Il coordinamento tra Modelli 231 e sistemi integrati qualità, ambiente e sicurezza nel quadro del sistema di controllo interno: il caso Ecomar Italia SpA.

Dipartimento di Economia e Management

Corso di Laurea Magistrale in Strategia, Management e Controllo

Tesi di Laurea Magistrale

Il coordinamento tra i Modelli 231 e i sistemi integrati qualità, ambiente e sicurezza nel quadro del sistema di controllo interno: il caso Ecomar Italia SpA.

Relatore:

Prof. Giuseppe D’Onza

Candidata: Silvia Bassani

1

INTRODUZIONE ... 3

Capitolo 1 Il Modello 231 e i Sistemi di Gestione Integrati nel quadro del Sistema di Controllo Interno. ... 6

1.1 Il Decreto Legislativo 231/01: inquadramento normativo ... 6

1.2 Il modello di organizzazione, gestione e controllo 231 ... 14

1.2.1. Il processo di elaborazione del Modello 231 e le relazioni con il sistema di controllo interno ... 15

1.2.2. Peculiarità del Modello 231 rispetto al sistema di controllo interno. ... 28

1.2.3 Le componenti del Modello 231 ... 31

1.3 L’Organismo di Vigilanza ... 41

1.3.1 Composizione e requisiti ... 42

1.3.2. Funzioni dell’Organismo di vigilanza. ... 44

1.4 I sistemi di gestione della qualità, ambientale e della sicurezza e i rapporti con il Modello 231 ed il sistema di controllo interno. ... 46

1.4.1. Il coordinamento tra i sistemi di gestione e il Modello 231 ... 46

1.4.2. Il rapporto tra Modello 231 e sistema di gestione della qualità ... 56

1.4.3 Il rapporto tra Modello 231 e i sistemi di gestione della salute e della sicurezza nei luoghi di lavoro ... 62

1.4.4. Il rapporto tra Modello 231 e il Sistema di gestione ambientale (SGA) ... 68

Capitolo secondo. L’azienda Ecomar Italia SpA ... 81

2.1. Presentazione dell’azienda e del contesto ... 81

2.2. Il regime autorizzativo dell’Azienda, il rapporto con il SGI e il Modello 231. . 117

Capitolo terzo. Il coordinamento tra il Sistema di Gestione Integrato e il Modello 231 nel processo di gestione del rischio: il caso Ecomar Italia Spa ... 123

3.1 Ipotesi di sviluppo del processo di risk management per la costruzione del Modello 231 alla luce delle possibili sinergie ed interazioni con il Sistema di Gestione Integrato in Ecomar Italia SpA ... 123

3.2 Art. 25 D.Lgs. 231/01: i reati contro la P.A.. Analisi delle procedure esistenti ai fini della valutazione del rischio e degli eventuali adeguamenti da apportare in ottica 231. ... 129

3.3 Art. 25-septies D.Lgs. 231/01: i reati in materia di sicurezza sul lavoro. Analisi procedure esistenti ai fini della valutazione del rischio e degli eventuali adeguamenti da apportare in ottica 231. ... 147

3.4 art. 25-undecies D.Lgs. 231/01: i reati ambientali. Analisi delle procedure esistenti ai fini della valutazione del rischio e degli eventuali adeguamenti da apportare in ottica 231. ... 157

3.5 Riepilogo valutazione del rischio per le tre categorie esaminate e fase finale .... 180

Conclusioni ... 182

3

INTRODUZIONE

Il D.Lgs. 231/01 (di seguito DECRETO) ha introdotto nel nostro ordinamento giuridico la responsabilità amministrativa per le persone giuridiche rispetto ad una serie di reati presupposto che, nell’arco di questi primi quindici anni di vigenza, sono andati sempre più ampliandosi.

Dapprima, infatti, erano previsti soltanto reati dolosi compiuti da soggetti apicali o da persone soggette alla loro direzione e vigilanza nell’interesse o a vantaggio dell’Ente. Nel 2007 sono stati introdotti i reati in materia di salute e sicurezza sul lavoro e nel 2011 sono stati introdotti i reati ambientali, successivamente ampliati nel 2015. Hanno fatto così il loro ingresso anche i reati colposi per i quali viene a mancare la sfera volitiva, l’interesse o il vantaggio dovrebbero in questo caso ricondursi alla condotta inosservante delle norme cautelari.1

L’art. 6 del Decreto prevede una clausola esimente: l’ente non risponde del reato se prova che l’organo dirigente ha adottato ed efficacemente attuato modelli di organizzazione e gestione idonei a prevenire il reato prima che il fatto si sia compiuto e che il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento sia affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo.

L’adozione del Modello di organizzazione, gestione e controllo (di seguito Modello 231) è, quindi, un adempimento facoltativo e si delinea a pieno titolo come una precisa scelta di governance. Tuttavia non si possono non considerare le conseguenze della sua mancata adozione. In particolare la decisione di identificare il rischio-reato e gestirlo, al fine di ridurre la possibilità che il relativo evento si verifichi, rientra in una politica che deve necessariamente essere definita dai vertici amministrativi dell’ente in ossequio alle norme codicistiche che impongono la cura e la vigilanza dell’assetto organizzativo, amministrativo e contabile (artt. 2381, quinto comma e 2403 c.c.; e, con riferimento alle società quotate, art. 149 TUF).

Il notevole ampliamento del catalogo dei reati non ha causato un aumento altrettanto rilevante delle imprese che abbiano deciso di dotarsi di un Modello 231. Il motivo principale si può ravvisare nella mancanza di certezza che il Modello adottato sarà

1

4 valutato idoneo dall’autorità giudiziaria nell’ipotesi in cui dovesse verificarsi uno dei reati presupposto a fronte del costo certo da dover sostenere per la sua implementazione. Nelle piccole e medie imprese, spesso del tutto sprovviste di procedure, il problema del costo relativo all’adozione dei modelli diviene un elemento determinante ai fini della decisione finale.2

Il Legislatore all’art. 7 ha stabilito che “il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio.”.

Il Legislatore, al fine di rendere più accessibile l’adozione del Modello di Organizzazione, gestione e controllo anche da parte delle PMI, per le quali potrebbe risultare eccessivamente oneroso, ha previsto alcune misure di semplificazione:

- la possibilità di nominare quale organismo indipendente di valutazione l’organo dirigente;

- le procedure semplificate per l’adozione e l’efficace attuazione dei modelli di organizzazione e gestione della salute e sicurezza nelle piccole e medie imprese approvate dalla Commissione consultiva permanente per la salute e sicurezza sul lavoro e recepite con decreto Ministeriale nel febbraio 2014.

Al fine di agevolare e di fornire riferimenti validi per la costruzione e l’adozione di Modelli conformi al dettato normativo, giacché la norma non fornisce elementi in merito, il legislatore ha previsto (art. 6 c.2 del Decreto) che le associazioni di categoria rappresentative degli Enti redigessero Linee guida per la costruzione di tali Modelli soggette all’approvazione del Ministero della Giustizia.

Le prime Linee Guida ad essere state approvate sono quelle emanate da Confindustria nel 2002 ( aggiornate nel 2014) che costituiscono il maggior punto di riferimento per tutti gli Enti, alle quali sono seguite quelle delle associazioni di categoria specifiche di settore.

Nel primo capitolo viene esposto un inquadramento generale del Modello, le sue fasi di realizzazione, le sue componenti ed il rapporto con il sistema di controllo interno, nonché saranno esaminati gli elementi di coordinamento tra i sistemi di gestione aziendale in materia di qualità, ambiente e sicurezza e il Modello 231.

2 _{Unione Giovani Dottori Commercialisti ed Esperti Contabili di Roma, La responsabilità}

5 Nel secondo capitolo viene presentata l’azienda Ecomar Italia SpA, una impresa di dimensioni medie che opera nel settore della gestione dei rifiuti in possesso di autorizzazione integrata ambientale e dotata di un sistema di gestione integrato per la qualità, l’ambiente e sicurezza che non si è ancora dotata del Modello 231 viene esposta l’analisi di funzionamento dell’azienda e del suo sistema di controllo interno.

Il terzo capitolo propone il percorso di elaborazione del Modello dalle fasi di analisi e mappatura dei processi sensibili alla proposta di azioni di risposta al rischio per tre categorie di reati individuate agli artt. 25, 25-septies e 25-undecies del D.Lgs. 231/01. Le linee guida a cui si è fatto riferimento nello svolgimento del percorso sono quelle predisposte da Confindustria e da Fise Assoambiente.

Nel presente studio si è cercato di porre in evidenza le possibilità di integrazione tra il sistema di gestione ed il Modello di Organizzazione, Gestione e Controllo 231 nella specifica realtà aziendale.

In particolare, lo studio del caso aziendale è volto a cercare di capire se, in un’azienda di medie dimensioni già sufficientemente strutturata, sia possibile sfruttare gli elementi esistenti per ottenere un Modello ex D.Lgs. 231/01 che raggiunga il suo obiettivo, ossia essere giudicato idoneo a prevenire eventuali reati e sia sostenibile in quanto possa prevedere misure alla portata di aziende piccole e medie che evitino l’ingessamento dell’impresa o che richiedano interventi eccessivamente complessi e onerosi in rapporto alla realtà aziendale. Infatti, utilizzare gli elementi del Sistema di Gestione Integrato per analizzarli in ottica di Modello 231 al fine di porre in essere le necessarie integrazioni e far emergere eventuali aree a rischio prive di idonee attività di controllo, dovrebbe al contempo garantire una maggiore concretezza, coerenza ed efficacia al Modello nonché comportare una minore onerosità dei costi di attuazione.

Sarebbe, infatti, un inutile spreco di risorse compiere uno sforzo a metà che realizzi un Modello che corrisponda ad un mero adempimento burocratico non sufficientemente calato nella realtà aziendale e che quindi, all’occorrenza, non fosse poi riconosciuto idoneo, oppure realizzare un Modello organizzativo parallelo al Sistema di Gestione che diventerebbe impossibile da mantenere e destinato a restare sulla carta.

Nelle conclusioni saranno esposte riflessioni in merito alla convenienza per l’Azienda di adottare un Modello 231 nel suo specifico contesto e sarà operato un raffronto tra i vantaggi che sia possibile conseguire e i costi di realizzazione e mantenimento del Modello.

6

Capitolo 1 Il Modello 231 e i Sistemi di Gestione Integrati nel quadro del Sistema di Controllo Interno.

1.1 Il Decreto Legislativo 231/01: inquadramento normativo

Il Decreto Legislativo 8 giugno 2001 n. 231, avente ad oggetto la disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ha introdotto per la prima volta nel nostro ordinamento la responsabilità “amministrativa”, di fatto penale, derivante dalla commissione o tentata commissione di determinate fattispecie di reato compiute da persone fisiche, soggetti apicali o subordinati, nell’interesse o a vantaggio degli Enti stessi. Infatti, nella relazione di accompagnamento al Decreto si legge che: “ Tale responsabilità, poiché conseguente da reato e legata (per espressa volontà della legge delega) alle garanzie del processo penale, diverge in non pochi punti dal paradigma dell’illecito amministrativo ormai classicamente desunto dalla L. 689/1981 con la conseguenza di dare luogo ad un tertiun genus che coniuga i tratti essenziali del sistema penale e di quello amministrativo nel tentativo di contemperare le ragioni dell’efficacia preventiva con quelle, ancor più ineludibili, della massima garanzia”. La previsione di tale tipo di responsabilità era contenuta nell’art. 2 della Convenzione Ocse del 17 dicembre 1997 sulla corruzione dei pubblici ufficiali stranieri nelle operazioni economiche internazionali e successivamente nel nostro ordinamento dall’art. 11 della Legge 29 settembre 2000, n. 300, di ratifica ed esecuzione delle convenzioni OCSE e Unione Europea contro la corruzione nel commercio internazionale e contro la frode ai danni della Comunità Europea. L’ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli Enti e, in definitiva, gli interessi economici dei soci, i quali, fino all’entrata in vigore della legge in esame, non subivano conseguenze dalla realizzazione dei reati commessi da amministratori e/o dipendenti che recavano vantaggio alla società. 3

I soggetti destinatari della norma sono gli Enti forniti di personalità giuridica, le società fornite di personalità giuridica e le associazioni anche prive di personalità giuridica. Vi rientrano anche le società a partecipazione mista pubblico-privata, mentre sono esclusi lo Stato, gli enti pubblici territoriali (art. 1 comma 2 del Decreto), gli altri Enti pubblici non economici nonché gli enti che svolgono funzioni costituzionali (art. 1 comma 3 del

7 Decreto). Con sentenza n. 30085/2012 della Corte di Cassazione è stato accertato che la disciplina 231 può applicarsi soltanto ad organismi collettivi, pertanto ne sono escluse le imprese individuali.

Inoltre, la normativa si applica anche ai gruppi societari. Ogni società controllata e/o controllante dovrà attuare un proprio modello ed istituire un organismo di vigilanza per evitare che l’intero gruppo goda di un interesse derivante dalla commissione del reato. Inoltre, l’art. 4 del Decreto prevede l’applicazione del Decreto anche per i reati che un Ente con sede in Italia commette all’estero e per quelli commessi in Italia da un Ente estero che opera in Italia pur in assenza di una sede sul territorio nazionale. L’art. 8 del Decreto sancisce l’autonomia della responsabilità dell’Ente che permane anche nel caso in cui non sia stato possibile individuare il responsabile del reato o se il reato è estinto per cause diverse dall’amnistia.

I presupposti soggettivi e oggettivi sono contenuti nell’art. 5 del Decreto che stabilisce:

1. L'ente è responsabile per i reati commessi nel suo interesse o a suo vantaggio:

a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;

b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a).

2. L'ente non risponde se le persone indicate nel comma 1 hanno agito nell'interesse esclusivo proprio o di terzi.

Il presupposto oggettivo risiede, quindi, nell’interesse o vantaggio dell’Ente.

La Corte di Cassazione, con la sentenza n. 38343/2014, ha chiarito che i criteri di imputazione oggettiva, rappresentati dall'"interesse o vantaggio", sono alternativi e concorrenti tra loro, in quanto il criterio dell'interesse esprime una valutazione teleologica del reato, apprezzabile "ex ante", cioè al momento della commissione del fatto e secondo un metro di giudizio marcatamente soggettivo, mentre quello del vantaggio ha una connotazione essenzialmente oggettiva, come tale valutabile "ex post", sulla base degli effetti concretamente derivati dalla realizzazione dell'illecito.

8 In merito al presupposto soggettivo, il Decreto distingue quindi tra i comportamenti criminosi posti in atto dai soggetti apicali di cui alla lettera a) del predetto articolo e dai soggetti subordinati di cui alla lettera b).

I primi sono coloro che possiedono una qualifica funzionale e che partecipano al processo di formazione e di attuazione delle decisioni dell’Ente a livello centrale o di singola unità organizzativa: in questo caso l’Ente è presunto colpevole e l’onere della prova è a suo carico, perciò dovrà dimostrare l’estraneità ai fatti.

Per i comportamenti criminosi attuati dai subordinati, al contrario, è la pubblica accusa a dover dimostrare che la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza da parte dei soggetti apicali, ossia la presenza di una “colpa di organizzazione”. Tale colpa risiede nell’omessa predisposizione di un modello di organizzazione e controllo che garantisca il monitoraggio efficace ed efficiente dei processi critici dell’ente e, di conseguenza, eviti, o comunque sia finalizzato ad evitare le fattispecie delittuose.

La “colpa di organizzazione” si riscontra tutte le volte che l’ente non provvede a codificare i comportamenti, disegnare le metodologie applicative, attuarle, verificarne il rispetto e l’efficacia, esprimendo così una politica remissiva.4

Se l’interesse manca del tutto perché il soggetto qualificato ha agito in via esclusiva nell’interesse proprio o di terzi, l’impresa non è responsabile. Se, invece, un interesse dell’ente, sia pure limitato, sussisteva, l’illecito dipendente da reato si configura anche se non si è concretizzato alcun vantaggio per l’impresa, la quale potrà nella migliore delle ipotesi beneficiare di una riduzione della sanzione pecuniaria.

Occorre, inoltre, evidenziare che la responsabilità dell’ente può sussistere anche quando il dipendente autore dell’illecito abbia concorso nella sua realizzazione con soggetti estranei all’organizzazione dell’ente medesimo.

La mancata valutazione di tali fattori di rischio può far incorrere l’impresa in un’ipotesi di concorso nel reato presupposto. In questi casi, non si può escludere il rischio che l’impresa committente venga coinvolta a titolo di colpa nei reati intenzionalmente compiuti dalle imprese criminali, per aver trascurato di valutare in via preliminare il suo potenziale partner alla luce delle specifiche indicazioni di pericolosità previste dalla legge.5

4 _{Annalisa De Vivo, Carlo de Luca e Roberto De Luca, Il professionista e il D.Lgs. 231/01, ed. IPSOA} 5 _{Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo, 2002}

9 Poiché il legislatore non prevede l’obbligatorietà per l’adozione dei modelli organizzativi, l’impresa si trova di fronte ad una precisa scelta di governance. In particolare la decisione di identificare il rischio-reato e gestirlo, al fine di ridurre la possibilità che il relativo evento si verifichi, rientra in una scelta di politica che i vertici amministrativi dell’ente devono compiere nel rispetto delle norme che impongono la cura e la vigilanza dell’assetto organizzativo, amministrativo e contabile (artt. 2381, quinto comma e 2403 c.c.; e, con riferimento alle società quotate, art. 149 TUF). Le norme richiamate in tema di adeguatezza organizzativa si ripercuotono anche sulla responsabilità dell’ente ex D.Lgs. n. 231/2001, imponendo agli organi gestori e di controllo il dovere di verificare l’esposizione al rischio-reato della società amministrata. In giurisprudenza si è riscontrata una tendenza in aumento del riconoscimento della responsabilità civile degli amministratori per omessa adozione dei modelli organizzativi previsti dal Decreto 231. La responsabilità è stata ravvisata nell’inerzia degli amministratori a fronte di uno specifico dovere di attivare i modelli organizzativi. Occorre, tuttavia, distinguere tra l’obbligo di adozione dei modelli e l’obbligo di verifica dell’esposizione al “rischio 231” della società amministrata. Quest’ultima può essere ricondotta tra gli obblighi degli amministratori che rientrano nel più ampio dovere di agire con la diligenza richiesta dalla natura dell’incarico e dalle loro specifiche competenze (art. 2392, primo comma, c.c.). La verifica in oggetto si traduce

in una attività di risk assessment, intesa quale individuazione delle aree o dei settori di attività nel cui ambito possono verificarsi gli illeciti, nonché delle concrete modalità di attuazione delle fattispecie criminose nelle suddette aree. A seguito di tale attività gli amministratori potranno deliberare l’adozione del modello organizzativo se i rischi rilevati risultino tali da renderlo necessario, oppure limitarsi a monitorare periodicamente tali rischi per verificare che permangano entro il livello di accettabilità. Gli amministratori hanno l’obbligo di vigilare sul generale andamento della gestione; sono responsabili se non hanno adempiuto a tale obbligo o se, essendo a conoscenza di atti pregiudizievoli, non ne hanno impedito il compimento o quanto meno eliminato o attenuato le conseguenze dannose (ex art. 2392, secondo comma, c.c.). Impedire il compimento di reati dannosi per l’ente può essere considerato un adempimento legato a detto obbligo. In caso contrario gli amministratori potrebbero essere considerati inadempienti e passibili dell’azione di responsabilità da parte della società per i danni ad essa provocati dall’applicazione delle sanzioni, che oltre agli interessi economici della

10 società vanno a ledere anche quelli di tutti i soci. In tale ottica, l’adozione dei modelli organizzativi può essere considerata un “onere” piuttosto che una facoltà.6

I reati puniti sono esclusivamente quelli citati nel D.Lgs. 231/01 che attualmente sono elencati negli articoli dal n. 24 al n. 25-undecies classificati secondo le categorie sotto riportate:

- reati commessi contro la Pubblica amministrazione (art. 24 e 25) tra i quali rientrano malversazione, corruzione, concussione, truffa ai danni dello Stato;

- reati in tema di falsità in monete, carte di pubblico credito e valori di bollo (art. 25 bis);

- reati societari tra i quali figurano ad esempio le false comunicazioni sociali e l’impedito controllo (art. 25-ter);

- reati contro la personalità individuale (art. 25- quinquies); - abusi di mercato (art. 25-sexies);

- omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro);

- ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (art. 25-octies);

- delitti in materia di violazione del diritto d’autore (art. 25 novies);

- induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 25 decies);

- reati ambientali (art. 25 undecies).

Alla responsabilità amministrativa si applica il fondamentale principio di legalità (art.2) nelle sue accezioni di riserva di legge, tassatività e irretroattività. Nel caso di abolizione del reato o di sopravvenuta depenalizzazione, viene meno anche la responsabilità dell’ente in relazione al quale essa era prevista.7

Per ciascuno dei reati citati, il Decreto stabilisce delle sanzioni. Tali sanzioni consistono in:

- sanzioni pecuniarie: Questa categoria di sanzioni viene sempre applicata.

Le sanzioni pecuniarie sono determinate in quote che variano da un minimo di cento a un massimo di mille ed il loro numero è determinato dal giudice a seconda della

6 _{IRDCEC, Circolare n. 26 “L’adozione dei modelli di organizzazione e gestione ex D.Lgs. 231/01 tra}

obbligo e opportunità”, 18 novembre 2011

11 gravità del reato compiuto, del grado di responsabilità dell’Ente e dell’attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti. Il valore delle quote oscilla da un minimo di euro 258 ad un massimo di euro 1549 e viene stabilito dal giudice in base alle condizioni economiche e patrimoniali dell’Ente.

La scelta di tale meccanismo nasce dall’esigenza di garantire equità ed efficienza della sanzione in un contesto economico complesso, caratterizzato da realtà imprenditoriali assolutamente differenti in cui convivono piccole e medie imprese accanto a gruppi di maggiori dimensioni;8

- confisca del prezzo o del profitto del reato anche per equivalente: può essere disposto il sequestro cautelare delle cose che, costituendo prezzo e profitto del reato o loro equivalente monetario, sono suscettibili di confisca;

- sanzioni interdittive: devono essere espressamente previste dal Decreto e si applicano nel caso in cui il reato compiuto dall’apicale abbia procurato un profitto elevato, oppure, se compiuto da soggetti sottoposti all’altrui direzione che la commissione del reato sia stata determinata da gravi carenze organizzative o che si tratti di reiterazioni degli illeciti.

Le sanzioni interdittive hanno durata non inferiore a tre mesi e non superiore a due anni e consistono in:

o interdizione dall’esercizio dell’attività che comporta la sospensione o la revoca di autorizzazioni, concessioni e licenze funzionali allo svolgimento dell’attività; o sospensione o la revoca delle autorizzazioni;

o divieto di contrattare con le P.A. (che può essere limitato ad alcuni tipi di contratto o a determinate amministrazioni);

o esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;

o divieto di pubblicizzare beni o servizi.

La scelta del tipo e della durata della sanzione deve essere effettuata nel rispetto dei criteri indicati per le sanzioni pecuniarie L’interdizione dall’esercizio di un’attività implica la sospensione o revoca di tutte le autorizzazioni, le licenze e le concessioni necessarie per lo svolgimento della stessa. Tale sanzione può essere comminata solo

12 nel caso in cui l’irrogazione di altre sanzioni risulti inadeguata. e deve essere limitata al solo ramo di attività interessato dalla commissione del reato. Con questa scelta, il legislatore mostra di non voler paralizzare l’intera attività. Peraltro, tale possibilità riguarda solo le imprese di maggiori dimensioni, dove l’articolazione delle funzioni è tale da rendere possibile un’applicazione della sanzione volta a neutralizzare l’attività del solo settore in cui si è manifestato l’illecito. Nelle imprese di piccole dimensioni nelle quali non è possibile, o comunque non semplice, individuare settori con alto grado di autonomia, è molto probabile che l’applicazione della sanzione possa in effetti inibire l’intera attività aziendale. La condanna dell’ente alla stessa sanzione per tre volte nell’arco di sette anni rende l’applicazione di tali sanzioni definitiva .

Tali sanzioni sono applicate allo specifico settore di attività dell’ente in cui si è verificato l’illecito.

- La pubblicazione della sentenza.

Sono previste riduzioni delle sanzioni nel caso in cui siano presenti circostanze attenuanti quali reati di particolare lievità o la messa in atto di condotte riparatorie. E’ necessario che l’autore del reato abbia commesso l’illecito nel prevalente interesse proprio o di terzi e che l’ente ne abbia tratto al massimo un vantaggio minimo. Occorre inoltre che il danno patrimoniale causato sia di modesta entità. In questo caso le sanzioni pecuniarie sono ridotte e quelle interdittive non si applicano. Anche nel caso in cui l’ente, prima dell’apertura del dibattimento di primo grado, ha risarcito integralmente il danno e ha eliminato le conseguenze dannose o pericolose del reato o si è adoperato in tal senso e se è stato adottato e attuato un modello organizzativo idoneo alla prevenzione di reati della specie di quello verificatosi le sanzioni interdittive non si applicano.

Il comportamento post factum è quindi rilevante per la riduzione delle sanzioni.9

Gli articoli 6 e 7 del Decreto prevedono una forma di esonero dalla responsabilità qualora l’Ente dimostri che:

13 a) l'organo dirigente abbia adottato ed efficacemente attuato, prima della commissione

del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;

b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento sia stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo;

c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;

d) non vi sia stata omessa o insufficiente vigilanza da parte dell'organismo di controllo.

Al comma 2 del medesimo articolo, il Decreto individua le esigenze a cui deve rispondere il Modello di organizzazione, gestione e controllo affinché possa essere riconosciuto idoneo, senza intervenire però sulle modalità di realizzazione. Il modello deve consentire di:

a) individuare le attività nel cui ambito possano essere commessi i reati;

b) prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;

c) individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati;

d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli;

e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

L’art. 7 del DECRETO stabilisce che se il reato è posto in essere da un subordinato, l'ente é responsabile se la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza e che è in ogni caso esclusa l'inosservanza degli obblighi di direzione o vigilanza se l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi.

Il modello deve prevedere, in relazione alla natura e alla dimensione dell'organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell'attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio. Infine, l'efficace attuazione del modello richiede una verifica periodica e l'eventuale

14 modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o nell'attività la presenza di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

L’Associazione Italiana Internal Auditors, nel Position Paper in tema di “Responsabilità amministrativa delle società: modelli organizzativi di prevenzione e controllo”, mette in evidenza come il modello organizzativo atto alla prevenzione dei reati, da organizzare e attuare quale “esimente”, corrisponda ad un adeguato sistema di controllo interno. L’obiettivo del legislatore risulta facilmente individuabile: indurre le imprese a dotarsi di un sistema di controllo interno adeguato al fine di prevenire i reati per i quali è prevista la responsabilità dell’Ente.

Infatti, il legislatore nel disciplinare il “modello di salvaguardia” che consente di escludere le sanzioni conseguenti ad un eventuale reato, fa riferimento, in linea generale, all’insieme dei criteri utilizzati per definire i tratti essenziali di un adeguato sistema di controllo interno.

Tra gli obiettivi del sistema di controllo interno vi è, infatti, quello del rispetto di norme e regolamenti.

La legge prevede che l’adozione del modello di organizzazione, gestione e controllo sia facoltativa e non obbligatoria.

La mancata adozione non è soggetta, di conseguenza, ad alcuna sanzione, ma espone l’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti.

Il sistema di controllo deve garantire la “ragionevole sicurezza”: il giudice viene chiamato ad esprimersi sull’efficacia del sistema di controllo interno in essere e l’adozione di metodologie e standard di svolgimento dell’attività può costituire un importante elemento oggettivo su cui basare i giudizi e le valutazioni.10

1.2 Il modello di organizzazione, gestione e controllo 231

Le società dispongono di ampi margini di libertà nella redazione del modello organizzativo, ma devono porre la massima attenzione nel redigerlo affinché il Modello possa essere giudicato idoneo alla prevenzione dei reati in caso di necessità.

15 Il Decreto ha previsto la presenza di uno strumento di orientamento e ausilio per la predisposizione dei Modelli che si concretizza nei codici di comportamento redatti dalle associazioni rappresentative degli enti che devono essere approvati dal Ministero della Giustizia.

La conformità alle indicazioni di tali codici nella redazione del Modello conferisce soltanto in teoria le caratteristiche di idoneità, poiché l’ente, affinché tale modello sia giudicato idoneo, deve essere in grado di dimostrare non soltanto la sua adozione, ma anche la sua efficace attuazione e l’idoneità in relazione alle proprie caratteristiche specifiche.

Tra questi documenti, le Linee Guida di Confindustria (anno 2002 aggiornate nel 2014) sono state le prime ad essere state approvate e costituiscono un riferimento autorevole. Si sono poi succedute varie Linee Guida settoriali predisposte dalle varie Associazioni di categoria (ABI, ANIA, Federambiente ecc…).

I requisiti del modello sono tali da porre in evidenza come questo possa essere considerato uno strumento di corporate governance basato sul sistema di controllo interno e in particolare sulla valutazione del rischio.

1.2.1. Il processo di elaborazione del Modello 231 e le relazioni con il sistema di controllo interno

Nell’illustrare le fasi di elaborazione e le componenti del Modello si prenderanno a riferimento le linee guida di Confindustria.11

Per quanto concerne l’analisi delle componenti del sistema di controllo interno rilevante ai sensi del Decreto, le Linee Guida ritengono necessaria una premessa: il principio per cui il grado di affidabilità dei controlli interni possiede una soglia minima di accettabilità. Nella progettazione di sistemi di controllo a tutela del rischio di business, infatti, il rischio è ritenuto accettabile quando i controlli aggiuntivi superano il valore della risorsa da proteggere. Nel caso del Decreto 231/2001, la valutazione del rischio non può basarsi in via esclusiva sulla logica economica dei costi. È importante che ai fini dell’applicazione delle norme del decreto sia definita preventivamente una soglia effettiva che individui il rischio accettabile, poiché in sua assenza la quantità e qualità

16 dei possibili controlli preventivi da attuare è talmente estesa da poter causare gravi conseguenze in termini di operatività aziendale.

La soglia minima di accettabilità consiste nell’esistenza di un sistema di controllo preventivo tale da non poter essere aggirato se non fraudolentemente.

Per quanto attiene le fasi per la realizzazione del Modello di Organizzazione, Controllo e Gestione 231, le Linee Guida evidenziano come l’attività di analisi e valutazione dell’efficacia del sistema di controlli preventivi richiesto dalla normativa, sebbene con l’utilizzo di una terminologia di esposizione estranea alla pratica aziendale, corrisponda ad un tipico sistema di gestione dei rischi attraverso l’individuazione delle attività nel cui ambito possono essere commessi i reati.12 Il diagramma di flusso sottostante, tratto dalle Linee guida Confindustria, rappresenta un’ipotesi di procedimento di valutazione dei rischi condotto conformemente a quanto previsto dall’art. 6 lett. a) del D.Lgs. 231/01.

Tale processo prevede infatti una stretta correlazione tra la valutazione di efficacia dei controlli preventivi, da un lato, e la valutazione dei rischi potenziali maggiormente rilevanti in termini di possibile attuazione di un reato nei singoli processi aziendali dall’altro.13

Tratto da Linee Guida Confindustria

12 _{Assoconsult, Linee guida per l'eleaborazione dei Modelli di organizzazione, gestione e controllo ex}

D.lgs. 231/01

17 Secondo le Linee Guida Confindustria, il primo obiettivo per la costruzione di un modello organizzativo è la procedimentalizzazione delle attività che comportano un rischio di reato, al fine di evitarne la commissione.

Se un reato è compiuto anche in presenza di un modello attuato e vigente, in caso di reati dolosi, il modello e le relative misure devono essere tali che l’agente non solo avrà voluto sia la condotta sia l’evento reato (se elemento costitutivo del reato, ad esempio, corrompere un pubblico funzionario) ma avrà potuto attuare il suo proposito soltanto aggirando fraudolentemente le indicazioni dell’ente.

Ovviamente non può pretendersi un livello di prevenzione irraggiungibile. Le imprese dovranno tendere a porre in essere meccanismi tali da poter essere elusi solo fraudolentemente.

E’ di fondamentale importanza che l’insieme di misure preventive da dover raggirare in caso di volontà di delinquere da parte di un agente, sia realizzato su misura rispetto alle specifiche attività dell’ente considerate a rischio e ai singoli reati ipoteticamente collegabili ad esse.

Nell’ipotesi di reati colposi, la soglia di rischio accettabile è rappresentata dalla realizzazione di una condotta in violazione del modello organizzativo di prevenzione, nonostante la puntuale osservanza degli obblighi di vigilanza previsti dal decreto 231 che l’Organismo di Vigilanza deve osservare. 14

Le Linee Guida di Confindustria tratteggiano le modalità operative da osservare per giungere all’attivazione di un sistema di gestione dei rischi coerente con i requisiti imposti dal Decreto, che si articolano in tre fasi:

1. inventariazione degli ambiti di attività: tale analisi può essere compiuta per funzione, per processo, per attività ed ha l’obiettivo di individuare le aree che possono risultare interessate dal potenziale compimento di reati presupposto indicati nel D.Lgs. 231/01. Essa comporta un’azione di una revisione periodica esaustiva della realtà aziendale, con l’obiettivo di individuare le aree che, in ragione della natura e delle caratteristiche delle attività effettivamente svolte, risultano interessate dal potenziale compimento di taluno dei reati contemplati dalla norma. Dovrà essere tenuta in considerazione la storia dell’Ente e l’interdipendenza tra gli eventi rischiosi. Dovranno essere individuati anche i soggetti sottoposti all’attività di monitoraggio ed

18 essere attentamente valutate le ipotesi di concorso nel reato e, conseguentemente, i rapporti con i soggetti esterni all’azienda come, ad esempio, consulenti, partner, subappaltatori. Particolare attenzione dovrà essere posta ai processi dell’area finanziaria che costituiscono un ambito di particolare rischio.

Da questa fase deve scaturire una mappa delle aree aziendali a rischio e dei reati rilevanti.

2. analisi dei rischi potenziali.

L’analisi dei potenziali rischi si svolge con riferimento alle possibili modalità attuative dei reati nelle diverse aree aziendali e costituisce un passaggio fondamentale per poter svolgere una corretta progettazione delle misure preventive. Da questa fase deve scaturire una mappa delle potenziali modalità attuative degli illeciti nelle aree a rischio individuate nella fase precedente;

3. Valutazione/costruzione/adeguamento del sistema dei controlli preventivi: è la fase in cui sono valutati il sistema dei controlli preventivi esistente, le necessità di adeguamento o di costruzione qualora sia assente del tutto o in parte.

Il sistema dei controlli preventivi deve raggiungere un livello tale da garantire che i rischi di commissione dei reati rientrino in un livello accettabile, come sopra descritto. E’ la fase di progettazione degli ”specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai reati da prevenire”. I protocolli stabiliscono i principi generali entro i quali devono essere declinate le specifiche procedure che rendono concretamente possibile l'attività di controllo/vigilanza delle funzioni deputate allo scopo.

Le Linee Guida indicano alcuni tra i principali strumenti di controllo precisando che non tutti devono necessariamente coesistere e che se è presente un elemento di debolezza, esso può essere compensato da altre misure.

Ciò vale soprattutto in relazione alle PMI per le quali non è possibile, a causa delle dimensioni, adottare strumenti eccessivamente complessi.

Dovrà comunque sempre essere garantito che in caso di reati dolosi, il Modello non possa essere aggirato se non fraudolentemente e nel caso di reati colposi, che il modello sia stato violato nonostante la puntuale sorveglianza da parte dell’Organo di Vigilanza. Le Linee Guida fanno riferimento a tre livelli di presidio:

19 - un primo livello di controllo è identificato nei controlli di linea che sono insiti nei processi operativi, viene esercitato in autocontrollo da parte dell’operatore e dal preposto/dirigente ed è presente in ogni azienda;

- un secondo livello di controllo è svolto da strutture tecniche aziendali competenti in materia e indipendenti dal primo livello. E’ un monitoraggio che presidia i processi di gestione e controlla i rischi relativi all’operatività di sistema. Rientrano in tale livello il Controllo di gestione e le verifiche interne relative ai sistemi di gestione.

- un terzo livello di controllo è presente nelle aziende di dimensioni maggiori ed è svolto dalla funzione di Internal Audit che fornisce valutazioni indipendenti sul disegno e funzionamento del Sistema di controllo interno.

Sulla base di quanto fin qui analizzato, è possibile comprendere come l’elaborazione e l’adeguata attuazione di un efficace modello 231 si configuri come un vero e proprio meccanismo integrato di gestione del rischio, che parte dall’analisi della situazione esistente per giungere all’attivazione di opportuni sistemi di controllo e prevenzione di comportamenti illeciti. L’interpretazione estensiva fornita in relazione al concetto di protocollo e agli obiettivi generali del modello 231 rende quest’ultimo molto vicino ad un più generale strumento di corporate governance, che si basa su un sistema di controllo interno inteso come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”15

Di seguito, per brevità narrativa, si riporta uno schema di sintesi delle dimensioni e delle componenti del sistema di controllo interno:

15

20

Descrizione

Meccanismi di risk self assessment con riferimento al rischio inerente (vulnerabilità) e di controllo interno da parte del management

Meccanismi di review dell'assesment dei rischi effettuato dal management da parte della funzione di internal auditing e altri organi di vigilanza

Integrità e valori etici del management Filosofia di controllo e stile di direzione

organi amministrativi indipendenti dalle direzioni esecutive struttura organizzata

attenzione alla competenza degli operatori nelle posizioni critiche Equilibrio nelle autorità e nelle responsabilità

Processi di gestione delle risorse umane

Informazioni(efficacia e affidabilità dei sistemi informativi) Comunicazioni (efficacia dei processi di comunicazione) Adeguata separazione dei compiti

Corretta autorizzazione per tutte le operazioni

Adeguata documentazione e registrazione delle operazioni Controllo fisico su beni e registrazioni

Controlli indipendenti sulle prestazioni effettuate

Controlli di monitoraggio continuo (on going) svolti dal management e dal controllo di gestione

controlli di monitoraggio discontinuo (separate) svolti dalla funzione di internal auditing e altri organismi di vigilanza

Monitoraggio Processi di revisione

della adeguatezza e operatività degli elementi operativi

Componenti del sistema di controllo interno

Processi per una progettazione mirata

del sistema di controllo interno

Valutazione dei rischi

Ambiente di controllo Informazioni e comunicazioni Attività di controllo Elementi "operativi" del sistema di controllo

tratto da Tabella 2.3 Dimensioni e componenti del sistema di controllo interno Beretta, Pecchiari Analisi e valutazione del sistema di controllo interno.

Il sistema di controllo interno si compone di tre elementi chiave: i soggetti (coloro che progettano, gestiscono e monitorano il sistema), le strutture ed i processi di controllo che si sviluppano ai vari livelli dell’organizzazione (tipici strumenti utilizzati sono il controllo di gestione, il budget, la contabilità generale ed analitica, il reporting).

L’efficacia del sistema è condizionata da alcuni fattori di contesto che sono dati dalle variabili immateriali quali i valori e i principi presenti in azienda e dalle variabili organizzative che devono garantire un efficace assetto dell’organizzazione.

Gli obiettivi del sistema possono essere identificati con: 1) l’economicità gestionale intesa come rafforzamento delle condizioni su cui si basa la redditività non solo di breve, ma di medio/lungo termine dell’azienda; 2) l’efficacia e l’efficienza delle informazioni prodotte dal sistema informativo destinate a soggetti interni ed esterni; 3) la conformità legislativa e regolamentare delle decisioni e delle attività aziendali.

In relazione agli obiettivi sopra descritti, nel sistema di controllo si possono distinguere tre sottosistemi:

- il controllo gestionale a presidio dell’obiettivo di economicità gestionale; - il controllo amministrativo-contabile che risponde al secondo obiettivo; - il controllo di conformità che verifica il rispetto di norme e regolamenti.

21 Tali sottosistemi devono operare in modo integrato in modo da garantire una visione sistemica ed un efficace governo del controllo interno.

Da ciò si evince che il Modello 231 può rappresentare un ulteriore sottosistema di controllo interno completo di tutte le sue dimensioni, avente uno specifico obiettivo di prevenzione dei reati presupposto inclusi nel Decreto che deve necessariamente relazionarsi con la gestione del rischio.

Infatti, tra il sistema di controllo interno e il risk management si può evidenziare una duplice relazione: da un lato la valutazione dei rischi è una componente del sistema di controllo interno e dall’altra le attività di controllo fanno parte del sistema di enterprise risk management dell’azienda.16

Il modello 231 può configurarsi come aderente ad uno dei più importanti framework di riferimento per il governo del rischio aziendale, vale a dire il COSO -Enterprise Risk Management (ERM). Tale approccio definisce il sistema di gestione del rischio come “un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del ‘rischio accettabile’ e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”. Tutti gli elementi citati in relazione al modello 231 (incluso il richiamo al concetto di “rischio accettabile”, menzionato anche dalle Linee Guida di Confindustria), sono presenti nel contenuto di tale definizione. Da ciò risulta evidente la vicinanza, teorica e tecnico-operativa, di tale modello agli standard e alle best practices nazionali e internazionali in tema di corporate governance e risk management.

Si riepilogano di seguito gli obiettivi e le componenti del sistema di gestione del rischio prendendo a riferimento l’articolazione proposta dal Framework COSO 17 ERM pubblicato nel 2004 quale ampliamento e completamento del Coso Internal Control-Integrated Framework del 1992 che viene in esso incorporato.

Gli obiettivi che il framework prende in considerazione sono i seguenti:

- strategici: obiettivi di sintesi aziendali correlati e di supporto alla vision/mission strategia dell’impresa per la creazione del massimo valore;

16

(G. D'Onza, il sistema di controllo interno nella prospettiva del risk management, Giuffé Editore,2008)

22 - operativi che riguardano le performance reddituali delle operazioni, il suo equilibrio

finanziario e la protezione e valorizzazione dei propri asset;

- di attendibilità del sistema informativo: che attiene prevalentemente alla predisposizione e pubblicazione di documenti contabili ed economico finanziari. Tale ambito di controllo riveste importanza con riferimento ai reati societari previsti dal D.Lgs. 231/01;

- di conformità: mira a garantire il rispetto delle leggi e dei regolamenti a cui l’organizzazione è sottoposta.

Framework Coso Internal Audit

23 Tutti gli obiettivi sopra citati devono essere gestiti in maniera integrata affinché possano generare valore per l’impresa. La presenza di un sistema di controllo interno adeguato consente, inoltre, di diminuire il rischio percepito da tutti gli stakeholder.

Nella visione del Coso ERM, le componenti del sistema di controllo, che nel precedente framework IC-IF erano cinque, risultano le seguenti:

- ambiente di controllo che racchiude l’integrità e i valori etici 18, la competenza del personale, la filosofia e lo stile direzionale, la struttura organizzativa, l’assegnazione di autorità e responsabilità, la gestione delle risorse umane ed anche la definizione di risk appetite e di filosofia del rischio;

- definizione degli obiettivi aziendali e correlate attitudini al rischio.

La componente della valutazione del rischio (COSO IC-IF) che nel COSO ERM è sostituita dalle seguenti tre componenti:

- identificazione degli eventi negativi: l’individuazione dei rischi si ottiene attraverso la mappatura dei processi e delle attività a rischio;

- valutazione della probabilità e impatto economico di ciascuno degli eventi negativi individuati (risk assessment);

- individuazione delle contromisure (risk response) applicabili per ciascuno degli eventi negativi. Le contromisure adottabili per mitigare un rischio significativo non si traducono solo in controlli interni, ma anche in azioni di tipo imprenditoriale che possono concretizzarsi in: accettazione del rischio, eliminazione di attività operative che originano i rischi individuati, trasferimento dei rischi a terzi. I fattori cruciali nella fase di risk response sono la valutazione di adeguatezza ed efficacia di ciascuna contromisura sia di progettazione sia di funzionalità operativa, nonché la necessità di verificare che il beneficio economico atteso (grado di efficacia) dalla contromisura sia significativamente superiore ai costi correlati alla sua progettazione, gestione e monitoraggio.

- attività di controllo: sono rappresentate dall’insieme delle politiche e delle procedure che assicurano al management che le proprie direttive siano effettivamente applicate. Interessano trasversalmente tutta l’organizzazione aziendale e si attuano a tutti i livelli. Tali controlli si sostanziano in una serie di attività quali l’adeguata

18

Il sistema di controllo potrà essere efficace solo se si innesta in un contesto in cui i comportamenti si informano a valori quali la correttezza, l’onestà e il rispetto delle regole. (D'Onza, 2008)

24 separazione dei compiti, la corretta autorizzazione per tutte le operazioni, il controllo fisico su beni e registrazioni, i controlli indipendenti sulle prestazioni eseguite. - informazione e comunicazione: la qualità delle informazioni condiziona la capacità

decisionale del management nel gestire e controllare le attività aziendali. E’ necessario che i report contengano dati fondamentali per consentire un controllo efficace, pertanto saranno valutate sulla base del contenuto, della tempestività, dell’aggiornamento, dell’accuratezza e dell’accessibilità. La comunicazione è una funzione intrinseca ai sistemi informativi e deve esserne valutata l’efficacia.

- monitoraggio: tale processo si concretizza in un’attività di verifica periodica e/o continuativa dell’efficacia e dell’efficienza del disegno dei controlli interni e dell’effettiva operatività degli stessi e dell’adeguamento ai cambiamenti della realtà operativa. Il monitoraggio continuo viene svolto durante la normale gestione aziendale a tutti i livelli e comprende le attività di supervisione e gestione corrente, analisi comparative, riconciliazioni ecc….19

Gli interventi di valutazione specifici permettono di svolgere un monitoraggio diretto e completo sul sistema di controllo interno. Queste valutazioni normalmente coinvolgono il servizio di revisione interna o sono svolte in forma di autovalutazione interna quale il Control Risk Self Assessment.20

L’allineamento tra l’impostazione del sistema di controllo preventivo 231 e il framework Coso21 ERM è evidenziato nella tabella seguente:

Componenti COSO ERM Linee Guida Confindustria (D.Lgs 231/01)

Internal environment  Codice Etico con riferimento ai reati considerati

 Sistema disciplinare  Sistema organizzativo

 Comunicazione e formazione del personale

Objective setting

Event identification Mappatura dei processi a rischio (attività sensibili ) di compimento del reato

Risk assessment Elenco dei rischi potenziali per processo

19 _{Assoconsult, Linee guida per l'eleaborazione dei Modelli di organizzazione, gestione e controllo ex}

D.lgs. 231/01

20 _{Contabili, C. n. (2016, Giugno). Principi di redazione del Modello di Gestione, organizzazione e}

Controllo ex D.Lgs. 231/01.

25

Risk response  Analisi del sistema di controlli preventivi (“protocolli”) esistente

 Valutazione dei rischi residui, non coperti dai controlli preventivi

Control activities  Sistema di controlli preventivi

 Suddivisione dei compiti: poteri autorizzativi e di firma

 Enfasi sui controlli dei processi di tesoreria

 Documentazione dei controlli Information and communication Procedure manuali ed informatiche

Monitoring  Sistema di controllo di gestione

 Organo di vigilanza

Tratto da: Beretta, Pecchiari, Analisi e valutazione del sistema di controllo interno Tab. 3.2, Il Sole 24 ore

E’, quindi, evidente come il Modello 231 rappresenta un sottoinsieme del più ampio sistema di controllo interno, in particolare un sottoinsieme del sistema di controllo di conformità in quanto limitato alla tipicità dei reati previsti dal Decreto Lgs. 231/01. Le fasi di elaborazione del Modello 231 possono essere articolate come segue:

1) Check-up aziendale: è la fase in cui il team di lavoro analizza la documentazione raccolta al fine di sviluppare un’approfondita conoscenza dell’Azienda su elementi quali il tipo di attività svolta, la dimensione della società, la struttura organizzativa, l’etica aziendale, la suddivisione del potere di gestione, i rapporti con la Pubblica amministrazione, l’ambiente di lavoro.

In questa fase gli elementi sono comuni a quelli del controllo di conformità;

2) Valutazione del sistema di controllo interno: ai fini del D.Lgs. 231/01 l’analisi di ciascun componente del Sistema di Controllo Interno (SCI) risulta indispensabile al fine di meglio comprendere il modello di business aziendale, per individuare le aree a rischio reato e prevedere gli specifici protocolli diretti a prevenire la commissione dei reati stessi. Ad esempio, l’ambiente di controllo sarà attentamente vagliato ai fini di strutturare il Codice Etico se assente o di adeguarlo ai requisiti del Modello 231, così pure la competenza del personale potrà fornire utili informazioni in merito alla valutazione della probabilità di accadimento di reati colposi ecc…. Si potrà giungere ad una valutazione del sistema di controllo interno che potrà avvenire con metodi quali l’autovalutazione o il benchmarking;

3) L’identificazione delle attività e dei processi aziendali con riferimento a tutti i processi primari e di supporto che si svolgono all’interno dell’impresa;

4) Individuazione dei fattori di rischio: questa particolare specie di rischio deve essere analizzata tenendo conto della componente soggettiva, come ad esempio se l’evento

26 dal quale può scaturire il reato può essere commesso da un solo individuo e le componenti oggettive relative all’organizzazione in cui l’individuo opera che possono influenzare i suoi comportamenti. Si distinguono i rischi strutturali legati all’assetto organizzativo e produttivo dell’azienda, i rischi di business che attengono al settore in cui l’azienda opera, i rischi culturali che concernono la cultura aziendale diffusa all’interno dell’organizzazione e i rischi individuali che dipendono dalla sfera personale dell’individuo;

5) Mappatura delle attività/processi a rischio reato: a seguito della documentazione acquisita nelle fasi precedenti, in questa fase sarà possibile individuare le aree maggiormente esposte in maniera abbastanza completa e circostanziata. A seguito di una prima individuazione è necessario approfondire la conoscenza di tali aree attraverso il ricorso a questionari o interviste per far emergere criticità che un mero esame documentale non consente di stimare; tale attività si conclude con la stesura di un documento all’interno del quale vengono descritti i pericoli collegati ai processi sensibili, in genere rappresentata da matrici quali la matrice aree/tipologie di illecito e la matrice delle responsabilità (processi sensibili/soggetti incaricati);

6) La valutazione del rischio reato (risk assessment)22

: tale fase è volta a determinare la probabilità e l’impatto dei rischi emersi. La valutazione può essere svolta da parte di un organismo esterno che collabora con il management, oppure può consistere in una autovalutazione da parte del management.

Si ricorre generalmente a tecniche di natura qualitativa in quanto ritenute più idonee in relazione al tipo di rischio da valutare al fine di individuare le priorità di intervento. Sul piano metodologico è possibile utilizzare lo strumento dell’intervista Viene attribuito un punteggio ai diversi rischi reato, secondo una scala predefinita, che rappresenti l’impatto e la probabilità (R = P X I) di manifestazione dei comportamenti che definiscono i reati tutelati dalla norma. L’aggregazione, attraverso il calcolo di una media semplice o di una media ponderata, qualora si volesse attribuire maggior peso alle opinioni espresse da determinati soggetti, consente di posizionare i risultati in un grafico che esprime il livello complessivo del rischio di commissione dei diversi reati.23 I primi interventi dovranno riguardare i processi aziendali o le funzioni che presentano il livello di rischio maggiore. La

22 _{A. ed E. Pesenato, il risk assesment secondo il Modello ex D.Lgs. 231/2001, Amministrazione e}

Finanza, 2013

27 probabilità è influenzata dai fattori che possono indurre i soggetti a compiere un reato. L’impatto è influenzato da fattori quali: la rilevanza dell’area a rischio, la tipologia delle sanzioni, l’intensità/ammontare sanzioni, l’influenza su opinione pubblica e l’influenza su stakeholder rilevanti. 24

La valutazione deve essere effettuata ipotizzando anzitutto una situazione di assoluta assenza di controlli sul processo (rischio lordo) e successivamente si devono dettagliare per ciascun processo-reato, le attività di controllo già esistenti (as-is analysis). A questo punto potrà essere definito il rischio netto. Tale distinta valutazione è indispensabile per orientare l’azione dell’organismo di vigilanza che, dopo aver colmato gli eventuali gap esistenti dovrà focalizzarsi, a parità di rischio netto, principalmente sui processi con il più elevato livello di rischio lordo.

Il risultato di questa attività potrà essere esposto graficamente per mezzo della matrice dei rischi in cui saranno esposti probabilità e impatto ed il livello di rischio sarà il risultato dell’interpretazione della matrice.

7) Gap analysis e risk response. Completate la as-is analysis e la valutazione del rischio, si procede con la gap analysis che consiste nel confronto fra il sistema di controllo interno esistente e il modello di organizzazione, gestione e controllo che dovrebbe essere definito ai sensi del D.Lgs. 231/01 (to be). Sulla base delle carenze riscontrate saranno definiti nuovi meccanismi di controllo, modifiche alla struttura organizzativa e procedure specifiche (risk response). La soglia di accettabilità del rischio, come già detto in precedenza, è rappresentata da un sistema di prevenzione tale da non poter essere aggirato se non intenzionalmente e/o fraudolentemente. Al di sopra di tale soglia è necessario intervenire con interventi di riduzione/mitigazione del rischio. In ogni caso, al fine di evitare di danneggiare le attività operative dell’ente nel loro regolare svolgimento, è necessario utilizzare il generale principio, invocabile anche nel diritto penale, dell’esigibilità concreta del comportamento. 8) Si perviene alla fase finale di predisposizione del Modello comprensivo del Codice

etico e di tutte le componenti che saranno esaminate nel paragrafo successivo. Una volta predisposto, il Modello sarà approvato dall’organo amministrativo e implementato.

28 1.2.2. Peculiarità del Modello 231 rispetto al sistema di controllo interno.

In base a quanto finora osservato, si rileva, quindi, che l’elaborazione del Modello 231 segue in parte dei criteri e finalità specifici e distintivi per il raggiungimento dei suoi speciali obiettivi rispetto a quelli del sistema di controllo interno, che di seguito si evidenziano:

- risk mapping: nel sistema di controllo il fine è l’identificazione delle esternalità negative del ciclo di impresa, che tiene conto dei rischi originati da fattori esterni ed interni quali i rischi istituzionali di governabilità, i rischi di posizionamento competitivo, i rischi di innovazione tecnologica, i rischi dei processi operativi, i rischi di gestione della conoscenza e i rischi di conformità; nel Modello 231, come appena evidenziato, l’attività di mapping si limita all’identificazione della rischiosità legata all’evento di commissione di un reato esclusivamente tra quelli citati dalla norma.

Inoltre, è rilevabile una differenza finalistica: l’attività di mapping condotta ai fini del Decreto 231 è finalizzata alla costruzione di un modello di legalità preventiva idoneo ad impedire che possano essere messi in atto i reati tipici attraverso l’identificazione delle possibili condotte commissive od omissive realizzabili dagli esponenti aziendali così da poter modificare il loro modo di agire.

La mappatura dei rischi aziendali è invece ordinata all’ottimale definizione dei molteplici fattori produttivi rispetto ad un obiettivo scelto liberamente, quindi qualora dovesse verificarsi l’evento sfavorevole, esso potrà essere raggiunto in futuro per mezzo di un intervento correttivo sui fattori che hanno impedito di raggiungerlo25 - risk assessment: la valutazione dei rischi nel sistema di controllo interno potrà

avvalersi di tecniche di tipo quantitativo quali valutazioni di indicatori economici e matematico-statistici oltre che di tecniche qualitative. In ottica 231, ci si baserà essenzialmente su queste ultime in quanto i metodi quantitativi potrebbero essere fuorvianti o addirittura non praticabili data la particolare natura del rischio.

Inoltre, un’altra peculiarità è data dal meccanismo di valutazione del rischio inerente al netto degli effetti correttivi del Sistema di Controllo Interno vigente (as-is) da cui risulta il rischio netto sul quale effettuare la gap analysis. In merito all’impatto, si può considerare la difficoltà di individuare il livello di afflittività delle sanzioni in

25

Bartolomucci Sandro, Censimento e ponderazione delle potenzialità commissive dei reati presupposto, tra risk management e precetti del D.lgs. 231/01, 2014)

29 quanto solitamente si fa riferimento alla sanzione interdittiva, ove prevista, quale massimo livello raggiungibile, ma non si dovrebbe sottovalutare la accresciuta pregiudizialità che può derivare dall’applicazione delle misure cautelari o ancora dalla pubblicizzazione della sentenza.26

- azioni di risk response: nella logica del risk management, il rischio viene gestito in base al livello di risk appetite valutando il rapporto costi di implementazione delle attività di controllo per la gestione del rischio e benefici ottenuti.

Le possibili risposte al rischio consistono in: eliminare, ridurre, accettare e condividere.

In ottica 231 la logica dei costi da sostenere per l’implementazione della risposta non è applicabile o, almeno, non può costituire il riferimento esclusivo. La soglia di accettabilità deve essere distinta a seconda che si tratti di reati dolosi o colposi (la distinzione è dovuta alla presenza o meno dell’elemento della volontarietà). Infatti, per i reati dolosi l’accettabilità del rischio è identificata da un sistema di prevenzione tale da non poter essere aggirato se non in maniera fraudolenta. Quindi, l’agente dovrà volere sia la condotta (ovvero l’aggirare fraudolentemente il Modello), che l’evento.

Per i reati colposi, invece, poiché è assente la volontà di porre in essere il comportamento lesivo, la soglia di accettabilità è costituita dalla realizzazione del comportamento in violazione del Modello, nonostante l’osservanza degli obblighi di vigilanza previsti dal Decreto da parte dell’OdV.27

- monitoraggio: nel sistema di controllo interno esistono vari attori: a seconda della forma giuridica dell’azienda, del modello di corporate governance adottato, dell’assetto organizzativo e delle dimensioni dell’azienda, possono essere presenti il Comitato per il controllo interno, l’internal auditor, il controller, il collegio sindacale, il dirigente preposto alla redazione dei documenti contabili ed il risk manager. Nel Modello 231, il monitoraggio è affidato ad un Organismo di Vigilanza appositamente costituito. L’organo amministrativo ne decide la composizione (monocratica o collegiale) e nomina i membri che potranno essere scelti tra gli appartenenti ad altri organi di controllo (internal audit, collegio sindacale, ecc…), oppure tra soggetti

26 _{Bartolomucci Sandro, Censimento e ponderazione delle potenzialità commissive dei reati presupposto,}

tra risk management e precetti del D.lgs. 231/01, 2014)