CAPITOLO SECONDO Il D.Lgs. 231/2001 e i Modelli di Organizzazione, Gestione e Controllo

46

CAPITOLO SECONDO

Il D.Lgs. 231/2001 e i Modelli di Organizzazione, Gestione e

Controllo

47

1. Il D.Lgs. 231/2001 e il sistema di controllo interno

È noto ormai, come il decreto legislativo 231/2001 abbia introdotto nel nostro ordinamento giuridico la responsabilità amministrativa, ovvero la responsabilità degli enti per gli “illeciti amministrativi dipendenti da reato”. La responsabilità risulta essere di natura amministrativa e deriva dalla commissione di alcuni reati da parte di soggetti che si trovano in un rapporto specifico con l’ente stesso, sempreché, naturalmente, il reato sia stato commesso “nell’interesse dell’ente o a

suo vantaggio” (la cosiddetta colpa da organizzazione).

L’ente incorre nella responsabilità amministrativa, rischiando perciò di subire diverse sanzioni, se il reato è stato commesso:

- _{da soggetti in posizione apicale, quali appunto persone che rivestono} funzioni di rappresentanza, di amministrazione o direzione dell’ente o di una unità operativa autonoma, o comunque persone che esercitano, anche di fatto, la gestione e il controllo dell’ente,

- _{oppure da soggetti sottoposti alla direzione o alla vigilanza di soggetti} apicali.

Sempre il D.Lgs. 231/2001, prevede la possibilità per l’ente di esimersi dalla responsabilità per i reati commessi dai soggetti posti in posizione apicale, purché sia in grado di dimostrare che:

a) l’organo dirigente ha adottato ed efficacemente attuato, prima che l’illecito fosse stato commesso, modelli di organizzazione e gestione idonei alla prevenzione dei reati del tipo di quello commesso;

1

Su approfondimenti sul sistema di controllo interno nella letteratura economico-aziendale si veda in particolare: L. Marchi, Principi di revisione, Bologna, Clueb, 1999; M. Pini, Il sistema di controllo interno. Dimensione logico-aziendali e valenze normative, Milano, Egea, 2000; G. Bruni, La revisione aziendale. Quarta edizione, Torino, UTET Libreria, 1996; M. Comoli, I sistemi di controllo interno nella corporate governance, Milano, Egea, 2002.

48

b) il compito di vigilare sull’osservanza dei modelli e di aggiornarli è stato affidato ad un organismo dell’ente dotato di autonomi potere di iniziativa e controllo;

c) gli autori del reato hanno commesso lo stesso eludendo fraudolentemente i modelli organizzativi;

d) e infine, non vi è stato omessa o insufficiente vigilanza da parte dell’organismo.

Qualora l’ente decida di avvalersi del dettato dell’art. 6 del D.Lgs. 231/2001, che prevede appunto la clausola esimente, la norma è sicuramente destinata ad influire sul sistema di controllo interno all’organizzazione.

Sicuramente i modelli previsti dal D.Lgs. 231/2001 non coincidono perfettamente con il sistema di controllo interno, anche se presentano due importanti punti di intersezione.

1. La responsabilità dell’organo dirigente per la loro adozione. Infatti è sicuramente condivisibile l’opinione secondo cui il procedimento di adozione ed implementazione dei modelli rappresenta l’esatto adempimento di un obbligo di corretta gestione dell’impresa da parte degli amministratori.

2. La costituzione dell’organismo di vigilanza sul funzionamento, sull’osservanza e sull’aggiornamento dei modelli; in merito a quest’ultimo sorge il quesito della collocazione di questo “inedito” protagonista del governo dell’ente.

Detto questo risulta comprensibile come il sistema di “protocolli” per la gestione del rischio di reato, così come previsto dal D.Lgs. 231/2001 all’art. 6, comma 2, viene ad inserirsi, contemporaneamente integrandolo, nel sistema di controllo interno della società2.

Il sistema di controllo interno è parte integrante del più ampio sistema di

Governance aziendale, e risulta composto da composto da un insieme piuttosto

2

Per una consultazione: M. Furlanetto, Sistema di controllo interno e responsabilità degli enti ‘ex’ D.Lgs. 231/2001, in Contabilità finanza e controllo, volume 28, fascicolo 8/9, 2005.

49

ampio di elementi, quali persone, strumenti, metodologie…, che complessivamente sono diretti a favorire il raggiungimento dei seguenti obiettivi3:

l’efficacia ed l’efficienza dei processi, siano essi informativi, decisioni ed operativi, il quale coincide con il controllo di gestione;

la trasparenza gestionale, o detto in altri termini l’attendibilità delle informazioni di bilancio, che equivale al controllo amministrativo contabile;

e il rispetto delle norme in vigore, ovvero il controllo di conformità alle leggi e ai regolamenti attualmente in vigore4.

Dopo questa prima definizione, è importante sottolineare come, ad oggi, non esiste ancora una definizione di sistema di controllo interno univoca, condivisa e accettata da tutto il mondo operativo e dalla dottrina economico-aziendale5, anche se il tema del controllo interno risulta essere oggetto di analisi in numerosi ambiti, come: nella revisione contabile, nell’Internal Auditing, nella Corporate

Governance, nella sicurezza informatica, …..

Una tra le definizioni più conosciute e diffuse di controllo interno risulta essere quella proposta in Italia dal “Progetto Corporate Governance per l’Italia” (PCGI). Secondo quanto stabilito in tale ambito il controllo interno è :

“un processo svolto dal consiglio di amministrazione, dai dirigenti e dagli altri

operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sella realizzazione degli obiettivi rientranti nelle seguenti categorie:

3

Si veda inoltre A. Garzoni, Il controllo strategico, Milano, EGEA, 2003.

4

Il tema che riguarda la relazione tra il governo dell’azienda e il controllo interno è stato ampiamente dibattuto anche nella dottrina economico-aziendale italiana. Fra i principali autori che si sono pronunciati in materia ricordiamo: U. Bertini, Il sistema d’azienda, Torino, Giappichelli, 1976; G. Airoldi, G. Forestieri, Corporate Governance. Analisi e prospettive del caso italiano, Milano, Egea, 1998; M. Reboa, Proprietà e controllo d’impresa. Aspetti di corporate governance, Milano, Giuffrè, 2002

5

Per quanto riguarda le definizioni di sistema di controllo interno a livello italiano, meritano di essere segnalate le definizioni date da: Consiglio Nazionale dei Dottori Commercialisti, Doc. n. 400, La valutazione dei rischi e la valutazione del sistema di controllo interno, Milano, Giuffrè, 2002, e sempre della stessa associazione, la Guida operativa per la vigilanza al sistema di controllo interno, Milano, 1999. Inoltre, per un ulteriore approfondimento si veda: BORSA ITALIANA, Codice di autodisciplina delle società quotate, Milano, 1999.

50

efficacia ed efficienza della attività operative; attendibilità delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore”6.

Risulta importante anche proporre la definizione che la Banca d’Italia da del sistema di controllo interno:

“L’insieme delle regole, delle procedure e delle strutture organizzative che

mirano ad assicurare delle strategie aziendali e il conseguimento dell’efficacia e dell’efficienza dei processi aziendali, della salvaguardia del valore delle attività e protezione dalle perdite, dell’affidabilità e integrità delle informazioni contabili gestionali, della conformità delle operazioni con la legge, la normativa di vigilanza, le disposizioni interne dell’intermediario”.

Siffatte definizioni sono molto importanti, in quanto in grado di mettere in luce alcuni concetti di estrema importanza, quali appunto che:

- _{il sistema di controllo interno risulta essere un particolare tipo di processo;} - _{il sistema di controllo interno viene svolto da persone;}

- _{il sistema di controllo interno può essere in grado di “garantire”, al} consiglio di amministrazione e al management, in generale, una ragionevole sicurezza, anche se non assoluta, sulla realizzazione di determinati obiettivi.

Per quanto riguarda poi gli obiettivi che il sistema di controllo interno intende raggiungere, secondo quanto disposto dal CoSO report7, questi sono identificabili:

6

Cfr. Coopers&Lybrand, Il sistema di controllo interno, Milano, Il Sole 24 ORE, 1997.

7

Il CoSO report (Committee of Sponsoring Organizations of the treadway Commission) costituisce il testo conclusivo di uno studio nato negli Stati Uniti da un’iniziativa del settore privato e in particolare delle più prestigiose associazioni professionali d’America che hanno dato vita alla Treadway Commission. La Commissione è stata istituita nel 1985 per individuare le cause dei falsi in bilancio e formulare suggerimenti per arginare questo fenomeno. Il Rapporto è stato tradotto ed adattato alla realtà italiana dal Progetto Corporate Governance per l'Italia, il cui lavoro è stato raccolto in Il sistema di controllo interno, Coopers e Lybrand, 1997.

E’ grazie al CoSO report che possono essere evidenziati ed analizzati i cinque componenti del sistema di controllo interno (ambiente di controllo, valutazione dei rischi, attività di controllo, informazioni e comunicazione, monitoraggio), legati da una forte interrelazione e derivanti dal modo in cui l’azienda è gestita e dal modo in cui gli stessi sono integrati nel processo manageriale.

51

 nell’impiego efficace ed efficiente delle risorse a disposizione dell’azienda;

 nella redazione e nella pubblicazione di bilanci attendibili;

 e nell’osservanza delle leggi e dei regolamenti in vigore, da parte dell’azienda.

Sempre secondo quanto disposto dal CoSO report, il sistema di controllo interno risulta essere composto da cinque componenti, strettamente collegate ed integrate con i processi gestionali aziendali:

1. l’ambiente di controllo o control environment; 2. la valutazione dei rischi, o risk assessment; 3. l’attività di controllo o control activities;

4. le informazioni e le comunicazioni, ovvero information & comunication; 5. e il monitoraggio, o monitoring.

Infine, resta da dire come l’efficacia di un sistema di controllo interno dipenda dall’attenzione continua del Capo dell’esecutivo, il quale deve assumerne la “paternità”, determinando le condizioni ambientali favorevoli al pieno sviluppo del processo8.

8

V. Pastin, Relazione al Convegno "Corporate crime in America: strengthening the good citizen corporation", 7/8 settembre 1995, disponibile sul sito www.ussc.gov, il quale, tra i fattori dell'organizzazione societaria che influiscono sull'effettività dei compliance programs, menziona due tipologie di condotta dei vertici: l'adozione di sistemi premiali conseguenti al raggiungimento di obiettivi economici ottenuti senza il rispetto dei principi etici adottati e le ritorsioni avverso i dipendenti che hanno segnalato illeciti o violazioni del codice etico.

52

2. L’Organismo di Vigilanza e gli attori della Governance

Questo paragrafo sarà incentrato sull’esame delle relazioni che l’OdV può intrattenere con gli altri attori che intervengono nei processi di controllo e di risk

management e questo per il fine ultimo di mettere in evidenza il contributo che

alcuni attori aziendali possono offrire allo sviluppo di un sistema di controllo interno orientato alla gestione dei rischi9.

Naturalmente gli attori rientranti in questa sfera possono cambiare da azienda ad azienda, anche in relazione al modello di Corporate Governance adottato dalla società stessa, all’assetto organizzativo, alle dimensione e al settore di attività nel quale l’impresa opera.

Quando si parla del modelli di Corporate Governance si fa ovviamente riferimento all'insieme di strumenti, regole, relazioni, processi e sistemi aziendali finalizzati ad una corretta ed efficiente gestione dell’impresa, intesa come sistema di compensazione fra gli interessi (potenzialmente divergenti) dei soci di minoranza, dei soci di controllo e degli amministratori di una società. La struttura della Corporate Governance esprime quindi le regole e i processi con cui si prendono le decisioni in un’azienda, le modalità con cui vengono decisi gli obiettivi aziendali nonché i mezzi per il raggiungimento e la misurazione dei risultati conseguiti.

Attualmente, tre sono i sistemi di Corporate Governance che una società di capitali può adottare in alternativa:

1. il sistema tradizionale;

2. il sistema monistico, disciplinato dagli artt. dal 2409 sexiesdecies al 2409

noviesdecies del codice civile, prevede che l’amministrazione della società

sia affidata ad un Consiglio di Amministrazione collegiale, che il controllo

9

Per una consultazione: D. Galletti, I modelli organizzativi nel d. lgs. N. 231 del 2001: le implicazioni per la corporate governance, in Giurisprudenza commerciale, volume 33, fascicolo 1, 2006.

53

sulla gestione sia affidato ad un Comitato per il Controllo interno, costituito ed eletto in seno al CDA e che il controllo contabile sia affidato ad un revisore esterno. Questo tipo di struttura si ritrova spesse volte nelle società anglosassoni;

3. il sistema dualistico, disciplinato dagli artt. 2409 octies e ss., risulta essere caratterizzato da una struttura che prevede l'elezione da parte dell'assemblea di un organo denominato Consiglio di Sorveglianza, il quale elegge a sua volta un Consiglio di Gestione.

Il sistema dal quale parte l’indagine in corso è il sistema tradizionale, il quale, come noto, si caratterizza per la presenza di un Consiglio di Amministrazione e di un Collegio Sindacale. Nell’ambito di questo sistema, si possono individuare le figure chiave del sistema di controllo interno, che sono:

- _{il Consiglio di Amministrazione;} - _{il Comitato per il Controllo Interno;} - _{il Collegio Sindacale;}

- _{l’Organismo di Vigilanza;} - _{l’Internal Auditing}10_;

- _{il Dirigente preposto alla redazione dei documenti}11_; - _{il Controller,}

- _{e il Risk management}12_.

Già è stato detto a sufficienza dei vari compiti affidati all’OdV; quello però che adesso, in questo contesto, vale la pena analizzare sono le relazioni che l’OdV intrattiene con i vari attori del sistema di controllo interno.

10

In merito all’Internal Auditing si veda: M. Allegrini, S. Bianchi Martini, La corporate governance in Italia, Regno Unito e Stati Uniti. Modelli e pratiche a confronto, Milano, Franco Angeli, 2006; C. Dittmeir, Internal Auditing. Chiave per la corporate governance, Milano, Egea, 2007.

11

Per un approfondimento si veda: L. De Angelis, Il dirigente preposto alla redazione dei documenti contabili societari, in Le Società, n. 4, 2006.

12

Per ulteriori approfondimenti, si veda G. D’Onza, Il sistema di controllo interno nella prospettiva del risk management, Milano, Giuffrè, 2008.

54

È noto come la nomina dell’OdV sia di competenza del Consiglio di Amministrazione. A questo l’Organismo di Vigilanza riferisce direttamente e lo informa in merito all’applicazione e all’efficacia del Modello di Organizzazione, Gestione e Controllo, almeno semestralmente.

L’Amministrazione della società, deve mettere a disposizione dell’Organismo sia risorse umane, garantendo il supporto dell’Internal Audit, della Direzione Finanziaria e Legale, sia risorse finanziarie per lo svolgimento dell’attività di verifica.

In merito all’attività di reporting dell’OdV dobbiamo dire che questa si articola secondo due linee:

1. la prima, prettamente su base continuativa, direttamente al Presidente, o al Vicepresidente, o all’Amministratore Delegato, secondo da quanto stabilito all’interno dell’organizzazione;

2. la seconda, su base semestrale invece, verso appunto il Consiglio di Amministrazione e verso il Collegio Sindacale.

Il Consiglio di Amministrazione interagisce con l’Organismo di Vigilanza anche in virtù del ruolo che gli viene assegnato dal Codice di Autodisciplina di Borsa Italiana. L’art. 8.C.1. così detta:

“Il consiglio di amministrazione, con l’assistenza del comitato per il controllo interno:

a) definisce le linee di indirizzo del sistema di controllo interno, in modo che i principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre criteri di compatibilità di tali rischi con una sana e corretta gestione dell’impresa; …”

Per quanto riguarda poi la responsabilità amministrativa, al CdA compete la scelta in merito alla adozione di un modello di controllo atto ad evitare il verificarsi di eventi e reati tali per cui la società incorrerebbe nella responsabilità così come definita dal D.Lgs. 231/2001. Ed anche qui si intrecciano le attività dei

55

due organi, in virtù del fatto che all’OdV spetta la verifica dell’efficace attuazione del Modello 231, rientrante appunto nel più ampio sistema di controllo interno.

Nella definizione dell’assetto organizzativo del sistema integrato rischi-controlli, il Consiglio di Amministrazione può decidere di istituire al proprio interno il Comitato per il Controllo Interno. La sua istituzione è raccomandata dal Codice di Autodisciplina, il quale gli attribuisce compiti e funzioni di natura consultiva e propositiva dei confronti del CdA in merito ai controlli interni.

Merita adesso un commento il rapporto intercorrente tra il Collegio Sindacale e l’OdV.

È evidente come, sia per la notevole affinità professionale, sia per i compiti che gli sono stati attribuiti dalla legge13, il Collegio Sindacale è uno degli interlocutori “istituzionale” dell’Organismo. Già prima dell’entrata in vigore del D.Lgs. 231/2001 la normativa prevedeva uno stretto coordinamento tra il Collegio Sindacale e, da un lato, la società di revisione, dall’altro, “coloro che sono preposti al controllo interno”; in seguito all’introduzione del decreto sulla responsabilità amministrativa delle imprese, non si è fatto altro che rafforzare questo legame.

Come già evidenziato nel paragrafo dedicato interamente all’Organismo di Vigilanza, si sa che questo, una volta istituito, risulta essere la funzione aziendale cui spetta il controllo del Modello, vale a dire il controllo sulle procedure etiche, preventive, organizzative e gestionali adottate per evitare di incorrere nelle responsabilità di cui al D.Lgs. n. 231/2001.

Pertanto ha una competenza ratione materiae14 sul rispetto di un particolare

ambito di normativa applicabile alla società. Dovrà, di conseguenza, diventare il

13

Il Testo Unico della Finanza afferma il ruolo del Collegio Sindacale quale organo preposto alla vigilanza sull’adeguatezza del sistema di controllo interno aziendale e allo svolgimento di indagini particolari su fatti anomali, con la conseguente necessità di promuovere azioni correttive da parte degli amministratori o dell’assemblea.

14

Ratione materiae significa, “con riferimento a quella materia” quindi “ha una competenza specifica”.

56

destinatario di ogni informazione utile a questo fine da parte del collegio sindacale.

I sindaci, dal canto loro, essendo comunque investiti della responsabilità di valutare l’adeguatezza “in generale” dei sistemi di controllo interno, dovranno essere sempre informati dell’eventuale commissione dei reati considerati, così come di eventuali carenze del Modello: in tal modo essi potranno attivarsi secondo quanto previsto dalla legge15.

In ogni caso è opportuno, soprattutto per garantire l’indipendenza funzionale dell’OdV, che i sindaci vengano informati periodicamente sull’attuazione (e sulle proposte di aggiornamento) del Modello, con apposita relazione scritta, da parte dell’OdV.

In merito al Dirigente Preposto alla Redazione dei documenti contabili, è importante sottolinea come questo soggetto si inserisca nell’ambito del controllo amministrativo contabile con l’obiettivo di prevenire la commissione di quegli eventi che potrebbero causare una scarsa attendibilità dei dati inseriti in Bilancio. Nello svolgere della sua attività, dovrà quindi relazionarsi con i vari attori della

Governance, tra cui: il Collegio Sindacale, il Comitato per il Controllo Interno

(ove esistente) e l’Organismo di Vigilanza.

L’OdV per svolgere i propri compiti spesso si avvale della funzione di Internal

Audit16; in tale ambito, personale dedicato al controllo interno riferisce direttamente all’Organismo. A quest’organo deve essere garantito l’accesso a informazioni e documentazione messe a disposizione dalla Direzione Legale, Finanziaria e dalla Direzione Risorse Umane.

15

In merito si veda U. Bertini, Le funzioni del Collegio sindacale e il controllo della gestione, in AAVV, Saggi di Ragioneria e di economia aziendale: scritti in onore di Domenico Amedeo, Padova, Cedam, 1987.

16

Per eventuali approfondimenti sull’Internal Audit si veda P. Tettamanzi, Internal Auditing. Evoluzione storica, stato dell’arte e tendenze di sviluppo, Milano, Egea, 2003.

57

L’IA17, in virtù della sua funzione di valutazione e miglioramento del sistema di controllo interno, ha beneficiato dall’entrata in vigore, nel nostro ordinamento, di varie norme, tra qui appunto il D.Lgs. 231/2001. Secondo la definizione coniata dall’Institute of Internal Auditors nel 1999, l’IA è un’ “attività indipendente ed

obiettiva di assurance e consulenza finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione (…) che genera valore aggiunto in quanto finalizzata a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance”. In virtù dello svolgimento dei propri compiti l’IA si

trova ad interagire con una pluralità di interlocutori, tra i quali appunto l’Organismo di Vigilanza.

Sempre in relazione ai contatti che l’Organismo di Vigilanza può avere con altri organi societari, dobbiamo dire che sarebbe opportuno che i protocolli aziendali prevedessero almeno una riunione tra la Società di Revisione, il Collegio Sindacale, il Comitato per il Controllo Interno (ove esistente) e l’Organismo di Vigilanza, prima della seduta del Consiglio di Amministrazione indetta per l’approvazione del bilancio, che abbia per oggetto tale documento.

In relazione poi ai rapporti intrattenuti con la Società di Revisione, è in ogni caso opportuno che l’Organismo di Vigilanza, per aumentare la percezione del grado di indipendenza funzionale dello stesso, rediga ed invii alla società che si occupa della revisione una relazione periodica sull’attuazione del Modello.

D’altro canto la società di revisione stessa deve comunicare all’OdV ogni informazione ritenuta rilevante ai fini dell’attuazione del Modello e del rispetto del D.Lgs. n. 231/2001.

Da quanto detto sino ad ora si comprende facilmente come vi sia l’obbligo per qualunque funzione aziendale (direttori, dipendenti, collaboratori) di rendere disponibili i dati, i documenti e le informazioni richieste dall’OdV.

17

Negli ultimi anni diverse ricerche empiriche sono state condotte in merito all’Internal Audit con l’obiettivo di individuare le principali caratteristiche strutturali e di funzionamento della funzione aziendale oggetto di indagine. In merito al tema trattato si veda: M. Allegrini, G. D’Onza, Internal Audit and Risk Assessment in Large Italian Companies: an Empirical Survey, in International Journal of Auditing, vol. 7, n.3, 2003; M. Baravelli, A. Vigano, L’internal Audit nelle banche, Roma, Bancaria Editrice, 2000; S. Corbella, N. Pecchiari (a cura di) Internal auditing, Milano, Egea, 1999.

58

Qualora vi fosse una violazione degli obblighi di informazione nei confronti dell’Organismo di Vigilanza, questa condotta deve essere specificatamente sanzionata. Questo principio è stato richiesto per garantire all’Organismo la possibilità concreta di avere accesso a tutte le informazioni e alla documentazione necessaria per svolgere il proprio compito di verifica e attuazione del Modello 231.

59

3. Il Modello di Organizzazione, Gestione e Controllo

I modelli di organizzazione, gestione e controllo, definiti anche Modelli 231, fanno parte del sistema di controllo interno delle società e devono perseguire, tramite il loro operato, la conformità dell’azione dell’azienda all’insieme delle norme e dei regolamenti che regolano l’attività delle imprese.

Il sistema dei modelli ex D.Lgs. 231/2001 prendono in considerazione una particolare tipologia di rischio: il rischio che vengano commessi reati all’interno dell’organizzazione aziendale (dai soggetti posti in posizione apicale a da coloro sottoposti alla direzione o al coordinamento dei primi). Il reato, perciò, in quanto rischio intrinseco per l’organizzazione, deve essere sempre oggetto di attenzione dei massimi livelli dell’organizzazione18.

Quando si parla di Modelli organizzativi non si può non parlare del Gruppo di Lavoro sulla responsabilità amministrativa delle persone giuridiche, istituito in seno alla Confindustria, il quale ha emanato, nel marzo del 2002, le Linee Guida

per costruzione dei Modelli di Organizzazione, Gestione e Controllo ex D.Lgs. n. 231/2001.

Secondo quanto stabilito da queste linee guida, e tenendo ben presente il dettato dell’art. 6, comma 2, del D.Lgs. 231/2001, il processo di costruzione del modello esimente si articola in due fasi:

1. l’identificazione dei rischi: ovvero il contesto aziendale deve essere

sottoposto ad analisi al fine di identificare le aree gestionali e le modalità secondo cui si possono verificare i comportamenti sanzionati dal D.Lgs. 231/2001;

2. la progettazione e la realizzazione del sistema di controlli (i cosiddetti protocolli che debbono guidare la formazione e l’attuazione delle

decisioni dell’ente, di cui parla, per l’appunto, l’art. 6 del D.Lgs. 231/2001): il sistema esistente all’interno dell’ente deve essere sottoposto

18

G. D’Onza, Le condizioni di efficacia dei modelli di organizzazione, gestione e controllo ex D.LGS. 231/2001, in Revisione Contabile, fascicolo 72, 2006.

60

a valutazioni e ad eventuali adeguamenti in termini di capacità di contrastare efficacemente i rischi identificati. In altri termini ciò significa ridurre il rischio ad un livello accettabile, e per ottenere questo risultato sarà necessario agire su due fattori determinanti:

- _{la probabilità di accadimento dell’evento,} - _{e l’impatto dell’evento stesso}19_.

Un siffatto sistema di controllo persegue l’obiettivo di escludere che un qualunque soggetto, operante all’interno della società, possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali ed evitare che il reato possa essere causato da errore umano, negligenza o imperizia nell’applicazione delle direttive aziendali. Inoltre, il fine ultimo cui tende un efficace sistema di gestione del rischio è sicuramente quello di ridurre il rischio di commissione dei reati, essendo comunque impossibile costruire un sistema in grado di eliminare completamente la possibilità che una persona violi la legge penale20.

Dalla coessenziale natura “ripetitiva” del rischio di commissione di illeciti, deriva la necessità che un sistema di gestione del rischio non possa tradursi in un’attività da svolgersi una tantum, dovendo invece tradursi in un processo continuo, o comunque periodico, da reiterare con particolare attenzione in alcuni momenti di rilievo per l’attività dell’ente stesso.

Una volta implementato un sistema di controllo basato sul Modello 231, le procedure (ovvero i protocolli) saranno disegnate in maniera tale che il soggetto non solo deve volere l’”evento reato”, ma per potere perpetrare il suo proposito criminoso deve anche aggirare fraudolentemente le indicazioni fornite dall’ente. Detto tutto questo si evince che la realizzazione di un sistema di gestione del rischio richiede che si compiano i seguenti passi operativi:

19

L’impatto dannoso del reato è rappresentato, in via principale, dalle sanzioni potenzialmente irrogabili all’ente.

20

Si veda: C. Monesi, I modelli organizzativi ex D.Lgs. 231/2001. Etica d’impresa e punibilità degli enti, Milano, Giuffrè, 2005; F. Santi, op. cit.

61

a. l’inventariazione degli ambiti aziendali di attività; b. l’analisi dei rischi potenziali;

c. e la valutazione-costruzione-adeguamento del sistema di controlli preventivi21.

Per garantire una adeguata efficacia preventiva, il Modello di organizzazione deve essere redatto secondo le specifiche caratteristiche del singolo ente; sarà senz’altro personalizzata la “mappatura dei rischi”, primo elemento questo da valutare per identificare le aree in cui l’attività di gestione potrebbe essere esposta alla commissione dei reati previsti dal D.Lgs. 231/2001.

Secondo quanto disposto dall’art. 6, comma 2, del D.Lgs. 231/2001, i Modelli di organizzazione e controllo atti prevenire gli illeciti22 devono rispondere alle seguenti esigenze:

a) individuare le attività nel cui ambito possono essere commessi reati; è

necessario individuare l’ambito di attività della singola impresa, dopodiché sarà necessario elencare e approfondire le zone “a rischio”, fornendo particolare attenzione a quei reati che possono essere commessi da soggetti posti in posizione apicale o a loro subordinati. Per essere adeguato, il sistema di prevenzione degli illeciti deve essere in grado di escludere che nessun soggetto operante all’interno dell’impresa possa giustificare il compimento del reato adducendo l’ignoranza delle direttive impartite a livello aziendale23. Detto in altri termini, le misure preventive del modello devono essere tali che l’agente non solo dovrà “volere” il reato, ma dovrà pure, per poter attuare il suo proposito criminoso, aggirare fraudolentemente le policies dell’ente.

21

Per ulteriori approfondimenti si veda S. Beretta, Valutazione dei rischi e sistema di controllo interno, Milano, Università Bocconi editrice, 2004.

22

L. D. Cerqua (a cura di), La responsabilità da reato degli enti : modelli di organizzazione, gestione e controllo e strategie per non incorrere nelle sanzioni, HALLEY, 2006.

23

Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, 2004. Queste linee guida sono state in alcuni casi declinate nel dettaglio da alcune associazioni di categoria, così come previsto dal decreto, come ad esempio ABI (Associazione bancaria italiana), ANIA (Associazione nazionale fra le imprese assicuratrici), ASSOBIOMEDICA, FARMAINDUSTRIA, AIOP (Associazione italiana ospedalità privata), ANCE (Associazione nazionale costruttori edili), ASSOSIM, ASSTRA (Associazione trasporti).

62

b) Prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; i Modelli

devono essere il più dettagliati possibile e devono contenere al loro interno le procedure che permettono una adeguata formazione sui rischi dei reati da prevenire. Prima di procedere alla individuazione dei reati, devono essere individuati i soggetti a cui compete il potere di prendere le decisioni; una volta poi individuati i soggetti, si dovrà procedere stabilendo le specifiche procedure da seguire nel processo di scelta delle singole operazioni.

c) Individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; anche questo requisito risulta essere molto soggettivo;

si dovrà infatti andare ad effettuare una valutazione delle condizioni delle singole società, a seconda delle diverse dimensioni.

d) Prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli; perché l’Organismo di

Vigilanza possa svolgere i propri compiti in maniera corretta ed adeguata, è necessario che questo organo possa avere accesso alle informazioni aziendali. Perciò nei Modelli devono essere previsti obblighi di informazione periodica nei confronti dell’Organismo.

e) Introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Per assicurare che vengano rispettate le

disposizioni contenute nel Modello di Organizzazione e Controllo, la violazione delle disposizioni in esso contenute devono essere sanzionate con adeguati provvedimenti di natura disciplinare; anche l’omessa, insufficiente o inadeguata comunicazione di informazioni o il rifiuto di mettere a disposizione dell’Organismo di Vigilanza la documentazione da quest’ultimo richiesta, devono essere sanzionate dall’ente per violazione del codice disciplinare.

Resta comunque da dire che il Modello di organizzazione e controllo previsto dal D.Lgs. 231/2001 per essere efficace, deve far sì che il valore della diminuzione dei rischi di commissione dei reati sia superiore a quello della sua messa in opera.

63

4. Le fasi di implementazione del Modello 231

Le aziende che decido di avvalersi della clausola esimente, così come dettata dall’art. 6 del D.Lgs. 231/2001, devono implementare al proprio interno un Modello di Organizzazione, Gestione e Controllo.

Quattro sono le fasi necessarie per istituire un Modello 231 all’interno di una azienda:

1. la prima fase è quella della pianificazione, attraverso la quale si procede a raccogliere le informazioni e i dati della società, che occorreranno per una corretta pianificazione delle attività. Questa prima fase potrà prevedere:

- _{riunioni preliminari per la pianificazione organizzativa} dell’intervento, che vedono coinvolti l’Amministratore Delegato e i responsabili delle varie funzioni aziendali;

- _{interviste con i referenti delle varie unità operative per raccogliere} informazioni relative alle caratteristiche dell’attività aziendale e attuare così una prima ricognizione delle aree a rischio;

- _{sarà analizzato, qualora esistente, il manuale dei processi ed il} sistema di certificazione della qualità.

Una volta acquisite tutte queste conoscenze, la fase della pianificazione terminerà con la predisposizione di un piano dettagliato di lavoro.

2. La seconda fase per l’adeguamento al D.Lgs. 231/2001 è quella dell’attività di diagnostica, la quale al suo interno prevede tre micro fasi differenti:

a) la programmazione dell’attività di risk assessment e l’attuazione di interviste ai responsabili delle aree più sensibili ai rischi;

b) la raccolta e l’elaborazione delle informazioni individuate al punto a);

64

c) l’individuazione e la definizione delle attività più rischiose e le diverse modalità di attuare i reati.

3. La terza fase è quella della progettazione. Durante questa fase vengono analizzati il sistema organizzativo e il sistema di controllo interno esistenti all’interno dell’azienda, con il fine ultimo di individuare se i controlli presenti all’interno dell’ente stesso sono in grado di poter prevenire i reati ed individuare i potenziali ambiti di miglioramento. Nella fase della

progettazione viene utilizzata la “gap analysis” che consiste nel

confrontare:

- _{il sistema di controllo interno già esistente, ed}

- _{il modello di organizzazione, gestione e controllo che dovrà essere} implementato secondo quanto disposto dal D.Lgs. 231/2001.

Da questo confronto possono scaturire eventuali carenze ed aree nelle quali è preferibile intervenire.

Una volta svolte queste operazioni, sarà possibile fornire raccomandazioni e suggerimenti per migliorare le procedure, la tracciabilità delle operazioni, i poteri autorizzativi, ed infine i controlli di linea e i livelli di supervisione per predisporre un adeguato modello organizzativo.

4. Infine, l’ultima fase è quella della predisposizione del Modello 231.

Il Modello 231, idoneo a prevenire i reati oggetto del decreto, si compone di vari elementi:

- _{il codice etico, il quali risulta essere un documento ufficiale di una} impresa, contenente:

a) l’enunciazione dei valori su cui si fonda la cultura dell’impresa; b) e/o la dichiarazione delle responsabilità verso ciascuna categoria

di stakeholders;

c) e/o la specificazione più o meno dettagliata delle politiche aziendali in materia di etica d’impresa;

65

d) e/o l’indicazione delle prescrizioni alle quali i lavoratori devono attenersi per tradurre in atto le “politiche etiche” dell’impresa. In sostanza, quindi, il codice etico24, rappresenta una enunciazione formale dei principi generali volti a regolare i comportamenti della società, dei suoi dipendenti e dei vari collaboratori che ruotano nell’orbita dell’azienda.

L’adozione di principi etici in relazione ai comportamenti che possono integrare le fattispecie dei reati previste dal D.Lgs. 231/2001 costituisce la base su cui impiantare il sistema di controllo preventivo.

- _{Il sistema disciplinare, viene implementato per garantire che nel caso di} mancato rispetto delle direttive impartite dal Modello 231, vengano predisposte delle sanzioni a carico dei lavoratori dipendenti, degli amministratori, dei collaboratori delle società e di tutti coloro che per qualche motivo abbiamo intrattenuto rapporti contrattuali con l’ente. Pertanto, un punto qualificante nella costruzione del modello è rappresentato dalla previsione di un adeguato sistema sanzionatorio per la violazione delle norme del codice etico, nonché delle procedure previste dal modello. Le eventuali violazioni ledono il rapporto di fiducia instaurato con l’ente e devono, di conseguenza, comportare delle azioni disciplinari.

- _{Il manuale dei processi, è quel documento che al suo interno contiene la} descrizione delle attività che compongono i processi, i documenti relativi a prodotti, le unità organizzative coinvolte e le modalità con le quale vengono svolte le operazioni.

- _{Le regole di condotta, le quali individuano i comportamenti che devono} essere tenuti dai dipendenti dell’impresa, anche secondo quanto disposto dal Codice Etico.

24

Per una lettura di approfondimento si veda V. Coda, I codici etici in un’economia di mercato, in AA.VV., Codici etici e cultura di mercato, relazioni presentate al Workshop tenutosi a Milano il 5 novembre 1993.

66

- _{Il manuale dei controlli, il quale prevede al suo interno tutti gli specifici} controlli che devono essere attuati.

- _{I flussi informativi verso l’OdV, riguardano tutte le informazioni che} devono pervenire all’Organismo di Vigilanza dai dipendenti e dai collaboratori tutti della società. La comunicazione deve essere capillare, efficace, autorevole, chiara e dettagliata e periodicamente ripetuta.

- _{Ed infine, l’ultimo componente del Modello 231 risulta essere il}

regolamento dell’OdV, il quale specifica le caratteristiche strutturale e di

funzionamento dell’Organismo di Vigilanza stesso.

Per concludere è importante sottolineare come le componenti sopra descritte debbano integrarsi alla luce di una serie di principi di controllo che impongano:

• la documentazione (e quindi la verificabilità) di ogni operazione e transazione; la separazione di funzioni (per cui l'autorizzazione all'effettuazione di un'operazione deve essere sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente o controlla l'operazione stessa);

• il divieto di attribuire ad un singolo soggetto poteri illimitati; la chiara definizione di poteri e responsabilità all'interno dell'organizzazione;

• la coerenza dei poteri autorizzativi e di firma con le responsabilità organizzative assegnate.

Il sistema di controllo infine deve documentare (eventualmente attraverso la redazione di verbali) l'effettuazione dei controlli, anche di supervisione

67

5. L’obbligo di adozione del Modello di Organizzazione per le società

del segmento Star

Il segmento Star (Segmento Titoli con Alti Requisiti) è il segmento del mercato azionario dedicato alle società di medie dimensioni con capitalizzazione non superiore a 1.000 milioni di euro che, volontariamente, si impegnano a rispettare requisiti più stringenti in termini di:

- _{trasparenza informativa,} - _{liquidità e}

- _{governo societario.}

Queste società, sulla base delle recenti disposizioni regolamentari, devono adottare un Modello di organizzazione e controllo, così come dettato dal D.Lgs. 231/2001; inoltre lo stesso obbligo è stato esteso anche alle società che già risultavano quotate nel medesimo segmento di mercato.

Più nei dettagli, il Modello di organizzazione e controllo richiesto dal Regolamento dei mercati deve contenere:

1. specifici criteri e principi applicativi indicati nel Codice di Autodisciplina emanato da Borsa Italiana del marzo 2006;

2. i requisiti richiesti nel Modello di organizzazione, gestione e controllo previsto dall’art. 6 del D.Lgs. 231/2001.

Con riferimento al punto numero uno è importante dire che anche Borsa Italiana si è occupata dei Modelli di organizzazione, gestione e controllo, presentando nel 2006, tramite il suo Comitato per la Corporate Governance, la nuova edizione del Codice di Autodisciplina. Questo documento contiene al suo interno i principi di governo societario da applicare alle società italiane quotate in borsa25. Nel Codice di Autodisciplina troviamo indicazioni riguardanti:

25

M. Cruciani, S. Di Diego, G. Gentili, U. Zito, Responsabilità amministrativa di società ed enti, IPSOA, 2007.

68

- _{il ruolo e la composizione del Cda,}

- _{la nomina degli amministratori, anche indipendenti, ai comitati interni al} Consiglio di Amministrazione, ai Sindaci e ai sistemi di controllo (sia monistico che dualistico),

e, sempre all’interno dello stesso documento, viene previsto quanto segue:

“Il consiglio di amministrazione valuta l’adeguatezza del sistema di controllo interno rispetto alle dimensioni dell’impresa, con particolare attenzione all’evoluzione delle best practices e ai Modelli di organizzazione adottati ai sensi del D.Lgs. 8 giugno 2001, n.231” (responsabilità amministrativa delle società).

Questo riferimento, ai nostri fini, risulta di particolare interesse.

Il Codice di Autodisciplina di Borsa Italiana per le società quotate indica una serie di adempimenti e di procedure da seguire nel sistema di controllo interno per garantire una corretta Governance; in Codice in questione, individua come riferimento il Modello di organizzazione, gestione e controllo così individuato dal D.Lgs. 231/2001. In riferimento a questi modelli, risulta da segnalare che l’esigenza di renderne obbligatoria l’adozione è stata recepita dalla Consob con la modifica del Regolamento dei Mercati di Borsa Italiana (delibera Consob n. 15786 del 2007), rendendo di fatto obbligatoria, per le imprese del segmento Star, l’adozione del Modello di organizzazione, gestione e controllo come previsto dal D.Lgs. 231 del 2001.

L’adozione del Modello, consente alla società quotata nel segmento Star di non rispondere del reato commesso dai propri dirigenti, o dipendenti, nell’interesse o vantaggio dell’impresa stessa, solo se viene dimostrato che:

1) l’organismo incaricato della dirigenza della società, ha adottato ed efficientemente attuato, prima che il reato fosse commesso, Modelli di organizzazione e gestione atti a prevenire la commissione di illeciti come quello verificatosi;

2) il compito di vigilare sull’osservanza e sul funzionamento dei Modelli e di curarne, nel proseguo della gestione, il loro aggiornamento, è stato

69

affidato ad un organismo dell’impresa dotato di autonomi poteri ci iniziativa e controllo;

3) le persone responsabili dell’illecito, hanno compiuto il reato eludendo fraudolentemente il Modello;

4) non vi è stata insufficiente o omessa vigilanza da parte dell’organismo citato al punto b).

Naturalmente, le imprese e gli enti che non richiedono l’ammissione alla quotazione del segmento Star, e che quindi rimangono esclusi dall’applicazione della normativa in questione, non sono obbligati ad adottare Modelli di organizzazione, gestione e controllo ex D.Lgs. 231/200126.

26