PERCHE’ UN “PROGETTO 231” IN AZIENDA
Premessa
Con l’approvazione del Decreto legislativo n. 231 dell’8 giugno 2001 – in seguito “Decreto” –, è stata come noto introdotta in Italia la responsabilità amministrativa degli enti derivante dalla commissione di illeciti penali da parte di personale “apicale” o di addetti a questi sottoposti.
In estrema sintesi, ai sensi dell’articolo 5 del Decreto, “l’ente è responsabile per i reati commessi nel suo interesse od a suo vantaggio”; ovvero l’ente è responsabile se dall’attività illegale abbia ottenuto benefici per l’impresa. L’ente, invece, non risponderà se gli attori del Reato avranno agito nell’interesse esclusivo proprio o di terzi. Inoltre, sempre ai sensi del citato articolo 5 del Decreto, le azioni di rilievo debbono essere poste in essere:
- da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di una sua autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso;
- da persone sottoposte alla direzione od alla vigilanza di uno dei soggetti indicati nel punto precedente.
Non è detto, tuttavia, che l’ente debba sempre e comunque rispondere della commissione del Reato. È stato ritenuto opportuno consentire all’ente la dimostrazione in via preventiva della propria estraneità rispetto al Reato. A tale fine viene richiesta l’adozione di modelli comportamentali specificamente calibrati sul rischio-reato e cioè volti ad impedire, attraverso la fissazione di regole di condotta, la commissione di determinati Reati.
Requisito perciò indispensabile affinché dall’adozione del modello derivi l’esenzione da responsabilità dell’ente è che esso venga efficacemente attuato.
I modelli organizzativi devono quindi rispondere alle seguenti esigenze:
- Individuare le Attività a rischio di reato;
- Prevedere specifici protocolli per la prevenzione dei Reati;
- All’interno di questi individuare e controllare, al fine della prevenzione dei Reati, le modalità di gestione delle risorse finanziarie;
- Prevedere obblighi di informazione all’organismo deputato al controllo sul funzionamento e l’osservanza dei modelli;
- Introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
In conclusione, nell’ipotesi di Reati commessi dal Personale Apicale, l’ente non risponderà se proverà che:
- l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione e gestione idoneo a prevenire Reati della specie di quello verificatosi;
- il compito di vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento sia stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza);
- non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo di Vigilanza in ordine al modello;
- i soggetti abbiano commesso il Reato eludendo fraudolentemente il modello.
Nel caso in cui, invece, il Reato sia stato commesso da soggetti sottoposti alla direzione od alla vigilanza del Personale Apicale, l’ente sarà responsabile del Reato solo se vi sarà stata carenza negli obblighi di direzione e vigilanza e tale carenza sarà esclusa se l’ente avrà adottato, prima della commissione del Reato, un modello di organizzazione, gestione e controllo idoneo a prevenire Reati della specie di quello verificatosi.
E’ utile ricordare anche che l’art. 6 del Decreto dispone che i modelli di organizzazione e di gestione possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia.
Alla luce di quanto sopra, le società, nella predisposizione del modello, possono tenere conto, salvaguardando ovviamente l’attenzione prevalente alle proprie specificità organizzative ed operative, delle Linee Guida predisposte da associazioni di categoria quali ad esempio Confcommercio e Confindustria, le quali ultime sono state ritenute dal Ministero della Giustizia idonee ai fini della prevenzione degli illeciti di cui al Decreto.
Va infine ricordata anche la più recente interpretazione applicativa che la giurisprudenza e la dottrina hanno promosso in ordine all’applicazione del Decreto alle realtà dei gruppi giuridici ed economici.
In più occasioni è stata riconosciuta una forma – in determinate particolari situazioni – di estensione di responsabilità tra persone giuridiche facenti parte del medesimo gruppo, presentandosi molto frequentemente la fattispecie riguardante la figura dell’interesse o del vantaggio non limitatamente all’organizzazione all’interno della quale è stato perpetrato il reato ma anche nei riguardi della società controllante o partecipata.
Appare di tutta evidenza che il profilo applicativo indicato in ordine alle realtà di gruppo può interessare anche la società Filo Blu spa., inserita appunto in un più ampio contesto societario (proprietà fondo …);
Finalità di carattere propedeutico
Nonostante i numerosi strumenti di gestione aziendale disponibili e riassumibili sotto la generale definizione dei “sistema di controllo interno”, di per sé idonei anche a prevenire i reati contemplati dal Decreto, il Modello “231” qui proposto quale “Modello di organizzazione, gestione e controllo ai sensi del Decreto”, oltre che un valido strumento di sensibilizzazione di tutti coloro che operano internamente ed esternamente all’organizzazione, affinché questi tengano comportamenti corretti e lineari, si presenta anche come un più efficace mezzo di prevenzione contro il rischio di commissione dei reati e degli illeciti amministrativi previsti dalla normativa di riferimento.
In particolare, attraverso l’adozione ed il costante aggiornamento del Modello, ci si propone di:
- creare la consapevolezza in tutti coloro che operano nell’ambito di “attività sensibili” (ovvero di quelle nel cui ambito, per loro natura, possono essere commessi i reati di cui al Decreto), di poter incorrere, in caso di violazione delle disposizioni impartite in materia, in conseguenze disciplinari e/o contrattuali, oltre che in sanzioni penali e amministrative comminabili nei loro stessi confronti;
- riconfermare che tali forme di comportamento illecito sono comunque contrarie – oltre che alle disposizioni di legge – anche ai principi etici ai quali l’organizzazione intende attenersi nell’esercizio dell’attività aziendale e, come tali sono fortemente condannate;
- permettere di intervenire prontamente al fine di prevenire od ostacolare la commissione dei reati e sanzionare i comportamenti contrari al Modello e ciò soprattutto grazie ad un’attività di monitoraggio sulle aree ritenute a rischio.
Conseguentemente, si ritiene che l’adozione e l’effettiva attuazione del Modello non
solo debba consentire all’organizzazione di beneficiare dell’esimente prevista dal D. Lgs. 231/2001, ma debba tendere a migliorare la Corporate Governance, limitando il rischio di commissione dei Reati.
È, altresì, indispensabile che il modello adottato, ferma restando la sua finalità peculiare e la necessaria conformità ai requisiti di legge, vada calato nella realtà operativa aziendale.
Finalità di carattere generale
Per più specifica utilità applicativa ed a vantaggio di una più approfondita valutazione da esperire, si espongono qui di seguito alcune note inerenti l’impianto organizzativo ed operativo che una società potrà utilizzare attraverso il modello implementato ed il livello di sua effettiva formalizzazione.
Procedure e controlli:
I protocolli previsti dal Decreto costituiscono di fatto una serie documentale in forma di “testi unici” riferiti alle classi di reato, all’interno dei quali viene richiamata la regolamentazione ed il sistema dei controlli in essere.
E’ probabile che alcune regole ed alcuni controlli possano essere istituiti “ex-novo” all’interno dell’organizzazione aziendale con l’introduzione del modello “231”. Si tratterà tuttavia di formalità che interverranno in senso migliorativo nei riguardi della efficienza e sicurezza delle attività, mai potendosi quindi interpretare come aggravi “burocratici”.
L’obbiettivo dei protocolli resta principalmente quello di costituire raccolta organica ed evidenza oggettiva del sistema di governo e controllo adottato e della sua efficacia nell’impedire la commissione dei reati.
Il modello organizzativo non costituisce quindi di per sé in nessuna occasione una “sovrastruttura” nei confronti dei sistemi di gestione aziendale, dovendosi piuttosto realizzare come adeguamento degli stessi ai requisiti di legalità pretesi dal Decreto. In buona sostanza i sistemi di gestione sono parte costitutiva del modello organizzativo obbligatoriamente integrati in esso, trattandosi nel complesso del “sistema di controllo interno” aziendale.
Autorizzazioni e Responsabilità:
In ogni organizzazione aziendale, qualsiasi sia il livello desiderato di formalizzazione, mai si prescinde dall’esigenza di assicurare debite facoltà per la direzione e l’esecuzione delle diverse attività all’interno dei processi aziendali.
Il modello “231” in questo caso potrà trovarsi ad intervenire solo a livello di miglioramento ed evidenziazione della trasparenza che il sistema delle deleghe e delle facoltà hanno all’interno dell’organizzazione e verso i terzi, non potendo in nessuna ipotesi costituire “aggravio burocratico”.
Sorveglianza:
Nei casi, frequenti nella piccola e media dimensione, di organizzazioni aziendali non già dotate di risorse dedicate al controllo interno (Internal Auditing, Compliance, Risk Management, …), l’introduzione dell’Organismo di Vigilanza previsto dal Decreto costituisce l’unico aspetto totalmente innovativo.
Resta evidentemente tra le possibilità a disposizione di ogni organizzazione rendere questa novità una opportunità piuttosto che un “aggravio operativo”. Significativamente l’opportunità può essere rintracciata nella costituzione di un Organismo dimensionato “proporzionalmente” alla complessità dei processi aziendali, senza “ridondanze” e con la capacità di fornire contributi all’assicurazione di conformità legislativa che ogni Alta Direzione ha diritto e desiderio di avere, in un contesto operativo normativo ogni giorno più complesso in ordine a leggi e regolamenti cogenti.
Il concetto di “proporzionalità” non è in contrasto con i requisiti del Decreto.
In conclusione se dovessimo descrivere brevemente ma significativamente l’impatto che il modello “231” ha nell’impianto organizzativo aziendale sarebbe in questo senso:
“ Attraverso una organizzazione aziendale conforme al d.lgs.231/2001 la persona giuridica coglie una serie di vantaggi, tra i quali principalmente e in senso non quindi esaustivo:
- dotazione di un Codice Etico comportamentale ampiamente diffuso e riconosciuto al suo interno da tutti i dipendenti e collaboratori;
- assunzione “piena” delle finalità del Codice, operando secondo regole scritte o prassi fortemente consolidate, non trascurando mai la possibilità di intervenire con modificazioni delle proprie regole atte a migliorare l’efficacia e l’efficienza dei propri processi;
- dotazione di “regole del gioco” condivise, che in termini di disciplina interna agiscono incentivando e premiando i comportamenti virtuosi, nonché penalizzando quelli corrotti;
- istituzione all’interno del proprio modello di governo di un nuovo ente che opera continuativamente vigilando sulla generale osservanza delle procedure e delle regole.”
istituzione all’interno del proprio modello di governo di un nuovo ente che opera continuativamente vigilando sulla generale osservanza delle procedure e delle regole.
Finalità di carattere specifico
Con particolare attinenza ad alcune attività ricorrenti e specifiche, le opportunità di realizzare l’implementazione di un modello organizzativo conforme ai requisiti del Decreto risiedono appunto nei rischi che in astratto pendono sull’operatività della società, e che attraverso il sistema di governo e controllo che si andrebbe a realizzare con la suddetta implementazione, verrebbero ricondotti a limiti tollerabili ed essenzialmente gestibili.
Di seguito, secondo la logica del Decreto e del cosiddetto “catalogo” dei reati contemplati dal suo perimetro, si indicano i rischi astratti ed il loro livello di significatività:
1) reati di frode in commercio, violazione dei diritti d’autore, contraffazione, contrabbando
livello di significatività = presumibilmente alto
causa 1: possibile attività di commercio di prodotti a marchio, soggetti ad alto rischio di imitazione produttiva;
causa 2: possibile attività di commercio di prodotti regolamentati.
2) reati societari, di riciclaggio ed amministrativi/tributari, di falsificazione e indebito utilizzo di mezzi di pagamento
livello di significatività = presumibilmente alto
causa 1: attività commerciale sottoposta ai regimi ordinari relativamente agli obblighi amministrativi (bilancio, organi di controllo, adempimenti fiscali, obblighi antiriciclaggio);
causa 2: transazioni finanziarie con strumenti costituiti in carte di credito e di debito.
3) reati informatici
livello di significatività = presumibilmente alto
causa: attività in rilevante misura svolta attraverso canali digitali
(NB: incide su questa area di rischio anche la normativa sul trattamento dei dati personali, i cui reati non sono inclusi nel citato catalogo ma la cui pertinenza agisce in modo del tutto simili, perseguendo il “titolare” al pari della “persona giuridica”; in tal senso i metodi preventivi sono sicuramente sinergici tra reati “privacy” e reati “231”)
4) reati di sicurezza e salute nei luoghi di lavoro
livello di significatività = presumbilmente alto, oppure medio/basso a seconda delle valutazioni di rischio espresse ai sensi del d.lgs.81/2008 rev.L.215/2021
causa 1: attività produttiva e luoghi di lavoro prevalentemente costituiti da “officine” o “cantieri”
causa 2: attività non produttiva e luoghi di lavoro prevalentemente costituiti da “uffici” o “fasi di trasferimento per trasferte”
5) reati di corruzione/concussione ed in genere contro la P.A.
livello di significatività = possibile alto/medio/basso
causa 1: attività operativa svolta principalmente nel settore privato, con rapporti commerciali verso la P.A.;
causa 2: attività operativa soggetta ad adempimenti amministrativi od a procedure autorizzative
6) reati ambientali
livello di significatività = possibile alto/medio/basso
causa: attività produttive /o non produttiva, gestione impianti ed impatti ambientali di vario genere
7) altri reati inclusi nel citato catalogo si possono rappresentare in astratto con livello di “significatività” sensibilmente diversi a seconda dei casi particolari e specifici
Descrizione dell’intervento di implementazione
Le stime di seguito presentate scontano l’ipotesi, peraltro difficilmente infondata, della presenza all’interno dell’organizzazione interessata di definite regole di “governance” e di formali assegnazioni di deleghe e poteri, nonché della presenza di sistemi di gestione formali e/o certificati in ordine ai quali è dato un determinato livello di conformità.
1) CHECK UP INIZIALE per la presa visione generale dei processi aziendali e dei rischi di conformità legali, costituito da modalità variabili di sopralluogo aziendale, intervista ad opportuni referenti aziendali, analisi approfondita della documentazione.
2)PROGETTAZIONE/IMPLEMENTAZIONE MOD. ORGANIZZATIVO
Tale attività prevede la mappatura dei processi nei confronti delle fattispecie di reato e l’individuazione dei necessari protocolli di controllo (procedure interne); si può ritenere che ordinariamente la matrice vada organizzata su un certo numero di classi di fattispecie di reato, rappresentate da una ortodossa classificazione delle ben più numerose fattispecie considerate dal Decreto (oltre 200).
Le stesse attività vengono normalmente svolte in azienda in collaborazione con le risorse interne dedicate al progetto per la ricognizione delle informazioni e della documentazione necessaria ed in forma autonoma da parte della Consulenza per l’analisi approfondita degli esiti raccolti. Durante gli incontri aziendali è prevista l’erogazione contestuale di opportune azioni formative per la giusta introduzione delle risorse alle necessarie competenze in ordina al Decreto ed ai suoi requisiti.
La mappatura così costituitasi rappresenta uno strumento immediatamente implementabile e soggetto a progressiva continua revisione ed aggiornamento, per un percorso di graduale ottimizzazione.
L’utilità della mappatura processi/reati prevede quindi l’impostazione dell’algoritmo di apprezzamento dei rischi di commissione ed il suo funzionamento in termini di continuo e progressivo “assessment” dei rischi, nonché ampia documentazione in ordine ai possibili casi di reato concretamente prefigurabili nel contesto specifico aziendale. Potrà essere valutata opportuna, in questo contesto, una applicazione iniziale semplificata dell’algoritmo.
La stesura dei protocolli include altresì la determinazione del Codice Etico e del sistema disciplinare, che vanno di fatto intesi come protocolli trasversali e sovra-ordinati, e richiede una attività sinergica con le risorse aziendali, il cui impegno non è al momento valutabile in modo preciso.
E’ infine necessario prevedere, in modo affiancato allo svolgimento delle attività descritte, un più ampio ed articolato percorso di formazione specificatamente dedicato al personale interessato da ruoli apicali.
3) MESSA A REGIME
La messa a regime implica le seguenti attività:
a) istituzione formale dell’OdV (organismo di vigilanza) e definizione delle procedure di funzionamento dello stesso;
b) istituzione formale del sistema sanzionatorio/disciplinare;
c) programmazione del primo ciclo di audit interni (esclusi dal conteggio in quanto eseguibili da parte dell’OdV);
e) emissione formale del Codice Etico;
d) preparazione degli atti necessari per l’assunzione formale del modello (atti di delibera ed eventi formativi interni).
UN CHIARIMENTO CIRCA LE COMPETENZE DELL’ORGANISMO DI VIGILANZA
Si tratta delle attività che sono di competenza dell’istituendo Organismo di Vigilanza, ai sensi del d.lgs.231/2001 artt.6 e 7, il quale andrà ad integrare l’attuale configurazione degli organi di governo e di controllo della società. Consistono in un incarico per il quale si possono valutare da parte della società più alternative, sia di natura (collegiale o monocratico) che di composizione (membri).
Inoltre l’Organismo di Vigilanza realizzerà, ad evidenza, una attività permanente nella struttura societaria in questione.
In sintesi si tratta di quanto segue:
- esercizio della vigilanza e regime del ciclo di sorveglianza
- pianificazione ed attuazione auditing e risk control
- esecuzione e reporting di audit
- miglioramento continuo del modello
- monitoraggio protocolli e risk assessment