Il modello di organizzazione, gestione e controllo ex d.lgs 231/01 nel settore dell'Energia elettrica

Università degli Studi di Pisa

Facoltà di Economia

Corso di laurea in Strategia Management e Controllo

TESI DI LAUREA

I modelli di Organizzazione, gestione e controllo ex D.lgs 231/2001 nel settore

dell’energia elettrica

Relatore: Candidato:

Prof.Giuseppe D’Onza Enrico Guarisco

Anno Accademico

2013-14

INDICE

Introduzione………..4

CAPITOLO PRIMO Il Sistema di Controllo Interno e il D.lgs 231/2001 1.Disciplina della Corporate Governance ... 9

1.1 La riforma del diritto societario e i Modelli di Corporate governance ... 10

1.1.1 Sistema tradizionale ... 10

1.1.2 Sistema dualistico ... 12

1.1.3 Sistema Monistico ... 13

1.2 Il Sistema di Controllo Interno:i framework internazionali ... 14

1.2.1 Il sistema di controllo interno:definizioni ... 15

1.2.2 Obiettivi del sistema di controllo interno ... 17

1.2.3 Condizioni di applicabilità del Sistema di Controllo Interno ... 17

1.3 Il Framework CoSO report ... 18

1.3.1 Ambiente di Controllo ... 19

1.3.2 Valutazione dei rischi ... 25

1.3.3 Attività di controllo ... 28

1.3.4 Informazione e comunicazione ... 29

1.3.5 Monitoraggio ... 31

1.4 Limiti del sistema di controllo interno ... 32

2.Il D.lgs 231/2001 ... 33

2.1 La natura della responsabilità degli enti ... 34

2.2I destinatari della normativa ... 35

2.3 I reati ... 37

2.3.1 I reati contro la pubblica amministrazione ... 39

2.3.2 Delitti informatici e trattamento illecito dei dati ... 40

2.3.3 Reati societari ... 41

2.3.4 I reati di Ricettazione,riciclaggio e impiego di denaro, beni o utilità di provenienza illecita ... .44

2.3.5 Delitti commessi con violazione delle norme sulla tutela della salute e sicurezza sul

lavoro ... 46

2.4 Sanzioni ... 47

2.5 L’Organismo di vigilanza ... 50

2.5.1 La composizione dell’organismo di Vigilanza ... 51

2.5.2 L’attività dell’organismo di Vigilanza ... 52

2.5.3 Regolamento dell’OdV ... 53

2.5.4 Rapporti tra Organismo di Vigilanza ed altri attori aziendali ... 53

2.5.5 Rapporti Organismo di Vigilanza e Collegio sindacale ... 54

CAPITOLO SECONDO I Modelli di Organizzazione, Gestione e Controllo ex D.lgs 231/2001 1.I modelli di Organizzazione,gestione e controllo ... 57

1.1 Il meccanismo di funzionamento della responsabilità amministrativa ... 57

1.2 La clausola esimente ... 58

1.3 Codici di comportamento e modelli organizzativi ... 59

2. L’adozione dei modelli di organizzazione,gestione e controllo ... 60

2.1 Le fasi di elaborazione del modello... 61

2.1.1 Check up aziendale ... 61

2.1.2 La valutazione del sistema di controllo interno ... 62

2.1.3 Identificazione ed analisi di attività e processi aziendali ... 67

2.1.4 Individuazione dei fattori di rischio ... 69

2.1.5 Mappatura delle aree a rischio reato e processi “sensibili” ... 70

2.1.6 La valutazione del rischio reato ... 72

2.1.7 Azioni di risk response in ottica 231 ... 75

3. Modello 231:uno schema di riferimento ... 78

3.1 Codice Etico ... 79

3.2 Struttura organizzativa ... 81

3.3 Sistema disciplinare ... 81

3.4 Protocolli e procedure ... 82

3.5 Procedure di formazione del personale e divulgazione del modello ... 83

CAPITOLO TERZO

L'adozione dei Modelli di Organizzazione, Gestione e Controllo nel settore dell'Energia Elettrica

1.Il settore dell’energia elettrica:aspetti introduttivi ... 86

1.1 Le motivazioni alla base della liberalizzazione ... 87

2.Il Mercato dell’energia elettrica in Italia ... 88

3.Analisi delle aziende che operano nel settore della produzione di energia elettrica ... 90

3.1 Modello di Corporate governance ... 91

3.2 Fatturato ... 92

3.3 Anno implementazione del Modello 231 ... 93

3.4 Struttura del modello di organizzazione gestione e controllo:Parte generale e Parte speciale .... 94

3.4.1 Descrizione della realtà aziendale ... 95

3.4.2 Regime della responsabilità amministrativa previsto a carico di persone giuridiche, società e associazioni ... 96

3.4.3 Adozione del modello ... 96

3.4.4 Risk assessment e definizione dei protocolli ... 97

3.4.5 Estensione del modello alle controllate ... 99

3.4.6 Organismo di vigilanza... 100

3.4.7 Diffusione del modello,formazione ed informazione del personale ... 101

3.4.8 Sistema disciplinare ... 102

3.4.9 Regole per l’aggiornamento del modello ... 103

4.Codice etico ... 103

4.1 Principi etici generali:uno schema di riferimento ... 105

5.Le categorie di reati ... 107

6.La composizione dell'Organismo di Vigilanza………..111

Conclusioni………...114

Bibliografia………...119

INTRODUZIONE

Con il D.lgs 231/20011 , ”Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni”, l'Italia ha adeguato la propria normativa interna alle convenzioni internazionali in materia di responsabilità amministrativa delle persone giuridiche e delle associazioni, alle quali l'Europa aveva già da tempo aderito, in particolare si tratta:

Della convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle comunità europee;

della convenzione firmata a Bruxelles il 26 maggio 1997 sulla lotta alla corruzione nella quale sono coinvolti funzionari della Comunità europea o degli stati membri;

della convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali;

La Convenzione e i Protocolli delle Nazioni Unite contro il crimine organizzato transazionale adottati dall’Assemblea generale il 15 novembre 2000 e il 31 maggio 2001, ratificati con legge n. 146/2006.1

Fino all'entrata in vigore del D.lgs 231/2001 l'ordinamento italiano non prevedeva forme dirette di responsabilità per gli enti e proprio per questo motivo il decreto in questione ha rappresentato un'assoluta innovazione :infatti il legislatore ha così fornito un valido strumento per non lasciare impuniti quei soggetti che in un certo qual modo traggono vantaggio da reati commessi nel loro interesse da persone fisiche.

Al fine di inserire questo strumento, si è dovuto agire in deroga al principio sancito nell'art.27 della Costituzione, il quale afferma che la responsabilità penale è personale ed è quindi impossibile ricondurre una responsabilità penale a carico di soggetti diversi dalle persone fisiche.

Un'interpretazione restrittiva di tale norma,infatti, vieta l'individuazione dell'ente quale soggetto attivo nella commissione di un reato, dovendo la responsabilità penale

1

necessariamente afferire ad una persona fisica capace di formulare autonomamente una volontà propria.

Tuttavia con il passare del tempo si è dovuto tenere conto del mutamento dello scenario,sempre più caratterizzato da fenomeni di criminalità economica di cui le imprese sono protagoniste indiscusse e del fatto che la non imputabilità alle stesse di taluni reati rendessero ormai inadeguato il sistema complessivo di prevenzione.

Si è preso atto dunque del necessario superamento del principio societas delinquere

non potest e si è giunti così al D.lgs 231/2001, con l'obiettivo di adeguare il sistema

repressivo al nuovo scenario economico, ritenendo che solo sanzionando i comportamenti illeciti dei soggetti economici sia possibile contribuire alla creazione di un sistema di regole a garanzia di una corretta concorrenza sui mercati.

Quindi in virtù del dettato del D.lgs 231/2001 le persone giuridiche e gli enti possono essere sanzionati qualora venga accertata la commissione di reati compiuti dai dipendenti o da amministratori a vantaggio o nell'interesse della società.

Il presente lavoro è suddiviso, sostanzialmente, in due parti.

Nella prima parte, più teorica, si è cercato di definire bene dapprima il concetto di

Corporate Governance,o Governo d’impresa, poi il concetto di Sistema di Controllo

Interno, che è parte integrante della Corporate Governance di un’azienda, definendo bene elementi costitutivi del controllo interno, obiettivi e limiti ed infine si è passata in rassegna tutta la dottrina relativa al D.lgs 231/2001, definendo bene il concetto di responsabilità para-amministrativa, le categorie di reato previste, i destinatari, il sistema sanzionatorio, nonché le modalità di costruzione dei Modelli di Organizzazione, Gestione e controllo la cui adozione è il presupposto per potere usufruire della cosiddetta “clausola esimente” prevista dell’art.6 del D.lgs 231/2001. La seconda parte del lavoro, è invece più pratica.

In particolare, ho condotto un’analisi empirica, oggetto della quale sono state 10 aziende che operano nel settore dell’Energia elettrica, ed in particolare nell’ambito della produzione di energia elettrica.

In merito a queste aziende, ho condotto un’analisi di tipo “trasversale”, in cui ho analizzato diversi fattori al fine di cogliere punti di contatto o eventuali divergenze, nel sistema di governance adottato, nella struttura del modello di Organizzazione,

Gestione e Controllo, nella composizione dell’Organismo di Vigilanza e nella definizione delle categorie di reato cui sono maggiormente esposte le aziende in esame, rispetto a quelle previste dal D.lgs 231/2001.

CAPITOLO PRIMO

1.Disciplina della Corporate Governance

Con il termine Corporate Governance, letteralmente Governo d’impresa o Governo societario, si fa riferimento all'insieme di regole, di ogni livello, che disciplinano la gestione e la direzione di una società o di un ente, pubblico o privato.

L’interesse per i metodi di Governo d’impresa o societario è cresciuto molto negli ultimi anni, soprattutto a seguito di alcuni grandi fallimenti, come ad esempio il caso Enron in America, che hanno messo in evidenza la debolezza delle strutture societarie e la scarsa capacità dei processi di controllo di prevenire i reati.

Le illegalità che hanno portato al fallimento di queste aziende, hanno riguardato soprattutto i reati di falso in bilancio, creazione di fondi neri, riciclaggio di denaro sporco, corruzione della pubblica amministrazione per mezzo delle tangenti.

A seguito del diffondersi di queste condotte illegali, si è diffusa, sia tra le autorità governative che nell’ambito delle associazioni di categoria, la necessità di una profonda riforma delle regole che avevano fino a quel momento guidato il Governo d’impresa(la Corporate Governance) e i “sistemi di controllo interno” che sono parte integrante della Corporate Governance aziendale.

Nel 1999, l’OECD, ossia The Organisation for Economic Co-operation and Development, pubblica i Principles of Corporate Governance, che è un elenco delle linee guida più autorevoli a livello mondiale in termini di Corporate Governance. Negli Stati Uniti viene emanato invece il Sarbanes-Oxley Act, che è una legge federale che ha come obiettivo quello di migliorare la Corporate governance e garantire la trasparenze delle scritture contabili,aumentando contestualmente la pena nei casi reati di falso in bilancio o simili.2

In Italia, la riforma dei mercati finanziari,attuata con il decreto legislativo n. 58/1998 (Legge Draghi), ha rivisto tutta la disciplina del sistema di sorveglianza e di controllo delle società quotate nei mercati regolamentati; in particolare, la cosiddetta Legge Draghi ha individuato tra le responsabilità del collegio sindacale, quella relativa alla valutazione dell’adeguatezza del cosiddetto “Sistema di Controllo Interno”.

Nel 1999, la Borsa Italiana, ha istituito un Comitato per la Corporate governance, con l’obiettivo di dar vita ad un Codice di Autodisciplina delle società quotate contenente le cosidette “Best practices”, ossia un insieme di linee guida per l’organizzazione ed il funzionamento delle società quotate italiane.

All’inizio del nuovo millennio, il Decreto legislativo 231/2001 ha introdotto per la prima volta, in capo a società enti e associazioni anche prive di personalità giuridica, la responsabilità amministrativa, o “para-amministrativa” visto che in realtà, come vedremo più avanti, si tratta di una responsabilità più penale che amministrativa per le modalità di accertamento e sanzioni previste.3

1.1 La riforma del diritto societario e i Modelli di Corporate governance

La riforma del diritto societario,varata con il Decreto legislativo n.6/2003, offre maggiore flessibilità rispetto ai modelli di corporate governance, in particolare sono previste tre possibilità di scelta in merito all’adozione dei sistemi di governance:

 Sistema Tradizionale;

 Sistema Dualistico;

 Sistema Monistico.

1.1.1 Sistema tradizionale

Per quanto riguarda il sistema tradizionale, che è il sistema principalmente utilizzato in Italia ed in quanto tale oggetto della nostra indagine, si basa sulla distinzione tra un Organo di Gestione, che può essere un amministratore unico ovvero un consiglio di amministrazione, e un organo di controllo, che in passato era costituito dal collegio sindacale, ma a seguito della riforma del diritto societario del 2003, vanno fatte opportune considerazioni in merito.4

Relativamente al consiglio di amministrazione, per quanto riguarda il dualismo tra consiglieri delegati e deleganti, ai primi spettano le funzioni di gestione strategica, intesa come identificazione della mission e della strategia aziendale, nonché il compito

3 _{M.BARALDI,A.PALETTA,M.ZANIGNI, Corporate Governance e sistema di controllo interno, FRANCO}

ANGELI,2004

4

di riportare periodicamente in consiglio, le principali informazioni relative alle operazioni più rilevanti poste in essere dall’azienda o da sue controllate, le informazioni relative all’andamento gestionale,le informazioni relative ai risultati ottenuti e ai rischi cui si va incontro.

Per quanto riguarda invece i consiglieri deleganti,essi sono chiamati all’approvazione dei piani strategici,alla valutazione “dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile” e alla valutazione dell’andamento gestionale, sulla base dell’informativa fornita dai consiglieri delegati.5

Relativamente alle funzioni del collegio sindacale, in passato spettavano a quest’ultimo funzioni di controllo “contabile” e “di legalità” ed “economicità”; il primo tipo di controllo, si sostanzia nella verifica della regolare tenuta dei libri contabili e nelle corretta rilevazione dei fatti di gestione,nonché nella verifica che il bilancio di esercizio, ovvero il bilancio consolidato, corrispondano alle risultanze delle scritture contabili, mentre il secondo tipo di controllo, si sostanzia nella vigilanza sull’osservanza alla legge e allo statuto e nella vigilanza rispetto ai principi di corretta amministrazione, da intendersi non come un giudizio sulla convenienza economica delle operazioni poste in essere dagli amministratori, ma come una valutazione della diligenza con cui quest’ultimi conducono gli affari.

A seguito della riforma societaria6, le competenze del collegio sindacale si sono particolarmente ridotte, in quanto l’art.2409 c.c sancisce che il controllo contabile può essere attribuito al collegio sindacale solo nelle società che non fanno ricorso al mercato del capitale di rischio e non redigono il bilancio consolidato; in tutti gli altri casi,il controllo contabile deve essere affidato a soggetti esterni,siano essi revisori o società di revisione.

5

S.AMBROSINI , La responsabilità di amministratore,sindaci e revisori contabili, GIUFFRE’, 2007

6 _{Si fa riferimento al Decreto legislativo n.3 del 17/01/2003 relativo alla riforma della disciplina delle società di}

Figura 1. Schema esemplificativo del Sistema Tradizionale

1.1.2 Sistema dualistico

Nel modello dualistico, il controllo contabile spetta, così come nel sistema tradizionale, ad un revisore esterno o società di revisione esterna, solo che in questo caso non è previsto il collegio sindacale, ma è prevista la nomina, da parte dell’assemblea dei soci, di un Consiglio di sorveglianza, che è un organo intermedio tra proprietà e management, al quale spetta la nomina di un Consiglio di gestione. Si definisce Sistema Dualistico in quanto basato appunto su due consigli:Consiglio di Gestione e Consiglio di Sorveglianza.

Al primo, spetta la funzione amministrativa così come prevista per il Consiglio di Amministrazione nel Sistema Tradizione,

Il Consiglio di sorveglianza, invece, che come già detto viene nominato dall’assemblea dei soci, è un organo intermedio tra proprietà e management ed assume sia funzioni che in genere sono attribuite al Collegio sindacale, sia le funzioni che sono in genere attribuite all’assemblea ordinaria; in particolare una delle principali innovazioni dei Sistemi Dualistici è l’attribuzione al Consiglio di sorveglianza di poteri sovente attribuiti all’assemblea dei soci, quali la nomina o la revoca degli amministratori(Consiglio di gestione), l’approvazione del bilancio.7

7

M.BARALDI,A.PALETTA,M.ZANIGNI, Corporate governance e sistema di controllo interno, FRANCO ANGELI,2004

1

• Organo amministrativo:Amministratore unico

o Consiglio di Amministrazione

2

• Organo di Controllo:Collegio sindacale

3

• Controllo contabile:Revisore esterno o

società di revisione esterna

Figura 2. Schema esemplificativo Sistema Dualistico

1.1.3 Sistema Monistico

Il Sistema Monistico è un sistema di Corporate Governance di matrice anglosassone, la cui caratteristica peculiare è rappresentata dalla concentrazione in un unico organo sia della funzione amministrativa sia della funzione di controllo.

In particolare, questo sistema di Corporate Governance, è caratterizzato dalla presenza di un Consiglio di amministrazione che ha le stesse caratteristiche di quello già analizzato a proposito del Sistema di tipo tradizione, e di un Comitato per il controllo sulla gestione, nominato in seno al Consiglio di amministrazione.

Le funzioni del Comitato per il controllo sulla gestione,sono analoghe a quelle del Collegio sindacale nel sistema tradizionale, tuttavia la differenza fondamentale tra i due sistemi, risiede appunto nel fatto che il Comitato per il controllo sulla gestione, viene nominato in seno al Consiglio di amministrazione, e ciò ha notevole riflessi positivi, sia sulla qualità e tempestività con cui i flussi informativi vengono trasmessi da un organo all’altro, sia in termini di riduzione dei costi del controllo, in quanto, così strutturato, il Sistema monistico risulta essere meno dispendioso rispetto agli altri sistemi.

1

• Organo amministrativo:Consiglio di

gestione

2

• Organo di Controllo:Consiglio di

sorveglianza

3

• Controllo contabile:Revisore esterno o

società di revisione esterna

Figura 3. Schema esemplificativo Sistema Dualistico

1.2 Il Sistema di Controllo Interno:i framework internazionali

Gli sviluppi in tema di Corporate Governance degli ultimi anni hanno introdotto la necessità di dar vita a degli schemi univoci di “Sistema di Controllo Interno”, in quanto nei codici di autodisciplina della Corporate Governance,l’efficacia di quest’ultimo è delineata come uno dei requisiti per il raggiungimento della cosiddetta “best practice”.

Il Framework più noto a livello internazionale è sicuramente quello messo a punto nel 1992 dal Treadway Commission , la quale,tramite il Committe of Sponsoring Organizations(CoSO),ha dato vita ad un framework integrato che è divenuto uno schema di riferimento in tutto il mondo.

Oltre a quest’ultimo ce ne sono altri che , tuttavia, perseguono obiettivi meno specifici e quindi più estesi,tra questi:

 Il SAC Report(Systems Auditability and Control Report)che da indicazioni in merito all’impatto generato sul sistema di controllo interno dalle tecnologie informatiche, in merito alla sicurezza e protezione dei sistemi informativi computerizzati;

1

• Organo amministrativo:Consiglio di

amministrazione

2

• Organo di controllo:Comitato per il controllo

sulla gestione

3

• Controllo contabile:Revisore esterno o

società di revisione esterna

 Il CobiT(Control Objectives for Information and Related Technology),che invece integra i concetti di controllo dei due framework precedentemente enunciate,ossia il CoSO e il SAC.8

1.2.1 Il sistema di controllo interno:definizioni

Non esiste una definizione univoca di “Sistema di Controllo Interno”, esso è generalmente definito come l’ insieme di direttive, tecniche e procedure che consentono di conoscere in tempo reale lo stato di salute di un’azienda o di una sua parte.

Secondo la definizione più recente fornita dall’Associazione Italiana Internal Auditors9

(AIIA)il sistema di controllo interno è: un processo - attuato dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale – finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:

1. efficacia e efficienza delle attività operative; 2. attendibilità delle informazioni di bilancio; 3. conformità alle leggi e ai regolamenti in vigore.

La definizione di Sistema di Controllo Interno fornita dall’AIIA, deriva da quella fornita dal Committee of Sponsoring Organisation (CoSO ): “internal control is a

process, effected by an entity’s board of directors, management and other personnel, designed to provide a reasonable assurance regarding the achievement of objectives the following categories:

1. effectiveness and efficiency of operations; 2. reliability of financial reporting;

8 _{M.BARALDI,A.PALETTA,M.ZANIGNI, Corporate Governance e sistema di controllo interno, FRANCO}

ANGELI, 2004

9 _{L’AIIA,Associazione Italiana Internal Auditors,è un’associazione senza fini di lucro costituita nel 1972 e}

riconosciuta comme affiliazione italiana dell’I.I.A – Institute oF Internal Auditors – leader mondiale per gli standard,la certificazione e la formazione per la professione di Internal Auditor.

3. compliance with applicable laws and regulations.

Entrambe le definizione mettono in evidenza alcuni aspetti fondamentali del controllo interno, ossia che:

 il controllo interno è un processo;

 il controllo interno è svolto da persone;

 il management ed il consiglio di amministrazione possono attendersi dal sistema di controllo interno una sicurezza ragionevole, ma non assoluta in merito al raggiungimento degli obiettivi;

 i sistemi di controllo interno sono rivolti alla realizzazione di obiettivi. Il controllo interno è un processo, in quanto esso non è un evento isolato, ma si colloca all’interno dei processi di pianificazione, esecuzione e monitoraggio, integrandosi con essi.

Il sistema di controllo interno è tanto più efficace, quanto più è integrato nell’ infrastruttura organizzativa ed è insito nella cultura aziendale.

Il controllo interno è svolto da persone, in quanto esso è posto in essere dal Consiglio di Amministrazione, dal management e da altri soggetti aziendali che al tempo stesso sono e devono essere influenzate dal sistema di controllo interno.

Si viene a creare un meccanismo di reciproca influenza tra persone e sistema di controllo interno, in quanto ogni individuo apporta le proprie competenze e capacità nell’implementazione del sistema di controllo, ed a sua volta ne è influenzato.

In un, azienda, tutto il personale è responsabile del sistema di controllo interno.

Il management ed il consiglio di amministrazione possono attendersi dal sistema di controllo interno una sicurezza ragionevole, ma non assoluta, in quanto la sicurezza assoluta viene inficiata da limiti che sono comuni a qualsivoglia sistema di controllo, dovuti ad esempio ad errori o sviste, a giudizi errati relativamente alla considerazione del rapporto costi-benefici del controllo.

Altri fattori,possono incidere sul raggiungimento degli obiettivi da parte del sistema di controllo interno, quali ad esempio la capacità del management di aggirare i controlli.

1.2.2 Obiettivi del sistema di controllo interno

Per quanto riguarda gli obiettivi che il sistema di controllo interno deve consentire di raggiungere, come già accennato nelle definizioni precedentemente citate, sono relativi a:

 attività operative, relative all’impiego efficace ed efficiente delle risorse aziendali; in particolare per efficienza si intende la capacità dell’azienda di riuscire a massimizzare la relazione tra risorse impiegate e risultati raggiunti, mentre per efficacia si fa riferimento alla possibilità di raggiungere effettivamente gli obiettivi che l’azienda si è preposta.

 informazioni di bilancio, relative alla redazione e pubblicazione di bilanci affidabili;

 conformità, relative all’osservanza da parte dell’azienda delle leggi e dei regolamenti in vigore; in particolare,per conformità si fa riferimento al rispetto non soltanto delle leggi e dei regolamenti, ma anche dell’insieme di regole che l’azienda stessa si impegna a rispettare.

Il raggiungimento dei suddetti obiettivi, dipende anche dal modo in cui sono poste in essere le attività nell’ambito del controllo interno, in quanto come già affermato pocanzi, il sistema di controllo interno può dare una sicurezza ragionevole, ma non assoluta.

1.2.3 Condizioni di applicabilità del Sistema di Controllo Interno

Le risorse sono sempre limitate pertanto le aziende devono tener presente il rapporto costi-benefici dei controlli che si vogliono attivare. Nel decidere l’attivazione di un controllo occorrerà considerare da una parte il rischio di insuccesso e i relativi effetti; dall’altro il costo per la sua implementazione. Si tratta di una valutazione non semplice.

In linea di principio,volendo schematizzare il concetto:

 Se il beneficio che il controllo genera > costi supportati per la sua implementazione, allora il controllo da un’utilità all’azienda;

 Se il beneficio che il controllo genera = ai costi supportati per la sua implementazione, allora l’implementazione del controllo è indifferente;

 Se il beneficio che il controllo genera < ai costi supportati per la sua implementazione,allora il controllo da origine ad uno spreco di risorse.

In genere si tiene conto di tutti i costi diretti connessi alla costituzione del sistema di controllo, dei costi indiretti che si possono misurare,nonché dei costi-opportunità legati ad un diverso utilizzo delle medesime risorse.

Spesso, tuttavia, può essere ben difficile il processo di quantificazione dei costi o dei benefici, a causa del fatto che spesso i controlli sono incorporati nei processi aziendali, ovvero a causa del fatto che spesso controlli diversi possono attenuare lo stesso rischio.

In ultima analisi, è necessario cercare di trovare il giusto equilibrio, in quanto un controllo eccessivo potrebbe risultare dispendioso e controproducente, mentre un controllo troppo lieve potrebbe non essere efficace.

1.3 Il Framework CoSO report

Come già messo in evidenza, il più noto schema di riferimento per quanto riguarda i Sistemi di Controllo Interno è il Framework proposto dal CoSo,Committee of Sponsoring Organizations, il quale definisce il controllo interno come “Un processo svolto dal consiglio di amministrazione,dai dirigenti e da altri componenti dello staff aziendale, per fornire ragionevole sicurezza relativamente al raggiungimento degli obiettivi aziendali in tre aree”:

 Efficacia ed efficienza delle attività operative;

 Attendibilità delle informazioni di bilancio;

 Conformità a leggi e regolamenti in vigore.

Il perseguimento di questi tre obiettivi richiede l’implementazione di adeguati sub-sistemi di controllo, in quanto il sistema di controllo è unitario:

10

PROGETTO CORPORATE GOVERNANCE PER L’ITALIA, Il sistema di controllo interno, Coopers e Lybrand,1997

 Controllo gestionale, il cui obiettivo è quello di favorire l’economicità della gestione;

 Controllo amministrativo-contabile, il cui obiettivo è quello di dare efficacia ed efficienza alle informazioni;

 Controllo di conformità, che intende favorire il rispetto delle norme e dei regolamenti che disciplinano l’attività aziendale.11

Gli elementi costitutivi del sistema di controllo interno, sono cinque:

 Ambiente di controllo;

 Valutazione dei rischi;

 Informazione e comunicazione;

 Attività di controllo;

 Monitoraggio.

1.3.1 Ambiente di Controllo

L’ambiente di controllo: è componente importantissimo del sistema di controllo

interno, in quanto rappresenta l’intensità con cui il personale interno all’azienda avverte l’esigenza del controllo stesso.

I fattori che caratterizzano e influenzano l’ambiente di controllo interno sono molteplici e non hanno tutti la stessa importanza all’interno di ogni azienda:

1. integrità e valori etici; 2. competenza del personale ; 3. filosofia e stile di direzione; 4. struttura organizzativa;

5. consiglio di amministrazione e comitato di controllo; 6. assegnazione di autorità e responsabilità;

7. gestione di risorse umane.

11

Integrità e valori etici: Gli obiettivi che un’azienda si pone, nonché gli strumenti

utilizzati per raggiungere questi obiettivi, derivano dalle priorità che un’azienda ha e dal suo stile di management.

Questi fattori, che si traducono in un codice di condotta, riflettono l’integrità e l’etica dei dirigenti.

L’efficacia del sistema di controllo interno, dipende a sua volta dall’integrità e dai valori etici dei soggetti che all’interno dell’azienda si occupano di pianificare, creare, amministrare e monitorare questi controlli.

A tal proposito, la Commission Treadway, afferma che “un ambiente fortemente governato dall’etica a tutti i livelli gerarchici è vitale per il benessere dell’organizzazione, delle persone e delle aziende rientranti nel suo raggio d’influenza e del pubblico in genere.

L’etica contribuisce in modo rilevante all’efficaca delle politiche e dei sistemi di controllo messi a punto da un’azienda e influisce sui comportamenti che sfuggono ai sistemi di controllo,per quanto essi siano sofisticati”

Da ciò si desume, da un lato l’importanza dell’integrità e dei valori etici diffusi in tutta l’organizzazione e a tutti i livelli gerarchici, e dall’altro l’influenza reciproca tra chi pianifica, crea, amministra e monitora i controlli ed il controllo stesso,nel senso che chi crea il controllo, ne viene comunque influenzato.

Spesso è difficile all’interno dell’azienda stabilire dei valori etici di riferimento, a causa di tutti i soggetti che vi operano o che intrattengono con essa dei rapporti; si pensi ad esigenze diverse e spesso divergenti che si possono venire a delineare tra management, personale operativo, clienti, fornitori, pubblica amministrazione.

L’integrità e i valori etici fanno parte della cultura aziendale, intesa come complesso di valori, convinzioni, conoscenze e modelli di pensiero che indirizzano l’operato di ogni azienda

In particolar modo, un ruolo importantissimo in tal senso, ossia nella definizione della cultura aziendale, è svolto dal management dell’azienda, chiamato a dare “il buon esempio”; molti individui hanno la naturale inclinazione ad imitare i suoi superiori.

Proprio per questo motivo,spesso si dice che il management definisce l’etica di un’azienda.12

E’ stato dimostrato che ci sono elementi relativi all’organizzazione di un’azienda che posso portare a comportamenti illeciti in termini di presentazione delle informazioni di bilancio, e che quindi possono avere un impatto negativo anche sui valori etici dei soggetti che operano in azienda.

Si pensi ad esempio, al caso in cui in azienda si insista troppo sul raggiungimento di risultati di breve periodo:soprattutto se tali risultati non sono realistici, ossia difficilmente realizzabili nel breve periodo, ciò potrebbe indurre a compiere comportamenti fraudolenti o contrari all’etica aziendale.

Gli stessi risultati si hanno anche in caso di retribuzione collegata alla performance, ovvero sistemi incentivanti che prevedono incrementi e decrementi degli incentivi proporzionati ai risultati raggiunti.

In linea teorica, esistono altresì una serie di tentazioni che possono indurre gli operatori aziendali a compiere atti contrari all’etica dell’azienda:

 controlli inesistenti o inefficaci come una scarsa divisione dei compiti in aree rischiose;

 una forte decentralizzazione delle responsabilità di gestione, che non consente al management di essere informato sulle decisioni prese ad un livello gerarchico inferiore;

 un servizio di revisione interna inadeguato, che non permette di scoprire e di denunciare comportamenti irregolari;

 un consiglio di amministrazione inefficacie, che non esercita una supervisione obiettiva sulla direzione;

 l’applicazione ai comportamenti irregolari di sanzioni modeste o non adeguatamente pubblicizzate, che perdono il loro potere deterrente.

Un altro fattore che spesso può indurre comportamenti non etici è la mancata conoscenza dei valori etici aziendali, per cui è necessario che chiunque in azienda sia a

12

conoscenza dei valori etici, cioè è necessario stabilire e far recepire i valori etici aziendali, cioè dare adeguata comunicazione degli stessi.

L’esistenza in azienda di codici scritti di comportamento può senz’altro agevolare la diffusione, comunicazione e ricezioni dei valori etici che permeano la cultura aziendale, ma non può dare l’assoluta certezza che il personale agisca secondo etica, per cui è necessario implementare un sistema sanzionatorio a carico dei dipendenti che agiscono in deroga alle regole di comportamento.

Competenza del personale:Si fa in questo caso riferimento all’insieme delle

conoscenze e capacità necessarie per svolgere un determinato compito o esercitare una determinata funzione.

E’ il management che decide qual è il livello di conoscenze minimo per potere ricoprire un determinato ruolo, in linea chiaramente con quelli che sono gli obiettivi aziendali e i costi da sostenere.

I livello di conoscenze e capacità del personale, dipendono dall’intelligenza, dalla formazione e dall’esperienza del personale.

Spesso c’è uno stretto collegamento tra l’intensità del controllo e il livello di competenza richiesto.

Filosofia e stile di direzione:Si fa riferimento al modo in cui i manager guidano

l’azienda, in termini di assunzione dei rischi ed in termini di gestione del rapporto con stakeholder e shareholder.

La filosofia di controllo e lo stile di direzione possono variare notevolmente da azienda in azienda, in funzione di diversi fattori, quali ad esempio, la dimensione aziendale: chiaramente, infatti, l’attività di un’azienda di piccole dimensione gestita in modo informale, potrà essere gestita semplicemente tramite contatto diretto tra i vari soggetti che vi operano all’interno,mentre in un’azienda di dimensioni maggiori, è necessario affidarsi ad appositi meccanismi direzionali, non più basati sul contatto diretto.

Consiglio di amministrazione e comitato di controllo: Come già sottolineato a

proposito dell’integrità e dei valori etici, il Consiglio di Amministrazione influenza fortemente l’ambiente di controllo e la cultura aziendale.

Per l’importanza che ricopre, il Consiglio di Amministrazione è uno degli elementi che stanno alla base dell’efficacia del controllo interno.

I requisiti che il Consiglio di Amministrazione dovrebbe in tal senso avere,sono i seguenti:

 Esperienza e levatura morale;

 Indipendenza rispetto al management,e quindi viene ribadita l’importanza di un certo numero di amministratori “non esecutivi”;

 La scrupolosità nel controllo delle operazioni aziendali.

Gestione di risorse umane: Rientrano nell’ambito della politica di gestione delle

risorse umane, anche la comunicazione ai dipendenti o ai potenziali dipendenti, dei livelli di integrità, competenze e valori etici che l’azienda si aspetta.

Rientrano quindi, nell’ambito della gestione delle risorse umane, le politiche relative alle assunzioni, alla gestione delle carriere, alla formazione, alle valutazioni del personale, alle promozioni e alle remunerazioni e alle azioni correttive.

Negli ultimi anni sta assumendo sempre maggior peso la volontà delle aziende di provvedere alla continua formazione del personale, in risposta alla velocità con cui mutano le condizioni di contesto in cui l’azienda opera, per cui è rilevante non soltanto assumere in aziende personale preparato, ma provvedere anche all’implementazione di processo di formazione “continuo”.

Struttura organizzativa: La struttura organizzativa di un’azienda da un’idea di quelle

che sono le attività necessarie all’implementazione della strategia al fine del raggiungimento degli obiettivi aziendali.

La realizzazione di una struttura adeguata necessita della definizione di quelle che sono le principali aree di autorità e di responsabilità all’interno dell’azienda stessa. All’interno dell’azienda, chi ricopre la funzione apicali, sia esso l’imprenditore ovvero il management, dovrà stabilire in che modo distribuire i compiti e attribuire le responsabilità che da tali compiti derivano.

Questo processo è tanto più difficile quanto più estesa è l’azienda, mentre in un’azienda di dimensioni ridotte, alcuni soggetti arriveranno addirittura a svolgere più compiti contemporaneamente.

In genere all’interno di un’azienda vi sono diversi livelli gerarchici:

 livello operativo che comprende tutte le posizioni esecutive che hanno scarsa discrezionalità decisionale(operaio);

 livello di coordinamento gestionale che si riferisce alle posizioni che sovrintendono e coordinano l’attività di più operatori, indirizzandola nel rispetto delle direttive ricevute (per esempio capoufficio);

 livello direzione d’esercizio che comprende le posizioni cui spetta la responsabilità di definire gli obiettivi di breve periodo e i programmi per il loro conseguimento e di controllare l’andamento della gestione (per esempio direttore generale, direttore di produzione, direttore amministrativo ecc.);

 livello strategico e di pianificazione che identifica le posizioni di vertice, cui competono le politiche di medio/lungo termine e le decisioni di strategia e di piano (per esempio imprenditore-proprietario o organi di sua diretta emanazione come l’amministratore delegato ecc).

La struttura organizzativa di un’azienda può variare in funzione di diversi parametri, quali la dimensione, l’eventuale partecipazione ad un gruppo di imprese, l’oggetto sociale.

Ad ogni modo, è necessario che le attività di un’azienda siano organizzate in maniera tale da facilitare l’implementazione della strategia il raggiungimento degli obiettivi. In ultima istanza, non basta distribuire poteri e deleghe, ma occorre garantire la coerenza con le responsabilità e con gli obiettivi dell’azienda.

Attribuzione di poteri e responsabilità: Questa parte dell’ambiente di controllo, fa

riferimento all’attribuzione dei poteri e delle relative responsabilità per le attività operative, nonché le conoscenze, le competenze e gli strumenti necessari a svolgere determinate mansioni.

Spesso all’interno dell’azienda si tende a “responsabilizzare”, a delegare alcuni poteri, con l’obiettivo di incoraggiare l’iniziativa individuale.

In questi casi uno dei limiti principali potrebbe risiedere nella mancata comprensione piena degli obiettivi aziendali da parte di tutti, il che potrebbe portare ad iniziative “individuali” fuorvianti rispetto agli obiettivi stessi.

E’ necessario a tal proposito, da un lato, implementare il sistema dei controllo, in misura proporzionale alle deleghe attribuite in azienda, tenendo sempre presente il raffronto tra costi da sostenere per il controllo e potenziali benefici derivanti dal meccanismo di delega, e dall’altro valutare costantemente l’adeguatezza dei mansionari rispetto alla dimensione aziendale.

1.3.2 Valutazione dei rischi

La valutazione dei rischi consiste nell’andare a valutare quei fattori che possono in un certo qual modo inficiare il raggiungimento degli obiettivi aziendali.

Si tratta di fattori che possono essere sia interni, che esterni all’organizzazione,per cui è necessario servirsi di strumenti in grado di identificare e gestire tempestivamente questi rischi; dico “gestire”, in quanto, essendo che i rischi si manifestano e possono avere riflessi su ogni ambito dell’organizzazione, è praticamente impossibile ricondurre il rischio al valore 0.

Nell’ambito delle politiche strategiche, il management da un lato fissa gli obiettivi cui la gestione aziendale deve tendere, dall’altro, in stretta connessione con gli obiettivi fissati, individua anche il livello di rischio che l’azienda intende assumersi.

Obiettivi e livello di rischio accettato dall’azienda sono due facce della stessa medaglia: più diventano ambiziosi gli obiettivi,maggiori saranno i rischi che potrebbero inficiare il raggiungimento degli obiettivi stessi.

Obiettivi:Il primo momento della valutazione dei rischi, quindi, è proprio la

definizione degli obiettivi.

In genere gli obiettivi sono individuati, a grandi linee, nel piano strategico.

A partire dal piano strategico, questi obiettivi appunto “strategici” dovranno essere via via declinati a livello di singola funzione aziendale, poi a livello di singola attività, ed infine a livello di singola operazione.

Relativamente allo studio che sto conducendo, esistono tre tipi di obiettivi:

1. Obiettivi operativi:che fanno riferimento all’efficacia ed efficienza delle attività aziendali in termini di performance ottenute e salvaguardia delle risorse;

2. Obiettivi relativi alle informazioni di bilancio:si fa in questo caso riferimento all’attendibilità delle informazioni di bilancio;

3. Obiettivi di conformità:si fa in questo riferimento alla conformità degli obiettivi, rispetto alla normativa vigente.

Tutti gli obiettivi, nonostante questa classificazione in 3 macro-categorie, devono essere complementari e collegati tra di loro, nel senso che gli obiettivi di ogni singola area di cui è composta l’azienda, devono essere coerenti con gli obiettivi generali previsti dalla strategia aziendale.

Come già affermato in precedenza, un sistema di controllo interno efficace, deve essere in grado di fornire una “ragionevole sicurezza” in merito al raggiungimento degli obiettivi.

Rischi: L’identificazione ed analisi dei rischi è una delle fasi più importanti del

processo di controllo interno.

Il management deve individuare in maniera precisa i rischi che possono compromettere il raggiungimento degli obiettivi aziendali, ed agire nella direzione necessaria ad eliminarli o al limite nel mantenerli entro il livello di tolleranza preventivamente stabilito.

Identificazione dei rischi: L’identificazione dei rischi va fatta sia a livello globale che

a livello di singola attività.

Le performance di un’azienda possono dipendere da fattori di rischio sia interni che esterni.

I fattori di rischio esterni,possono essere:

 Il progresso tecnologico;

 I cambiamenti dei bisogni della clientela;

 La concorrenza;

 Catastrofi naturali;

 Modifiche legislative.

I fattori di rischio interno, invece, possono essere:

 Cambiamento del management, nella misura in cui comporta modifiche nel modo in cui sono implementati i controlli;

 L’interruzione dei sistemi informatici.13

Esistono diverse tecniche per identificare i rischi al fine di stabilire le priorità di intervento ed individuare i fattori che determinano il rischio stesso.

Analisi dei rischi:Dopo avere identificato i rischi, sia a livello globale che a livello di

singola attività, è necessario procedere all’analisi degli stessi, la quale consta delle seguenti fasi:

1. Valutazione dell’importanza del rischio;

2. Valutazione della probabilità di manifestazione del rischio;

3. Valutazione delle contromisure da prendere al fine di gestire il rischio.

L’analisi dei rischi aziendali si pone lungo un continuum che va dai rischi che hanno un impatto poco significativo e bassa probabilità di verificarsi, a quelli che, per converso hanno un elevata importanza per l’azienda ed elevata probabilità di verificarsi.

Spetta al management, dapprima utilizzare gli strumenti in proprio possesso per valutare i costi connessi all’eventuale manifestarsi delle fattispecie rischiose, e successivamente andare a valutare e porre in essere le modalità grazie alle quali gestire il rischio stesso entro i limiti di tolleranza precedentemente stabiliti, e le modalità in base alle quali stabilire l’efficacia dei meccanismi di gestione del rischio.

Gestione del cambiamento: Un ultimo aspetto da considerare, è la capacità

dell’azienda nella cosiddetta “gestione del cambiamento”.

Ogni azienda dovrebbe essere in grado di dotarsi di un sistema informativo in grado di catturare e fornire con sufficiente anticipo, informazioni in grado di suggerire al management eventuali cambiamenti esterni che possano impattare sulla strategia attuata e quindi sul raggiungimento degli obiettivi preventivati.

Non sempre infatti, una strategia che si è rivelata efficace in un determinato ambito o periodo storico, lo sarà anche negli anni a venire, e questo può dipendere appunto da

13 _{PROGETTO CORPORATE GOVERNANCE PER L’ITALIA, Il sistema di controllo interno, Coopers e}

cambiamenti di diverso tipo del contesto ambientale, politico, socio-economico cui un’azienda fa parte.

Affinchè tale processo di gestione del cambiamento, porti dei risultati utili all’azienda, è necessario che esso sia un processo contestuale e il più integrato possibile con il processo di valutazione dei rischi, in maniera tale da cogliere l’eventuale cambiamento e valutare gli effetti che tale cambiamento può generare in termini di rischi per l’azienda.

Alcune fattispecie di cambiamento che richiedono particolare attenzione, ai fini della valutazione del rischio sono:

 Cambiamenti nell’ambiente operativo: un cambiamento nelle condizioni

economiche e normative può infatti portare ad un aumento della pressione esercitata dai concorrenti;

 Nuovo personale: un nuovo soggetto inserito all’interno dell’organizzazione potrebbe non assimilare bene o condividere la cultura aziendale e ciò potrebbe essere causa di elevati rischi;

 Crescita rapida:quando un’azienda cresce troppo velocemente,i sistemi che ne hanno supportato la crescita,possono ad un certo punto non essere più sufficienti;

 Nuova tecnologia:quando in azienda vengono inserite nuove tecnologie,è necessario spesso andare a rimodulare i sistemi di controllo interno.

1.3.3 Attività di controllo

Le attività di controllo possono essere definite come l’applicazione delle politiche e delle procedure che garantiscono al management che le sue direttive siano attuate. È la fase che consente di assicurarsi al management, una volta che sono stati individuati i potenziali rischi, di verificare se i controlli necessari a fronteggiare i rischi sono stati adeguatamente posti in essere.

1. Adeguata separazione dei compiti: all’interno di un’azienda è importante che vi sia adeguata separazione dei compiti, soprattutto per quanto riguarda le mansioni ritenute critiche per la salvaguardia del patrimonio aziendale;

2. Corretta autorizzazione per tutte le operazioni: è necessario fissare dei processi autorizzativi, i quali possono essere generali o speciali; generali quando riguardano operazioni che si ripetono periodicamente all’interno dell’organizzazione (es.limiti di fido attribuibile al cliente), mentre speciali quando riguardano specifiche operazioni(es.acquisto di un nuovo macchinario); 3. Controllo fisico su beni e registrazioni: ha come obiettivo la sicurezza fisica dei

beni all’interno dell’organizzazione e può fare riferimento, ad esempio, alla sicurezza dei locali, al periodico inventario relativo ai prodotti in magazzino; 4. Controlli indipendenti sulle prestazioni eseguite: hanno come obiettivo il

mantenimento della stabilità del sistema di controllo interno, e vengono posti in essere o da soggetti esterni all’azienda, ovvero da soggetti interni all’azienda ma caratterizzati dal requisito dell’indipendenza rispetto al controllato.

1.3.4 Informazione e comunicazione

Le informazioni necessarie all’attività di controllo, devono essere raccolte e trasmesse nella forma e nei tempi necessari ad un loro corretto utilizzo.

I sistemi informativi aziendali, raccolgono ed elaborano non soltanto informazioni interne, ma anche informazioni esterne necessarie per prendere decisioni e predisporre le informazioni di bilancio.

Infatti, al fine di raggiungere gli obiettivi aziendali, è necessario che le informazioni siano diffuse e quindi comunicate a tutti i livelli organizzativi.

Ad esempio le informazioni di natura contabile servono chiaramente per l’obbligo di redazione del bilancio, ma anche per analizzare la situazione aziendale e monitorare le performance.

Le informazioni sono identificate, catturate ed elaborate dai sistemi informativi, utilizzati nell’elaborazione dei dati interni, relativi ad operazioni quali acquisti e vendite, ma anche di dati esterni, come dati relativi ad uno specifico settore ovvero dati relativi alle preferenze dei consumatori.

Più l’ambiente in cui l’azienda opera è sottoposto a veloci mutamenti, la concorrenza si svolge sul piano tecnologico, la domanda si evolve in modo significativo e più sarà importante ottenere le informazioni corrispondenti ai bisogni dell’organizzazione. In questi casi, sarà necessario cercare di fare un uso strategico dei sistemi informativi, integrandoli con l’attività operativa aziendale, in modo tale da controllare i processi e seguire in tempo reale le transazioni.

Comunicazione: La comunicazione è una funzione intrinseca dei sistemi informativi.

L’informazione infatti, una volta elaborata, deve essere trasmessa ai vari responsabili in maniera tale da consentire loro un utilizzo appropriato dell’informazione stessa. L’importanza della comunicazione si estrinseca sia in ambito interno,che in ambito esterno.

Nel primo caso, la comunicazione interna segue un percorso dall’alto verso il basso, e dal basso verso l’alto.

Il management che acquisisce le informazioni, le deve elaborare e declinare ai livelli più bassi dell’organizzazione, cercando di far capire a tutto il personale l’importanza del sistema di controllo interno e il ruolo di ciascuno all’interno di tale sistema; ognuno all’interno dell’organizzazione deve avere ben chiaro quali sono i comportamenti attesi e quali non attesi o non accettati.

Le informazioni,tuttavia, oltre ad essere veicolate dall’alto verso il basso, devono poter essere trasmesse anche dal basso verso l’alto.Chi svolge le attività operative, in base a determinate direttive impartite dall’alto, è spesso colui che per primo prende atto di problemi,inefficienze o cambiamenti nel momento in cui si verificano.

I venditori possono capire prima del management dove sta andando il mercato, quali sono le esigenze della clientela; allo stesso modo chi si occupa di produzione, può capire prima del management se ci sono inefficienze nel processo produttivo.

Da queste considerazioni si capisce bene l’importanza della possibilità di trasmettere in maniera chiara e puntuale le informazioni anche dal basso verso l’alto, ed è quindi necessario che l’azienda disponga di adeguati canali di comunicazione accessibili a tutti, e che il dipendente di livello gerarchico inferiore abbia piena consapevolezza del

fatto che il management ritiene importante ciò che ha da dire in merito al ruolo che svolge all’interno dell’organizzazione.

La comunicazione inoltre riveste una funzione importante anche quando è rivolta verso l’esterno.

Si pensi all’importanza della comunicazione aziendale nei confronti dei fornitori, dei clienti, degli stakeholder al fine di comunicare informazioni sui prodotti, dati di performance, al fine di accrescere l’immagine aziendale.

1.3.5 Monitoraggio

I sistemi di controllo interno, devono essere sottoposti a procedure di monitoraggio che si sostanziano in attività di supervisione continua, periodica, ovvero in una combinazione di monitoraggio continuo e periodico.

L’azienda, il sistema competitivo in cui si muove, il sistema normativo di riferimento, mutano nel tempo ed i sistemi di controllo implementati in passato, e che in passato sono risultati efficienti, possono non essere più in grado di supportare l’azienda nei processi di controllo.

Il monitoraggio è quell’elemento del sistema di controllo interno che ha come obiettivo quello di assicurare che il controllo interno stesso continui a funzionare efficacemente.

E’ necessaria a tal proposito una valutazione critica del modo in cui i sistemi sono concepiti, dei tempi di esecuzione, e del modo in cui sono presi i provvedimenti necessari; si tratta di un processo che investe tutta l’organizzazione interna ed anche i soggetti che intrattengono rapporti di diverso tipo con l’azienda.

L’attività di monitoraggio può essere condotta in due modi: con attività di supervisione continua, oppure con interventi di valutazione specifici.

Le procedure di monitoraggio continuo,sono integrate nelle normali attività operative dell’azienda: ad esempio, relativamente ai rapporti con i terzi, quando un cliente paga le fatture, implicitamente sta confermando la correttezza dei dati fatturati, quando invece ci sono delle contestazioni in merito alle stesse fatture, vuol dire che ci sono delle anomalie nel trattamento dell’attività di vendita.

Valutazioni specifiche:Al fine di verificare se le procedure di monitoraggio continuo

sono efficaci, periodicamente può essere utile fare delle Valutazioni specifiche.

L’ambito e la frequenza di tali valutazioni dipendono chiaramente dalla significatività dei rischi da controllare e dall’importanza dei controlli per la riduzione degli stessi rischi.

I controlli posti a presidio di rischi più significativi, verranno sottoposti a valutazione più frequentemente.

In genere, le valutazioni specifiche vengono condotte:

 sottoforma di autovalutazioni, per cui i dirigenti operativi si focalizzeranno sulla valutazione dei controlli dell’area di cui hanno la responsabilità, e alla fine del processo valutativo, i risultati saranno inviati al management per una valutazione di sintesi.

 Dai revisori interni o esterni,per cui il management può servirsi di tali informazioni per valutare l’efficacia del controllo interno.

1.4 Limiti del sistema di controllo interno

Il sistema di controllo interno,per quanto ben progettato e gestito, può fornire ai dirigenti e agli amministratori solo una ragionevole sicurezza in merito alla realizzazione degli obiettivi aziendali.

L’efficacia dei sistemi di controllo interno, trova un primo limite in errori di giudizio, in quanto spesso le decisioni sono prese in base a giudizi umani e tali giudizi possono rivelarsi errati.

Un’altro eventuale limite dei sistemi di controllo interno, potrebbe essere dovuto a disfunzioni, determinate da diversi ordini di motivi: stanchezza del personale, inesperienza e scarsa conoscenza delle procedure da parte del personale.

Inoltre, un ulteriore elemento in grado di mettere in evidenza i limiti del sistema controllo è dovuto, in alcuni casi,alla capacità del management di “aggirare” ovvero agire in deroga ai controlli al fine di porre in essere un comportamento illecito, per trarre un personale vantaggio, per presentare dati di bilancio migliori rispetto a quelli reali ovvero per dissimulare la non conformità alle leggi.

Infine, un altro elemento in grado di rendere inefficace il sistema di controllo interno sono gli atti di collusione.

Infatti due o più soggetti possono mettersi d’accordo tra di loro al fine di evitare i controlli previsti dal sistema, come nel caso in cui,ad esempio, i responsabili di vendita si mettono d’accordo in maniera tale da eludere i controlli al fine di raggiungere obiettivi di budget, che non sarebbero stati raggiunti.

2.Il D.lgs 231/2001

Con il D.lgs 231/2001,recante ”Disciplina della responsabilità amministrativa delle persone giuridiche,delle società e delle associazioni”,l'Italia ha adeguato la propria normativa interna alle convenzioni internazionali in materia di responsabilità amministrativa delle persone giuridiche e delle associazioni,alle quali l'Europa aveva già da tempo aderito,in particolare si tratta:

Della convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle comunità europee;

della convenzione firmata a Bruxelles il 26 maggio 1997 sulla lotta alla corruzione nella quale sono coinvolti funzionari della Comunità europea o degli stati membri;

della convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche internazionali.

La Convenzione e i Protocolli delle Nazioni Unite contro il crimine organizzato transazionale adottati dall’Assemblea generale il 15 novembre 2000 e il 31 maggio 2001, ratificati con legge n. 146/2006.

In particolare, il D.lgs 231/2001, ha dato attuazione al contenuto della legge delega 29 settembre 2000 N.300.

Il percorso di attuazione delle legge delega è stato un percorso lungo e faticoso, soprattutto a causa delle iniziali ritenzioni del mondo imprenditoriale, che ha fatto non poche resistenze rispetto all’introduzione della responsabilità delle persone giuridiche. Proprio a causa di questi motivi, nella sua formulazione originaria, il D.lgs 231/2001 prevedeva una categoria di reati abbastanza esigua, rispetto a quelli contenuti nella legge delega 300/2000.

Tuttavia,come avrò modo di illustrare nel prosieguo della mia tesi, negli anni le categorie di reato previste dal D.lgs 231/2001 sono state via vie estese.

2.1 La natura della responsabilità degli enti

Fino all'entrata in vigore del D.lgs 231/2001 l'ordinamento italiano non prevedeva forme dirette di responsabilità per gli enti e proprio per questo motivo il decreto in questione ha rappresentato un'assoluta innovazione : infatti il legislatore ha così fornito un valido strumento per non lasciare impuniti quei soggetti che in un certo qual modo traggono vantaggio da reati commessi nel loro interesse da persone fisiche.

Il sistema penalistico italiano, è tradizionalmente ispirato al principio della responsabilità personale, in virtù del quale la responsabilità penale può sorgere soltanto in capo alla persona che ha commesso il fatto da cui scaturisce il reato.

L’art.27 della Costituzione, afferma, infatti, che la responsabilità penale è personale ed è quindi impossibile ricondurre una responsabilità penale a carico di soggetti diversi dalle persone fisiche.

Un'interpretazione restrittiva di tale norma, infatti, vieta l'individuazione dell'ente quale soggetto attivo nella commissione di un reato, dovendo la responsabilità penale necessariamente afferire ad una persona fisica capace di formulare autonomamente una volontà propria.

Tuttavia con il passare del tempo si è dovuto tenere conto del “mutamento dello

scenario, sempre più caratterizzato da fenomeni di criminalità economica di cui le imprese sono protagoniste indiscusse e del fatto che la non imputabilità alle stesse di taluni reati rendessero ormai inadeguato il sistema complessivo di prevenzione”.14

Si è preso atto dunque del necessario superamento del principio societas delinquere

non potest e si è giunti così al D.lgs 231/2001, con l'obiettivo di adeguare il sistema

repressivo al nuovo scenario economico, ritenendo che solo sanzionando i

14

Al riguardo,è rimasta celebre la frase contenuta nella sentenza della Corte Suprema di New York,con la quale si è dato avvio negli Stati Uniti ,alla stagione della responsabilità amministrativa: “Se quell’invisibile

impalpabile entità che noi definiamo come persona giuridica può spianare le montagne,colmare gli

avvallamenti,costruire ferrovie,e farvi correre sopra le locomotive,significa che ha la volontà di porre in essere queste azioni,e che può perciò comportarsi sia malvagiamente che virtuosamente”

comportamenti illeciti dei soggetti economici sia possibile contribuire alla creazione di un sistema di regole a garanzia di una corretta concorrenza sui mercati.

Per ciò che attiene alla effettiva natura della responsabilità degli enti,la legge delega 300/2000 e il D.lgs 231/2001qualificano tale responsabilità come responsabilità amministrativa; così facendo, il legislatore, almeno in via teorica, ha voluto evitare il problema della soggettivizzazione penale degli enti.

Tuttavia, sul piano dell’applicazione pratica, la responsabilità degli enti si inserisce in un quadro prettamente penalistico, in quanto il procedimento di accertamento dell’illecito si svolge dinanzi al giudice penale, secondo le regole proprie del processo penale.

Si viene a delineare dunque, una responsabilità “Para-penale” degli enti.

Quindi in virtù del dettato del D.lgs 231/2001 le persone giuridiche e gli enti possono essere sanzionati qualora venga accertata la commissione di reati compiuti dai dipendenti o da amministratori a vantaggio o nell'interesse della società15.

2.2 I destinatari della normativa

Il secondo comma dell'art.1 del D.lgs 231/2001 delinea il perimetro di applicazione della normativa affermando che le disposizioni in essa contenute si applicano “a tutti

gli enti forniti di personalità giuridica, alle società fornite di personalità giuridica e alle società e associazioni anche prive di personalità giuridica”, mentre non rientrano

in tale perimetro “Lo Stato,gli enti pubblici territoriali(quali Regione,Provincie e

Comuni)nonché gli enti che svolgono funzioni di rilievo costituzionale (partiti politici e i sindacati).

Quindi, la disciplina si applica anche agli enti a soggettività privata non dotati di personalità giuridica, poiché si tratta di soggetti che potrebbero agevolmente sottrarsi alla disciplina in questione, e quindi sono a maggior rischio di commissione dei reati previsti dal D.lgs 231/2001.

15 _{Fonte URL :}

http://www.novastudia.it/index.php?id=113&tx_ttnews%5Btt_news%5D=194&tx_ttnews%5BbackPid%5D=14 4

Esso invece non si applica laddove l’organizzazione non consenta di scindere la responsabilità penale della persona fisica dalla quale deriva la responsabilità dell’ente (es. l’imprenditore individuale, l’impresa familiare, i consorzi con attività interna). Sono inoltre esclusi lo Stato, gli enti pubblici territoriali (le regioni, le province i comuni), gli enti pubblici non economici, gli enti pubblici strumentali (autorità amministrative indipendenti) e quelli che svolgono funzioni di rilievo costituzionale. La lettura del terzo comma dello stesso articolo, impone però di valutare di volta in volta se l'ente in questione rientra nell'ambito della normativa, tenendo in considerazione non soltanto la tipologia del soggetto, bensì l'attività che esso svolge. Infatti,ragionando in questo senso, tale normativa non è applicabile allo stato, agli enti pubblici territoriali, agli enti pubblici non economici e agli enti che svolgono funzioni di rilievo costituzionale (es.partiti politici e sindacati).

Lo stato e gli altri enti pubblici territoriali non rientrano nell'ambito dell'applicazione della normativa, poichè, da un lato, relativamente alle sanzioni di tipo pecuniario, coerentemente con il dettato dell'art 197 c.p,vige il principio secondo il quale lo Stato non può pagare se stesso ,e dall'altro, a causa dell'applicazione di misure interdittive nei confronti di enti pubblici, si potrebbero generare disservizi e disagi ai cittadini.16

A chi si applica:

 S.p.a (anche quelle partecipate dallo stato o da altri enti pubblici),S.a.p.a,S.r.l anche con socio unico;

 Società estere con sede secondaria nel territorio dello stato,le società cooperative,le mutue assicuratrici;

 Le società semplici,le S.n.c,le S.a.s;

 Le società di fatto;

 Le società di intermediazione mobiliare (SIM),le imprese di investimento a capitale variabile (SICAV),le società di gestione dei fondi comuni di investimento,le società sportive;

 Le associazioni non riconosciute e i comitati;

 Le società assicurative e mutue assicuratrici;

16 _{G. GACOMA,O. CAPPARELLI,P. CALEB, Decreto Legislativo 231/2001:ambito di applicazione e modelli}

 Le fondazioni;

 Consorzi con attività esterna;

 Enti pubblici economici come gli istituti di diritto pubblico.

A chi non si applica: la disciplina in questione non si applica agli enti a soggettività pubblica che non esercitano pubblici poteri:

 IPAB;

 A.S.L;

 Enti di sviluppo delle regioni;

 Enti pubblici autarchici (INPS,INAIL,Ecc.);

 Enti pubblici ausiliari(CONI,ACI);

 Enti autarchici operanti in ambito locale(ordini professionali);

 Imprenditori individuali.

2.3 I reati

Come già accennato in precedenza, in un primo momento, il D.lsg 231/2001 prevedeva un catalogo di reati molto limitato rispetto a quelli originariamente previsti dalla legge delega 300/2000.

In particolare, delle 4 categorie di reati previsti dalla legge delega, il D.lgs 231/2001, prese in considerazione quelle indicate dagli art.24,(indebita percezione di erogazioni

pubbliche, truffa in danno dello stato o di altro ente pubblico o per il conseguimento di erogazioni pubbliche e Frode informatica in danno dello Stato o di altro ente pubblico) e 25 (Concussione e corruzione), mettendo tuttavia in evidenza una

probabile estensione delle categorie di reato, che dal 2001 ad oggi effettivamente si è realizzata.

La conoscenza dei reati “presupposto”17

è importantissima al fine dell’implementazione in azienda del modello di Organizzazione, Gestione e Controllo.

17 _{Il Termine “presupposto” sta ad indicare che questa nuova responsabilità sorge soltanto in caso di}

commissione di determinati tipi di reato da parte di soggetti in qualche modo riconducibili all’ente,e solo nel caso in cui dalla commissione di tale reato,sia derivato un vantaggio per l’ente stesso.