Capitolo 3 - Modello di organizzazione, gestione e controllo ex Decreto Legislativo n°231/2001

(1)

1

Capitolo 3 - Modello di organizzazione, gestione e controllo ex Decreto

Legislativo n°231/2001

3.1. Introduzione

Il Decreto Legislativo n° 231 del 2001, come abbiamo visto, disciplina la responsabilità delle società e degli enti anche privi di personalità giuridica per gli illeciti amministrativi. Lo stesso prevede la possibilità per le società di tutelarsi tramite la realizzazione di un Modello di organizzazione e gestione dei rischi di reato1. Il MOGC231 ha quindi la funzione di salvaguardare l’ente dalla condanna per i reati di cui al Decreto 231, come disciplinato all’articolo 6: “[…] l'ente non risponde se prova che: a) l'organo dirigente ha adottato ed

efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi […]”. Quindi la costruzione

di questo sistema rappresenta una clausola di esenzione dalla responsabilità2. Il MOGC 231 può essere adottato “ante factum” ossia a scopo preventivo, prima della commissione del reato al fine di evitare l’attribuzione della responsabilità o, “post factum” prima però che si avvii il processo di primo grado, con lo scopo di evitare l’assegnazione di pene interdittive.

L’adesione alla disciplina del Decreto 231 e quindi la costruzione del Modello in essa previsto rappresenta una scelta facoltativa per l’Ente che, nel caso decida di applicare tale modello, si dimostra “virtuoso” e intenzionato a tutelarsi attraverso uno strumento organizzativo che può comportare l’esclusione della responsabilità.

Al secondo comma dell’articolo 6 si precisano le caratteristiche che tali Modelli devono avere, in particolare essi devono:

 “individuare le attività nel cui ambito possono essere commessi reati”;

 “prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire”;

 “individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati”;

 “prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli”;

1_{Nel prosieguo della trattazione sarà indicato con Modello, MOGC 231, Modello 231.}

2_{Questo argomento è stato oggetto di discussione nel Capitolo 1 paragrafo 1.6 “Esenzione dalla}

(2)

2

 “introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.

Per quanto riguarda la struttura del documento che descrive il Modello questa è articolata in due parti, una generale e una speciale. Il contenuto dettagliato delle due sezioni può variare caso per caso ma, tendenzialmente, può essere così schematizzato:

 Parte Generale: quadro normativo di riferimento, descrizione della società e del sistema di amministrazione e controllo adottato, descrizione e scopo del Modello organizzativo, Codice etico, Sistema di controllo interno, Sistema disciplinare, Organismo di vigilanza e modalità di divulgazione del Modello ai dipendenti.

 Parte Speciale: mappatura delle aree di attività esposte a rischio reato e riferimento ad ogni reato presupposto contemplato dalla normativa, nonché per ciascuno, indicazione del rischio di reato e provvedimenti adottati per il suo contenimento.

3.1.1. Sistemi di gestione del rischio e MOGC 231

I primi due punti dell’elenco sopra visto, in relazione alle caratteristiche che un Modello deve avere, fanno riferimento ad un sistema di “risk management” che le imprese possono decidere di attuare al loro interno.

Un sistema di gestione del rischio può essere così definito: “processo posto in essere dal

consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”3.

L’Enterprise Risk Management4

ha diversi componenti, quali:  Ambiente interno;

 Definizione degli obiettivi;  Identificazione degli eventi;  Valutazione del rischio;  Risposta al rischio;

3_{Definizione ripresa dal testo: La gestione del rischio aziendale ERM- Enterprise risk management: un}

modello di riferimento e alcune tecniche applicative. A cura di CoSO Committee of Sponsoring Organization of the Treadway Commission. Edizone italiana a cura di Associazione Italiana Internal Auditors e PricewaterhouseCoopers.

4_{Nel prosieguo del testo verrà indicato con ERM. Si tratta di un modello di riferimento per la}

(3)

3  Attività di controllo;

 Informazioni e comunicazione;  Monitoraggio.

Tale processo, o più correttamente insieme di processi, riguarda la totalità dei rischi che possono verificarsi nello svolgimento dell’attività aziendale e che possono influenzare il raggiungimento degli obiettivi strategici, operativi, di reporting e di conformità che l’azienda ha stabilito.

Le linee guida elaborate da diversi autori e da varie associazioni di settore5, per aiutare le aziende ad aderire alla normativa sulla responsabilità amministrativa degli enti, riprendono il framework6 del processo di risk management e prevedono le seguenti fasi7:

 Identificazione delle aree di attività aziendali;  Analisi dei rischi potenziali;

 Valutazione, costruzione, adeguamento del sistema di controlli preventivi.

5

Si prendano ad esempio le linee guida elaborate da Confindustria.

6_{I framework maggiormente riconosciuti sono quelli del CoSO: Internal Control Integrated Framework}

emesso dal Committee of Sponsoring Organisation Commission; ed ERM Enterprise Risk Management

Framework.

7

Lo schema proposto è quello delle Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo. Ai sensi del Decreto Legislativo 8 giugno 2001, n°231. Confindustria. (aggiornate al marzo 2014)

(4)

4

3.1.2. Il rischio accettabile

Nella definizione di sistema di gestione del rischio si legge che esso è progettato per gestire il rischio entro il limite del “rischio accettabile”.

Relativamente al sistema di risk management con rischio accettabile si intende l’ammontare del rischio che un’impresa è disposta ad accettare nello svolgere la sua attività di creazione del valore. Le imprese, generalmente, definiscono il rischio accettabile in termini quantitativi o qualitativi attraverso aggettivi quali “alto”, “medio”, “basso” oppure attraverso dei target di crescita, redditività e rischio. Si collega alle strategie perseguite dall’azienda e non va confuso con la tolleranza al rischio ovvero la misura accettata di variazione o scostamento rispetto all’obiettivo da conseguire. Si può altresì affermare che il rischio è accettabile quando i costi per dei controlli aggiuntivi superano il valore della risorsa da proteggere.

Nel caso di un sistema di controllo preventivo relativo ai rischi di reato di natura dolosa, di cui al Decreto 231, il livello di rischio accettabile è costituito da un “sistema di prevenzione che non

possa essere aggirato se non fraudolentemente”8 ossia che i soggetti che compiono il reato lo facciano eludendo intenzionalmente il sistema di controllo posto in essere dall’azienda e che questo non sia reso possibile da imperizia o negligenza. Non è sufficiente che le prescrizioni della legge siano violate ma che sia aggirato il sistema di controllo.

Per quanto concerne i reati colposi di omicidio e lesioni personali la soglia di accettabilità è data dal tenere un comportamento che violi il modello organizzativo preventivo e gli adempimenti obbligatori per legge relativi alla salute e sicurezza dei luoghi di lavoro, nonostante siano rispettati gli obblighi di vigilanza a carico dell’Organismo di Vigilanza, previsto dal Decreto 231. Come già detto nei reati di natura colposa, viene a mancare l’elemento soggettivo della volontà di ledere l’integrità fisica e psichica del lavoratore.

8

(5)

5

3.2 Realizzazione del Modello 231

Come prima accennato, al fine di realizzare un Modello conforme ai requisiti imposti dal Decreto 231 gli step da seguire sono diversi:

 Pianificazione o “process assesment”: si effettua un check-up aziendale ossia si

raccolgono informazioni sulla struttura e sull’organizzazione dell’azienda. Tali informazioni sono contenute dello Statuto, in documenti strategici e nei manuali. Questa fase ha lo scopo di pervenire ad un piano di lavoro per la realizzazione del Modello.  Individuazione degli ambiti di attività rilevanti o “risk assesment”: in questo secondo

step si fa un’analisi delle aree a rischio e si procede alla loro mappatura. Le diverse aree possono essere individuate secondo criteri diversi, per ambito di attività, per funzioni o per processi. Le informazioni necessarie sono raccolte tramite interviste e questionari al personale al quale sono poste domande con lo scopo di valutare la percezione che esso ha relativamente al rischio potenziale o lordo ossia il rischio percepito a prescindere dalle attività di controllo. Il rischio potenziale è dato dalla moltiplicazione tra probabilità di accadimento e impatto che esso può avere. Sottraendo al rischio lordo la valutazione dei controlli interni si ottiene il rischio residuo. La valutazione del rischio potenziale è fatta ricorrendo a delle scale di misurazione e tenendo conto di fattori quali frequenza di accadimento, incidenza economica potenziale e fattibilità del reato. Graficamente una scala di valutazione può essere quella rappresentata in figura 6 di seguito.

(6)

6

Con i dati raccolti si descrive la situazione che vige in azienda così detta “as is” e si predispone una “gap analysis” ossia un documento in cui si evidenziano gli ambiti di miglioramento. I rischi individuati andranno classificati in base alla gravità e quindi alla necessità di intervento.

Nell’individuare i reati che possono essere compiuti si deve tener conto della possibilità che un reato abbia effetto domino ovvero che sia causa di un altro e così via.

Si deve tener conto anche dei soggetti che svolgono le attività rilevanti che possono essere sia interni o esterni all’azienda.

In questa fase possono emergere degli “indicatori di sospetto”9

ossia situazioni più o meno “sospette” che possano far pensare che si verifichino o si possano verificare dei reati, ad esempio: trattative con aree con alti tassi di corruzione, presenza di personale sconosciuto all’ente o procedure eccessivamente complesse.

 Progettazione o “risk management”: si va a definire quali strumenti devono essere

utilizzati per gestire i rischi individuati e si analizzano le procedure con cui sono amministrate le aree di rischio.

 Predisposizione degli strumenti per il sistema di controllo preventivo: con questa fase si giunge a dettare regole di comportamento da rispettare e all’istituzione dell’Organismo di vigilanza. Il sistema di controllo preventivo è costituito da una pluralità di componenti che verranno descritte successivamente.

 Aggiornamento e modifiche del sistema di controllo preventivo: questo ultimo passo consiste nell’aggiornamento del modello il quale viene attuato e vengono apportate delle integrazioni.

Il MOGC 231 può incrociare altri sistemi di gestione che l’azienda ha, eventualmente, implementato come ad esempio: il sistema di gestione dei rischi sopracitato, , il sistema di gestione ambientale (ISO 14001), di sicurezza informatica (ISO 27001) o di qualità (ISO 9001), nonché il sistema di prevenzione relativo alla salute e sicurezza nei luoghi di lavoro obbligatorio per legge (Linee guida UNI INAIL 2001, OHSAS 18001:2007)10. La certificazione ottenuta per i sistemi appena elencati non garantisce l’esclusione dalla responsabilità per i reati di cui al Decreto 231. È importante precisare che affinché tali sistemi non siano adempimenti meramente formali ma anzi siano implementati con consapevolezza e con partecipazione di tutto il personale all’interno dell’azienda, in essa deve essere sviluppata e coltivata una cultura del controllo. Abbiamo prima fatto cenno all’Ambiente interno o Ambiente di controllo, tale fattore

9_{Illeciti amministrativi: come si tutelano le aziende. Massimo Innocenti e Gabriele Cappellini. PMI}

n°1/2008.

10_{Si precisa che le Linee guida UNI INAIL 2001 sono linee da seguire per la realizzazione del sistema di}

prevenzione e protezione mentre la norma OHSAS è una norma la cui adesione comporta la certificazione del sistema ed ha carattere facoltativo.

(7)

7

costituisce le fondamenta di un sistema di controllo interno e da esso dipende il funzionamento dell’intero meccanismo, ma non solo, è anche un elemento basilare della cultura aziendale. Esso influenza il personale circa la necessità del controllo. L’ambiente di controllo è a sua volta influenzato da fattori quali valori, principi etici, integrità, filosofia, stile di management e motivazione del personale. È costituito da elementi quali storia e valori dell’azienda che a loro volta incidono sull’approccio del personale al controllo. In aziende in cui la cultura del controllo è condivisa e partecipata si reclutano persone che siano dotate di competenze, valori, atteggiamenti coerenti con questa cultura. Il personale non vede il controllo solo come un attività di verifica ex post da parte di organismi competenti ma anzi si dimostra proattivo e collaborativo; la cultura del controllo influenza i comportamenti e fa si che il personale si controlli in modo autonomo e reciproco durante lo svolgimento della propria attività. Il personale può essere indotto più o meno direttamente a compiere comportamenti scorretti da elementi come: fissazione di obiettivi eccessivamente sfidanti, premiazioni per risultati difficilmente raggiungibili, un contesto in cui l’errore è eccessivamente penalizzato e/o controlli scarsamente efficaci. È necessario che si sviluppi una cultura del controllo puntando sulla responsabilizzazione del personale, far si che gli individui si sentano responsabili per le proprie azioni e i propri risultati; affidare responsabilità per far crescere i soggetti e non sovraccaricali. Una azienda che crede in ciò che fa e decide di adempiere alla normativa al fine di ottenere una certificazione risulta essere più affidabile, credibile e trasparente agli occhi degli stakeholder i quali hanno la percezione che eventuali scorrettezze interne sono arginate da un sistema di controllo.

La conformità al modello di cui all’articolo 30 del T.U. 81/08, ad esempio, può stabilire l’idoneità del modello alla prevenzione in materia antinfortunistica ma, l’efficace attuazione di cui all’articolo 6 del D. Lgs. 231/01, deve essere valutata dal giudice attraverso verifica della realtà. Quanto detto vale anche per gli altri sistemi di gestione aziendale. Fatta eccezione per il rispetto delle norme in materia antinfortunistica che sono inderogabili, l’adesione alle altre norme è volontaria ed ha lo scopo di migliorare l’immagine dell’azienda nei confronti di terzi. Ottenere una certificazione non è sufficiente per non far scattare la responsabilità. Le aziende che hanno adottato un sistema di gestione aziendale certificato, ai fini dell’adesione al Modello 231, devono puntarne l’attenzione su tutti i tipi di rischio secondo le modalità previste dal Decreto 231.Ogni ente andrà ad adottare un sistema di gestione dei rischi in funzione del contesto operativo interno ed esterno, nel rispetto delle leggi e basandosi sui reati ipoteticamente collegabili alla sua attività.

(8)

8

3.3. Componenti del Modello

Codice etico

Si tratta di un documento ufficiale dell’ente, espressione della sua politica, in cui si vietano o si promuovono alcuni comportamenti in base ai principi in esso contenuti. Tali principi sono regole e valori interni all’organizzazione e diventano operativi attraverso la costruzione e il funzionamento del Modello. Il Codice etico rappresenta la base per la costruzione del sistema di controllo preventivo ed è voluto e approvato dal vertice dell’organizzazione. I valori in esso contenuti sono condivisi da tutti i soggetti dell’organizzazione, posti a ogni livello gerarchico e questo fa si che il Codice sia un documento partecipato da tutti gli individui, i quali lo devono interiorizzare e rispettare. Nel Codice etico l’ente riporta le regole da seguire nei rapporti con i soggetti esterni all’organizzazione quali: collaboratori, stakeholder, mercato, Pubbliche amministrazioni ed anche nei confronti dell’ambiente. In esso sono contenuti anche i principi da seguire per l’organizzazione e gestione delle attività svolte. Come prima accennato costituisce un elemento portante del Modello 231 in cui l’azienda esplicita i doveri e le responsabilità che si assume realizzando tale Modello e i comportamenti che tutti gli individui, interni ed esterni all’organizzazione, sono tenuti a mantenere. Non deve essere visto come un documento che una volta realizzato è archiviato e “dimenticato” ma anzi, si tratta di un documento “dinamico” poiché deve essere aggiornato ogni qual volta si verifichi un cambiamento nella legislazione o nella struttura organizzativa.

All’interno del Codice troviamo un sistema sanzionatorio che va ad agire qualora siano violate le disposizioni in esso contenute e quindi sia violato il Modello 23111.

Per quanto concerne il contenuto del Codice etico, nessuna informazione è dettata nel Decreto. È possibile trarre delucidazioni in merito dalle linee guida elaborate dalle diverse associazioni di categoria12, in particolare i contenuti del documento sono:

 Obiettivi e ambito di applicazione: l’ente spiega perché decide di adottare questo documento e conformarsi alla normativa del Decreto 231, nonché gli scopi del documento stesso.

 Destinatari: sono indicati coloro ai quali si rivolge il Codice stesso. Tali soggetti, come sopra accennato, sono tenuti al rispetto dei principi e delle regole in esso contenuti, sia che si tratti di individui interni all’azienda, sia esterni che si rapportino a vario titolo all’ente.

11

A tale argomento è dedicato uno specifico paragrafo nel prosieguo della trattazione.

(9)

9

 Principi etici: i valori che guidano l’attività di un ente sono molti, tra questi si possono indicare il principio di legalità ossia l’impegno a rispettare le leggi e le norme di tutti i Paesi in cui esso opera, la lealtà, la buona fede e la correttezza intesa come impegno a rispettare i diritti di coloro che partecipano all’attività dell’ente. Importanti sono i principi relativi al rispetto della salute e sicurezza sul lavoro e dell’ambiente, tali principi si ispirano alle norme contenute nel T.U. 81/0813: eliminare i rischi o ridurli al minimo, valutare i rischi che non possono essere eliminati, ridurre i rischi alla fonte, rispettare i principi ergonomici e di salubrità dei luoghi di lavoro, sostituire ciò che è pericoloso con ciò che non lo è, programmare le misure per il miglioramento, fornire adeguate informazioni e dare priorità alle misure di protezione collettiva rispetto a quelle individuali. Altri sono il rispetto per l’individuo e la valorizzazione delle risorse. Infine, ulteriori principi ispiratori sono l’imparzialità, la riservatezza e l’onestà. Nel Codice etico un principio che deve essere rispettato è quello secondo cui le operazioni

devono essere registrate, autorizzate, verificabili, legittime, coerenti e congrue14, deve perciò essere possibile trovare traccia di ogni operazione e del processo di autorizzazione a svolgerla. Altri principi base fanno riferimento ai rapporti dell’ente con la Pubblica Amministrazione, i dipendenti pubblici e, nel caso di enti di pubblica utilità, con soggetti commerciali privati; in tal caso ci si riferisce all’eventualità che si verifichino reati di corruzione e si fa perciò divieto di elargire e accettare somme di denaro o regali se non di modesto valore. È fatto divieto di accettare o offrire denaro, beni o servizi di valore per ottenere trattamenti di favore, è proibito influenzare le trattative in modo improprio. Qualora un soggetto o un ente terzo rappresenti l’ente nelle trattative si deve verificare che non si creino conflitti di interesse e tale soggetto o ente deve rispettare le norme previste. Infine non si devono proporre o accettare favoritismi dal punto di vista lavorativo in favore di dipendenti o ex dipendenti pubblici o di loro parenti.

 Norme di comportamento: si tratta di regole di comportamento e come i principi etici possono essere numerose. Sono regole che disciplinano i rapporti tra l’ente e i suoi collaboratori sia interni (es. dipendenti), sia esterni (Pubblica Amministrazione, clienti, fornitori, consulenti etc.). Ne sono esempio la trasparenza, la completezza delle

informazioni , ossia l’impegno a comunicare informazioni veritiere, chiare e corrette nei

confronti degli interlocutori.

 Sistema sanzionatorio: è previsto all’interno del Codice un sistema di sanzioni da applicare qualora siano violati il Modello o le regole contenute nel Codice stesso. Sono

13_{Articolo 15 del Testo Unico 81 del 2008.} 14

Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231. Approvate il 7 marzo 2002 (aggiornate al marzo 2014).

(10)

10

sanzioni indipendenti da quelle previste dalla normativa del Decreto 231. I meccanismi sanzionatori sono previsti agli articoli 6 e 7 del Decreto 231/01, in cui si stabilisce che il “sistema disciplinare deve essere idoneo a sanzionare il mancato rispetto delle misure

indicate nel modello”. L’esistenza e il funzionamento di tale sistema è uno dei requisiti

per l’esenzione da responsabilità. Il sistema sanzionatorio ha la funzione di prevenire le violazioni del modello e delle regole contenute nel Codice etico e quindi di evitare la commissione di reati. In esso si devono prevedere le sanzioni in relazione alle violazioni

 Attuazione e comunicazione: è una parte del Codice in cui si stabiliscono le modalità di diffusione delle regole in esso contenute, sia nei confronti dei soggetti interni che di quelli esterni così che tutti possano conoscerne il contenuto e che lo rispettino. Quanto previsto dal Codice deve essere oggetto di formazione e informazione, nello stesso infatti si devono prevedere modalità di formazione e diffusione dei principi e delle regole in esso contenute. L’Organismo di vigilanza ha il compito di controllare e verificare il rispetto del Codice ed anche quello di proporre sanzioni qualora rilevi delle violazioni.

Oltre ai contenuti sopra elencati, validi per ogni tipo di organizzazione, il Codice etico dovrebbe contenere principi ed elementi specifici relativi alla realtà aziendale a cui fa riferimento. Molteplici sono gli strumenti a supporto dell’orientamento etico di una azienda oltre al Codice etico: il manifesto o carta dei valori, il Comitato etico, la formazione etica, l’ethical internal audit, l’ Ethics officer e i meccanismi di denuncia. Il primo è documento in cui si rendono noti i valori e i principi etici su cui si basa il modo di fare azienda. Il Comitato etico è un organo della CSR composto dai rappresentati delle diverse aree aziendali e da membri esterni, ha il compito di esprimere pareri su questioni etiche, decidere in merito a problemi posti alla sua attenzione e definire il piano di formazione etica. La formazione etica è un insieme di strumenti attraverso cui si comunicano e si crea condivisione riguardo ai principi e ai valori etici dell’azienda ed è rivolta ai collaboratori ma soprattutto ai responsabili. La funzione di internal audit etico è un ramo della normale attività di internal auditing è ha il compito di verificare che i comportamenti e l’attività aziendale rispettino i principi etici. L’Ethics officer è un soggetto interno all’azienda che ricopre generalmente funzioni dirigenziali; ad esso spetta la responsabilità delle questioni etiche come l’attuazione del Codice, l’internal auditing etico e la formazione etica. Infine, un altro strumento sono i numeri verdi etici o Ethics help line attraverso cui si possono segnalare violazioni del Codice etico e porre domande relative ad argomenti etici. Tali linee possono essere dedicate al personale interno oppure si possono rivolgere anche ai soggetti esterni.

(11)

11

Sistema disciplinare

Come disciplinato agli articoli 6 e 7 del Decreto 231/2001 il Modello deve “introdurre un

sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”.

Tale sistema è regolato all’interno del Codice etico ed è applicabile qualora siano violate le norme di comportamento previste dal Codice stesso e il Modello 231. Si tratta di sanzioni ulteriori e indipendenti rispetto a quelle introdotte dal Decreto 231 che conseguono al procedimento penale da parte dell’Autorità giudiziaria.

La funzione del sistema sanzionatorio è quella di prevenire le violazioni delle disposizioni del Codice e del Modello, il quale potrà dirsi efficacemente attuato qualora sia funzionante il meccanismo sanzionatorio. L’efficace attuazione di questo sistema consente l’esenzione da responsabilità per i reati di cui al Decreto 231, infatti, la giurisprudenza ha dichiarato che i Modelli privi di tale sistema non hanno efficacia esimente15. Le sanzioni previste dall’impianto sanzionatorio differiscono da quelle applicate per la commissione dei reati presupposto, onde evitare una inutile duplicazione. È opportuno invece prevedere un insieme di pene relative alle possibili violazioni e modularle in base alla gravità delle stesse per non incorrere nelle sanzioni previste dalla legge.

Per quanto riguarda le pene previste queste possono essere di tipo conservativo per le violazioni di lieve entità oppure provvedimenti tali da rendere nullo il rapporto con il soggetto che ha commesso l’infrazione. Per la costruzione dell’impianto disciplinare si devono rispettare due importanti principi: proporzione e contradditorio. Il primo indica di rapportare la sanzione alla gravità del fatto, il secondo dà la possibilità all’accusato di poter giustificare il suo agire. Quanto detto vale per tutti i rapporti di lavoro, dipendente, subordinato e professionale.

È possibile prevedere anche sistemi premianti per coloro che collaborano all’attuazione del Modello.

Infine, si deve dare indicazione dei soggetti o funzioni che hanno il compito di valutare e promuovere le sanzioni per le infrazioni del Codice e del Modello e il ruolo ricoperto dall’Organismo di vigilanza in tale ambito.

Il sistema sanzionatorio rappresenta un altro elemento cardine del Modello e pertanto deve essere formalizzato e comunicato a tutto il personale dell’organizzazione e a quello esterno affinché sia conosciuto il suo contenuto e come debba essere applicato.

(12)

12

È opportuno differenziare il modello sanzionatorio nel caso si rivolga a soggetti subordinati o a figure apicali.

Nel primo caso si fa riferimento sia ai lavoratori dipendenti che a lavoratori autonomi. Per i secondi è possibile prevedere clausole all’interno del contratto che impongano il rispetto del Codice e come pena la risoluzione del contratto stesso. Per i lavoratori dipendenti invece l’ente dovrà stabilire una disciplina conforme a quanto previsto dalla legge, dalla giurisprudenza e dalla contrattazione collettiva.

Dallo Statuto dei Lavoratori derivano i principi di tipicità delle violazioni e delle sanzioni; l’ente deve indicare quali sono le violazioni punibili nel Codice e darne pubblicazione nelle bacheche o sull’intranet aziendale.

Per i reati in materia antinfortunistica risulta utile rendere pubblici gli obblighi previsti dall’articolo 20 del Decreto Legislativo 81/08 “Obblighi dei lavoratori”.

La differente previsione di sanzioni per i soggetti apicali è dovuta al diverso suolo che essi svolgono all’interno dell’organizzazione, quindi alla possibilità di commettere infrazioni diverse e di essere soggetti a pene differenti rispetto ai subordinati.

Possibili azioni nei confronti delle figure apicali sono: richiami scritti, sospensioni temporanee, oppure revoca della carica nei casi gravi.

Ai dirigenti non è possibile applicare sanzioni di tipo conservativo, ossia che non vanno ad intaccare il rapporto di lavoro, ma questo crea problemi nel caso commettano violazioni di lieve entità tali da far risultare eccessiva una pena espulsiva.

Per gli amministratori il sistema disciplinare andrà a sommarsi a quanto previsto dal diritto societario, in particolare alle azioni di responsabilità che di per se non hanno efficacia esimente. Infine è possibile introdurre all’interno dello Statuto delle sanzioni disciplinari per le figure di amministratori e sindaci.

Sistema organizzativo

Una componente fondamentale del Modello è il sistema organizzativo ossia come l’organizzazione è articolata al suo interno. La sua formalizzazione è utile per avere chiare le linee di dipendenza gerarchica e la ripartizione delle responsabilità. Rende inoltre esplicita la ripartizione dei compiti, dei ruoli tra le figure aziendali . Un sistema chiaramente definito evita che si verifichino sovrapposizioni e contrasti. L’attribuzione di responsabilità e funzioni può avvenire mediante deleghe, procure o lettere di incarico. Il sistema organizzativo deve essere

(13)

13

quindi sufficientemente aggiornato, formalizzato e chiaro. In tale campo è importante prestare attenzione ai sistemi premianti per i dipendenti e i manager poiché se vengono fissati obiettivi troppo sfidanti e difficili da raggiungere questo può rappresentare uno stimolo a compiere alcuni dei reati previsti dal Decreto 231. Relativamente ai reati in materia antinfortunistica è importante che i ruoli e le responsabilità siano stabiliti in coerenza con quanto previsto dall’organizzazione interna all’azienda. La divisione per funzioni deve essere tale da garantire che siano presenti competenze tecniche e poteri necessari al fine di valutare e gestire il rischio relativo a salute e sicurezza. A tal fine si può ricorrere allo strumento della delega previsto agli articoli 16 e 17 del T.U. 81/08. La previsione delle funzioni e dei relativi compiti che il Testo Unico introduce è un’ottima base di partenza per la costruzione del Modello16

. La formalizzazione del sistema organizzativo può essere resa esplicita attraverso l’organigramma aziendale ossia un documento grafico in cui si rappresenta l’organizzazione interna dell’azienda, le linee gerarchiche e quindi la ripartizione delle responsabilità. La comprensione di questo documento è senza dubbio immediata da un punto di vista visivo ma la questione fondamentale è che quanto rappresentato su carta sia effettivamente realizzato internamente all’azienda. La ripartizione delle responsabilità, attuata attraverso deleghe, procure e lettere d’incarico deve essere rispettata ed effettiva. Ciò può avvenire attraverso la responsabilizzazione dei soggetti a cui sono delegati i poteri ai quali è necessario far comprendere che l’attività da essi svolta ha delle conseguenze sugli obiettivi perseguiti. Non può inoltre mancare un controllo di tipo top down sulla corrispondenza delle azioni svolte dai soggetti a cui sono state conferite le deleghe e il contenuto delle deleghe stesse.

Procedure manuali e informatiche

Si tratta di sistemi che costituiscono vari punti di controllo. Esse regolamentano lo svolgimento delle attività, le quali sono così sottoposte a controlli preventivi sistematici.

Un esempio di tali strumenti è la separazione dei compiti nei processi a rischio.

Tali procedure devono essere periodicamente aggiornate e devono tener conto delle modifiche e novità intervenute nei processi aziendali e nel sistema organizzativo.

Poteri organizzativi e di firma

Alcune funzioni possono essere delegate da un soggetto ad un altro ma è necessario stabilire chiaramente e senza possibilità di fraintendimenti i soggetti a cui sono attribuiti la gestione e la

16

Per quanto concerne le figure e le funzioni da esse svolte in tema di rimanda al Capitolo 2 paragrafo 2.2.

(14)

14

responsabilità delle attività rischiose. Tale strumento deve essere visto come un modo per facilitare il rispetto della normativa e non per trasferire la responsabilità.

Il sistema delle deleghe e delle procure deve essere aggiornato in funzione dei cambiamenti della legislazione e del sistema aziendale.

Sistema di controllo di gestione

Tale sistema ha lo scopo di tenere sotto controllo tutti i rischi operativi e in particolare quelli relativi ai reati presupposto. Una volta riscontrate eventuali anomalie, sia generali che particolari, ha il compito di informarne l’Organismo di vigilanza.

Il sistema di controllo si dovrebbe integrare con la gestione operativa analizzando i processi, i legami tra gli stessi.

Per quanto riguarda la gestione della salute e sicurezza sul lavoro in essa si dovrebbe prevedere una verifica delle procedure adottate per la prevenzione e protezione. “Tale monitoraggio si

dovrebbe attuare attraverso:

 Programmazione temporale delle verifiche;  Attribuzione di compiti e responsabilità esecutive;  Descrizione delle modalità da seguire;

 Modalità di segnalazione delle eventuali situazioni difformi.17”

Una volta individuate le aree correlate ai rischi relativi agli infortuni queste devono essere gestite in maniera adeguata, ad esempio, assumendo personale qualificato, organizzando correttamente il lavoro, acquisendo beni e servizi conformi alla normativa, effettuando interventi di manutenzione, scegliendo fornitori e collaboratori qualificati, in modo che nelle aree interessate si sia grado di gestire le emergenze e attuare procedure per far fronte al divario tra gli obiettivi stabiliti e la situazione riscontrata.

Comunicazione al personale e formazione

Comunicazione e formazione sono due componenti che vanno a completare il quadro dei requisiti del Modello. La comunicazione va a riprendere gli altri componenti in quanto è necessario che a tutto il personale, a qualunque livello aziendale, siano fornite informazioni relative al sistema organizzativo, alle linee di dipendenza gerarchica, al sistema operativo, alle procedure adottate e al Codice etico.

(15)

15

Tali informazioni devono essere trasmesse in modo chiaro, dettagliato, capillare, efficace e autorevole. Inoltre, a tutti i dipendenti ne deve essere reso possibile l’accesso attraverso un sistema di intranet aziendale.

Accanto alla comunicazione è importante che l’azienda sviluppi un adeguato programma di formazione.

I corsi di formazione devono essere obbligatori, se ne deve pianificare frequenza e contenuti nonché opportuni controlli di qualità ed eventuali aggiornamenti in funzione di evoluzioni del Modello.

La formazione sul Modello 231 e sul sistema organizzativo adottato deve essere sostenuta e controllata dall’Organismo di vigilanza.

I corsi di formazione possono essere svolti seguendo diverse modalità: sessioni in aula o “in presenza” e tramite e-learning. In entrambi i casi è opportuno prevedere dei test di verifica sia intermedi, sia finali, con lo scopo di indagare il livello di conoscenza degli insegnamenti forniti. Per quanto riguarda l’ambito della salute e sicurezza i corsi di formazione sulla prevenzione dei rischi sono di fondamentale importanza.

Come disciplinato dal Testo Unico 81/08, tutti i lavoratori devono seguire appositi corsi di formazione e addestramento18.

Formazione e addestramento devono essere modulati tenendo conto dei diversi livelli e tipologie di rischio presenti nelle aree dell’ente, nonché del tipo di mansione svolta dal lavoratore.

La formazione e l’addestramento del lavoratore avvengono in occasione dell’assunzione, del cambiamento di mansione, dell’introduzione di nuove tecnologie di produzione o sostanze o attrezzature19.

Relativamente alla comunicazione in tema di salute e sicurezza questa è molto importante per realizzare il coinvolgimento dei lavoratori di tutti i livelli aziendali. È fondamentale che tutti siano correttamente informati e consapevoli.

I lavoratori possono essere coinvolti attraverso le consultazioni del Rappresentante dei lavoratori per la sicurezza e del Medico competente, nonché attraverso delle riunioni in cui si tenga conto di quanto previsto dalla normativa e di eventuali segnalazioni da parte dei dipendenti dovute a esigenze o mancanze riscontrate.

18

Si rimanda a quanto stabilito all’articolo 37 del T.U. 81/08.

(16)

16

Del processo di realizzazione del Modello e dei suoi componenti è data rappresentazione in figura 7 a seguire.

Figura 7 - Modello 231 e componenti

Principi di controllo

Il sistema di controllo preventivo deve essere realizzato rispettando diversi principi. Uno di questi dispone che “ogni operazione, transazione, azione deve essere verificabile, documentata,

coerente e congrua”, ciascuna operazione deve essere opportunamente registrata e un

documento deve essere disponibile per effettuare accertamenti da cui desumere i motivi dell’operazione, chi l’ha autorizzata, effettuata, registrata e verificata. I documenti possono essere archiviati su supporti informatici e tutelati secondo quanto stabilito in materia di protezione dei dati personali. “Nessuno può gestire in autonomia un intero processo” altro importante principio secondo cui si deve assicurare la separazione delle funzioni. Questo è un elemento molto importante del modello. Il soggetto che autorizza una operazione e che quindi ne è responsabile deve essere diverso da quello che la esegue o la controlla. A nessun soggetto devono essere attribuiti poteri illimitati, i poteri e le responsabilità devono essere definiti in modo chiaro e devono essere conosciuti da chi opera nell’organizzazione. Altro aspetto

(17)

17

importante è che i poteri autorizzativi e di firma siano attribuiti rispettando le responsabilità organizzative, quindi le linee gerarchiche e, se ne deve dare prova attraverso dei documenti. Infine, un altro principio è quello secondo cui “i controlli devono essere documentati” ossia si deve implementare un sistema di reporting attraverso cui documentare e trasmettere gli esiti dei controlli e dell’attività di vigilanza.

3.4. L’Organismo di vigilanza, funzioni, requisiti e composizione

Una volta chiariti quali siano gli step da seguire per la realizzazione del Modello 231da parte di un’impresa, è importante parlare di un altro pilastro del Modello stesso ossia l’Organismo di Vigilanza.

Le disposizioni contenute agli articoli 6 e 7 del Decreto 231 indicano rispettivamente come condizione indispensabile affinché l’ente possa godere dell’esenzione della responsabilità penale dovuta alla commissione dei reati contemplati, l’aver affidato il compito di vigilare sul corretto funzionamento e sul rispetto del Modello, nonché quello di apportare i necessari aggiornamenti ad un organo dotato di “autonomi poteri di iniziativa e controllo” e che da parte di tale organo non vi sia stata “omessa o insufficiente vigilanza”. L’articolo 7, invece, al primo comma dispone che l’ente è da ritenere responsabile se non sono stati rispettati gli obblighi di direzione e vigilanza. La responsabilità si può escludere qualora l’ente abbia adottato e attuato il MOGC231.

Vale anche in questo caso il rispetto del principio di effettività ossia che la nomina dell’Organismo di vigilanza non deve essere un adempimento esclusivamente pro forma ma anzi, si deve garantire a questo la possibilità di poter operare senza ostacoli per lo svolgimento delle funzioni ad esso assegnate. Questo avviene attraverso la realizzazione di flussi informativi verso l’Organismo stesso il quale scambia informazioni con l’organo incaricato della gestione, quello incaricato del controllo, rispettivamente Consiglio di amministrazione e Collegio sindacale, ma anche con le aree operative. I flussi informativi sono previsti dal Decreto 231 all’articolo 6 comma 2 lettera d): “prevedere obblighi di informazione nei confronti

dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli”. All’Odv

possono essere inviate informazioni ordinarie sullo svolgimento di attività sensibili o straordinarie nel caso siano rilevate violazioni del Modello o anomalie. Le comunicazioni verso tale organo devono essere costanti ed esso ha diritto di accedere a tutte le informazioni e i documenti aziendali che richiede nello svolgimento della sua attività. Riguardo alla periodicità con cui le informazioni sono trasmesse si può affermare che per dati particolarmente significativi la comunicazione deve essere immediata mentre per altri tipi di notificazione è

(18)

18

possibile stabilire una frequenza diversa. È necessario, affinché il Modello risulti idoneo, predisporre un sistema di reporting nei confronti dell’Odv.

I compiti assegnati all’Organismo di vigilanza o Odv sono molteplici, tra questi troviamo la verifica riguardo l’effettività del Modello ossia che ci sia coerenza tra i comportamenti dei soggetti, il modo di operare dell’organizzazione e i dettami del Modello; l’Odv controlla che quanto previsto dal MOGC sia effettivamente seguito e rileva gli eventuali scostamenti. Il controllo sull’adeguatezza e l’efficacia del Modello ovvero l’organo verifica che sia idoneo a prevenire i comportamenti ritenuti vietati e la commissione dei reati presupposto. Verifica inoltre che sia compatibile con la struttura organizzativa dell’ente. Spetta a tale organo di verificare che nel tempo il Modello mantenga i requisiti di solidità e funzionalità. È di sua competenza provvedere ad aggiornare il Modello nel caso in cui le verifiche effettuate evidenzino che sia necessario apportare dei cambiamenti oppure che intervengano variazioni nella normativa o nell’attività dell’ente. Tra le funzioni spettanti all’Organismo di vigilanza rientrano infine quelle di raccogliere informazioni ovvero reperire le informazioni necessarie per individuare malfunzionamenti del Modello oppure individuare comportamenti non idonei e di segnalare all’organo dirigente i provvedimenti che l’Organismo intende prendere a seguito di violazioni o per migliorare l’efficacia del Modello stesso.

L’aggiornamento del Modello da parte dell’Odv avviene attraverso delle proposte che l’organo fa alle funzioni che hanno il potere di attuare concretamente tali cambiamenti e, successivamente, tramite una attività di follow-up ossia di verifica in merito alla reale implementazione delle soluzioni suggerite e del loro funzionamento.

Per poter individuare quale sia la funzione o la struttura più idonea a ricoprire il ruolo di Odv è indispensabile sapere quali requisiti debba possedere. In primo luogo quello dell’autonomia, l’Organismo deve poter godere della più assoluta autonomia di iniziativa di controllo ed essere quindi libero da ogni tipo di interferenza o condizionamento da parte di qualsiasi componente dell’ente o dell’organo dirigente in quanto essi sono sottoposti alla sua attività di controllo. L’Organismo deve poter accedere a tutte le informazioni necessarie per svolgere i suoi compiti e deve disporre delle risorse necessarie. In secondo luogo altro requisito fondamentale è quello dell’indipendenza: per il rispetto di questo principio i componenti non devono avere conflitti di interesse e non devono svolgere compiti esecutivi all’interno dell’ente in quanto ciò li porterebbe ad agire in modo non obiettivo. Secondo la giurisprudenza questo secondo requisito va a rafforzare il primo. Entrambi sono assicurati dal collocare l’Odv come organo di staff nell’organigramma subito sotto al vertice aziendale. Terzo requisito è quello della professionalità: i soggetti che compongono l’Organismo di vigilanza devono possedere un bagaglio di conoscenze, strumenti e tecniche utili allo svolgimento dei loro compiti. Con

(19)

19

professionalità si fa perciò riferimento alle conoscenze che essi devono avere e, in particolare, si fa riferimento a competenze giuridiche, specialmente penali, sui sistemi di controllo, sul campionamento statistico e sulle tecniche di analisi e controllo dei rischi. Queste competenze consentono loro di svolgere compiti quali ispezioni, consulenze, controlli, analisi dei punti di debolezza del sistema, elaborazione di questionari e all’individuazione degli illeciti. Infine rappresenta un importante requisito la continuità d’azione: l’attività dell’Odv deve essere continua nel tempo. Affinché ciò avvenga è possibile pensare di affidare ad una funzione ad hoc tale compito, soprattutto negli enti di maggiori dimensioni caratterizzati da complesse attività. Le attività svolte dall’Odv e le riunioni tra questo e il vertice aziendale devono essere opportunamente documentate.

L’Organismo di vigilanza può essere organo collegiale o individuale, a seconda della realtà in cui è costituito. Nel caso si scelga per un organo collegiale al suo interno possono rientrare sia soggetti interni che esterni all’organizzazione. La scelta tra le due opzioni dipende dagli scopi che si intende perseguire, dalle dimensioni dell’organizzazione, dalla attività svolta e dalla complessità, sia delle attività che dell’organizzazione. Ad esempio la composizione plurisoggettiva sarà da preferire nelle realtà aziendali di grandi dimensioni a garanzia del requisito dell’indipendenza. Lo stesso articolo 6 del Decreto 231 prevede che negli enti di piccole dimensioni le funzioni di tale organo possano essere affidate all’organo dirigente oppure che l’Odv sia un organo individuale.20

Come prima accennato i membri dell’Odv non devono svolgere funzioni esecutive all’interno dell’organizzazione per essere obiettivi nella loro attività inoltre, è fondamentale che il soggetto controllante sia diverso dal soggetto controllato. È opinione diffusa che l’Organismo non possa essere costituito esclusivamente da membri interni, in virtù del rispetto dei principi di autonomia, indipendenza e professionalità. Ad esempio il Responsabile del Servizio di Prevenzione e Protezione non può far parte dell’Odv perché l’attività da esso svolta è oggetto di controllo da parte dell’Organismo stesso. È vero altresì che le funzioni di vigilanza non possano essere affidate al Consiglio di Amministrazione (o all’Amministratore Delegato) il quale istituisce l’Organismo per la realizzazione del Modello. Le possibilità per l’ente sono quindi di affidare le funzioni di vigilanza:

 Ad una struttura aziendale già esistente  Ad un organismo realizzato ad hoc.

La prima strada apre un ventaglio di ulteriori scelte in merito a quale struttura sia la più idonea a ricoprire tale ruolo. Si fa riferimento a funzioni aziendali quali: Personale, Legale,

20

Articolo 6 comma 4 e 4 bis: “Negli enti di piccole dimensioni i compiti indicati nella lettera b), del comma 1, possono essere svolti direttamente dall'organo dirigente”. “Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell'organismo di vigilanza di cui al comma 1, lettera b)”.

(20)

20

Amministrazione e controllo, Servizio prevenzione e protezione ma anche a organi come il Collegio sindacale, la funzione di Internal auditing o il Comitato controllo e rischi.

Per il primo gruppo di funzioni (Personale, Legale, Amministrazione e controllo, Servizio prevenzione e protezione) si può affermare che esse risultano inidonee a svolgere l’incarico di vigilanza poiché potrebbero essere prive delle competenze professionali necessarie ed inoltre, svolgendo attività operative non presenterebbero il requisito di indipendenza. Anche la funzione di Servizio prevenzione e protezione non può ricoprire tale carica in quanto, svolge un ruolo operativo e, sia che si tratti di un soggetto interno che esterno, è alle dipendenze gerarchiche del vertice aziendale.

Diverso è il parere espresso relativamente a strutture come le altre indicate.

Collegio sindacale come Organismo di vigilanza

L’opzione di considerare quale possibile organo di vigilanza il Collegio sindacale è stata introdotta con la Legge di stabilità per il 201221 che ha inserito nel Decreto 231 all’articolo 6 il comma 4-bis: “Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il

comitato per il controllo della gestione possono svolgere le funzioni dell'organismo di vigilanza di cui al comma 1, lettera b)”.

L’impresa può scegliere se affidare la funzione di vigilanza al Collegio avendo presente la necessità che siano garantite l’efficacia e l’efficienza del sistema di controllo.

La disciplina societaria attribuisce al Collegio sindacale il compito di controllare l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società. Va detto però che negli ultimi anni l’attività di verifica del Collegio si è spostata su questioni come la legittimità e la corretta gestione degli amministratori, demandando a società di revisione il controllo contabile. Quindi si ha un allineamento tra le funzioni previste per Odv e Collegio ad esempio a questo organo sono concessi poteri di ispezione e accesso alle informazioni funzionali all’attività di vigilanza sul sistema di controllo.

Affinché l’azienda scelga come Odv il Collegio sindacale deve verificare che siano rispettati i requisiti di autonomia, indipendenza, professionalità e continuità d’azione sopra indicati. Relativamente al primo e al secondo requisito la giurisprudenza e la dottrina concordano sulla tesi che affidare all’organo sindacale le funzioni di vigilanza non implichi il venir meno dei requisiti necessari. Quanto alla professionalità va fatto presente che i membri del Collegio devono possedere a loro volta de requisiti, ad esempio di onorabilità e di eleggibilità, necessari

21

Legge 12 novembre 2011, n°183: Disposizioni per la formazione del bilancio annuale e pluriennale dello Stato.

(21)

21

per svolgere il compito di controllo di legalità e rispetto dello Statuto nonché di conformità dell’assetto organizzativo e della contabilità, compito questo più ampio della verifica sul sistema di controllo che vi rientra. Per quanto concerne le conoscenze specifiche di cui i membri dell’Odv devono essere dotati se ne deve tenere conto al momento della selezione dei componenti i quali possono essere coadiuvati da soggetti qualificati. Infine la continuità d’azione risulta essere rispettata in quanto è fatto obbligo al Collegio sindacale di riunirsi almeno ogni 90 giorni, nel caso esso sia anche Organismo di vigilanza deve essere fissato un limite massimo di tempo inferiore. La continuità richiede inoltre che i membri siano presenti nella realtà aziendale in quanto devono verificare l’efficacia del sistema di controllo.

Qualora si decida di far coincidere il Collegio sindacale con l’organo preposto alla vigilanza sul sistema di controllo è opportuno che la durata dell’incarico per l’una e l’altra carica sia la medesima.

Comitato controllo e rischi come Organismo di vigilanza

Una seconda strada percorribile per le società che ne sono dotate, è quella di affidare la funzione di Odv al Comitato controllo e rischi. Tale organo risulta essere idoneo a ricoprire tale ruolo per una serie di motivi, innanzi tutto componenti del Comitato per essere eletti devono essere amministratori non esecutivi e in maggioranza indipendenti; questo fa sì che si rispettino i requisiti di autonomia e indipendenza. Al Comitato spettano compiti affini rispetto a quelli affidati all'Odv ad esso, infatti, compete di collaborare con il vertice aziendale sull'elaborazione delle linee da seguire per i controlli interni e per le verifiche ad essi relativi, valutare il piano di lavoro dei soggetti a cui è attribuita la responsabilità del controllo, esprimere un parere in merito all’adeguatezza dei principi contabili adottati, esaminare le domande delle società di revisione per l'attribuzione dell’incarico e il piano di lavoro da esse proposto. Infine il Comitato riferisce al Consiglio di amministrazione in merito alla congruenza del sistema di controllo, con periodicità almeno semestrale, nonché svolge altri compiti assegnatigli dal massimo vertice aziendale.

È quindi una possibilità tutt'altro che teorica attribuire a tale funzione quella di vigilare sul rispetto del Modello, per il cui adempimento potrà avvalersi della collaborazione della funzione di Internal audit.

(22)

22

La funzione di Internal audit nell’organigramma aziendale è posta spesso subito al di sotto del vertice, Consiglio di amministrazione, Presidente o Amministratore delegato. Questo perché si tratta di un organo di staff che va a supportare il massimo vertice. Tale funzione ha il ruolo di monitorare sul sistema di controllo interno. Risulta essere idonea a svolgere l'attività ispettiva assegnata all'Odv ma anche quella di verificare che i controlli siano presenti ed efficienti, al fine di evitare la commissione di reati. Come previsto per altri organi anche l'Internal audit in caso di necessità può affidarsi all'aiuto di consulenti esterni competenti sulle materie oggetto di indagine.

Può sembrare che la scelta della struttura alla quale demandare le funzioni di controllo spettanti all’Organismo di vigilanza si possa basare sulla qualificazione della struttura stessa come organo di staff. In realtà così non è, ciò che rileva ai fini della decisione è che siano rispettati i principi di autonomia e indipendenza quindi che si tratti di un organo né direttamente, né indirettamente coinvolto nelle attività sensibili oggetto di monitoraggio.

Istituzione di un organismo ad hoc come Organismo di vigilanza

Esaurite le possibili scelte in tema di strutture aziendali esistenti idonee a svolgere il ruolo di Organismo di vigilanza non resta che valutare l’ipotesi per l’azienda di realizzare un Odv apposito. Tale organo, come visto, può essere individuale o collegiale. L'azienda è chiamata a rispettare l'obbligo secondo cui l'organo sia proprio dell’organizzazione ma anche in questo caso ci si potrà avvalere della consulenza di soggetti esterni competenti in materia. È interessante osservare la tabella numero 4 nella pagina successiva in cui si indicano le possibili composizioni dell'Organismo di vigilanza e da cui si evince che tra tutte non c'è una “one best way” in quanto ciascuna scelta presenta punti di forza e di debolezza. Sta perciò all’azienda compiere le valutazioni del caso e scegliere l’opzione che ritiene maggiormente adatta.

(23)

23

Composizione dell’Odv Descrizione Valutazione per requisito

Odv collegiale formato da membri interni

Organismo formato ad esempio da membri del collegio sindacale e da altri

soggetti interni all’ente

Autonomia -

Indipendenza -

Professionalità +/- Continuitàd’azione ₊

Odv collegiale formato da membri interni ed esterni

L’organismo potrebbe essere formato dall’Internal auditor dell’ente e da alcuni soggetti

esterni con specifiche competenze tecniche

Autonomia ₊

Indipendenza +

Professionalità + Continuitàd’azione +/-

Odv collegiale formato da membriesterni

Questo tipo di composizione si ha, ad esempio, nel caso in cui l’organismo include un team di consulenti o di esperti

esterni.

Autonomia ₊

Indipendenza +

Professionalità + Continuità d’azione -

Odv monocratico composto dall’organo dirigente

L’organismo è composto dall’organo dirigente dell’ente, così come previsto

dall’art. 6, comma 4 del D. Lgs. n. 231/2001 per gli enti

di piccole dimensioni.

Autonomia _-

Indipendenza _-

Professionalità +/- Continuità d’azione +

Odv monocratico composto da

un membro interno

E’ il caso ad esempio trattato dal

Tribunale di Milano con la sentenza del 17 novembre 2009 dove, il preposto al

controllo interno e responsabile dell’Internal auditing dell’ente era anche

l’unico membro dell’Odv dell’ente. Autonomia - Indipendenza _- Professionalità +/- Continuitàd’azione +

Odv monocratico composto da

un membro esterno

L’Odv dell’ente è formato da un solo

membro esterno all’ente.

Autonomia ₊

Indipendenza ₊

Professionalità +/- Continuità d’azione -

Tabella 4 - Composizioni Odv e Valutazione per requisito22

22

La presente tabella è stata ripresa dalle Linee guida per l’implementazione dei Modelli Organizzativi ex D.Lgs. n. 231/2001 per la prevenzione dei reati in materia ambientale e di salute e sicurezza nelle PMI.

(24)

24

Obbligo di informazione verso l'Organismo di vigilanza

Il Modello 231 deve prevedere l’obbligo di informazione nei confronti dell’Odv, come previsto alla lettera d) del secondo comma dell’articolo 6. Quando si implementa un MOGC ex Decreto 231 si deve disporre che si realizzi un flusso di informazione nei confronti di questo organo, ciò al fine di garantire che esso possa svolgere la sua attività di controllo sul funzionamento del Modello ed eventualmente verificare le cause che hanno comportato il compimento di un reato. Le aree a rischio reato sono pertanto obbligate a trasmettere all’Organismo informazioni relative ai controlli svolti e ad eventuali anomalie riscontrate. Le informazioni fornite all’Odv non lo obbligano a intervenire per ogni segnalazione ma servono all’Organismo per pianificare la sua attività di controllo. Il management è tenuto a trasmettere all’Odv le risultanze dei controlli effettuati e non informazioni da verificare quindi , i manager hanno il compito di controllare mentre l’Odv verifica sull’attività di controllo da essi svolta. Le informazioni trasmissibili alla struttura preposta a vigilare, secondo quanto previsto dalle Linee guida di Confindustria, comprendono:

 “Decisioni in merito a finanziamenti pubblici;

 Richieste di assistenza legale da parte di responsabili o dipendenti per reati richiamati

dalla disciplina;

 Provvedimenti o attività dell’autorità giudiziaria in merito ad indagini sui reati presupposto;

 Commissioni di inchiesta da cui emergano responsabilità di reato di quelli previsti

dalla normativa 231;

 Informazioni relative all’implementazione del Modello ed eventuali provvedimenti disciplinari o sanzioni oppure l’archiviazione dei procedimenti;

 Esiti di controlli svolti su soggetti destinatari di gare di appalto ;

 Risultanze di controlli su commesse acquisite da enti pubblici o soggetti che svolgano

funzioni di pubblica utilità.”

I flussi informativi varieranno da azienda ad azienda ed nel Modello adottato si andranno ad indicare quali tipi di informazioni devono essere inviate all’Odv. Ogni azienda andrà a realizzare delle procedure e dei moduli di comunicazione verso tale organo in base alle proprie esigenze. Ad esempio i flussi informativi potranno essere organizzati in base alle aree sensibili individuate: relazioni con la Pubblica Amministrazione, area vendite, area acquisti, area finanza ed altre.

È possibile ritenere che tale obbligo informativo abbia l’ulteriore funzione di dare “autorevolezza” alle richieste dell’Organismo di vigilanza.

(25)

25

I dipendenti che siano in possesso di notizie riguardanti il compimento di reati o di comportamenti non conformi alle regole di comportamento contenute nel Codice etico, devono darne comunicazione all’Organismo di vigilanza. Il flusso informativo verso l’Odv deve essere disciplinato nel Modello e dovrebbe garantire la riservatezza per coloro che effettuano le segnalazioni. Di tali flussi informativi è data rappresentazione in Figura 8 di seguito.

Figura 8 - Flussi informativi

3.5. I modelli di Amministrazione, Gestione e Controllo nelle Spa

23

.

Avendo sopra riportato che nella Parte Generale del modello si va a descrivere il sistema di amministrazione e controllo adottato dalla società che decide di implementare il MOGC231, andiamo ad approfondire quali possibili scelte ha una società in tale ambito. Con la riforma del diritto societario introdotta con la Legge Delega numero 366 del 2001 è stata prevista la possibilità per le società per azioni di prevedere nel proprio Statuto uno dei seguenti modelli di amministrazione e controllo:

23_{Si precisa che quanto riportato costituisce un riassunto della normativa vigente in tema di}

amministrazione e controllo delle società per azioni; il contenuto non esaurisce integralmente l’argomento.

(26)

26  Sistema classico o tradizionale;

 Sistema dualistico;  Sistema monistico.

Il sistema classico contempla la presenza di un organo di amministrazione formato da uno o più membri e di un collegio sindacale. Il sistema dualistico prevede la presenza di un consiglio di gestione e di un consiglio di sorveglianza eletto dall’assemblea. Il sistema monistico, infine, è basato sulla presenza di un consiglio di amministrazione con al suo interno un comitato di controllo interno sulla gestione composto da amministratori non esecutivi24. Il sistema classico si applica qualora nello Statuto non sia fatta una scelta differente. In tale modello l’organo di amministrazione è costituito dal Consiglio di amministrazione, il quale si occupa della gestione dell’impresa; l’organo amministrativo può essere costituito da più amministratori oppure da un amministratore unico (c.d. Amministratore delegato). Possono essere nominati amministratori i soci oppure persone esterne alla società purché non siano soggetti interdetti, inabilitati, falliti o interdetti dai pubblici uffici anche temporaneamente e rispettino i requisiti di onorabilità, indipendenza e professionalità25. La scelta di affidare la gestione a degli amministratori non soci può essere dovuta al fatto che i soci siano consapevoli di non essere in grado di gestire la società. All’organo amministrativo spetta la gestione dell’impresa in via esclusiva. L’organo di amministrazione è eletto dall’assemblea dei soci, tranne la prima volta che è nominato nell’atto costitutivo. Le funzioni di controllo interno sono affidate al Collegio sindacale, eccetto quella del controllo contabile che spetta ad un revisore o ad una società di revisione se l’azienda è quotata in mercati regolamentati, qualora non lo sia resta in capo al Collegio e in tal caso i sindaci devono essere iscritti nel Registro dei revisori contabili. Il controllo di gestione consiste nella verifica del rispetto dei principi di corretta amministrazione da parte degli amministratori.

Il sistema dualistico prevede due organi, consiglio di gestione e consiglio di sorveglianza, i quali hanno rispettivamente funzioni di amministrazione e controllo. Al consiglio di gestione si applica, in quanto compatibile, la stessa disciplina del consiglio di amministrazione. L’amministrazione può essere affidata solo ad un organo collegiale e quindi è esclusa la possibilità di nominare un amministratore unico. Spetta perciò a tale organo la gestione della società. I poteri del consiglio possono essere delegati ad uno o più dei suoi componenti. Il consiglio è composto da almeno due componenti anche non soci nominati dal consiglio di sorveglianza.

La funzione di controllo, nel sistema dualistico, è affidata al consiglio di sorveglianza, nominato dall’assemblea dei soci e costituito da almeno tre componenti anche non soci. La funzione di

24

http://www.tuttocamere.it/files/dirsoc/Soc_Cap_Modelli_Amm_Contr.pdf 20 gennaio 2017; 13:00.

(27)

27

controllo ricalca quella del collegio sindacale: riveste le funzioni sia di vigilanza e le responsabilità ed inoltre le funzioni dell’assemblea ordinaria. Il controllo contabile è affidato ad un organo esterno: società di revisione o revisore.

Infine il sistema monistico prevede un modello di amministrazione simile al sistema tradizionale. In questo modello la gestione dell’impresa spetta al consiglio di amministrazione, nominato dall’assemblea dei soci e non è prevista la possibilità di nominare un amministratore unico. Il controllo legale è affidato al comitato per il controllo sulla gestione eletto dal consiglio di amministrazione al suo interno e composto da amministratori non esecutivi. Almeno uno dei componenti deve essere iscritto al registro dei revisori legali e gli amministratori devono possedere il requisito dell’indipendenza e di onorabilità e professionalità. A tale organo spettano le funzioni di vigilanza sull’adeguatezza della struttura organizzativa e del sistema di controllo interno, nonché altri compiti assegnati dal consiglio di amministrazione. Quindi al consiglio di amministrazione spetta sia la funzione di amministrazione che di controllo. La revisione legale dei conti è affidata ad un revisore o ad una società di revisione esterni.