del terrorismo fatta a New York il 9 dicembre 1999”.

Con la legge contenente “Misure contro la tratta delle persone” è stato introdotto un nuovo articolo al decreto, il 25-quinquies, che estende il regime della responsabilità

amministrativa dell’ente anche in relazione alla commissione dei delitti contro la personalità individuale disciplinati dalla sezione I del capo III del titolo XII del libro II del codice penale.

Ed ancora, con la L. 18 aprile 2005, n. 62, art. 9 è stato introdotto, all’interno del corpo del decreto in parola, l’art 25 sexies che estende la responsabilità amministrativa degli enti

per i reati di abuso di informazioni privilegiate e di manipolazione del mercato.

Con la L. 16 marzo 2006, n. 146, artt. 3 e 6 sono stati disciplinati i reati transnazionali, caratterizzati dalla necessità di un coinvolgimento di un gruppo criminale organizzato (due o più persone) purché:

a) siano commessi in più di uno Stato;

b) siano commessi in uno Stato, ma una parte sostanziale della loro preparazione, pianificazione, direzione o controllo avvenga in un altro Stato;

c) siano commessi in uno Stato, ma in esso sia implicato un gruppo criminale organizzato impegnato in attività criminali in più di uno Sato;

d) siano commessi in uno Stato, ma abbiano effetti sostanziali in un altro Stato.

I reati puniti a livello transnazionale sono: l’associazione per delinquere, l’associazione di tipo mafioso, l’associazione per delinquere finalizzata al contrabbando di tabacchi lavorati esteri, l’associazione finalizzata al traffico illecito di sostanze stupefacenti o psicotrope, le disposizioni contro la immigrazione clandestina (art. 12, commi 3, 3 bis, 3 ter e 5 del T.U. 309/1990), l’induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria e il favoreggiamento personale.

Nell’anno 2007 due importanti novità hanno riguardato il D.Lgs. 231/2001: dapprima è stato introdotto l’art. 25 septies che prevede una responsabilità qualora si realizzino i reati di

omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche sulla tutela dell’igiene e della salute sul lavoro; successivamente è stato

introdotto l’art. 25 octies che prevede una responsabilità degli Enti per i reati di riciclaggio,

ricettazione e impiego di denaro, beni o utilità di provenienza illecita.

Il regime di responsabilità è stato esteso anche ai c.d. reati informatici; l’art. 24-bis annovera tra i reati presupposto: falsità in un documento informatico pubblico o avente

efficacia probatoria, accesso abusivo ad un sistema informatico o telematico, detenzione o diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche, installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche, danneggiamento di informazioni, dati e programmi informatici, danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità, frode informatica del certificatore di firma elettronica.

Nel corso dell’anno 2009 sono stati introdotti nel D.Lgs. 231/2001 ulteriori gruppi di reati che hanno ampliato ulteriormente l’elenco dei reati presupposto.

La Legge n. 94, del 15 luglio 2009 ha inserito l’art. 24 ter: “delitti di criminalità

organizzata”, prevedendo, così, una responsabilità penale/amministrativa dell’Ente per i

politico-mafioso, sequestro di persona a scopo di estorsione, associazione finalizzata al traffico illecito di sostanze stupefacenti ed illegale fabbricazione, introduzione nello Stato e vendita di armi. Pertanto, viene introdotta una responsabilità dell’ente per questa categoria di delitti a prescindere dal carattere di transnazionalità.

E ancora, la Legge 23.7.2009, n. 99, ha introdotto i seguenti reati presupposto:

- art. 25 bis 1, D.Lgs. 231/2001: delitti contro l’industria e il commercio. Tale categoria

di reati comprende la turbata libertà dell’industria e del commercio, le frodi in commercio, le contraffazioni ed illecite concorrenze;

- art. 25 novies, D.Lgs. 231/2001: delitti in materia di violazione del diritto d’autore.

Tale articolo prevede una responsabilità per l’ente per una serie di reati ricompresi nella Legge penale speciale n. 633/1941, volta a tutelare le opere di ingegno. Tra questi vi sono:

divulgazione su reti telematiche di opere di ingegno protette ed abusiva duplicazione, riproduzione o diffusione di opere protette dal diritto d’autore (dischi, nastri o simili, opere letterarie, scientifiche e simili).

Il D.Lgs. 121/2011 - attuativo della Legge Delega n. 96/2010 (c.d. legge comunitaria 2009), che ha recepito due importanti Direttive sulla tutela penale dell’ambiente (Direttiva n. 2008/99/CE) e sull’inquinamento provocato da navi (Direttiva n. 2009/123/CE), facendo così chiarezza in materia di Responsabilità degli enti derivante da illecito ambientale - ha recepito la normativa comunitaria, inclusa l’estensione alle persone giuridiche della responsabilità amministrativa/penale, introducendo così l’articolo 25 undecies al D.Lgs. 231/2001. Le nuove fattispecie di reati presupposto, riportati sotto la dicitura “reati ambientali”, sono di natura principalmente contravvenzionale, caratterizzate dunque, per quanto concerne l’elemento soggettivo, sia da dolo che sa colpa. Le sanzioni che possono derivare in capo all’ente sono pene pecuniarie e pene interdittive, queste ultime soltanto per le ipotesi più gravi di illeciti ambientali. I reati inseriti possono essere suddivisi nei seguenti macro-raggruppamenti:

• inquinamento idrico • rifiuti

• bonifica dei siti inquinati da inquinamento atmosferico

• commercio internazionale delle specie animali e vegetali in via di estinzione • ozono

• inquinamento navi

Da ultimo, il 2012 ha visto ben due interventi ad integrazione del D.Lgs. 231/2001, che hanno quindi comportato un aumento dei c.d. reati presupposto. Dapprima, il D.Lgs. 109 del 16 luglio 2012 ha introdotto nel novero dei reati previsti dal Decreto, l’art. 25 duodecies,

relativo all’impiego di lavoratori stranieri privi di permesso di soggiorno o con permesso

scaduto, revocato o annullato. Alla luce della predetta normativa, l’ente che occupa alle

proprie dipendenze lavoratori stranieri privi del permesso di soggiorno, ovvero il cui permesso sia scaduto e del quale non sia stato chiesto nei termini di legge, il rinnovo, o con permesso di soggiorno revocato o annullato, è soggetto ad una sanzione pecuniaria da 100 a 200 quote, per un massimo di 150,000 Euro, qualora i lavoratori occupati siano:

- in numero superiore a tre;

- minori in età non lavorativa esposti a situazioni di grave pericolo, con riferimento alle prestazioni da svolgere e alle condizioni di lavoro.

Infine, l’ultima modifica al novero dei reati previsti dal D.Lgs. 231/2001 è avvenuta con l’entrata in vigore della Legge 190 del 6 novembre 2012 “disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella Pubblica Amministrazione”: rimangono immutate le categorie di illeciti capaci di comportare la responsabilità dell’ente, ma vengono recepite le modifiche apportate ai reati di “concussione” e “corruzione per l’esercizio della funzione” (art. 317 e 318 c.p.), nonché vengono introdotti i nuovi reati di “induzione indebita a dare o promettere utilità” e di “traffico di influenze illecite”, nonché tra i c.d. reati societari viene introdotta la “corruzione tra privati” così come prevista dall’articolo 2635 del codice civile.

1.3. Il sistema sanzionatorio 231

L’elenco dei reati che possono originare la responsabilità delle aziende e degli enti in genere in forza del D.Lgs. 231/2001 è in continuo aggiornamento e ampliamento.

Attualmente, oltre ai reati di natura colposa (omicidio e lesioni gravi o gravissime) connessi alla tutela della salute e sicurezza sui luoghi di lavoro, la generalità dei reati è di tipo doloso, e include tra gli altri:

• reati contro la Pubblica Amministrazione (ad esempio, partecipazione a truffe per il conseguimento di incentivi/finanziamenti pubblici, corruzione di pubblici funzionari per l’ottenimento di una commessa, di concessioni/autorizzazioni, etc.);

• reati societari (ad esempio, false comunicazioni sociali, indebita restituzione conferimenti);

• reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita;

• delitti contro l’industria e il commercio (ad esempio, turbata libertà dell'industria o del commercio, vendita di prodotti industriali con segni mendaci, etc.)

Le sanzioni a cui l’azienda o ente in genere potrebbe andare incontro sono particolarmente pesanti e applicabili anche in via cautelare:

• sanzioni interdittive, come ad esempio l’interdizione per un determinato periodo di tempo (anche fino ad 1 anno per certi reati) dall’esercizio dell’attività, la sospensione o la revoca di autorizzazioni, licenze o concessioni, l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e la revoca di quelli concessi, il divieto di pubblicizzare i propri beni o servizi, etc;

• sanzioni pecuniarie, calcolate con il sistema delle quote (il cui valore oscilla da 258 a 1.549 euro, sulla base della gravità della responsabilità dell’azienda), che possono variare per tipologia di reato.

Ad esempio, con riferimento ai reati in materia di salute e sicurezza sui luoghi di lavoro, le sanzioni possono arrivare fino a 1.549.000 euro.

1.4. Presupposti soggettivi ed oggettivi

Il D.Lgs. 8 giugno 2001, n. 231 regola le ipotesi di responsabilità degli enti per gli illeciti amministrativi derivanti da reato. Il Legislatore ha articolato la materia suddividendola in tre capi:

I. Si illustrano i principi generali, i criteri in base a cui attribuire all’ente la responsabilità amministrativa, le tipologie di pene erogabili e le specifiche fattispecie criminose al consumarsi delle quali vengono quantificate precise sanzioni;

II. Si menziona un ulteriore genus di responsabilità, quella patrimoniale, facente sempre riferimento all’ente, con particolare riguardo alle vicende modificative che possono intervenire nel corso della sua vita;

III. Si estrinseca il risvolto processuale dell’intera disciplina.

Destinatari della norma sono gli enti forniti di personalità giuridica, le società, nonché le associazioni anche prive di tale personalità, con la sola esclusione dello Stato, degli enti pubblici territoriali non economici, e degli enti che svolgono funzioni di rilievo costituzionale (art. 1 cc. 2 e 3). Il Legislatore, pur introducendo un inedito tipo di responsabilità in capo agli enti, quella appunto “amministrativa da reato”, anche in ossequio e per coerenza al postulato garantistico costituzionale, ha esteso a tali soggetti l’applicazione del suo naturale corollario di principi, ossia quello di legalità

(art. 2 e 3), di non territorialità (art. 4), della responsabilità personale (art. 5), dell’autonomia della responsabilità dell’ente (art. 8).

Ex art. 5, al fine della responsabilità dell’ente è necessario che l’autore dell’illecito sia una persona fisica che ha agito e operato nell’interesse e per conto dello stesso, avendo titolo per far ciò.

In particolare, tali soggetti, per la lettera della legge, devono:

a) rivestire funzioni di rappresentanza, amministrazione, direzione, ovvero operare una gestione o un controllo, anche di fatto, dell’ente o di una sua unità organizzativa (c.d. soggetti in posizione apicale);

b) essere sottoposti alla direzione o alla vigilanza di uno dei soggetti di cui al punto precedente (c.d. soggetti in posizione subordinata).

La legge, tuttavia, pone nel contempo alcune importanti precisazioni. La prima concerne il legame di fatto tra detti soggetti e commissus delictus: perché possa

ascriversi all’ente una qualsivoglia forma, sia pur minima, di responsabilità, il reato deve tradursi per questo in un vantaggio effettivo e diretto, ovvero deve essere stato compiuto da costoro nell’interesse dell’ente.

La seconda precisazione (art. 5 c. 2) è l’esclusione della responsabilità dell’ente se chi ha compiuto il fatto costituente reato lo ha commesso nell’interesse esclusivo proprio o di terzi”.

1.5. Benefici e costi derivanti dai programmi di conformità alla 231

Tutte le aziende dovrebbero adottare un Modello di organizzazione, gestione e controllo

per prevenire e contrastare i possibili reati commessi nell’interesse e nel vantaggio aziendali

e definire in maniera chiara la responsabilità diretta delle imprese (questi reati sono disciplinati dal D.Lgs. 231/2001).

L’esigenza di servirsi di un Modello 231 si fa ancora più forte a fronte dei ripetuti fatti corruttivi recenti: nella genesi storica della normativa sulla responsabilità amministrativa delle aziende e degli enti a seguito della commissione di un illecito, il principio guida è la sollecitazione a condotte eticamente corrette da parte dei soggetti collettivi, sanzionando quelli che non agiscono secondo legalità.

I soggetti collettivi si caratterizzano per la presenza di più persone che operano ed agiscono per un obiettivo comune e con differenziate responsabilità funzionali, la cui volontà si manifesta attraverso le azioni poste in essere dall’organo di governo del medesimo soggetto collettivo.

Per agire conformemente alla legge, evitando così di incorrere in sanzioni pecuniarie e/o interdittive, l’azienda deve adottare tutte le misure di prevenzione necessarie per contrastare le possibili condotte costituenti reato, instillando in coloro che operano al suo interno, o in suo nome e per conto, i concetti di legalità nei comportamenti e di rispetto delle norme.

Il Modello organizzativo 231 dovrebbe assolvere a dette funzioni: quindi non è un mero adempimento burocratico, ma uno strumento di governance rappresentativo della volontà dell’azienda di operare in conformità alle norme. In tale prospettiva l’adozione del Modello 231 non costituisce per l’impresa una perdita di tempo o di denaro, ma è un mezzo attraverso il quale è possibile acquisire un maggior vantaggio competitivo rispetto ai diretti concorrenti.

Il Modello 231 si articola in una serie di componenti, che riguardano, ad esempio, modelli di comportamento, strumenti, internal auditing, istruzioni, software, iniziative di formazione e tanto altro.

Il Modello, inoltre, deve essere attivo in azienda e deve essere costantemente aggiornato. Infine, il D.Lgs. 231/2001 non prevede alcuna obbligatorietà circa l’adozione del Modello organizzativo, ma lascia alle imprese ogni decisione in merito: il soggetto collettivo è libero di scegliere se adottare o meno tale strumento di controllo e prevenzione.

Vale ricordare, però, che è in crescita il numero di Enti Pubblici che per il rilascio di autorizzazioni, accreditamenti, partecipazioni a bandi ad evidenza pubblica, concessioni di contributi e simili, prevedono tra i requisiti da possedere anche il rispetto delle prescrizioni del D.Lgs. 231/2001, ovvero l’adozione dello specifico Modello di organizzazione e gestione con la nomina dell’Organismo di vigilanza.

Il principale beneficio è previsto espressamente dalla stessa 231 ed è rappresentato dalla possibilità per l’azienda o l’ente in genere che ha intrapreso un programma di conformità 231 di invocare l’esclusione o la limitazione della propria responsabilità derivante da uno dei reati sanzionati dalla 231.

Da non dimenticare, poi, il valore etico che porta con sé l’adozione del Modello 231, in grado di portare dei benefici anche in termini operativi e di immagine aziendale all’esterno. Alcuni ulteriori benefici sono:

• discendenti da altre normative e/o pronunciamenti della giurisprudenza (ad esempio in materia di delega di funzioni in ambito salute e sicurezza sui luoghi lavori; con riferimento alla responsabilità in capo agli amministratori per danni patrimoniali subiti dalla società in conseguenza della mancata adozione del Modello 231);

• di natura operativa (ad esempio, maggiore chiarezza organizzativa e bilanciamento tra poteri e responsabilità; migliore cultura dei rischi e dei controlli sulle operazioni di

business e di supporto in azienda; selezione più rigorosa e conveniente dei fornitori; documentazione e stringente approvazione delle spese, anticipi, etc.; riduzione dei rischi di indisponibilità dei sistemi e/o dei dati e delle perdite conseguenti; rafforzamento delle misure di sicurezza logica; miglioramento dell’affidabilità delle comunicazioni sociali, del controllo dei soci, dei revisori e dei sindaci);

• miglioramento dell’immagine aziendale e della sua percezione da parte dei diversi portatori di interesse e terzi.

I costi dei programmi di conformità ai requisiti discendenti dal D.Lgs. 231/2001 variano in funzione della complessità dell’azienda, del suo profilo di rischio, della preesistenza di un sistema di controllo interno, della configurazione stessa dei Modelli 231, etc.

Non è pertanto possibile quantificare un costo complessivo valevole per la generalità delle aziende o, perfino, per specifiche sotto-popolazioni: si può andare, infatti, dalle poche migliaia fino alle centinaia di migliaia di euro.

A mero titolo di esempio si potrà convenire che è ben differente intraprendere un programma di conformità in un’azienda con poche unità organizzative e con un business a basso rischio infortuni senza vendite alla pubblica amministrazione, rispetto ad un’azienda di medio-grandi dimensioni, più linee di business e siti produttivi, nonché rilevanti affari con soggetti pubblici.

È pertanto sempre raccomandabile mettere a confronto almeno due distinti preventivi, e soprattutto, all’interno di tali preventivi, avere chiare le differenti fasi di un programma di conformità alla 231 e le relazioni reciproche, anche in termini di costo.

Un buon approccio sarà, infatti, quello attento alla generalità dei costi derivanti dai programmi di conformità e non solo ai costi di set-up iniziale.

1.6. Modelli di organizzazione e gestione idonei

Necessari nella redazione del modello sono alcuni requisiti dei quali l’ente o la società deve essere dotata quali:

a) un organigramma funzionale con deleghe e mansioni; b) un Organismo di Vigilanza;

c) un Codice Etico ed il sistema disciplinare; d) dei flussi informativi chiari e definiti; e) la tracciabilità delle operazioni.

I punti sopra esposti sono strettamente collegati. Ad esempio, l’Organigramma Funzionale con le deleghe delle mansioni che riporti graficamente la situazione organizzativa

aziendale aggiornata mediante la rappresentazione degli incarichi all’interno di essa è essenziale per la mappatura delle deleghe aziendali.

Pure la sintesi delle funzioni ed i compiti assegnati ad ogni dirigente, quadro e collaboratore inserito nella struttura organizzativa è uno strumento utile a conoscere le varie funzioni all’interno dell’ente.

L’Organismo di Vigilanza poi deve fare conto su un adeguato SCI (Sistema di Controllo Interno) con chiare ed affidabili procedure che evidenzino i flussi informativi e facilitino la conseguente tracciabilità delle operazioni.

Si aggiunga la naturale predisposizione del personale a seguire le regole del Codice Etico quale esempio aggiornato e sostenuto dal comportamento del management e degli Organi di Governance.

Tutto per limitare il Rischio di Infrazione ed il conseguente rischio che il reato sia commesso.

Diversi sono gli studi e gli approcci per determinare i fattori di rischio che, generalmente, non si riferiscono direttamente alla commissione di illeciti o reati, ma alla validità e conseguente affidabilità delle procedure applicate nell’azienda e alla determinazione di possibili rischi derivanti da errori nella determinazione delle strategie e tattiche gestionali.

Ecco quindi che tutto il concetto di rischio di commissione di illeciti e di reati (Rischio di Infrazione) ricade come sempre nella validità ed efficacia delle procedure adottate dall’azienda nel singolo ciclo operativo che si conclude alla fine con la transazione finanziaria, la quale può essere “veicolo” dell’illecito o reato che viene commesso.

La procedura e la metodologia di applicazione che può essere proposta come linee guida ai due livelli interessati nell’ambito aziendale, vale a dire il livello di Governance ed il livello delle varie unità operative, seguono le metodologie indicate ai punti 2-3-4-7-8 della tavola 1.3 e possono essere prese come base da cui muoversi per costruire un Modello appropriato, con la possibilità di variarlo ed adattarlo alle peculiarità di qualsiasi azienda.

Tavola 1.3 – Criteri e sistemi per identificare e stimare possibili casi ed elementi di rischio

Metodologia Descrizione

1 Analisi delle serie storiche Il metodo si basa su dati quantitativi storici e serie statistiche accertate. Essi si dividono in:

- causali (modelli output-input, econometrici, analisi di regressione)

- autoproiettivi (estrapolazione di trend, media mobile, etc.).

2 Analisi interne Le informazioni raccolte all’interno dell’azienda delle

varie Unità Operative nel corso del processo di pianificazione vengono incrociate ed integrate con quelle provenienti dalle parti terze (stakeholders, consulenti, etc).

3 Analisi del flusso di processo I cicli operativi all’interno dell’azienda vengono attentamente analizzati e monitorati al fine di individuare fattori esogeni ed endogeni che potrebbero determinare incrinature nelle procedure.

4 Catalogo degli eventi Esiste la possibilità di elaborare un elenco di potenziali

eventi a rischio comuni ad aziende appartenenti ad uno specifico settore per mezzo di software specifici.

5 Indicatori di eventi Vengono identificati i cosiddetti indicatori di eventi ed

in seguito si esaminano i dati storici collegati ad essi e si possono identificare i potenziali avvenimento di rischio.

6 Raccolta dati sulle perdite La raccolta dei dati e la verifica delle cause di eventi che hanno generato perdite costituiscono una fonte utile di informazioni per identificare tempestivamente ovviare all’evento negativo al suo sorgere o antecedentemente.

7 Segnalatori di criticità Consiste in un’analisi approfondita effettuata dal

management per approntare appropriate misure atte a contrastare le potenziali criticità derivanti dall’analisi degli scostamenti tra gli eventi attuali e parametri soglia stabiliti.

8 Workshop ed interviste Si riferiscono a tecniche che identificano gli eventi ricorrendo alle conoscenze ed esperienze maturate dal managment, dal personale e stakeholders tramite incontri organizzati. Le molteplici conoscenze ed esperienze dei partecipanti consentono di identificare eventi importanti che altrimenti avrebbero potuto essere omessi.

9 What is analysis Metodologia che consiste nell’analizzare possibili

futuri scenari che potrebbero presentarsi al verificarsi di determinati eventi.

L’impianto del Modello presuppone che la gestione dello stesso e la direzione e governo dell’Organismo di Vigilanza siano diretti e coordinati da persona con profonda conoscenze

delle procedure aziendali e che sia eventualmente coadiuvata da opportune professionalità interne ed esterne che garantiscano l’analisi e la soluzione di eventuali problemi legali, penali, contrattuali ed altri in modo da poter individuare tempestivamente e tempestivamente applicare o varare appropriate procedure che possano inibire eventuali o possibili forzature della procedura e dei protocolli applicati.

Il fine da perseguire nella costruzione del MOGC è l’eccellenza ed è per questo motivo che i punti di riferimento del modello devono essere solidi e riconosciuti come validi.

Per introdurre un sistema efficace, la società dovrà:

1. rilevare e mappare i processi e le strutture aziendali maggiormente a rischio (ad es. i processi produttivi, di acquisto, di marketing e di gestione dei contratti in particolare con la P.A. e le strutture che attivano e gestiscono rapporti contrattuali, la gestione della sicurezza e igiene sul lavoro e delle problematiche ambientali);

2. rilevare e valutare l'efficacia delle procedure e delle prassi operative nell’ambito dei processi;

3. identificare i rischi potenziali (fattispecie di reato e modalità di commissione);

4. aggiornare (o predisporre ex-novo) il sistema di prevenzione, con l’obiettivo di ridurre ad un livello accettabile i rischi identificati, il codice etico ed i modelli di organizzazione e gestione opportuni;

5. integrare tale sistema di prevenzione nel più generale sistema di controllo interno, attivando i meccanismi di sorveglianza sul sistema e sul personale ed i meccanismi disciplinari, equi e coerenti, in caso di violazioni.

Tali modelli secondo la normativa, devono:

2a. individuare le attività nel cui ambito possono essere commessi reati;

2b. prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;

2c. individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;

2d. prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;

2e. introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Per lo sviluppo di modelli idonei è necessaria una preventiva attività di rilevazione e mappatura dell’esistente e delle necessità, da effettuare mediante uno specifico check-up aziendale con questionari di autovalutazione, interviste mirate, acquisizione della documentazione pertinente ed analisi della stessa congiuntamente con le funzioni aziendali interessate.

Si può affermare che un buon sistema di controllo interno (SCI) deve confortare il management su una regolare esecuzione delle procedure e deve essere inoltre efficace nel controllo dell’operato delle Unità Operative quanto efficiente nel produrre dati di financial reporting attendibili.

Ne consegue che i fatti di gestione sono correttamente riportati nelle scritture contabili e derivano da procedure e protocolli verificati da più persone competenti e per questo motivo non soggette a ledere l’azienda generando un illecito o reato.

Ecco che l’intervento che si propone consiste nella verifica innanzitutto della moralità del management e nella sua capacità di trasmettere la stessa a tutti i collaboratori nonché nel rigoroso comportamento degli stessi nel seguire le procedure indicate.

Conseguentemente, è l’attenzione che porrà l’Organismo di Vigilanza nel creare, affinare ed aggiornare i necessari metodi di contrasto da inserire negli usuali processi operativi che determinerà il costante carattere esimente del modello nelle parti operative degli organi di governance e nelle unità operative.

Sono le voci del bilancio conseguenti alle registrazioni contabili prodotte dai fatti di gestione rilevate nel corso dell’anno (esercizio) che possono contenere operazioni illecite. È nel bilancio che devono anche essere ricercate, nel corso delle verifiche proprie dell’Organismo di Vigilanza, le eventuali commissioni dell’illecito o reato previsto dal decreto 231/2001.

La ricerca dovrà partire dalle transazioni finanziarie in primis ed eventualmente da altri comportamenti o carenze di regole che possono portare alla commissione di illeciti o reati in settori diversi e che non riguardano direttamente transazioni finanziarie (sicurezza sul lavoro, rifiuti, diritti d’autore, false dichiarazioni) (Tavola 1.4.).

Il sistema che si propone fa riferimento ai documenti CoSO I, II, III, ed è inoltre derivato dalla metodologia e best practice in materia di Risk Approach per detereminare il Rischio di Infrazione, che può essere a sua volta di conforto nelle operazioni di mappatura delle aree a rischio.

Tavola 1.4 – Documento CoSO II (ERM) obiettivi ai quali sono collegati i rischi

Strategici sono espressi in termini generali e devono essere allineati alla mission aziendale e la devono supportare. Riflettono la scelta del management di come l’azienda si adopera per creare valore per i suoi stakeholders.

Operativi riguardano l’efficacia e l’efficienza delle operazioni aziendali. E’ necessario che riflettano l’ambiente micro-macro economico nel quale l’azienda opera. Il management deve assicurarsi che gli obiettivi siano reali, riflettano le esigenze del mercato e siano espressi nei giusti termini al fine di consentire un’attendibile valutazione della performance.

di Reporting riguardano le informazioni, che devono essere accurate, complete e coerenti con i fini perseguiti

di

Conformità

le aziende devono condurre le loro attività (e spesso assumere provvedimenti particolari) in conformità alle leggi e ai regolamenti in vigore.

Nell’eseguire i controlli l’OdV dovrà porre particolare attenzione a eventi o transazioni significativi. Un fatto di gestione significativo può essere espressione di una operazione irregolare o illecita, o essere manifestazione di un reato, ed è per questo motivo che queste transazioni devono essere verificate sia come legittimità sia nel merito.

Si ricorda che i principi di revisione internazionali hanno avuto nell’ultimo decennio due fondamentali adeguamenti:

- il primo (ISA conformed) ha comportato un aggiornamento di tutti i principi di revisione alla luce di due nuovi principi (ISA 315 e ISA 330) sulla centralità della valutazione del rischio di frodi ed errori significativi, la conformità a leggi ed a regolamenti e sulle conseguenti risposte nel processo di revisione;

- il secondo progetto, chiamato Clarity Project, è stato ultimato nel corso del 2009 con la riedizione di tutti i principi di revisione e riguarda la struttura del principio suddiviso in introduzione, obiettivi, definizioni, regole, linee guida.

La metodologia che fa anche riferimento ai documenti CoSO I, II, III, oltre a mutare il cosiddetto metodo del Risk Approach indicato come best Practice internazionale nella determinazione del rischio di operazioni in bilancio non conformi a leggi, regolamenti ed esistenza di frodi o errori, si riferisce a quei principi di revisione che direttamente trattano di detti rischi ovvero:

- P.R. 240: La responsabilità del revisore nel valutare la possibile esistenza di frodi ed errori;

- P.R. 250: Gli effetti connessi alla conformità a leggi ed a regolamenti;

- P.R. 315: La comprensione dell’impresa ed il suo contesto e la valutazione dei rischi di errori significativi;

- P.R. 330: Le procedure di revisione in funzione di rischi identificati;

- P.R: 440: Valutazione degli errori identificati nel corso della revisione contabile. Oltre al rischio di commissioni di operazioni improprie vi sono principi di revisione che riguardano situazioni che per loro natura possono portare alla commissione di azioni improprie quali quelle che possono essere svolte con parti correlate, altre poste in essere quando la continuità aziendale è incerta e che quindi possono portare a comportamenti non conformi alla corretta amministrazione, altre che per motivi sopra descritti possono essere compiute nell’esercizio successivo a quello esaminato:

- P.R. 550: Le parti correlate - P.R. 560: Eventi successivi

- P.R. 570: Continuità aziendale e corretta amministrazione

- P.R. 1010: Considerazione delle questioni ambientali nella revisione del bilancio.

1.7. Manuale delle procedure di attuazione dei modelli nella realtà aziendale

Il Manuale è l’insieme delle procedure organizzative volte ad assicurare il conseguimento degli obiettivi e delle regole fissate.

Il Manuale deve partire dal codice etico dell’impresa e:

a) individuare aree e processi interni all’azienda e identificare i rischi di business di tali processi e le modalità di prevenzione;