LA PREVENZIONE DEI RISCHI DI COMPLIANCE: IL CASO GEAL SPA

DIPARTIMENTO DI ECONOMIA E MANAGEMENT

Corso di Laurea magistrale in Strategia, management e controllo

TESI DI LAUREA

La prevenzione dei rischi di compliance: il caso GEAL Spa

RELATORE

Prof: Giuseppe D’ONZA

Candidato

Chiara MEIATTINI

Ringrazio tutte quelle persone che hanno contribuito

a farmi arrivare fino a qui. A tutte quelle che già c’erano

e sono rimaste, e tutte quelle che si sono aggiunte.

Ringrazio la mia famiglia, i miei stupendi genitori,

il mio fidanzato.

Ringrazio GEAL SPA, e il rispettivo Amministratore Delegato,

per l’opportunità di stage concessa.

Ringrazio infinitamente la mia tutor aziendale,

che con la sua pazienza, professionalità e gentilezza

1

INDICE

Introduzione pag. 3

Cap. I

La gestione del rischio di compliance aziendale pag. 9

1.1 Il modello ERM e il Decreto Legislativo 231/2001 come modelli

integrati di prevenzione del rischio pag. 15 1.1.1 Il modello ERM- Enterprise Risk Management pag. 15 1.1.2 Il Decreto Legislativo 231/2001 e il correlato Modello di

Organizzazione Gestione e Controllo pag. 22

1.2 Sistemi di compliance anticorruzione: la Legge 190/2012 pag. 33 1.2.1 Gli “strumenti” di prevenzione della corruzione: il Piano

Nazionale Anticorruzione e il Piano Triennale di Prevenzione

della Corruzione pag. 37 1.2.2 Caratteristiche dell’implementazione del Piano Triennale di

Prevenzione della Corruzione pag. 40 Cap. II

Il Piano Triennale di Prevenzione della Corruzione in GEAL Spa

e la relativa analisi dei rischi in riferimento alla Legge 190/2012 pag. 50 2.1 Contesto di GEAL Spa pag. 50 2.2 Il PTPC in GEAL Spa e la gestione del rischio corruttivo pag. 53

2.2.1 Focus sulle attività più sensibili al fenomeno corruttivo

in GEAL SPA pag. 61 2.2.2 Le misure di carattere generale per la prevenzione del

2

Cap. III

Il Modello di Organizzazione Gestione e Controllo in GEAL SPA

ai sensi del D.Lgs 231/2001 e la relativa analisi dei rischi pag. 84

3.1 Struttura del modello ex D.Lgs 231/2001 in GEAL Spa e

modifiche effettuate in seguito all’analisi dei rischi 231 pag. 86

Parte I - Generale pag. 87

Parte II - Metodologia seguita nella redazione del modello organizzativo pag. 88

Parte III - Aree ed attività sensibili pag. 88

Parte IV - Ambiente di controllo pag.108

Parte V - Principi di controllo e procedure per le attività sensibili pag.108

Parte VI - Organismo di Vigilanza pag.111

Parte VII - Informativa all’Organismo di Vigilanza e al Responsabile Prevenzione e Corruzione pag. 112

Parte VIII - Codice disciplinare pag.113

Parte IX - La comunicazione e la formazione sul modello pag.114

Parte X - Integrazione del modello 231 con la normativa anticorruzione pag.115

Conclusioni sulle modifiche svolte al modello pag.115

Cap. IV

Focus sui flussi informativi pag.117 4.1 Esempi pratici delle schede dei flussi informativi pag.120

Esempio scheda informativa “servizio reti e prestazione utenza” in GEAL Spa pag. 120 Esempio scheda “servizio utenti” in GEAL Spa pag. 121 Esempio scheda “acquisti e appalti” in GEAL Spa pag. 123 Esempio scheda “amministratore Delegato, capo del personale” in GEAL Spa pag. 125

Conclusioni pag.128 Fonti pag.133

3

Introduzione

La presente tesi affronta, in un’analisi che si articola in quattro capitoli, la tematica della prevenzione del fenomeno rischioso. Tale tematica è stata poi approfondita nel contesto aziendale di GEAL Spa, Società privata in controllo pubblico. Il rischio, considerato nella sua valenza negativa di “danno economico potenziale”, è infatti oggetto di studio in numerosi ambiti disciplinari ed è argomento di estrema attualità e rilevanza. Indipendentemente dal tipo di attività svolta e dalla dimensione aziendale, le organizzazioni devono gestire una pluralità di eventi derivanti sia dal contesto interno che esterno, che possono impattare negativamente sulla loro capacità di raggiungere i risultati sperati. Risulta quindi indispensabile dotare le aziende di precise procedure per fare in modo che la gestione del rischio nasca da modelli di analisi, da sistemi di reporting strutturati e da meccanismi appositamente istituiti per identificare, valutare e trattare in modo corretto gli eventi avversi che vanno a incidere sulla gestione aziendale.

Questa tesi è orientata all’identificazione e all’applicazione di idonee procedure formalizzate di gestione del rischio, al fine di mettere a disposizione dei vari sistemi aziendali un insieme strutturato di strumenti preventivi.

Il processo di risk management teso a identificare, analizzare, valutare e trattare eventi rischiosi è stato affrontato in modo generale nel primo capitolo. È stato messo in evidenza come un numero sempre maggiore di aziende si siano dotate di strumenti e metodologie idonee alla prevenzione del fenomeno rischioso, definendo il proprio perimetro di compliance aziendale. Ogni azienda deve infatti individuare le norme e le regolamentazioni rispetto alle quali adeguarsi, assicurando la conformità alle stesse e quindi la corretta implementazione di metodologie in via attuale e prospettica, ai fini della prevenzione dei fenomeni rischiosi.

All’interno del contesto di conformità e di adeguamento proattivo a regolamenti e metodologie, il primo strumento di gestione del rischio che è stato analizzato è l’ERM - Enterprise Risk Management (gestione del rischio a livello globale): uno standard definito a livello internazionale che predilige una visione globale della gestione del rischio, coinvolgendo i diversi livelli dell’organizzazione e portando all’allineamento di obiettivi-rischi-controllo. Sul piano teorico il modello di gestione del rischio aziendale

4

può offrire alla Società un approccio completo, sistematico e coerente alla gestione dei rischi, idoneo a consentire una riduzione del rischio di fallimento e ad accrescere la performance. L’ERM, su base teorica e tecnica, viene identificato come lo strumento base che permette di individuare i potenziali rischi. Alcuni strumenti di risposta per la mitigazione e la correzione del fenomeno rischioso all’interno delle organizzazioni sono per esempio il “modello di organizzazione gestione e controllo” ex Decreto Legislativo

231/2001 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” e il Piano Triennale di

Prevenzione della Corruzione (PTPC) secondo la Legge 190/2012 e s.m.i Disposizioni

per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione. Nel primo capitolo è stato altresì descritto il dettato normativo riferito

al Decreto 231/2001 e alla Legge 190/2012 e gli strumenti di prevenzione del rischio a questi correlati, mettendo in evidenza le loro peculiarità e il loro campo di applicazione e analisi.

Le principali differenze tra il Decreto Legislativo 231/2001 e la Legge 190/2012 riguardano sia l’aspetto normativo che l’aspetto organizzativo.

In primis deve essere precisato che la normativa 231 non è un adempimento normativo obbligatorio, ma una scelta “di conformità” che le singole organizzazioni decidono di attuare. Inoltre, come indicato dal Decreto Legislativo 231/2001 la commissione di uno dei reati (definiti “presupposto”), esplicitati nella normativa di riferimento, costituisce il primo presupposto per l’applicabilità della disciplina dettata dal Decreto stesso. Ulteriore presupposto è costituito dall’essere il reato - o l’illecito amministrativo - commesso «nell’interesse o a vantaggio dell’ente», ovvero per favorire l’Ente.

Per quanto riguarda invece la Legge 190/2012, i soggetti rientranti nel campo di applicazione della normativa sono obbligati ad adempiere al dettato normativo in questione. Inoltre, visto che la Legge reca le disposizioni per la prevenzione e la repressione del fenomeno corruttivo, la commissione di uno dei reati contemplati non comporta un vantaggio per l’Ente, bensì un danno nei confronti di quest’ultimo (danno che può essere anche solo reputazionale); il vantaggio derivante dal compimento del reato è di norma rivolto al soggetto autore del fatto.

In riferimento all’aspetto organizzativo, il Decreto 231 e la Legge 190 sono caratterizzati da organi e strumenti interni differenti, in linea con quanto richiesto dal loro dettato normativo. Per esempio:

5

- l’organo deputato al controllo della normativa 231 è definito Organismo di Vigilanza (ODV); il soggetto identificato dalla Legge 190 è invece il Responsabile Prevenzione della Corruzione e della Trasparenza (RPCT); - nella normativa 231 il documento da redigere è il Modello di Organizzazione

Gestione e Controllo (MOGC), mentre nella normativa 190 è il Piano Triennale di Prevenzione della Corruzione (PTPC);

- oltre ai documenti suddetti, dovrà essere redatta una relazione annuale, secondo quanto riportato da entrambe le normative. La relazione annuale riguardante la responsabilità amministrativa degli enti dovrà essere inviata al Consiglio di Amministrazione della Società, mentre quella riguardante la prevenzione della corruzione e trasparenza dovrà essere inviata all’Autorità Nazionale Anticorruzione (ANAC) e pubblicata sul sito internet della Società.

Sempre facendo riferimento al Decreto Legislativo 231/2001, si devono inoltre precisare quelle che sono le condizioni che fanno venire meno la responsabilità amministrativa dell’Ente. Il Decreto, se da un lato introduce il concetto di responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, dall’altro espone le condizioni che fanno venir meno la responsabilità degli stessi enti di fronte al compimento di uno dei reati esposti.

La Società non risponde dei reati commessi da uno dei soggetti esplicitati dall’art. 5 del D.Lgs 231/2001 (nonostante i reati siano stati commessi a vantaggio dell’ente) se:

- è stato adottato e attuato, prima della commissione del fatto, un Modello di Organizzazione e di Gestione (MOG) idoneo a prevenire i reati della specie di quello verificatosi;

- è stato nominato un organismo di vigilanza il cui compito è quello di vigilare sul funzionamento, sull’osservanza dei modelli, sul loro aggiornamento e sull’attività di formazione;

- le persone fisiche hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;

- non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo.

Essere conformi ai requisiti di cui al D.Lgs 231/2001 e adottare il relativo modello di organizzazione, gestione e controllo, rappresenta un’opportunità che il Decreto concede alle aziende o enti in genere per poter ridurre il rischio di essere chiamati a dover

6

rispondere per uno dei reati sanzionati dalla medesima normativa (reati commessi da dipendenti/ soggetti apicali dell’azienda).

Ulteriori benefici intrinsechi all’adozione del modello 231 riguardano il miglioramento interno dal punto di vista organizzativo: maggiore chiarezza dei compiti e delle responsabilità, migliore cultura del rischio e della sua gestione e miglioramento della comunicazione e del controllo. Inoltre comporta un miglioramento di immagine aziendale agli occhi di terzi esterni.

Anche il PTPC, come il MOGC 231, viene catalogato come uno strumento di risk management; questo deve essere predisposto dal RPC il quale deve vigilare sull’osservanza e il funzionamento del Piano Triennale di Prevenzione della Corruzione. Questi due strumenti offrono alle Società che li adottano un sistema organico di procedure, principi e regole che devono essere rispettati, al fine di ridurre il rischio di commissione dei reati contemplati sia nel Decreto Legislativo 231/2001 che nella Legge 190/2012, e al fine di identificare concrete azioni correttive da porre in essere per ridurre l’entità del rischio.

Le analisi e gli strumenti sopra citati sono stati contestualizzati in GEAL Spa, Società privata in controllo pubblico che si occupa della gestione del Servizio idrico integrato nel Comune di Lucca. È stato possibile andare a descrivere in dettaglio nel secondo capitolo, l’analisi dei rischi per la prevenzione del fenomeno corruttivo (Legge 190/2012 e s.m.i). Il terzo capitolo ha preso in esame l’analisi dei rischi ex D.Lgs 231/2001, al fine di tutelare la Società dal compimento di eventi rischiosi. Queste due analisi sono state aggiornate anche per rispondere ai cambiamenti organizzativi in essere in GEAL dal 04.07.2016 oltre che per adeguare la Società alle novità normative. Anche il piano aziendale “obiettivi premio di risultato 2017” Rispetto del timing per

attuazione piano di miglioramento è stato strutturato puntando sulla realizzazione degli

aggiornamenti suddetti.

Il secondo capitolo tratta nello specifico il processo di gestione del fenomeno corruttivo, racchiuso nel Piano Triennale di Prevenzione della Corruzione che GEAL adotta dal 2015. In seguito ai cambiamenti normativi che si sono susseguiti dall’anno 2012 a oggi e che hanno ampliato anche l’ambito soggettivo di applicazione della stessa normativa, anche le Società private in controllo pubblico come GEAL, si sono dovute allineare al dettato normativo in questione, che inizialmente sembrava riguardare soltanto le pubbliche amministrazioni. Oltre al susseguirsi di adeguamenti normativi, la materia è

7

stata oggetto di studio da parte di ANAC (Autorità Nazionale Anticorruzione) che ha prodotto notevoli delibere in merito, andando a richiedere tra le altre cose, anche la redazione di una specifica analisi dei rischi riguardante il fenomeno corruttivo (come affrontato appunto nel secondo capitolo).

Lo scopo dell’analisi in questione è quello di identificare il livello di esposizione al rischio di corruzione di GEAL Spa e di individuare misure organizzative volte alla sua concreta prevenzione. Ciò significa andare a creare un sistema per la gestione complessiva del rischio corruttivo che porti a: identificare le aree a rischio di corruzione e le relative attività, individuare le azioni concrete da porre in essere e definire i responsabili per la conduzione delle azioni.

L’altro strumento rappresentativo della volontà di GEAL di operare in conformità alle norme è il Modello di Organizzazione, Gestione e Controllo 231 adottato dal 2009: quest’ultimo oltre ad avere efficacia esimente della responsabilità amministrativa dell’azienda1, risulta essere un valido strumento di prevenzione dei reati disciplinati dal D.Lgs. 231/2001. Nel terzo capitolo viene spiegata la struttura del modello della società evidenziando quelli che sono stati i cambiamenti e le integrazioni avvenute a seguito dell’aggiornamento dell’analisi dei rischi 231. L’analisi già formalizzata in azienda è stata aggiornata al fine di allineare la Società ai cambiamenti normativi riguardanti il Decreto ed alla riorganizzazione aziendale suddetta. L’implementazione del modello 231 e del Piano Triennale di Prevenzione della Corruzione in GEAL mira a rivedere tutte le aree ed attività maggiormente esposte al rischio nell’ottica di entrambe le normative; da un lato il PTPC che riguarda esclusivamente il rischio corruttivo o comunque i casi di maladministration organizzativa e dall’altro lato il modello ex D.Lgs 231/2001, che prende in considerazione molte altre tipologie di reato oltre a quello corruttivo (es: reati ambientali, sociali, sul tema della sicurezza del lavoro etc...). Entrambe le analisi sono state utilizzate come base per garantire un efficace sistema di controllo indispensabile sia per l’organo deputato al monitoraggio del modello 231, (l’Organismo di Vigilanza), sia per il soggetto deputato al controllo del PTPC (Responsabile della Prevenzione della Corruzione).

1 _{La Società con l’adozione e l’efficace attuazione del medesimo modello risulta essere tutelata dal rischio di commissione di uno}

dei reati contemplati dalla normativa se questi venissero commessi a vantaggio dell’Ente da parte di un dipendente o di un soggetto in posizione apicale.

8

Il passo successivo all’elaborazione e all’aggiornamento delle analisi dei rischi in GEAL, ha riguardato la revisione dei flussi informativi alla luce delle analisi svolte. Un sistema informativo efficiente rappresenta un requisito essenziale per un efficace Modello di Organizzazione Gestione e Controllo ex D.Lgs 231/2001 e uno degli elementi fondamentali per la prevenzione della corruzione; il tutto per anticipare i rischi connessi allo svolgimento dell’attività d’impresa e impostare di conseguenza le azioni di risposta e le attività di controllo.

Lo studio mirato del perimetro di compliance riferito a GEAL Spa è stato possibile grazie all’esperienza di stage che ho svolto all’interno della Società e che mi ha consentito di effettuare un lavoro di analisi che nello specifico ha riguardato:

- revisione di tutte le aree/attività sensibili in GEAL relativamente ai rischi di cui al D.Lgs 231/2001 (con integrazione dei più recenti reati presupposto) e alla Legge 190/2012 (in merito alla prevenzione della corruzione e trasparenza); - revisione del Modello di Organizzazione Gestione e Controllo ex. D.Lgs

231/2001, in seguito alle modifiche dell’analisi a questo riferite; - aggiornamento della procedura dei flussi informativi.

9

Capitolo I

La gestione del rischio di compliance aziendale

Negli ultimi anni il tema del risk management sta riscontrando un interesse sempre maggiore all’interno del mondo aziendale e nel contesto attuale è diventato un fattore critico di successo per tutte le aziende: queste ultime devono gestire una pluralità di eventi derivanti da un ambiente sempre più complesso, che possono influenzare negativamente la loro capacità di creare valore. L’abilità di individuare tempestivamente eventi che possono avere un impatto negativo sui risultati della gestione e fornire una soluzione appropriata sta spingendo sempre più organizzazioni ad adottare sistemi formalizzati di gestione del rischio e un approccio proattivo, in un’ottica di prevenzione e di miglioramento continuo. A tal proposito un numero sempre maggiore di aziende sta adottando precise procedure per fare in modo che la gestione del rischio nasca da modelli di analisi, da sistemi di reporting strutturati e da meccanismi appositamente istituiti per identificare, valutare e trattare in modo corretto gli eventi avversi che vanno a incidere sulla gestione aziendale. Man a mano che la dimensione aziendale aumenta, si assiste ad un cambiamento circa il modo di affrontare gli eventi rischiosi: da una gestione prettamente informale, tipica delle piccole dimensioni aziendali, sviluppata secondo aspetti quali l’esperienza, l’intuizione, la percezione, si passa, all’aumentare della dimensione aziendale, all’implementazione di sistemi formali con metodologie ad hoc e figure qualificate rispetto al processo di risk management. Secondo questo approccio, la gestione degli eventi che possono portare al non raggiungimento di obiettivi aziendali, sta diventando un procedimento sempre più visibile e chiaramente identificabile all’interno dell’attività aziendale, visto che la sfida che il management deve portare avanti è proprio quella della sopravvivenza aziendale e quindi della capacità di creazione di valore. Il rischio è del resto oggetto di studio in numerosi ambiti disciplinari in quanto caratterizza la vita dell’azienda e cessa al cessare dell’attività; non può essere eliminato, ma può essere gestito in modo opportuno affinché possa rispettare le richieste derivanti dai diversi strumenti di prevenzione degli eventi rischiosi e rientrare nella soglia accettabile di rischio decisa dall’azienda. Prima di andare a vedere quali sono le varie tipologie di rischio che un Azienda può riscontrare e secondo quali specifiche procedure può essere gestito, definiamo brevemente quello che è il concetto di rischio adottato.

10

In questa tesi verrà analizzato il rischio nella sua definizione negativa intesa come: “la

possibilità di danno economico che deriva da eventi futuri di incerta manifestazione che possono portare ad uno scostamento negativo rispetto agli obiettivi prestabiliti”2

considerando più che l’origine dell’evento, la conseguenza negativa economica che questo porta all’interno del sistema aziendale.

Da questa definizione si possono mettere in luce fin da subito i principali aspetti del rischio: è un danno potenziale che si potrebbe manifestare, anche se ciò determina il venir meno del rischio, in quanto si passa da una condizione di incertezza tipica del rischio, a una condizione di certezza e quindi di effettiva manifestazione. È un danno economico che può portare a uno scostamento negativo rispetto agli obiettivi stabiliti e quindi a risultati peggiori di quelli ipotizzati; in via preventiva deve essere definito un sistema di obiettivi e rispetto a questi deve essere effettuata l’identificazione e la gestione del rischio al fine di prevedere la conseguenza futura in relazione ad ogni obiettivo preposto. In riferimento all’incertezza che caratterizza il rischio, prevedere le conseguenze dell’evento rischioso è molto difficile visto che il rischio è originato dal cambiamento di un insieme di variabili sia del contesto interno che esterno all’azienda, che sfuggono alla capacità di previsione. Come già accennato precedentemente, il rischio è intrinseco al funzionamento del sistema aziendale e cessa di esistere quando cessa l’attività a cui è riferito: pur non potendo essere eliminato, esso varia e assume diverse entità sia in base alla fase del sistema a cui è riferito, o comunque in base alle scelte gestionali interne, sia in base al cambiamento di fattori esterni. È per questo che il rischio è anche definito dinamico e quindi modificabile per effetto della nascita di nuovi rischi o della fine di altri. Una terza caratteristica inerente al rischio è la sistematicità, ossia la creazione di interdipendenze tra le varie fattispecie rischiose, in quanto il manifestarsi di un rischio può originarne la nascita di un altro, partendo quindi da rischi specifici e giungendo a quello economico-generale. Il rischio complessivo a livello aziendale in via definitiva si concretizza con l’incapacità dell’azienda di riuscire a remunerare i fattori produttivi necessari per lo svolgimento della sua attività. All’interno dei vari sistemi aziendali, indipendentemente dal tipo di attività che vengono portate avanti, dalla loro dimensione e dalla loro organizzazione, deve essere adottato un ragionamento sistematico e sistemico; un approccio che metta in luce le interdipendenze

2

Come quanto riportato nel capitolo 1 “Rischio e sistema d’azienda” della Dispensa ad uso degli studenti del corso di Risk Management dell’Università di Pisa (anno accademico 2016/2017).

11

tra i vari eventi rischiosi e un’analisi di questi ripetuta nel tempo affinché si possano sempre andare ad analizzare le aree maggiormente esposte al rischio.

L’attività di gestione del rischio con le relative conseguenze, si collega ad altre componenti del sistema aziendale, in particolare: alla fase di gestione strategica in relazione sia alla formulazione che all’attuazione della strategia; si collega a quella che è la gestione operativa e quindi la gestione del rischio in relazione alle attività esecutive sviluppate nelle diverse aree di funzione o nei vari processi aziendali. Si crea inoltre il collegamento tra rischio e sistema di controllo, ove quest’ultimo risulta essere parte integrante dei sistemi di gestione del rischio; ulteriore legame è quello con i sistemi di valutazione delle performance per la valutazione del valore creato.

In azienda possono essere adottati processi di risk management a livello:

- strategico: la gestione del rischio riguarda le fasi iniziali di progettazione e conseguente attuazione della strategia;

- di processo: la gestione del rischio avviene nel contesto di un processo operativo dove sono principalmente coinvolti i responsabili delle aree funzionali;

- di singola attività o operazione, in riferimento all’identificazione di eventi rischiosi riguardante solo una singola attività;

- trasversale, in relazione alla gestione del rischio rispetto ad una specifica attività che però si sviluppa in più aree gestionali;

- globale di azienda, che quindi coinvolge l’intera organizzazione.

La gestione del rischio a livello globale e quindi di intera attività aziendale, è quella più complessa ma allo stesso tempo maggiormente efficace e completa in quanto mette in luce le interdipendenze tra i vari eventi rischiosi, le conseguenze che queste portano all’intera organizzazione: va a prediligere una visione di insieme integrata e sistemica che coinvolge tutti i soggetti aziendali che operano ai vari livelli dell’organizzazione. Indipendentemente dalle diverse configurazioni che il sistema di risk management può assumere nelle varie realtà aziendali,è possibile riassumere in via definitiva quelle che sono le fasi, gli elementi essenziali che vanno a definire un sistema aziendale di gestione del rischio volti a mitigare le eventualità sfavorevoli che gravano sull’economicità dell’attività di riferimento e volti a garantire una ragionevole sicurezza

12

di arrivare agli obiettivi definiti. I tre principali elementi in riferimento al sistema di gestione del rischio sono3:

- gli attori, ossia la componente soggettiva; - il processo, ossia la componente dinamica;

- le tecniche e gli strumenti, la componente oggettiva.

Per quanto riguarda la prima componente, i soggetti rappresentano i vari livelli dell’organizzazione che sono impegnati nelle diverse fasi di gestione del rischio le quali vanno a definire la seconda componente, ossia il processo. A seconda della dimensione aziendale, non sempre ci sono unità organizzative, con all’interno specifici soggetti con specifiche competenze, che si occupano soltanto di quella che è la gestione del rischio; soprattutto nelle aziende di piccola dimensione non sono presenti delle unità organizzative di risk management mentre tali unità che si occupano dell’analisi del processo del rischio, sono generalmente presenti nelle medio-grandi imprese. Passando alla seconda componente possiamo riassumere le diverse attività del processo di gestione del rischio secondo questo ordine: analisi contesto di riferimento, identificazione/analisi rischi e valutazione (risk assessment), trattamento e reporting. Il processo di risk management parte proprio dallo studio dell’organizzazione di riferimento, con l’analisi della sua struttura, della sua strategia e quindi degli obiettivi stabiliti in base alle scelte strategiche fatte (relazione del rischio con la strategia). Una volta analizzata nel complesso l’organizzazione, si andrà ad identificare quegli eventi, elementi, processi che possono far sorgere il rischio di non raggiungere i risultati sperati e che quindi possono aumentare la probabilità di un minore valore per l’azienda. Identificare, analizzare e valutare i rischi rientra infatti nel concetto di risk assessment, ossia riuscire a quantificare il rischio per poi portare avanti una adeguata e mirata risposta. Al fine di comprendere come ciascun evento identificato può incidere sulla gestione dell’organizzazione si dovrà delineare l’esposizione al rischio che quegli elementi individuati rappresentano, andando ad analizzare la probabilità e l’impatto di ciascun evento, rendendoli in questo modo confrontabili e comparabili al fine di allocare le risorse tempestivamente per quegli eventi che hanno un’esposizione maggiore. Valutare il rischio significa proprio delineare una priorità di intervento in base alle conseguenze del rischio, dando priorità alla definizione delle risposte per

3

Come quanto riportato nel capitolo 1 “Rischio e sistema d’azienda” della Dispensa ad uso degli studenti del corso di Risk Management dell’Università di Pisa (anno accademico 2016/2017).

13

quelle situazioni maggiormente rischiose, con l’obiettivo di neutralizzare o comunque ridurre l’entità del rischio avvalendosi di risposte tempestive ed efficaci. Il trattamento del rischio si concretizza proprio con la definizione della terapia da implementare: in base all’entità dei controlli interni già esistenti nell’organizzazione aziendale (relazione del rischio con il sistema di controllo), questa dovrà valutare se il rischio residuo (post attività di controllo esistente) inerente alle diverse attività analizzate in quanto rischiose, risulti essere accettabile per il sistema aziendale e portare avanti attività di monitoraggio al fine di garantire l’efficacia della risposta data. Nel caso in cui la risposta fornita non risulti soddisfacente, dovranno essere messe in atto altre misure e/o azioni, da svolgere in un determinato orizzonte temporale. La comunicazione interna risulta una componente trasversale indispensabile per il processo di gestione del rischio, affinché l’intera organizzazione possa essere sempre a conoscenza di tutte le informazioni, le decisioni prese ai vari livelli. Il flusso della comunicazione deve precedere, accompagnare e seguire le fasi di identificazione, valutazione e trattamento, in modo che l’intero processo aziendale sia portato avanti tempestivamente. Oltre che rivolgersi all’interno dell’azienda, la comunicazione riguarda anche l’esterno, quindi gli altri stakeholder coinvolti nel sistema aziendale tramite un risk reporting esterno. I soggetti esterni (es.: investitori, società di rating) verranno informati sui rischi rilevati all’interno del contesto produttivo e conseguentemente in base al set di informazioni fornite loro potranno valutare i possibili scenari futuri. Per poter implementare il processo di gestione del rischio le aziende si devono avvalere di tecniche, metodologie e strumenti che vanno a rappresentare la componente oggettiva del sistema in esame, oltre che rispettare eventuali norme o modelli idonei alla prevenzione degli eventi rischiosi. Di conseguenza, al fine di ridurre il rischio di non raggiungere gli obiettivi stabiliti, le organizzazioni aziendali sono sempre più spinte ad adottare adeguate procedure e misure per arrivare al risultato atteso, portando quindi avanti un adeguato processo di gestione del rischio in base alle caratteristiche e peculiarità di ogni singolo contesto aziendale. Ogni azienda, principalmente in base alla propria dimensione, deve infatti definire quello che è il perimetro di riferimento della funzione di compliance individuando le norme e le regolamentazioni rispetto alle quali l’organizzazione ha la responsabilità di assicurare la conformità, e quindi la corretta implementazione delle metodologie in via attuale e prospettica ai fini della prevenzione dei fenomeni rischiosi. Fornire una visione olistica del rischio e della conformità normativa è indispensabile per

14

qualsiasi azienda in qualsiasi settore. Definire quella che è la compliance aziendale non significa solo conformità e aderenza al dettato di leggi e norme, ma principalmente essere in grado di adeguarsi proattivamente alle leggi, ai regolamenti o agli standard contrattuali.

La compliance aziendale è quindi un’attività preventiva che si occupa di prevenire il rischio di non conformità dell’attività aziendale rispetto alle norme seguite, alle regole adottate e che cerca di4:

- prevenire il disallineamento tra le procedure interne aziendali e l’insieme delle regole interne o esterne al contesto produttivo;

- assistere le organizzazioni aziendali nella corretta implementazione delle norme; - organizzare interventi formativi rispetto alle norme/metodologie in essere, nei

confronti dei dipendenti interni all’azienda;

- aggiornare periodicamente la documentazione aziendale e l’attività da svolgere in relazione ai cambiamenti normativi;

- cercare di adattare nel migliore dei modi le richieste normative con la specifica realtà operativa;

- garantire le relazioni con gli organi di controllo sia interni che esterni all’azienda.

Occorre andare a definire un sistema integrato per standardizzare e gestire tutti i rischi aziendali e consolidare tutte le informazioni provenienti da specifici sistemi di risk management, al fine di ottenere una visione dei rischi Enterprise (globale); per fare questo è necessario implementare un monitoraggio continuo dei rischi e dei controlli offrendo una visione d’insieme a 360°, in modo da permettere la gestione dei rischi da parte dei diversi attori aziendali coinvolti. In questo modo si supera quindi la visione tradizionale di gestione del rischio statica e divisa per diverse aree, andando a prediligere modelli condivisi e dinamici.

15

1.1 Il modello ERM e il Decreto Legislativo 231/2001 come modelli integrati di prevenzione del rischio

Una buona governance aziendale si fonda su un sistema di controllo interno da intendere come l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, valutazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana e coerente con gli obiettivi prefissati. Esso rappresenta la trama su cui operano tutti i soggetti e le funzioni aziendali che lavorano al fine di conferire il massimo valore sostenibile a ogni attività dell’organizzazione. In tal contesto tuttavia, sono state ampliate le fattispecie e il numero di soggetti responsabilizzati al controllo dell’impresa, frazionando la responsabilità e generando un certo numero di modelli di valutazione e gestione del rischio aziendale. La realizzazione di un effettivo sistema di governance aziendale deve tener conto delle azioni e delle valutazioni espresse da tutti i soggetti coinvolti sia nel controllo, sia nel risk management, con l’obiettivo di garantire il presidio dei rischi aziendali sulla base di un sistema di controllo interno unico e univoco, tale da assicurare efficacia.

1.1.1 Il Modello ERM- Enterprise Risk Management

All’interno di questo contesto di valutazione obiettivi-rischi-controllo si inserisce il modello internazionale per la valutazione del sistema di controllo interno ERM, Enterprise Risk Management, ossia la gestione del rischio aziendale a livello globale. Al fine di aiutare il management delle aziende e di altri enti a gestire nel migliore dei modi i rischi connessi al conseguimento degli obiettivi aziendali, il modello dell’Enterprise Risk Management (ERM) rappresenta un valido standard da prendere in esame. Nell’autunno del 2004 il Committee of Sponsoring Organizations of the Treadway

Commission (CoSo) ha ritenuto che vi fosse la necessità di progettare e realizzare un

modello di gestione del rischio aziendale che potesse essere preso come guida per le società e le organizzazioni per accrescere l’efficacia del processo di gestione del rischio aumentando così la capacità dell’azienda di generare valore. L’ERM rappresenta lo strumento basilare per affrontare l’incertezza e i rischi e per sfruttare le opportunità al fine di creare, ma soprattutto accrescere, il valore per tutti i soggetti coinvolti nell’organizzazione. Il concetto di “valore” è molto delicato in quanto la sua creazione,

16

conservazione e eventualmente la sua erosione, sono strettamente legate alle decisioni strategiche ed operative del management. Tale valore raggiunge il massimo quando i soggetti al vertice della struttura organizzativa sono capaci di conseguire un equilibrio ottimale tra target di crescita, redditività e rischio oltre a essere in grado di gestire, in maniera efficace e efficiente, le risorse disponibili al fine di soddisfare la mission aziendale. L’ERM (la gestione del rischio aziendale e quindi a livello globale) segue questa definizione secondo lo standard CoSo:

... la gestione del rischio aziendale è un processo, posto in essere dal Consiglio

di Amministrazione, dal management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali 5.

Questa definizione riflette i concetti precedentemente delineati di rischio e di come deve essere efficacemente gestito, mettendo in evidenza alcuni aspetti fondamentali:

- l’ERM è un processo continuo che interessa tutta l’organizzazione, riprendendo il concetto di sistematicità e coinvolgimento aziendale. La gestione del rischio non è un evento isolato,bensì una serie di azioni che interagiscono tra di loro e caratterizzano l’intera azienda;

- è svolto da persone che occupano posizioni a tutti i livelli della struttura, prediligendo in questo modo il concetto di condivisione delle informazioni e dinamismo, fornendo un meccanismo per far comprendere alle persone il rischio nel contesto degli obiettivi aziendali;

- è utilizzato per la formulazione delle strategie, mettendo in evidenza la relazione che sussiste tra rischio e gestione strategica intesa sia come formulazione delle strategie, scelta e attuazione di queste. Ogni azienda definisce la sua missione aziendale e stabilisce i suoi obiettivi strategici e operativi che devono essere coerenti con la strategia supportata;

- è utilizzato in tutta l’organizzazione, includendo una visione del rischio che considera l’azienda nel suo complesso. L’ERM infatti richiede che l’azienda

5

Definizione consultata da Edizione italiana a cura di Associazione Italiana Internal Auditors e PricewaterhouseCoopers “La Gestione del rischio aziendale; ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative” .

17

consideri il rischio complessivo della sua attività prendendo in considerazione tutti i vari rischi specifici di ogni unità organizzativa, che presi singolarmente potrebbero situarsi entro i livelli di tolleranza definiti per ogni unità, ma se considerati nel loro insieme potrebbero eccedere il livello di rischio accettabile dell’azienda considerata nel suo insieme;

- è progettato per andare a identificare eventi potenziali che potrebbero influire sulla gestione aziendale; cerca infatti di prevenire il manifestarsi dell’evento rischioso gestendolo e mantenendolo entro i limiti di rischio accettabile al fine di tutelare il risultato aziendale. Il rischio accettabile rappresenta l’ammontare del rischio che un’azienda è disposta ad accettare, il quale è direttamente correlato alla strategia aziendale a seconda della propensione o meno al rischio da parte dell’azienda;

- è in grado di fornire una ragionevole sicurezza, in quanto la gestione del rischio nonostante sia ben impostata e attuata, non può garantire che gli obiettivi aziendali siano sicuramente raggiunti.

Questo modello ha lo scopo di conciliare i vari modi di concepire il risk management e di costituire una base di partenza per avviare la valutazione del processo di gestione del rischio in ottica di prevenzione. Diverse sono le parti interessate nell’implementazione di questo modello, che si pone come base per la gestione del rischio in modo che i soggetti coinvolti possano parlare lo stesso linguaggio e comunicare in modo più tempestivo e efficace. A ogni persona che opera all’interno di un’organizzazione è attribuita una certa responsabilità nell’ERM: a partire dal Consiglio di Amministrazione che svolge un ruolo di supervisione del processo di gestione del rischio aziendale e contribuisce alla determinazione del livello di rischio accettabile, al management che promuove la filosofia di gestione del rischio a seconda della propensione verso il rischio e a seconda della strategia di fondo dell’azienda, fino ai dipendenti delle varie unità organizzative che svolgono compiti esecutivi in conformità con i protocolli di gestione del rischio e garantiscono informazioni utili per il buon funzionamento del processo. La massima efficacia viene raggiunta quando l’ERM entra a far parte della cultura aziendale e influisce positivamente sull’implementazione delle strategie e sul perseguimento della mission, ossia ciò a cui l’azienda mira. L’organizzazione cede a tale strumento la propria esperienza e le proprie competenze tecniche; esiste infatti una

18

corrispondenza, una connessione tra l’elemento materiale, ossia il modello ERM, e l’elemento personale, ossia l’organizzazione.

Le principali caratteristiche inerenti al modello in questione mettono in evidenza come questo riesca a:6

- allineare la strategia aziendale al rischio accettabile; in base al rischio massimo stabilito dal vertice aziendale, verrà fissata la strategia e successivamente verranno delineati gli obiettivi in linea con la strategia selezionata e affidati ai diversi livelli della struttura aziendale;

- implementare un’idonea risposta rispetto al rischio individuato. La metodologia di analisi del rischio in questione riesce a delineare la risposta più adatta in base all’entità del rischio consistente in: evitare il rischio, ridurre, condividere o accettare il rischio;

- ridurre gli imprevisti e conseguentemente le perdite connesse. Le aziende implementando il modello di analisi del rischio riescono ad aumentare la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducendo contestualmente la frequenza degli imprevisti e le perdite connesse;

- identificare i rischi correlati e multipli gestendoli nel modo più opportuno. In riferimento alle caratteristiche del rischio sopra menzionate, ogni azienda deve affrontare numerosi rischi che vanno ad interessare diverse aree dell’organizzazione (interdipendenza tra le diverse fattispecie rischiose). Infatti il management non deve solo gestire i singoli rischi, secondo il perimetro tradizionale di risk management, ma deve anche capire le eventuali correlazioni tra i diversi eventi rischiosi e quindi i loro possibili effetti. Lo scopo del modello consiste nel fornire una visione completa di tutti i rischi in tutte le aree dell’organizzazione, in modo da fornire idonee ed efficaci risposte che possono essere utilizzate anche da diverse aree aziendali;

- fornire risposte univoche per rischi multipli. In riferimento al punto precedente l’ERM consente di implementare soluzioni univoche per i diversi rischi presenti in azienda al fine di ottimizzare le risorse a disposizione e garantire una tempestiva soluzione;

6

Sempre secondo quanto riportato dall’Edizione italiana a cura di Associazione Italiana Internal Auditors e PricewaterhouseCoopers “La Gestione del rischio aziendale; ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative” .

19

- identificare le opportunità. Nonostante nel presente lavoro venga analizzato l’evento rischioso solo nella sua valenza negativa, quindi collegato ad una potenziale perdita, il modello in questione nel considerare gli accadimenti potenziali può mettere in luce eventi che possono portare a un risultato positivo in termini di creazione di valore e di conseguimento di obiettivi;

- migliorare l’impiego di capitale. Tramite l’acquisizione di informazioni affidabili sui rischi il modello consente al management di valutare il fabbisogno complessivo di capitale utile per lo svolgimento dell’attività aziendale e di migliorare l’allocazione dello stesso.

Le caratteristiche generali sopra riportate aiutano il management, e quindi l’azienda, ad arrivare al conseguimento degli obiettivi senza perdite di risorse, supportando l’organizzazione nello svolgimento delle sue attività, evitando danni di immagine ed imprevisti di percorso. A livello teorico il modello di gestione del rischio aziendale può offrire alla società un approccio completo, sistematico e coerente alla gestione dei rischi, idoneo a consentire una riduzione del rischio di fallimento e ad accrescere la performance.

In relazione a quanto suddetto l’ERM accompagna l’attività aziendale nelle decisioni da prendere, cercando di prevenire i possibili rischi connessi al non raggiungimento degli obiettivi definiti. Gli obiettivi che vengono delineati dal modello di gestione del rischio sono:

- strategici: delineati a livello più alto della struttura organizzativa e allineati con quella che è la missione aziendale; il non raggiungimento di questa categoria di obiettivi può portare al peggioramento della strategia aziendale;

- operativi: riguardano l’impiego efficace e efficiente delle risorse aziendali che vanno ad incidere sul reddito operativo;

- di reporting: riguardano l’affidabilità delle informazioni fornite dal reporting; - di compliance: riguardano l’osservanza delle leggi e dei regolamenti in vigore. Le classi di obiettivi prese in considerazione non sono viste in modo distinto, ma analizzate in ottica di processo sempre per agevolare la condivisione e l’interdipendenza tra le varie attività ai vari livelli organizzativi. Rispetto al raggiungimento dei suddetti obiettivi, l’ERM può solo fornire una ragionevole sicurezza sulla realizzazione degli obiettivi riguardanti l’affidabilità del reporting e la conformità alle leggi e ai

20

regolamenti. Il raggiungimento di queste due categorie di obiettivi, basati in notevole misura su norme e regole imposte da terzi esterni, dipende dal modo in cui si svolgono le attività aziendali dal punto di vista interno e quindi rispetto all’organizzazione del business aziendale. Al contrario, il raggiungimento degli obiettivi strategici e operativi, non sempre rientra nella sfera del controllo aziendale ma dipende anche da fattori esterni come la concorrenza e le richieste dei clienti. Proprio il manifestarsi di eventi esterni e quindi difficilmente controllabili, aumenta l’incertezza propria del rischio e quindi può pregiudicare il raggiungimento degli obiettivi operativi e strategici. Tuttavia l’applicazione del sistema di gestione del rischio accresce la probabilità che il management prenda decisioni migliori, nonostante possa comunque garantire soltanto una ragionevole sicurezza rispetto al raggiungimento di obiettivi condizionati dal contesto esterno. Nel caso in cui l’ERM venga definito efficace, ciò significa che gli organi di vertice hanno una ragionevole sicurezza di poter raggiungere le quattro categorie di obiettivi e in particolare di:

- venire a conoscenza del modo in cui gli obiettivi strategici si stanno conseguendo;

- venire a conoscenza di come gli obiettivi operativi vengono portati avanti al fine di arrivare alla strategia definita;

- avere a disposizione report affidabili;

- prendere in considerazione, e attuarle nel modo idoneo, le leggi e i regolamenti in vigore.

Esiste comunque un rapporto diretto tra obiettivi, ossia ciò a cui un’azienda mira, e le otto componenti del sistema di gestione del rischio, ovvero gli elementi che occorrono per conseguire gli obiettivi. L’efficacia del processo di gestione del rischio dipende infatti dalla presenza o meno delle componenti, in relazione agli obiettivi, e dal loro corretto funzionamento. Le componenti del sistema ERM sono7:

- ambiente interno, ossia il modo di essere dell’azienda che costituisce le fondamenta di tutti gli altri elementi. All’interno dell’ambiente interno si determina il modo in cui il rischio è considerato e affrontato dalle persone che operano in azienda, così da evidenziare le qualità personali degli individui, i loro

7

Sempre secondo quanto riportato dall’Edizione italiana a cura di Associazione Italiana Internal Auditors e PricewaterhouseCoopers “La Gestione del rischio aziendale; ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative” .

21

valori etici, la loro competenza. In linea generale i fattori che compongono l’ambiente interno sono: la filosofia della gestione del rischio, il livello di rischio accettabile, la supervisione del consiglio di amministrazione, l’integrità e i valori etici, le competenze del personale, il sistema di deleghe e poteri e le risorse umane;

- definizione degli obiettivi: gli obiettivi vengono fissati a seguito della definizione della missione aziendale, in modo che questi supportino e siano coerenti con la strategia di fondo e di conseguenza siano allineati al rischio massimo tollerabile dall’azienda;

- identificazione degli eventi: l’identificazione degli eventi comporta la rilevazione di fatti potenziali di origine sia interna che esterna che possono pregiudicare il raggiungimento degli obiettivi;

- valutazione del rischio: a seguito dell’identificazione degli eventi rischiosi, questi sono analizzati al fine di determinare come devono essere gestiti. Valutare il rischio significa determinare una priorità di intervento in base all’esposizione del rischio, derivante dal prodotto tra probabilità e impatto;

- risposta al rischio: in base all’esposizione al rischio precedentemente definita si dovranno mettere in atto idonee risposte per contrastare l’evento rischioso e farlo rientrare all’interno della soglia definita accettabile;

- attività di controllo: a seconda delle risposte date per contrastare il fenomeno rischioso, si deve andare a controllare che queste siano eseguite nel migliore dei modi tramite un sistema di politiche e procedure, ovvero ciò che si deve fare e il modo di applicazione;

- informazioni e comunicazione: le informazioni inerenti al sistema di gestione del rischio devono essere diffuse a tutti i livelli dell’organizzazione per identificare, valutare e rispondere ai rischi. Queste infatti devono essere tempestive, aggiornate, accurate e facilmente disponibili. Ottenere le informazioni giuste, nei tempi giusti è essenziale per una corretta implementazione del sistema gestione del rischio. Di pari passo si deve attivare un sistema di comunicazione tra tutti i livelli aziendali in modo da venire a conoscenza in modo chiaro delle diverse responsabilità nel processo di gestione del rischio;

22

- monitoraggio: una volta ultimato, il sistema di gestione del rischio ha bisogno di essere monitorato in modo continuo o tramite azioni di monitoraggio specifiche in relazione a determinate carenze rilevate.

Ogni azienda attiverà l’ERM secondo proprie modalità, in base al proprio settore operativo, alla dimensione aziendale, alla propria cultura e alla propria filosofia di gestione dell’organizzazione. Questo significa che nonostante tutte le aziende che vogliano mettere in atto un idoneo sistema di prevenzione dei rischi debbano disporre di tutti gli otto componenti per gestire efficacemente gli eventi rischiosi, la concreta applicazione dell’ERM spesso è molto diversa da un’azienda all’altra. Molte aziende adottano sistemi formalizzati come l’ERM con lo scopo di responsabilizzare tutti i livelli aziendali sul governo dei rischi attraverso il rafforzamento della cultura di risk management in modo da salvaguardare la reputazione e l’immagine aziendale ed al fine di conoscere il rischio da fronteggiare.

Rimanendo all’interno di quella che è la compliance aziendale per la prevenzione di rischi, un ulteriore modello che può essere preso in considerazione e che può essere visto come parte integrante del più generale sistema di valutazione dei rischi, (il modello ERM suddetto), è il modello 231/2001 derivante dal Decreto Legislativo 231/20018.

1.1.2 Il Decreto Legislativo 231/2001 e il correlato Modello di Organizzazione Gestione e Controllo

L’implementazione del Modello Organizzativo 231 rappresenta la sintesi di un processo di valutazione obiettivi-rischi-controllo che può essere ricollegato al modello internazionale ERM, come strumenti leva per l’implementazione della governance aziendale. L’analisi di questi due modelli sfocia in un applicazione concreta dei concetti teorici dell’ERM, nell’ambito però di aziende che si sono adeguate al dettato normativo del D.Lgs 231/2001. Attualmente la disciplina racchiusa nel Decreto 231/2001, vista la sua pervasività in tutti i processi aziendali, ha assunto la valenza di una matrice di impostazione, progettazione, redazione e revisione di un modello attraverso cui l’alta

8 _{Decreto Legislativo 8 giugno 2001, n.231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e}

delle associazioni anche prive di responsabilità giuridica, a norma dell’articolo 11 delle Legge 29 settembre 2000, n. 300. Pubblicato nella Gazzetta Ufficiale n.140 del 19 giugno 2001.

23

direzione dell’azienda può ottenere riscontri particolarmente dettagliati su efficacia ed efficienza dell’organizzazione e dei sistemi di gestione aziendale, in una visione integrata. Il dettato normativo in questione ha lo scopo di indurre gli enti, attraverso una scelta discrezionale e non obbligatoria, ad adottare uno schema strutturale preciso e chiaro, un “modello” che ha le finalità di formalizzare le procedure da seguire in modo tale che l’azienda possa giungere alla mitigazione dei rischi derivanti dal compimento di condotte illecite da parte della sua organizzazione. Spieghiamo più nel dettaglio a cosa porta l’applicazione della normativa 231 in collegamento con l’ERM.

Il Decreto legislativo 231 dell’8 giugno 20019 entrato in vigore il 4 luglio del 2001, ha rappresentato una svolta storica per il nostro ordinamento, in quanto ha introdotto il concetto di responsabilità amministrativa delle persone giuridiche. Il Decreto reca le disposizioni normative concernenti la Disciplina della responsabilità amministrativa

delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica; i diretti destinatari secondo l’art. 1 comma 2 del presente, sono gli organismi

con personalità giuridica, le società e le associazioni prive di responsabilità giuridica, con esclusione dello Stato, degli enti pubblici territoriali, di quelli non economici e aventi funzioni di rilievo costituzionale. La responsabilità amministrativa dell’Ente però può essere esclusa10 se esso ha adottato e efficacemente attuato, prima della commissione dei reati (specificamente indicati dal Legislatore), Modelli di Organizzazione Gestione e Controllo (“Modelli 231”) idonei a prevenire i reati stessi. Se ne ricava che la responsabilità dell’Ente si fonda sulla così detta “colpa di organizzazione” ovvero sulla mancata preventiva adozione o al mancato rispetto di standard attinenti all’organizzazione e all’attività dell’Ente ai fini di prevenzione dei reati. L’adozione del Modello di Organizzazione e Gestione (anche definito in breve MOG) non è un adempimento normativo obbligatorio, ma si ritiene che la scelta di implementare il modello, il Codice Etico, l’attività di formazione e informazione, il sistema sanzionatorio, e insieme al sistema organizzativo e gestionale dell’azienda, possa rappresentare uno strumento di sensibilizzazione, prevenzione, affidabilità e trasparenza.

Scopo del modello 231 è la predisposizione di un sistema organico di procedure, principi e regole, codificato anche in base alle specifiche esigenze del singolo Ente, che

9

Emanato in esecuzione della delega di cui all’art 11 della L. 29 settembre 2000, n. 300, pubblicato nella Gazzetta Ufficiale del 19 giugno 2001, n.140.

24

devono essere rispettate al fine di ridurre il rischio di commissione dei reati contemplati nel Decreto 231/2001, con il preciso obiettivo di costituire l’esimente ai fini della responsabilità amministrativa dell’Ente. I meccanismi di gestione del rischio dovranno essere elaborati e integrati, secondo un approccio customizzato in base alle peculiarità dell’Ente, al sistema di controllo interno già esistente, al settore di riferimento, alle aree e ai processi sensibili, nonché alla cultura aziendale presente nell’organizzazione. È proprio per questo che il Modello di Organizzazione Gestione e Controllo può essere definito come un efficace strumento di risk management e di prevenzione di condotte illecite all’interno della funzione di compliance aziendale.

Come indicato dal D.Lgs 231/2001 Disciplina della responsabilità amministrativa delle

persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica la commissione di uno dei reati, esplicitati nella normativa di riferimento,

costituisce il primo presupposto per l’applicabilità della disciplina dettata dal Decreto stesso. Ulteriore presupposto che rappresenta anche il primo, fondamentale ed essenziale criterio di imputazione di natura oggettiva è costituito dall’essere il reato, o l’illecito amministrativo, commesso «nell’interesse o a vantaggio dell’ente»11_{, ovvero}

per favorire l’Ente.

Secondo criterio di imputazione oggettivo è costituito invece dal tipo di soggetti autori del fatto illecito.

L’illecito deve essere stato realizzato da uno o più soggetti qualificati, che il Decreto raggruppa in due categorie12:

- persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; i così detti soggetti in posizione apicale. Questi sono ad esempio il legale rappresentante, direttore generale, l’amministratore, il direttore di una sede o filiale, nonché le persone che esercitano anche di fatto la gestione e il controllo dell’Ente.

11

Secondo quanto riportato dall’art. 5, comma 1 del D.Lgs 231/2001.

25

- persone sottoposte alla direzione o alla vigilanza di uno dei soggetti in posizione apicale; i così detti soggetti subalterni, quali ad esempio i lavoratori dipendenti, ma anche soggetti esterni all’Ente.

Al fine della responsabilità amministrativa la Società non risponde se le persone suddette hanno agito «nell’interesse esclusivo proprio o di terzi», in riferimento cioè alla volontà soggettiva e personale dell’autore materiale del reato (secondo l’art. 5, comma 2 del Decreto stesso), e se la Società, in base all’art.6 del Decreto 231/2001, prova che:

- l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, Modelli di Organizzazione e di Gestione idonei a prevenire reati della specie di quelli verificatosi;

- il compito di vigilare sul funzionamento, l’efficacia e l’osservanza dei modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo interno dotato di autonomi poteri di iniziativa e controllo (Organismo Di Vigilanza-ODV);

- le persone fisiche hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;

- non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo.

Come è stato già affermato precedentemente l’adozione del Modello di Organizzazione, Gestione e Controllo non è un adempimento obbligatorio, bensì una scelta che ogni singola Società valuta di fare, con la convinzione però che una volta adottato e efficacemente attuato possa rappresentare un importante strumento di prevenzione e gestione di situazioni rischiose. Essere conformi ai requisiti discendenti dal D.Lgs 231/2001 ed adottare il relativo Modello di Organizzazione Gestione e Controllo, infatti rappresenta un’opportunità che la 231 concede alle aziende o enti in genere per poter ridurre il rischio di essere chiamati a dover rispondere per uno dei reati sanzionati dalla medesima normativa.

Ulteriori benefici intrinsechi all’adozione del modello 231 riguardano sia il miglioramento interno dal punto di vista organizzativo poiché favorisce una maggiore chiarezza dei compiti e delle responsabilità, una migliore cultura del rischio e della sua gestione e un miglioramento della comunicazione e del controllo, nonché un miglioramento di immagine aziendale agli occhi di terzi esterni.

26

Il Decreto non disciplina la natura e le caratteristiche del Modello di Organizzazione: si limita a dettare alcuni principi di ordine generale.

In base a quanto delineato dall’art 6 del D.Lgs 231/2001 al fine di garantire l’esimente da responsabilità le Società (siano queste quotate, a partecipazione pubblica non di controllo, in controllo pubblico) possono adottare e efficacemente attuare il Modello di Organizzazione Gestione e Controllo in modo da dimostrare la loro effettiva capacità di prevenire comportamenti non voluti. Affinché possa essere definito adeguato il modello deve13:

- individuare le attività nel cui ambito possono essere commessi i reati;

- prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni della Società in relazione ai reati da prevenire;

- individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;

- prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e sull’osservanza del Modello Organizzativo;

- introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello Organizzativo.

La sola adozione del modello non è però sufficiente a ottenere il principale beneficio derivante dai programmi di conformità ex D.Lgs 231/2001, ossia garantire l’esimente della responsabilità dell’azienda nel caso di commissione di uno dei reati contemplati dalla normativa. Successivamente all’adozione, le aziende devono assicurare il concreto esercizio del modello garantendo che questo sia controllato, aggiornato e oggetto di formazione per tutto il contesto organizzativo grazie all’attività svolta dall’Organismo di Vigilanza.

La stesura del modello deve avvenire facendo tesoro dell’esperienza propria dell'Ente, e quindi deve essere frutto di una attenta analisi dei processi aziendali al fine di determinare l’esposizione della società stessa ai reati presupposto contemplati nel D. Lgs. n. 231/2001.

In concreto l’attività di individuazione dell’esposizione ai reati presupposto, definita tecnicamente come mappatura delle aree (dell'attività aziendale) sensibili (al rischio di

13

27

commissione di reati), va articolata anche tramite una attenta attività di intervista che coinvolga i soggetti chiave dei processi esistenti nell’organizzazione.

L’attività di intervista ha quale proprio obiettivo quello di analizzare ogni attività sensibile al rischio di commissione dei reati presupposto di cui al D.Lgs. n. 231/2001 verificando l’esistenza di procedure/protocolli aziendali adeguati ed efficaci.

In relazione a quanto precedentemente detto, l’Ente per beneficiare dell’esimente dei reati previsti dal Decreto 231/2001, oltre che adottare e efficacemente attuare il Modello di Organizzazione Gestione e Controllo, deve avvalersi di un organismo interno di controllo definito Organismo di Vigilanza (ODV)14, un organo dotato di indipendenza, di piena autonomia di azioni e di controllo. L’ODV deve controllare il rispetto, l’attuazione e l’efficacia del Modello di Organizzazione e Gestione previsto dal D. Lgs 231/2001 e deve segnalare prontamente al Consiglio di Amministrazione e al Collegio Sindacale le violazioni accertate per poter consentire l’adozione degli eventuali provvedimenti disciplinari. Risulta infatti indispensabile l’obbligo di informazione tempestiva nei confronti dell’Organismo di Vigilanza, mediante apposito sistema di segnalazione da parte dei vari livelli aziendali, in merito a comportamenti, atti od eventi che potrebbero determinare violazione od elusione del modello o delle relative procedure e quindi che potrebbero ingenerare responsabilità.

Risulta fondamentale, al fine di comprendere l’ampio spettro di analisi del rischio che il Decreto 231/2001 consente di applicare, delineare le fattispecie di rischio, i così detti “Reati presupposto”15, che la normativa in questione prende in considerazione, e che se violati possono far scattare la responsabilità dell’Ente.

La classificazione dei reati è stata ampliata successivamente a quella all’origine contenuta nel Decreto 231/2001 in seguito a cambiamenti normativi che hanno interessato il Decreto stesso.

Ad oggi le principali aree che compongono il catalogo dei reati presupposto sono16: - Art 24: “Indebita percezione di erogazione, truffa in danno dello stato o di un

ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico”;

- Art 24-bis: “Delitti informatici e trattamento illecito di dati”: articolo aggiunto dalla Legge n. 48/2008 e modificato in seguito dal D.Lgs n. 7 e 8/2016;

14_{Secondo quanto delineato dall’art.6, comma 1, punto b) del D.Lgs 231/2001.}

15_{Delineati nella sezione III Responsabilità amministrativa per reati previsti dal codice penale del D.Lgs 231/2001.}

16_{L’elenco dei reati presupposto è stato consultato dal sito AODV231 in base al documento “Catalogo dei reati presupposto esteso”}

28

- Art 24-ter: “Delitti di criminalità organizzata” – articolo aggiunto dalla Legge n. 94/2009, modificato dalla Legge 69/2015 e modificato ulteriormente dalla L. 236/2016 che dal 07/01/2017 integra l’art. 416 c.p. con l’art 601-bis;

- Art 25: “Concussione, induzione indebita a dare o promettere utilità e corruzione”: articolo modificato dalla Legge 190/2012;

- Art 25-bis: “Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento”, aggiunto dal D. L. n. 350/2001, convertito con modificazioni dalla Legge n. 409/2001; modificato dalla L. n. 99/2009 e ulteriormente modificato dal D.Lgs. 125/2016;

- Art 25-bis 1: “Delitti contro l’industria e contro il commercio” – articolo aggiunto dalla Legge n. 99/2009;

- Art 25-ter: “Reati societari”, articolo aggiunto dal D.Lgs n. 61/2002, modificato dalla Legge 190/2012, dalla Legge 69/2015 e ulteriormente modificato dal D.Lgs 38/2017;

- Art 25-quater: “Reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal codice penale e dalle leggi speciali”, articolo aggiunto dalla Legge n. 7/2003;

- Art 25-quarter 1: “Pratiche di mutilazione degli organi genitali femminili”, articolo aggiunto dalla Legge 7/ 2006;

- Art 25-quinquies: “Delitti contro la personalità individuale”, articolo aggiunto dalla Legge n. 228/2003 e modificato dalla Legge 199/2016 (con aggiunta dell’art 603 bis);

- Art 25-sexies: “Reati di abusi di mercato”, articolo aggiunto dalla Legge n. 62/2005;

- Art 25-septies: “Reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro”, articolo aggiunto dalla Legge 123/2007;

- Art 25-octies: “Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché autoriciclaggio”, articolo aggiunto dal D.Lgs 231/2007 e modificato dalla Legge 184/ 2014 (con aggiunta dell’art 648-ter.1 c.p);

- Art 25-novies: “Delitti in materia di violazione del diritto d’autore”, articolo aggiunto dalla Legge n. 99/2009;