Capitolo I 1.1 Il Sistema di Controllo Interno

Capitolo I

1.1 Il Sistema di Controllo Interno

Il Sistema di Controllo Interno viene definito dal Codice Preda come l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali; in altri termini tale sistema è costituito dalle attività poste in essere al fine di assicurare il rispetto sia dei corretti principi di gestione e di amministrazione dell’impresa sia dell’adeguatezza degli assetti e delle procedure organizzative aziendali. I destinatari di tali controlli sono individuabili sia negli organi volitivi dell’azienda, sia nei portatori di capitale di rischio sia, infine, nel più ampio universo costituito dagli stakeholders.

I soggetti preposti all’esercizio dell’attività di controllo sono molteplici1_{: l’Alta}

Direzione, la Funzione di Controllo Interno, il Collegio Sindacale, la Società di Revisione, l’Audit Committee e il Comitato per il Controllo Interno.

I primi quattro esistono in funzione di specifiche previsioni legislative mentre i restanti, la cui istituzione non è obbligatoria, derivano da particolari esigenze.

In particolare, l’Audit Committee trae la propria origine dall’esperienza maturata nei paesi anglosassoni mentre il Comitato per il Controllo Interno è previsto dal Codice di Autodisciplina per le Società Quotate (nella prassi “Codice Preda”).

Il Collegio Sindacale, disciplinato dal Codice Civile, è l’organo di controllo la cui azione è volta alla verifica del rispetto sia della legge e dell’atto costitutivo sia dei principi di corretta amministrazione.

Per le società quotate ed “assimilate” trova specifica disciplina nel TUF che gli attribuisce oltre agli obiettivi richiamati, lo specifico compito di vigilare:

sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo contabile nonché sull’affidabilità di quest’ultimo a rappresentare i fatti di gestione;

1[1] _{La presente nota si riferisce alle società quotate o assimilate. Pertanto i ruoli dei vari soggetti preposti} al controllo sono analizzati sulla base della specifica normativa.

sull’adeguatezza delle disposizioni impartite dalla società alle controllate ai sensi dell’art. 114, c. 2°, TUF.

Inoltre, le richiamate Istruzioni degli organi di vigilanza richiedono espressamente, per i soggetti destinatari delle stesse, che il Collegio Sindacale ponga in essere operazioni di controllo volte:

ad accertare la separatezza tra le funzioni operative e quelle di controllo, nonché in materia di gestione di possibili situazioni di conflitto di interessi nell'assegnazione delle competenze;

ad individuare i compiti e le responsabilità, in particolare in tema di rilevazione e correzione delle irregolarità riscontrate, dei soggetti preposti all’attività di controllo di gestione;

a verificare le procedure di reporting e gli interventi conseguenti all’eventuale riscontro di anomalie.

E’ opportuno sottolineare che la previsione dell’esistenza di tale sistema, riferibile in questa accezione alla Funzione di internal auditing, attenua per i Sindaci il controllo analitico degli atti, permettendo loro di concentrate maggiormente l’attenzione sulla adeguatezza degli assetti e delle procedure organizzative e di controllo.

Adeguatezza che viene intesa come idoneità del sistema ad assolvere efficacemente i compiti a cui è preposto.

In tale ottica, l’attività del Collegio Sindacale, pertanto, è indirizzata alla generale valutazione dell’effettiva idoneità del sistema di controllo interno a svolgere le proprie mansioni, senza sovrapporsi in alcun modo agli altri soggetti coinvolti, se non rilevando le inefficienze del sistema stesso e, eventualmente, suggerendo all’Alta Direzione le azioni correttive.

L’attività di controllo e monitoraggio viene svolta con il costante e continuo contatto con il Responsabile della Funzione di Controllo Interno, sia attraverso l’esame dei reports periodici (trimestrali) redatti dallo stesso sia mediante la compilazione di check lists appositamente predisposte. Un valido contributo, a tal proposito, viene individuato nella check list allegata ai “Principi di revisione”, così come formulati dalla CONSOB con la Comunicazione DEM 1058048 del 27/7/2001, di cui è opportuno ricordarne l’obbligatorietà.

E’ opportuno evidenziare come l’attività definita “revisione” costituisca una fase “ispettivo-ricognitiva” che risulta strumentale a quella definita “certificazione”, ovvero il momento “valutativo”.

La Società di Revisione svolge, pertanto, un’attività indirizzata alla verifica:

nel corso dell’esercizio, della regolare tenuta della contabilità sociale e della corretta rilevazione dei fatti di gestione nelle scritture contabili;

che il bilancio d’esercizio e che il bilancio consolidato corrispondano alle risultanze delle scritture contabili e degli accertamenti eseguiti e che siano conformi alle norme che li disciplinano.

L’attività svolta dalla Società di Revisione è inerente all’accertamento della regolare tenuta della contabilità, della corrispondenza tra bilancio e scritture contabili e dell’osservanza delle norme relative ai criteri di valutazione. Tale attività, pertanto, viene sottratta dalla sfera dei controlli del Collegio Sindacale (a differenza di quanto avviene per le società non quotate in cui tali controlli – non essendo previsto l’obbligo della certificazione del bilancio – spettano al Collegio), lasciando a carico dello stesso un controllo più generale e pregnante individuato – come già visto – sul rispetto della legge e dei principi di corretta amministrazione.

Nell’ambito del Controllo Interno, la Società di Revisione valuta le attività che presidiano gli obiettivi di attendibilità del sistema informativo aziendale e di monitoraggio dei rischi, informando l’Organo di Vigilanza (la CONSOB) e il Collegio Sindacale dei fatti ritenuti censurabili.

Da quanto fin qui detto, si evince che la valutazione del Controllo Interno rappresenta un obiettivo comune, ciascuno per le proprie finalità, degli organi preposti all’attività di controllo: il Collegio Sindacale, la Società di Revisione e, come si vedrà in seguito, la Funzione di Internal Auditing.

Ciò spiega anche la necessità che fra detti organi si attui un efficace coordinamento delle funzioni al fine di evitare una sovrapposizione dei compiti istituzionali attribuiti a ciascuno di essi.

Per “Alta Direzione” si intende, nella prassi, il più alto livello di potere sostanziale nell’azienda, esercitato dagli amministratori esecutivi, dagli amministratori delegati e dai direttori generali.

L’Alta direzione, unitamente al Comitato per il Controllo Interno (se presente), risponde del funzionamento e del miglioramento del Sistema di Controllo Interno, del quale fissa le linee di indirizzo e ne verifica periodicamente l’adeguatezza affinché i rischi aziendali siano identificati e gestiti in modo adeguato, a presidio:

del raggiungimento degli obiettivi di economicità delle operazioni;
di attendibilità del sistema informativo aziendale;

della conformità alla normativa di riferimento.

L’azione del management così individuato, secondo la Guida operativa sulla vigilanza del Sistema di Controllo Interno, si sostanzia, fra l’altro, nelle seguenti attività principali:

nella ricognizione autovalutativa complessiva dell’intero sistema, volta ad individuare le aree di rischio non sufficientemente presidiate e quelle in cui il controllo è “ridondante, obsoleto o superato”, evidenziando le modalità di intervento e le relative priorità;

nel periodico aggiornamento del documento di autovalutazione;

nell’ottenimento e nell’analisi dei risultati delle funzioni coinvolte nel controllo interno al fine di monitorare il livello di rischio residuo riconosciuto ed accertato. L’Alta Direzione trova nella Funzione di Controllo Interno il supporto più idoneo per la concretizzazione degli obiettivi istituzionalmente ad essa affidati.

Infatti, ponendo in essere i suggerimenti formulati dalla Funzione in parola, assicura la migliore affidabilità del Sistema procedurale di controllo che sta alla base dell’informativa aziendale e, quindi, del proprio processo decisionale.

L’istituzione della Funzione di Internal Auditing è prevista, nell’ambito della disciplina del diritto degli intermediari finanziari (intermediari autorizzati ex art. 107 Testo Unico Bancario, Società di Gestione del Risparmio e SICAV), dalla delibera CONSOB n. 11522 del 1.7.1998 e successive modificazioni (“Regolamento recante norme di attuazione del Decreto Legislativo 23.2.1998 n. 58”), che ne individua le funzioni e le principali caratteristiche.

la costante verifica dell’idoneità delle procedure interne al fine di assicurare il rispetto della normativa vigente, individuata nel TUF e nei relativi regolamenti di attuazione;

l’attività di vigilanza sul rispetto delle procedure interne;

la vigilanza sul rispetto del codice interno di comportamento degli organi amministrativi e di controllo, dei dipendenti e dei collaboratori;

la gestione del registro dei reclami;

l’azione di supporto consultivo ai settori dell’organizzazione aziendale con riferimento alle problematiche concernenti la prestazione dei servizi, i conflitti di interessi e i conseguenti comportamenti da tenere.

Mutuando tale impostazione organizzativa alle società quotate od “assimilate”2[15], si può definire la Funzione di Controllo Interno come l’insieme sul piano organizzativo di metodi e procedure coordinati fra loro per:

la salvaguardia del patrimonio aziendale;

il controllo dell’accuratezza e della validità dei dati contabili;

l’aumento dell’efficienza operativa e la verifica dell’aderenza delle operazioni alle linee guida ed alle politiche indicate della direzione.

Tale ottica, operativamente, si traduce:

nella verifica del rispetto dei principi di economicità, efficacia ed efficienza della gestione;

nel controllo dell’affidabilità e dell’integrità del flusso informativo sia interno che esterno;

nella verifica dell’aderenza a politiche, piani, procedure, leggi e regolamenti delle operazioni poste in essere da parte dei singoli settori aziendali e dell’impresa nel suo complesso;

2[15] _{“La norma fa presumere che il Legislatore consideri obbligatoria, nell’ambito dell’organigramma} aziendale delle quotate, la presenza di una specifica struttura deputata al controllo, quale momento qualificante di quella più generale struttura organizzativa della società sulla cui adeguatezza i sindaci sono tenuti a vigilare” – Cavalli “Il Collegio Sindacale. Nomina dei sindaci, composizione del collegio e cause di ineleggibilità e di decadenza. Rafforzamento dei poteri di indagine e comminatori” Relazione al Convegno “La disciplina degli organi sociali nel Testo Unico Draghi”, Milano, 17-18-19 giugno 1998.

nell’attività di supporto consultivo per gli altri settori dell’organizzazione aziendale sui temi di propria competenza;

nell’individuazione per ciascuna delle diverse funzioni aziendali delle principali procedure, evidenziando i rischi connessi a ciascuna di esse (mappatura delle procedure) e gli specifici controlli da porre in essere.

La disciplina di riferimento sottolinea l’importanza che tale attività sia affidata ad un Responsabile, il quale, dotato delle necessarie competenze e che abbia maturato una significativa esperienza in materia di audit, riferisca periodicamente (con appositi reports) in merito ai risultati della propria attività al Consiglio di Amministrazione e al Collegio Sindacale, anche in sede di Audit Committee.

A cura del Responsabile della Funzione è posto l’obbligo della tenuta e della compilazione del “Registro dei controlli”, in cui vengono annotate cronologicamente tutte le verifiche poste in essere, le eventuali anomalie riscontrate ed i suggerimenti proposti per la risoluzione dei problemi. Inoltre, è fatto obbligo al soggetto in parola di trasmettere, in via ordinaria, almeno una volta l’anno, in occasione dell’esame del bilancio, al C.d.A. ed al Collegio, un’apposita relazione riassuntiva che riporti, in via separata per ciascun servizio, l’oggetto delle verifiche effettuate nel corso dell’anno, gli esiti delle stesse e le eventuali proposte conseguenti nonché le decisioni eventualmente assunte dai responsabili dei settori dell’organizzazione aziendale o degli organi aziendali competenti; la relazione in parola deve altresì riportare una valutazione unitaria dei fenomeni riscontrati, nonché il piano delle verifiche programmate per l’anno successivo.

La relazione (al pari della “Relazione sulla situazione complessiva dei reclami ricevuti” redatta dal responsabile della funzione di controllo interno degli intermediari finanziari) deve essere oggetto di osservazioni e di determinazioni da parte, nell’ambito delle rispettive competenze, del C.d.A. e del Collegio Sindacale.

Il Responsabile della Funzione, per la natura dell’attività svolta, non dipende gerarchicamente da alcun Responsabile delle aree operative oggetto di verifica ma trova idonea collocazione, nell’organigramma aziendale, in posizione di “staff”con il C.d.A.

Il Codice Preda, ancorché non obbligatorio, detta per le Società Quotate, tra l’altro, le linee guida per la costituzione di un modello societario adeguato a gestire il corretto

controllo dei rischi di impresa e i potenziali conflitti di interesse che sempre possono interferire nei rapporti tra amministratori e azionisti, tra maggioranza e minoranza. In tale contesto vanno inquadrate le proposte relative alla costituzione di un Comitato (definito “Comitato per il Controllo Interno”) composto da amministratori non esecutivi (la maggioranza dei quali indipendenti), alle cui riunioni partecipano – prevede il Codice – il Presidente del Collegio Sindacale o altro Sindaco designato dal Presidente del Collegio.

Tale organismo svolge funzioni consultive e propositive in tema di attività di controllo. I compiti delineati dal Codice Preda, da integrare in funzione delle caratteristiche aziendali e delle specifiche tipologie di rischio dell’attività di impresa, sono i seguenti:
assistere il C.d.A. nell’espletamento dell’attività volta a fissare le linee di indirizzo e

di periodica verifica sull’adeguatezza del Sistema di Controllo Interno, in modo da identificare e gestire adeguatamente i principali rischi aziendali;

valutare il piano di lavoro preparato dai preposti al Controllo Interno che provvedono al periodico invio di relazioni;

valutare, unitamente ai responsabili amministrativi e ai revisori, l’adeguatezza dei principi contabili utilizzati e, nel caso di gruppi, la lroo omogeneità ai fini della redazione del bilancio consolidato;

valutare le proposte formulate dalla Società di Revisione volte all’ottenimento del relativo incarico, nonché del piano di lavoro predisposto per la revisione e dei risultati esposti nella sua relazione e nella sua lettera di suggerimenti;

la rendicontazione al Consiglio, almeno semestralmente, in occasione dell’approvazione del bilancio e della sua relazione semestrale sull’attività svolta e sull’adeguatezza del Sistema di Controllo Interno;

lo svolgimento di ulteriori compiti che gli vengono attribuiti dal Consiglio di amministrazione, particolarmente in relazione ai rapporti con la Società di Revisione.

Al fine di una maggiore chiarezza interpretativa dei compiti precedenti vale svolgere alcune considerazioni. In generale, pare che i compiti attribuiti dal Codice Preda al Comitato per il Controllo Interno generino delle sovrapposizioni con le attività che il TUF assegna al Collegio Sindacale.

In particolare la verifica dell’adeguatezza del Sistema di Controllo Interno dovrebbe rappresentare – come ricordato in precedenza – un compito esclusivo del Collegio. Anche l’attività di valutazione delle proposte formulate dalla Società di Revisione risulta una duplicazione, essendo già svolta dall’Assemblea dei Soci, previo parere del Collegio.

Si ricorda che il Codice Preda è una fonte regolamentare, incapace quindi, di modificare il Testo Unico, al quale risulta gerarchicamente subordinata.

Infine, alcune delle attività del Comitato sembrano sovrapporsi a quelle che nella prassi anglosassone ed internazionale sono attribuite all’Audit Committee. Ciò si verifica esclusivamente quando sono presenti entrambe le entità.

Da tutto quanto detto in precedenza in tema di Controllo Interno e degli organi ad esso interessati, il Comitato in parola rappresenta la migliore interpretazione della Funzione di Controllo Interno della quale costituisce un’ottimizzazione nel momento in cui attua il raccordo tra le funzioni aziendali preposte al disegno del Sistema di Controllo Interno ed al mantenimento della sua affidabilità.

Il Comitato per il Controllo Interno assume quindi, al pari della Funzione di Controllo Interno, un fine strumentale ad assicurare il raggiungimento degli obiettivi in tema di controllo dell’Alta Direzione.

In ciò differisce dagli obiettivi del Collegio Sindacale – del quale si è già detto – e, ancor di più, da quelli dell’Audit Committee che hanno rispettivamente il compito di tutelare i terzi in generale e coordinare l’attività di gestione e di controllo nel processo decisionale del management aziendale a beneficio degli azionisti e degli stakeholder.

I principi che governano l’Audit Committee sono ispirati alla tradizione anglosassone, così come recepiti dall’esperienza internazionale, che attribuisce a tale entità una importanza fondamentale nel quadro più ampio della corporate governance.

Come già accennato in precedenza, è opportuno notare come esso si differenzi dal Comitato per il Controllo Interno

L’Audit Committee rappresenta un momento di incontro, confronto e coordinamento tra gli Organi sociali, così come richiesto dalla normativa vigente. In particolare, il TUF, al Titolo III, Capo II, Sezione V, prevede un costante rapporto di scambio di informazioni tra tutti gli organi sociali preposti al controllo. Infatti, vi prendono parte: l’Alta Direzione, il Collegio Sindacale, la Società di Revisione e la Funzione di Controllo Interno.

In quest’ottica, pertanto, l’Audit Committee, nel quadro più ampio della discussione dei temi di generale portata ed interesse relativi alla gestione dell’impresa, collegialmente e a titolo esemplificativo:

determina i criteri per la valutazione trimestrale dell’affidabilità e dell’adeguatezza del sistema di controllo interno;

individua le linee guida a cui il piano di lavoro preparato dal preposto al Controllo Interno, si deve uniformare al fine di garantire l’affidabilità e l’adeguatezza di tale Funzione;

detta i principi per la valutazione delle proposte formulate dalla Società di Revisione per ottenere l’affidamento del primo incarico, per la valutazione del piano di lavoro predisposto per la revisione e dei risultati esposti nella relazione e nella lettera di suggerimenti;

segnala trimestralmente o, in casi di particolare gravità, senza indugio al Consiglio eventuali azioni da intraprendere.

Alla luce di quanto osservato, è opportuno concludere con le osservazioni che seguono. Il Sistema di Controllo Interno è basato sull’azione combinata di diversi soggetti, la cui presenza può essere obbligatoria o facoltativa.

I soggetti “obbligatori” sono gli organi sociali a cui, a diverso titolo, la normativa vigente attribuisce compiti di controllo.

I soggetti “facoltativi” sono rappresentati dal Comitato per il Controllo Interno e dall’Audit Committee che, a dispetto del nome simile, hanno finalità diverse. L’organo collegiale definito dal Codice Preda introduce, nell’ambito dell’ottimizzazione della corporate governance, il coinvolgimento di amministratori non esecutivi (in genere di minoranza o indipendenti) nell’attività di controllo.

L’entità derivata dalla prassi anglosassone e, più ampiamente, internazionale ha la caratteristica di presentare una duplice funzione:

da una parte, un tavolo di confronto per il migliore perseguimento dell’oggetto sociale, valutando l’impatto di atti amministrativi e operazioni di gestione al fine del raggiungimento dell’obiettivo sociale;

dall’altra, un tavolo di coordinamento per l’ottimizzazione della funzione di controllo e per l’attuazione delle azioni conseguenti ai risultati delle verifiche.

Tale caratteristica ne accresce l’importanza in presenza di gruppi, specie se multinazionali, in cui il monitoraggio delle operazioni infragruppo e con parti correlate e collegate rappresenta, come evidenziato anche dall’Organo di Vigilanza italiano, un obiettivo imprescindibile in tema di governance. Tale previsione, inoltre, risulta maggiormente avvalorata dai recenti eventi accaduti in America, che hanno portato persino il Presidente degli Stati Uniti a prendere una chiara e decisa posizione in merito. E’ opportuno evidenziare come per la funzione svolta dall’Audit Committee lo renda particolarmente necessario, specie nelle realtà caratterizzate da un contesto normativo estremamente mutevole e complesso, in cui l’azione di coordinamento è volta ad evitare che talune aree di rischio non siano opportunamente presidiate e che sia evitata la duplicazione dei controlli nell’attività dei diversi organi di controllo.

Dal punto di vista operativo, per gli scopi che si propone e alla luce delle indicazioni contenute nella normativa richiamata, l’Audit Committee dovrebbe riunirsi periodicamente con cadenza almeno trimestrale e comunque ogniqualvolta gli organi in esso rappresentati lo dovessero ritenere opportuno, facendo attenzione che a tutte le riunioni partecipi almeno un rappresentate di ciascuno degli Organi sociali coinvolti e del management.

Ai propri fini, l’Audit Committee dovrebbe acquisire regolarmente la documentazione di sintesi più rilevante sia in tema di gestione aziendale che di controllo.

Delle proprie riunioni dovrebbe essere data evidenza in apposito registro dei verbali in modo che le risultanze possano essere approfondite per le conseguenti azioni dei singoli Organi partecipanti all’Audit Committee (Collegio Sindacale, Società di Revisione, Funzione di Controllo Interno e Alta Direzione).

Si ricorda infine che dell’attività svolta dall’Audit Committee deve essere data attestazione in sede di relazione annuale all’Assemblea dei soci.

Data la pervasità dei sistemi di controllo interno, tutti i membri dell’organizzazione sono responsabili del mantenimento (definizione e funzionamento) di un sistema di controllo adeguato nelle aree di propria responsabilità/attività.

I pochi anni il COSO Report, pubblicato nel settembre del 1992, è diventato in molti paesi il modello di riferimento per la comprensione e la valutazione dell’efficacia dei sistemi di controllo interno.

Il COSO Report definisce il controllo interno come un “processo messo in atto da consiglio di amministrazione, dal management e da tutto il personale, volto a fornire una ragionevole garanzia sul raggiungimento dei seguenti obiettivi:

Efficacia ed efficienza delle attività operative: ci si riferisce agli obiettivi di base dell’organizzazione, compresi quelli di performance, redditività, e protezione delle risorse;

Attendibilità delle informazioni di bilancio: rientrano in questa categoria la preparazione e la pubblicazione di bilanci attendibili nonché la diffusione al pubblico di risultati economico-finanziari;

Conformità alle leggi e alle norme vigenti (compliance).

Per conseguire tali obiettivi il Modello elaborato dal CoSO avverte di non limitarsi all’esecuzione delle attività di controllo, tipicamente attività a posteriori, o al più concomitanti con le operazioni aziendali, ma suggerisce e sostiene l’adozione di un sistema che permetta di manovrare più leve e agire a priori, ossia prima del verificarsi di un evento rischioso.

Queste leve, definite le “componenti del sistema di controllo”, sono:

l’ambiente di controllo, che determina il livello di sensibilità del personale alla necessità di controllo. Quando si parla di ambiente di controllo ci si riferisce all’integrità e ai valori etici dei dirigenti, alla competenza del personale, alla filosofia e allo stile di direzione, ai sistemi incentivanti adottati dall’azienda;

il processo di valutazione dei rischi, che permette di individuare e analizzare i fattori che possono pregiudicare il raggiungimento degli obiettivi che l’azienda si è posta e consente di determinare come questi rischi dovranno essere gestiti;

le attività di controllo, che possono essere definite come “l’insieme delle politiche e delle procedure che assicurano al management che le sue direttive siano applicate”;
informazione e comunicazione, poiché la circolazione di informazioni3 pertinenti,

all’interno e da/verso l’esterno è essenziale per dirigere l’azienda verso gli obiettivi prefissati;

il monitoraggio, che deve assicurare l’efficacia del sistema di controllo interno nel tempo.

1.2 La normativa internazionale

In seguito alle diverse crisi aziendali a livello mondiale, le autorità governative e le associazioni di categoria hanno tutte considerato con maggiore attenzione il tema della corporate governance.

L’evoluzione della normativa a livello internazionale punta a sistemi e modelli che assicurino meccanismi di governo aziendale che salvaguardino gli interessi degli stakeholder e degli shareholder: un buon governo d’impresa che consenta il raggiungimento di obiettivi fondamentali, quali efficacia ed efficienza, trasaparenza e legalità, porterebbe al recupero di una logica in base alla quale una migliore governance significa una migliore reputazione e, quindi, un maggiore sviluppo.

E’ in quest’ottica che assume rilievo il concetto di controllo interno, ed è in questo contesto che si è sviluppata una serie di norme e di standard orientati alla definizione, alla valutazione e al rafforzamento dei sistemi di governance.

1.2.1 Stati Uniti: dal Foreign Corrupt Practices Act al Sarbanes-Oxley Act

L’interesse verso temi relativi al controllo interno si è accentuato a livello internazionale nel corso dell’ultimo trentennio a seguito del Foreign Corrupt Practice Act (FCPA), pubblicato negli Stati Uniti nel 1977 e modificato successivamente nel 1988 e nel 19984.

Il FCPA è un atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Questa legge, dunque, è stata introdotta per eliminare pratiche che avrebbero potuto influenzare in modo negativo l’integrità finanziaria delle società statunitensi.

Oltre a provvedimenti contro la corruzione, il FCPA contiene disposizioni in materia di contabilità e controllo interno: le disposizioni stesse richiedono che tutte le società

attive sul mercato mobiliare statunitense mantengano registri contabili, in modo da individuare e rintracciare eventuali pagamenti sospetti.

Un tema chiave per l’approvazione di questa legge fu l’affermazione che un buon modello organizzativo di controllo interno dovrebbe costituire un efficace deterrente contro i pagamenti illeciti.

Per le ragioni illustrate, si può ritenere che il FCPA sia stato il primo importante evento in termini di impatto sull’internal auditing. Successivamente, sono state avviate numerose iniziative in materia di controllo interno.

Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission on Fraudolent Financial Reporting, con l’obiettivo principale di individuare le cause dei falsi in bilancio e formulare raccomandazioni e suggerimenti al fine di evitare il verificarsi di questi eventi.

Nel 1987 la Commissione ha emesso una relazione che contiene alcune raccomandazioni riguardanti direttamente il controllo interno, in particolare sottolineando l’importanza dei codici di comportamento, dei comitati di auditing esperti e attivi, di una funzione di Internal Auditing efficace e obiettiva.

L’evoluzione della normativa di cui sopra ha rappresentato un importante punto di riferimento, fornendo ispirazione per il D.lgs. 231/2001 e la relativa istituzione di modelli organizzativi e di organismi di vigilanza.

Nel corso del tempo si è sviluppata una serie di nozioni e punti di vista relativi al controllo interno, espressi in proposte di legge, principi, regolamenti, nonchè in molte iniziative che hanno dato vita ad un’ampia letteratura in materia.

Una di tali proposte, riguardante le banche, è divenuta legge nel 1991: si tratta del Federal Deposit Insurance Corporation Improvement Act.

Nello stesso anno vi furono altre due iniziative importanti:

il System Auditability and Control, relazione pubblicata dall’Institute of Internal Auditors Research Foundation, che fornisce le linee guida per il controllo e la revisione dei sistemi informativi;

l’insieme delle direttive emanate dalla Federal Sentencing Guidelines per l’impiego di norme di diritto penale nell’applicazione di sanzioni per reati compiuti dal personale dipendente. Tali direttive riguardano, in particolare, gli aspetti del sistema

di controllo interno relativi al rispetto delle norme di legge e prevedono notevoli riduzioni delle sanzioni per le società munite di un efficace programma per la prevenzione e l’individuazione dei reati.

Nel 2002 gli Stati Uniti approvarono il Sarbanes-Oxley Act al fine di riconquistare la fiducia degli investitori tramite un’amministrazione aziendale più efficiente.

Gli elementi fondamentali del Sarbanes-Oxley Act sono:

indipendenza delle società di revisione contabile e vigilanza sul loro operato;

maggiore attendibilità delle informazioni finanziarie e dei processi di controllo interno contabile;

accresciuti poteri di regolamentazione e vigilanza riconosciuti alla Security and Exchange Commission.

1.2.2 Il decalogo dell’unione europea

Il varo del Sarbanes-Oxley Act nel 2002 ha avuto un effetto diretto sulle imprese europee che operano sul territorio americano direttamente o tramite consociate, e che quindi si sono trovate esposte ad una normativa penalizzante.

E’ anche per questo motivo che la Commissione Europea ha deciso di agire sull’apparato normativo in materia di società quotate emanando il piano di azione (pubblicato il 21 maggio 2003) per la modernizzazione del diritto societario e il rafforzamento della corporate governance nell’Unione Europea.

1.3 La normativa italiana

1.3.1 la normativa societaria

E’ possibile parlare oggi di un disegno di corporate governance anche per tutte quelle società che, sebbene non quotate, adottino come forma giuridica quella delle società per azioni.

Attraverso, infatti, la riforma del diritto societario e i nuovi dettami del Codice Civile (D.lgs. 17 gennaio 2003, n. 6, e i successivi decreti correttivi, denominata anche “Riforma Vietti”), è stata prevista una riforma organica della disciplina concernente le società di capitali.

Occorre precisare che per le società per azioni il legislatore ha individuato alcuni elementi distintivi riconducibili alle modalità di circolazione del capitale, dai quali deriva una distinzione tra le società che non fanno ricorso al mercato del capitale di rischio e società che invece fanno ricorso al mercato dei capitali di rischio.

Le disposizioni del codice civile si riferiscono a tutte le società per azioni, e per quelle facenti ricorso al mercato del capitale di rischio sono previste disposizioni legislative aggiuntive, giustificate dalla volontà di garantire una maggiore salvaguardia ai creditori, ai terzi e agli investitori.

Con il TUF si è rivolta particolare attenzione all’effettiva tutela delle minoranze azionarie, attraverso una rivitalizzazione del loro ruolo e un deciso rafforzamento delle difese endosocietarie, da attuarsi attraverso una più marcata specializzazione dei ruoli dei soggetti deputati ai controlli societari.

Le principali direttrici sulle quali il TUF è intervenuto riguardano:
rafforzamento dei poteri delle minoranze azionarie;

rafforzamento dei poteri di vigilanza e intervento della Consob anche nei confronti del collegio sindacale;

l’introduzione di una netta separazione di ruoli tra il collegio sindacale e la società di revisione.

I principi ispiratori della riforma del diritto societario che hanno avuto le maggiori conseguenze nell’ambito delle strutture di governance delle società per azioni e delle attività di controllo su di esse sono:

la creazione di una netta distinzione tra “soggetti gestori” e “soggetti controllori”, mediante la puntuale individuazione dei ruoli e delle funzioni effettivamente svolte dai diversi soggetti coinvolti nelle strutture di governance ;

il ruolo affidato all’autoregolamentazione: sono stati previsti ampi spazi per le forme di autoregolamentazione che investono l’attività sociale, già a partire dalla scelta dei diversi modelli di amministrazione e controllo.

Per le società per azioni, quindi, l’architettura dei controlli è oggetto di scelte imprenditoriali dalle quali dipenderanno, per esempio, le caratteristiche e i ruoli attribuiti ai soggetti incaricati dello svolgimento di funzioni di controllo contabile (revisore esterno persona fisica, piuttosto che società di revisione, oppure revisore interno alla società o esterno), e ai soggetti cui competono funzioni di controllo sull’attività amministrativa e gestionale (collegio sindacale, ovvero Comitato per il controllo sulla gestione, ovvero Consiglio di sorveglianza)5_.

1.3.2 Il D.Lgs 58/1998, Testo Unico della Finanza

Il tema del controllo interno viene affrontato in modo rilevante nel “Testo Unico delle disposizioni in materia di intermediazione finanziaria”, anche denominato “Testo Unico della Finanza” (detto anche “riforma Draghi”), con l’obiettivo di garantire la tutela degli investitori e il buon funzionamento del sistema finanziario, attraverso il rispetto dei principi di trasparenza e correttezza dei comportamenti.

Il TUF (art. 21) prevede che nella prestazione dei servizi di investimento e accessori i soggetti abilitati devono disporre di risorse e procedure anche di controllo interno, idonee ad assicurare l’efficiente svolgimento dei servizi.

Il TUF, oltre a disciplinare la materia dell’intermediazione finanziaria, la prestazione dei servizi di investimento e la disciplina dei mercati, dedica ampio spazio (la parte IV) anche alla disciplina degli emittenti quotati, per i quali introduce importanti novità e principi in materia di governance.

Nel sistema di governance delineato per tali soggetti, è previsto un costante rapporto di scambio di informazioni tra tutti gli organi sociali preposti al controllo, ossia tra amministratori, collegio sindacale e società di revisione. In particolare l’articolo 150 del provvedimento prevede che il collegio sindacale e la società di revisione si scambino

5 _{Gli organi di controllo interno sono il collegio sindacale per il modello tradizionale, il Comitato per il} controllo sulla gestione per il modello monistico e il Consiglio di sorveglianza per il modello dualistico. A tali organi spetta la vigilanza sulla legittimità e sulla correttezza dell’operato degli amministratori, nonché sull’adeguatezza dell’assetto amministrativo e contabile della società. Il controllo contabile è affidato prevalentemente ad un revisore esterno ce dovrà essere iscritto al Registro dei revisori contabili e potrà essere una persona fisica o una società di revisione. Le società che ricorrono al mercato del capitale di rischio devono invece affidare il controllo contabile ad una società di revisione iscritta nell’Albo Consob e sottoposta a vigilanza della commissione stessa. Spetta all’assemblea il compito di nominare il revisore esterno.

tempestivamente i dati e le informazioni rilevanti per l’espletamento dei rispettivi compiti e che coloro che sono preposti al controllo interno riferiscano anche al collegio sindacale, di propria iniziativa o su richiesta anche di solo uno dei sindaci.

Anche alla luce delle indicazioni contenute nella normativa richiamata, si può affermare che con il TUF viene, per la prima volta, data rilevanza al concetto di controllo interno, pur in assenza di una definizione e di una disciplina dello stesso.

Il TUF, infatti, si limita a stabilire che il compito di vigilare sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza del sistema di controllo interno spetti al collegio sindacale6.

Il legislatore attraverso il TUF pone le basi affinché la regolamentazione di settore e l’autoregolamentazione dei singoli emittenti quotai fissino il quadro d’insieme delle regole concernenti il buon governo societario.

E’ quindi attraverso importanti disposizioni attuative, quali il regolamento emittenti della CONSOB, il Codice di Autodisciplina de Borsa Italiana e le linee guida delle associazioni di categoria, che vengono introdotti e compiutamente disciplinati i capisaldi della governance degli emittenti quotati e del loro sistema di controllo interno.

1.3.3 Il Codice di Autodisciplina della Borsa Italiana

La Borsa Italiana ha costituito un comitato (Comitato per la corporate governance) con l’obiettivo di formulare un documento contenente le linee guida per l’applicazione dei principi di corporate governance.

E’ stato così redatto il “Codice di autodisciplina per le società quotate”, la cui prima versione risale al 1999, dopo poco più di un anno dall’emanazione del TUF.

A distanza di sette anni dalla prima versione, il Codice è stato rivisto alla luce dell’evoluzione delle best practice e del mutato quadro normativo a livello nazionale, comunitario e internazionale (Codice di autodisciplina marzo 2006)7 .

6 _{Art. 149}

7 _{Il nuovo Codice ha assunto inoltre una nuova struttura, impostata su una divisione per articoli che} contengono i principi di carattere generale, cui seguono i “criteri applicativi” conteneti le indicazioni di dettaglio sull’attuazione dei principi e i “commenti” deputati a chiarire la portata dei principi e dei criteri, anche tramite l’utilizzo di esempi.

Alcuni tra i capisaldi del Codice sono:

presenza di un numero adeguato di consiglieri indipendenti all’interno del consiglio di amministrazione;

introduzione di raccomandazioni relative ai limiti per il cumulo degli incarichi degli amministratori e di un self assessment annuale del consiglio di amministrazione;
aggiornamento della nozione di sistema di controllo in linea con le best practice

internazionali, puntando ad una migliore definizione di ruoli e rapporti tra i diversi soggetti coinvolti;

ruolo del Comitato per il controllo interno e sua composizione;

nomina di uno o più preposti al controllo interno e puntuale definizione del ruolo e dei poteri attribuiti: il preposto al controllo interno si identifica di norma con il responsabile dell’Internal Auditing.

Per la sua autorevolezza, il Codice di autodisciplina è diventato un vero e proprio modello di riferimento anche per le società non quotate.

In particolare, nella sezione dedicata al sistema di controllo interno viene fornita le seguente definizione:

“ Il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggi dei principale rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”.

Il Consiglio di Amministrazione, con l’assistenza del Comitato per il controllo interno, definisce le linee di indirizzo del sistema di controllo interno, attribuisce ad un amministratore esecutivo, di norma uno degli amministratori delegati, il compito di curarne la funzionalità, ne valuta con cadenza almeno annuale l’adeguatezza, l’efficacia e l’effettivo funzionamento, riferendone nella relazione sul governo societario.

L’amministratore esecutivo identifica i principali rischi aziendali, sovrintende alla funzionalità del sistema di controllo interno, lo progetta, lo realizza e lo gestisce, verificandone costantemente adeguatezza, efficacia, efficienza e rispondenza al mutare degli scenari operativi di regolamentazione.

Compito del preposto al controllo interno, che, come si è già detto, si identifica di regola con il responsabile della funzione Internal Auditing, è quello di verificare l’adeguatezza, l’operatività e la funzionalità del sistema di controllo interno, riferendo al Comitato per il controllo interno, al collegio sindacale e, se richiesto, all’amministratore esecutivo.

1.4 La regolamentazione nel settore bancario

1.4.1 L’accordo di Basilea

La Banca è un’impresa del settore terziario che opera nel campo del credito e dei regolamenti monetari, esercitando attività di intermediazione delle attività finanziarie che si affianca e si intreccia alla prestazione di numerosi altri servizi.

Buona parte del denaro che è depositato in Banca viene utilizzato per concedere prestiti a privati e aziende: è però necessario che la Banca sia in grado in qualsiasi momento di rimborsare questi depositi anche se alcuni de prestiti da essa concessi alle aziende non dovessero essere restituiti.

E’ proprio per questo motivo che è opportuno per una banca determinare un cuscinetto, rappresentato dal patrimonio e dalle riserve, che funga da garanzia per i depositanti. Basilea II disciplina appunto le regole di determinazione dell’ammontare minimo di capitale proprio che le Banche devono detenere per evitare situazioni di insolvenza. L’Accordo di Basilea sui requisiti patrimoniali delle banche è il frutto del lavoro del Comitato di Basilea, istituito dai governatori della Banche centrali dei dieci paesi più industrializzati (G10), alla fine del 1974.

Questo comitato opera in seno alla Banca dei Regolamenti Internazionali (BRI), con sede a Basilea, da cui prende il nome l’Accordo.

La stesura del nuovo Accordo si è resa necessaria per risolvere i limiti del precedente Accordo di Basilea sul capitale, Basilea I, introdotto nel 1988.

Tale documento, a cui hanno aderito fino ad oggi le autorità centrali di oltre cento paesi, definisce l’obbligo per le Banche di mantenere costantemente un ammontare di capitale minimo (patrimonio di vigilanza), pari all’8% del complesso delle attività ponderate in relazione ai rischi di perdita per inadempimento dei debitori.

Lo scopo è quello di garantire solidità all’attività bancaria.

La logica dell’accordo è quella di attribuire a ciascuna attività una determinata ponderazione che ne rappresenti il grado di rischio: 0% per le attività considerate a rischio nullo, 20% per le attività considerate a rischio minimo, 50% per le attività a rischio medio e 100% per quelle ad alto rischio8.

L’Accordo del 1988, però, presentava dei limiti tanto da rivelarsi insufficiente a garantire la solidità patrimoniale delle Banche e nel 2001 il Comitato di Basilea è tornato al lavoro per stendere un nuovo accordo che risolvesse i limiti del precedente. Il testo definitivo dell’Accordo, dal titolo “Convergenza intenzionale della misurazione del capitale e dei coefficienti patrimoniali. Nuovo schema di regolamentazione”, è stato emanato nel giugno del 2004.

Gli obiettivi del Nuovo Accordo possono essere indicati come segue:

grado di rischio: dotare le banche di un livello patrimoniale strettamente e direttamente legato al grado di rischio effettivamente assunto dalle stesse. Ciò permetterà alle banche più virtuose di accantonare un minor ammontare di capitale e, quindi, utilizzare il capitale così liberato per concedere nuovi prestiti o fare nuovi investimenti che aumentino la redditività della banca stessa;

calcolo del rischio: introdurre nuove modalità, via via più sofisticate, di calcolo del rischio creditizio a cui sono esposte alcune attività delle banche;

rischio operativo: introdurre l’accantonamento d patrimonio a fronte del rischio operativo, oltre a quello già previsto a fronte del rischio di credito e di mercato;
rating interno: utilizzare i modelli interni di determinazione del rating non solo

nell’ambito del calcolo del patrimonio di vigilanza, ma in tutti i processi operativi di erogazione del credito;

trasparenza: aumentare in questo modo la stabilità e la trasparenza del sistema bancario internazionale.

Il contenuto dell’Accordo di Basilea II si articola in tre parti, detti pilastri.

8 _{Esempio: supponiamo che una Banca presti 300 euro ad un’impresa. Le attività verso il settore privato} sono considerate ad alto rischio, quindi la ponderazione di quell’elemeno attivo sarà di 300*100%=300, mentre la quota di patrimonio assorbito dall’attività sottoposta a rischio sarà pari ad almeno 300*8%=24.

Primo pilastro

Fornisce una più puntuale metodologia di calcolo, rispetto a Basilea I, dell’ammontare del patrimonio minimo che le banche devono accantonare per fronteggiare i rischi di credito, di mercato ed operativo.

Inoltre prevede la possibilità per le banche stesse di utilizzare sistemi interni di classificazione della clientela.

Tale opzione mira non solo a misurare in modo più preciso la relazione fra rischi effettivi assunti e patrimonio di vigilanza, ma anche ad incoraggiare le banche a migliorare la metodologia di valutazione dei rischi stessi9.

Secondo pilastro

Prevede una supervisione dell’Autorità di vigilanza sulle procedure interne delle banche al fine di assicurare che l’ammontare di capitale detenuto sia adeguato rispetto al profilo di rischio complessivo assunto dalla banca, dando alle autorità stesse la facoltà di intervenire tempestivamente imponendo alle banche requisiti patrimoniali superiori nei casi in cui sia considerato opportuno.

Terzo pilastro

Mira a porre le banche sotto un più stretto controllo del mercato attraverso l’imposizione della pubblicazione di informazioni significative.

Tale migliore trasparenza fornisce agli operatori maggiori elementi di conoscenza sui livelli patrimoniali, sull’esposizione ai rischi e sulla loro gestione da parte della banca stessa.

Pertanto il mercato può essere considerato come l’elemento che può spingere le banche verso una gestione più efficiente e indirettamente aiutare l’Autorità di vigilanza ad effettuare i suoi controlli.

Mediante la divulgazione di informazioni per qualità e quantità maggiori a quelle oggi pubblicate dalle banche, gli investitori possono comprendere il reale grado di rischio assunto, le modalità e capacità di gestione degli stessi, e attribuire ad ogni banca il giusto premio per il rischio.

9 _{Il rating è un giudizio sintetico attribuito ad un soggetto debitore ed esprima la probabilità che il} soggetto in questione sia in grado di rimborsare il credito ottenuto.

Il rating può essere calcolato da agenzie specializzate oppure dalla banca con criteri autonomi:nel primo caso si parla di rating esterni, nel secondo di rating interni.

I livelli di rating sono contrassegnati da un numero o da una sigla, oppure da una combinazione di numeri o lettere.

Affinché tale premio sia basso, le banche dovranno cercare di ridurre il loro profilo di rischio, sia attraverso adeguata copertura patrimoniale, sia attraverso una efficiente gestione dei rischi assunti.

Basilea II avrà un forte impatto su banche e imprese: è quindi fondamentale che entrambe capiscano i cambiamenti in atto, ne individuino l’impatto per la propria realtà specifica , si preparino a minimizzare i rischi e gli effetti negativi e colgano leopportnità loro offerte.

A seguito dell’introduzione del Nuovo Accordo, quindi, risulta profondamente modificato lo stesso rapporto Banca-Cliente.

L’esigenza di stimare correttamente il merito di credito delle controparti renderà sempre più importante ridurre le asimmetrie informative esistenti.

Per incrementare il livello di informazione disponibile, il rapporto tra banche e imprese dovrà diventare più stretto, caratterizzato da maggiore stabilità, durata e trasparenza. Il timore espresso da alcuni esponenti dl mondo bancario che il rapporto banca-impresa divenga troppo impersonale e meccanizzato, è dunque eccessivo.

Le banche hanno un innegabile interesse a curare il rapporto di fiducia tra il gestore e il cliente e a mantenerlo stabile e duraturo nel tempo, perché solo così possono accedere ad informazioni locali, poco formalizzate e non direttamente quantificabili oggettivamente.

Emergono, quindi, evidenti le implicazioni sul profilo professionale del gestore, al quale si chiede di:

comunicare in modo chiaro che cosa cambia per il cliente con l’introduzione del Nuovo Accordo;

sviluppare competenze specifiche nelle valutazione di quegli elementi qualitativi che entrano nel calcolo del rating, quali strategie di mercato dell’impresa, qualità del management;

divenire, da venditore di prodotti/servizi finanziari, consulente dell’azienda, garantendo un’assistenza qualificata e continuata su ogni specifico campo. In particolare risulta importante supportare le imprese nell’individuazione delle soluzioni innovative che ne migliorino il posizionamento rispetto alla banca e

aiutarle nella gestione del flusso di informazioni da trasmettere alla banca, in quanto indispensabili per una corretta valutazione del rischio.

In conclusione si può affermare che, nonostante alcuni aspetti critici che sono stati individuati, la nuova regolamentazione dei requisiti patrimoniali per le banche porterà ad un miglioramento sia in termini di efficacia che di efficienza, dei processi di erogazione e di monitoraggio mandamentale del credito e favorirlo sviluppo di un intenso processo di evoluzione culturale per l’intero sistema bancario.

Questo netto miglioramento della cultura del rischio delle banche permetterà quindi di aumentare la chiarezza e la sicurezza del settore bancario e quindi la sua stabilità.

1.4.2 Responsabilità amministrativa delle società – D.Lgs. 231/2001

Dalla constatazione che molti reati pericolosi per la comunità vengono attuati da soggetti organizzati sotto forma di società e per contrastare i fenomeni di corruzione, nel corso dell'anno 2000 i paesi aderenti all'OCSE stipulano la "Convenzione contro la corruzione e la frode".

Con la Legge 300/2000 il Parlamento Italiano ratifica la convenzione e delega il Governo a predisporre un Decreto Legislativo per disciplinare la materia.

L'8 giugno 2001, in un clima in cui si va sempre più affermando il principio della responsabilità sociale dell'impresa, nasce il Decreto Legislativo 231.

Il D.Lgs. 231/2001 colma un vuoto legislativo importante concernente la responsabilità amministrativa delle società, che aveva già trovato soluzione nella maggioranza degli altri paesi dell'Unione Europea.

Al Decreto Legislativo 231/2001 sono riconosciuti alcuni importanti cambiamenti sul piano del diritto.

Il Decreto si contraddistingue principalmente in quanto introduce una forma di responsabilità oggettiva a carico delle imprese che traggono vantaggio da alcune precise tipologie di reato commesse da amministratori, dirigenti, dipendenti, ecc.Memo

Il Decreto Legislativo 231/2001 si è inserito in un contesto giuridico internazionale che ha superato il principio di "non imputabilità penale delle persone giuridiche".

coniuga i tratti essenziali del sistema penale e di quello amministrativo, assoggettando l'azienda/persona giuridica ad un procedimento dalle caratteristiche sostanziali del procedimento penale (iscrizione nel registro degli indagati, rinvio a giudizio, ecc.), nel corso del quale l'azienda stessa dovrà provare la sua estraneità al reato, con possibile applicazione di sanzioni amministrative (pecuniarie ed interdittive);

impone di fatto alle imprese, a valle delle prime applicazioni del Decreto da parte della Magistratura, di adeguare i propri sistemi di governance, organizzativi e di controllo orientandoli ad un più efficace presidio della cosiddetta "criminalità economica".

Il Decreto non prevede la responsabilità amministrativa delle società per qualsiasi tipologia di reato, al contrario individua precisamente alcune tipologie di reato per le quali sussiste tale responsabilità.

Attenzione!

È importante fin d'ora sottolineare che le fattispecie di reato indicate dal D.Lgs. 231/2001 non costituiscono un insieme chiuso, sono al contrario in continua evoluzione, con continue estensioni dell'ambito di applicazione del Decreto.

Ad oggi le fattispecie di reato previste dal D.Lgs. 231/2001 riguardano:
reati nel rapporto con la Pubblica Amministrazione;

reati di falsità in moneta, in carte di pubblico credito e in valori di bollo;

reati societari (ad es. false comunicazioni sociali o ostacolo all’esercizio delle funzioni di vigilanza);

delitti con finalità di terrorismo e di eversione dell'ordine democratico;
delitti contro la personalità individuale;

reati ed illeciti amministrativi di manipolazione del mercato e di abuso di informazioni privilegiate;

reati transnazionali;

reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con la violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (legge 3 agosto 2007 n.ro 123);

reati di ricettazione, riciclaggio e impiego di denari, beni o utilità di provenienza illecita.

Oltre alla tipologia di reato esistono altre condizioni affinché si possa parlare di responsabilità amministrativa della società:

l'autore materiale del reato deve essere una persona che riveste funzioni di direzione della società ovvero persona a questi sottoposta o da questi controllata;
il reato deve determinare un interesse o un vantaggio per la società.

Questo non vuol dire necessariamente che se un dipendente della Società nell'esercizio delle sue funzioni commette uno dei reati previsti dal Decreto Legislativo 231/2001 la Società viene comunque considerata responsabile.

Il Decreto Legislativo 231/2001 stabilisce che la Società non risponde dei reati commessi dai dipendenti nell'esercizio delle loro funzioni se prova che ha in precedenza predisposto tutti gli strumenti organizzativi, gestionali e procedurali (cioè ha predisposto un "modello di organizzazione") atti a prevenire il verificarsi dei reati previsti dal Decreto.

In questo caso diventa evidente che la persona che ha commesso il reato, lo ha fatto violando le normative aziendali ed eludendo i sistemi di controllo, contro quindi la volontà dell'azienda.

Giuridicamente per l'azienda e per la persona fisica che ha commesso il reato si avviano due percorsi separati ma paralleli: sarà il Pubblico Ministero a dover provare la colpevolezza della persona fisica; sarà l'azienda a dover dimostrare la sua estraneità. In effetti l'espressione "può essere considerata responsabile" sta a significare che l'azienda, tramite opportuni strumenti, ha il modo di distinguere la propria responsabilità da quella della persona fisica che lo ha commesso e può quindi dimostrare la propria buona fede e estraneità al fatto.

La responsabilità amministrativa si applica10:

10

La responsabilità amministrativa si applica di fatto a tutte le Società del Gruppo MPS, dalla Banca Capogruppo a tutte le Controllate.

alle persone giuridiche private (tutte le società, le associazioni e fondazioni riconosciute);

ad altri enti privi di personalità giuridica (le associazioni non riconosciute);
agli enti pubblici che non esercitano pubblici poteri.

La responsabilità amministrativa non si applica:
allo Stato e agli enti pubblici territoriali;
agli enti pubblici non economici;
ai partiti politici e ai sindacati.

La responsabilità della Società sussiste quando:

viene commesso un reato appartenente alle tipologie previste dal Decreto e dalle sue successive modifiche;

l'autore materiale del reato è una persona che riveste funzioni di direzione della società (soggetto in posizione apicale); una persona sottoposta alla direzione o alla vigilanza dei soggetti in posizione apicale (dipendenti o terzi che agiscono in nome e per conto della Società);

detto reato determina un interesse o un vantaggio per la società.

Perché la responsabilità venga a sussistere è necessario che tutte e tre le condizioni sopra riportate siano presenti.

Occorre tuttavia precisare che, una volta che viene accertato un reato appartenente alle tipologie previste dal Decreto, è molto probabile che anche gli altri due punti vengano dimostrati e quindi la Società venga considerata responsabile dell'illecito.

Una volta accertata la responsabilità della Società, scattano le sanzioni. Le sanzioni applicabili alla società possono essere:

sanzioni pecuniarie;

sanzione interdittive, che limitano l'attività della Società;

confisca del prodotto o del prezzo del reato (il vantaggio economico perseguito dalla società è consequenziale al fatto di aver commesso il reato);

pubblicazione della sentenza di condanna della Società (può essere utilizzata in concomitanza di una sanzione interdittiva).

Le sanzioni rispettano le finalità del legislatore, ossia penalizzare le aziende che non si sono preoccupate di prevenire condotte illecite da parte dei propri dipendenti e riconoscere la buona fede di quelle che avevano in precedenza adottato un modello organizzativo e di controllo idoneo alla prevenzione dei reati.

Abbiamo visto che se una persona che opera per una società commette uno dei reati previsti dal D.Lgs. 231/2001, non è detto che la Società sia sempre da considerarsi responsabile.

Il D.Lgs. 231/2001 prevede infatti uno strumento di difesa preventiva da eventuali comportamenti illeciti.

Questo strumento è l'organizzazione aziendale o, con le parole del Decreto, il "Modello di organizzazione, gestione e controllo".

Il Modello di organizzazione, per essere in grado di prevenire i reati, deve, in base al Decreto, rispondere alle seguenti esigenze:

individuare le attività nel cui ambito possono essere commessi reati;

prevedere specifiche procedure dirette a programmare la formazione e l'attuazione delle decisioni della società in relazione ai reati da prevenire;

individuare modalità per gestire le risorse finanziarie in modo idoneo ad impedire la commissione di reati;

prevedere obblighi di informazione nei confronti dell'organismo di vigilanza interno;

introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

la definizione di procedure interne che regolamentino, in modo particolare, le attività "a rischio" (ad esempio tutte quelle che richiedono contatti con la Pubblica Amministrazione in caso di concessioni, gare, finanziamenti, ecc.);

la presenza di precise regolamentazioni relative alla gestione delle risorse finanziarie (chi ne è responsabile, chi ha budget di spesa e per quali materie, chi autorizza le spese, ecc.);

l'informazione relativa alle regole e procedure in essere rivolta a tutti i soggetti coinvolti nelle aree a rischio di commissione dei reati;

l'attuazione dei controlli da parte dei responsabili delle funzioni dell'azienda e, più specificamente, dell'organismo di vigilanza interno;

una verifica periodica dell'adeguatezza del Modello ed il suo aggiornamento nel tempo (ad esempio in caso di inserimento di nuovi reati nel perimetro di applicazione);

una conoscenza e consapevolezza diffusa della problematica all'interno della società, quindi l'erogazione di formazione sul Decreto e sul Modello.

Se il reato è stato commesso dai soggetti in posizione apicale, la società non ne risponde se prova che “l'azienda ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione idoneo a prevenire reati analoghi a quelli verificatisi”.

Se il reato è stato invece commesso da altri soggetti sarà sufficiente, per la salvaguardia della Società, l'aver predisposto un modello di organizzazione con le caratteristiche viste in precedenza.

Osservando l'attività delle Banche e delle società appartenenti ad un Gruppo Bancario alla luce del Decreto Legislativo 231/2001, è facile comprendere perché tale Decreto le riguardi molto da vicino.

In generale si può dire che i loro processi sono oggettivamente "a rischio" rispetto ai reati previsti dal Decreto.

Le "Linee Guida dell'ABI", a proposito dell'applicazione del D.Lgs. 231/2001, precisano che i settori dell'attività bancaria in cui più elevato e diffuso può essere il rischio di commissione di reati peculiari riguardano:

la gestione di fondi pubblici, sia sotto forma di captazione o erogazione di contributi destinati a pubbliche finalità, sia nello svolgimento di attività in regime di concessione (ad esempio riscossione tributi);

l'attività, prevalentemente "di sportello", connessa alla messa in circolazione di valori;

la gestione della tesoreria per conto degli Enti pubblici, dove sono possibili manovre finanziarie a favore della Banca.

Attenzione!

Le Linee costituiscono solo un quadro di riferimento e non esauriscono le cautele che possono essere adottate dai singoli enti. In effetti tutte le banche le hanno prese a

riferimento, ma hanno predisposto propri progetti e documenti.

A fronte di quello che potremmo chiamare il "Rischio 231", le Banche, le Assicurazioni, le Società finanziarie presentano degli indubbi punti di forza.

Il "Rischio 231" investe, infatti, prevalentemente solo alcune aree di attività delle Banche, ma costituisce comunque una minaccia che deve essere conosciuta a tutti i livelli dell'azienda e opportunamente gestita.

Per quanto riguarda il presidio (individuazione, monitoraggio, ecc.) dei reati previsti dal D.Lgs. 231/2001, le Banche partono da una situazione migliore rispetto ad altre tipologie di aziende, in quanto:

possono già contare sulla presenza di un sistema integrato di controlli;

hanno sviluppato nel tempo standard organizzativi ottimali in linea con i principi di sana gestione;

la presenza di un insieme di regole, di procedure e di strutture organizzative che garantiscono il rispetto delle strategie aziendali, il conseguimento dell'efficacia e dell'efficienza dei processi aziendali, la conformità delle operazioni con la legge, la normativa di vigilanza, i regolamenti e le procedure interne.

Un altro punto di forza è dato dal fatto che le Banche (e più in particolare le Società del Gruppo BMPS) per cultura e tradizione, nonché per l'importanza dell'attività svolta, sono da sempre molto attente e sensibili al rispetto, tempestivo e puntuale, delle imposizioni e/o delle raccomandazioni normative.

Le Banche sono inoltre dotate di funzioni indipendenti dedicate all'attività di controllo interno che, nel Gruppo, trovano un momento di coordinamento funzionale nell'Area Controlli Interni della Capogruppo Bancaria.

1.4.3 Il D.Lgs 231/2001 e l’operatività della Banca MPS

Abbiamo finora messo a fuoco le caratteristiche di questa norma di legge e messo in evidenza come e perché riguarda da vicino l'operatività di Banche, Assicurazioni e Società che operano nel settore finanziario.

Tutte le Società del Gruppo MPS si sono attivate e hanno già prodotto tutta una serie di documenti specifici in materia.

L'adozione dei “Modelli 231” trova origine, tra l'altro, dalla forte attenzione

che il Gruppo MPS pone al rispetto di Leggi e Regolamenti ed ai valori dell'equità sociale e della responsabilità sociale d'impresa.

In questo ambito il Gruppo MPS ha provveduto ad esplicitare gli impegni in ambito di responsabilità sociale attraverso la cosiddetta: “Carta dei Valori”.

La Carta dei Valori prevede in primo luogo l'Etica della responsabilità, vale a dire l'orientamento dei dipendenti del Gruppo MPS al servizio, all'integrità ed alla trasparenza, alla correttezza negli affari, alla salvaguardia dell'ambiente ed al rispetto di tutte le persone.Attenzione!

In questo contesto si è data, quindi, la massima attenzione al recepimento del D.Lgs. 231/2001 e allo sviluppo di tutte le necessarie iniziative atte a tutelare il Gruppo, ma anche a ribadire a tutti i dipendenti l'importanza di adottare comportamenti sempre ed in ogni caso rispettosi delle Leggi e dei Regolamenti.

Banca MPS considera il rispetto delle “Leggi”, dei “Regolamenti di settore” e dei “Principi di etica aziendale e di responsabilità sociale d'impresa” condizione essenziale per il mantenimento e miglioramento nel tempo del valore aziendale.

In coerenza con tale indirizzo nel corso del 2003 è stato avviato un Gruppo di Lavoro con il compito di curare gli adempimenti connessi alle previsioni del D.Lgs. 231/2001, e in particolare di elaborare, in base a una puntuale mappatura delle attività maggiormente a rischio, un Modello Organizzativo idoneo a prevenire la commissione dei reati indicati nel Decreto stesso.

della collaborazione di una società di consulenza esperta del settore.

Successivamente, il primo aprile 2004, il Consiglio di Amministrazione della Banca, sulla base dei risultati e delle valutazioni del Gruppo di lavoro, ha deliberato il “Modello 231” di BMPS.

Analizzeremo i passi metodologici seguiti nella predisposizione del Modello 231 di BMPS, precisando come questi sono stati recepiti nelle Società del Gruppo.

In coerenza con le previsioni del Decreto 231/2001 sono state realizzate specifiche attività con conseguenti scelte di tipo organizzativo.

Nel dettaglio, l'iter operativo del progetto è stato definito in coerenza con i diversi requisiti previsti dal D.Lgs. 231/2001 per l'esenzione dalla responsabilità amministrativa.

Primo requisito: identificazione delle “attività sensibili”.

Analisi del contesto aziendale per evidenziare dove (in quale aree/settore di attività) e secondo quali modalità si possono verificare reati ai sensi del D.Lgs. 231/2001.

Al fine di individuare le attività “nel cui ambito possono essere commessi i reati” rilevanti ai sensi del D.Lgs. 231/2001 è necessaria un’approfondita e complessiva analisi sull’intera struttura organizzativa, sulla base dei principali riferimenti documentali che regolano l’organizzazione della Banca.

La rilevazione delle attività “sensibili” è stata svolta anche dalle altre Società del Gruppo MPS con modalità analoghe a quelle utilizzate da Banca MPS.

L'attività di rilevazione delle attività sensibili è stata condotta anche presso gli Organi Apicali della Banca (Consiglieri, Direzione Generale, Sindaci) particolarmente esposti ad alcune tipologie di reato per le specifiche responsabilità assegnate.

Anche per loro, quindi, sono state predisposte le relative schede ed effettuate le rilevazioni in termini di rischi e controlli.

Secondo requisito: verifica del sistema

Valutazione della presenza per le attività “sensibili” di procedure e controlli adeguati al fine di prevenire il verificarsi dei rischi identificati.

In generale è stata verificata l'efficacia in ottica D.Lgs. 231/2001 del sistema normativo, del Sistema dei Controlli Interni e dei regolamenti che disciplinano le attività a rischio di reato.