Il Modello di Organizzazione Gestione e Controllo

Come è noto, l’entrata in vigore nel nostro ordinamento del decreto legislativo 231/2001, hai introdotto il tema della responsabilità amministrativa degli enti in aggiunta a quella di carattere penale della persona fisica che avrebbe materialmente commesso illecito nell’interesso o a vantaggio dell’azienda. È appena il caso di ricordare che la dottrina economico – aziendale porta a considerare l’azienda con una sorta di entità dotata di un significativo grado di autonomia rispetto ai soggetti che variamente vi collaborano (soci, amministratori, dipendenti) e con cui intrattiene rapporti di vario ordine e grado (amministrazione finanziaria, finanziatori, stakeholder in generale). L’azienda, in altri termini si configura quale organizzazione complessa dotata di proprie peculiari e specifiche caratteristiche, difficilmente ripetibili. In tale contesto è da inserire la previsione di una specifica responsabilità per l’ente, non sostitutiva ma in aggiunta, a quella delle persone fisiche. Il legislatore, all’articolo 6 del d.lgs. 231/2001 contempla una forma di esonero da responsabilità dell’ente se questo è in condizioni di dimostrare di aver adottato ed efficacemente attuato, modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione dei cosiddetti reati presupposto. Tale opportunità, purtroppo non è stata corroborata da adeguati contenuti oggettivi circa l’effettiva implementazione e l’efficace attuazione dei Modelli in questione: l’”esonero” dalla responsabilità dell’ente passa attraverso il giudizio di idoneità che il giudice penale è chiamato a formulare in occasione di un eventuale procedimento. Tuttavia, pure non  trattandosi di un obbligo normativo, è necessario ispirarsi da un lato l’esigenza, intima, dell’azienda di agire ed operare in compliance (ciò anche a prescindere dalle disposizioni ex d.lgs. 231/2001), quindi analizzare i propri assetti (anche in termini di rischio di compliance) e, in conclusione, tracciarli in un Modello idoneo a prevenire le situazioni rischiose. Tale processo, che sarà affrontato nel seguito della trattazione, è a risultati incerti e l’effettivo valore aggiunto è proporzionale al committment della società sull’effettiva implementazione di quanto suggerito dal legislatore 231. Si è accennato che la mancata adozione del modello non è, di per sé, soggetto ad alcuna sanzione diretta ma espone l’Ente alla responsabilità per illeciti realizzati nel suo interesse o vantaggio e potrebbe creare il valido presupposto d’azione di responsabilità a carico degli amministratori da parte dei soci. Inoltre con sempre maggiore frequenza, taluni bandi pubblici prevedono il pre-requisito dell’adozione di un modello 231

Si è detto che il beneficio dell’esonero responsabile a è subordinato alla verifica di adeguatezza del Modello circa la sua idoneità prevenire la fattispecie delittuosa effettivamente verificatasi. Purtroppo la discrezionalità interna dell’azienda che lo adotta ed esterna del giudice che lo giudica, è assai ampia per cui riteniamo sia inopportuno in questa sede proporre le esemplificazioni che potrebbero essere facilmente smentita dalla pratica. Viceversa, attingendo dalla dottrina e dalla giurisprudenza in materia, giudichiamo utile esporre i cardini attraverso cui valutare l’adeguatezza del modello, sia in sede preventiva che di “manutenzione ordinaria e straordinaria”. Il Modello, sotto tale eccezione deve essere idoneo a rispondere all’esigenza di:

  • individuare le attività a rischio;
  • prevedere specifici protocolli;
  • individuare le modalità di gestione delle risorse finanziarie;
  • prevedere obblighi di informazione da e verso l’Organismo di Vigilanza
  • introdurre un sistema disciplinare specifico.

Le caratteristiche appena tratteggiati ci portano ad affermare che non si possa fare riferimento all’adozione di un Modello standard; viceversa dovrà rappresentare l’esito di una dettagliata e (rendicontabile!) attività di individuazione, valutazione mappatura dei rischi dei processi strumentali nonché dei presidi di controllo implementati per la loro mitigazione sino al livello ritenuto accettabile. Tale percorso si declina secondo almeno cinque direttrici principali finalizzate ad enfatizzare la:

  • specificità;
  • attuabilità;
  • attualità;
  • conoscibilità;
  • sanzionabilità delle violazioni del modello organizzativo.

si tratta delle “domande” cui bisogna rispondere autonomamente per la valutazione preventiva dell’adeguatezza del Modello in fase di approvazione e già adottato  dalla società (in tal caso con il supporto dell’organismo di vigilanza).

La specificità del Modello indirizza l’analista verso la ricerca di un documento effettivamente disegnato per la “specifica” azienda. Sul punto si segnala subito la genericità del mero richiamo alle linee guida o l’adozione di un semplice codice etico. Si badi che non ci si riferisce, al momento, a tematiche di tipo formale strutturale ma siamo ancora nell’ambito degli irrinunciabili contenuti di base. Il Modello, sotto tale eccezione dovrà essere idoneo, in prima battuta, a descrivere effettivamente l’azienda e le rischiosità specifiche quindi ad indicare i puntuali presidi di controllo che sovraintendono alla loro mitigazione. Di norma gli elementi che si utilizzano a supporto di tale requisito sono i seguenti “passaggi chiave”:

  • l’analisi del perimetro di intervento 231 in relazione al settore, l’organizzazione aziendale, i rapporti fra gruppo, eccetera;
  • l’individuazione e la condivisione con gli owner e con l’ente dei profili di rischio
  • la descrizione non generica dei processi aziendali generali e specifici con indicazione dei presidi di controllo nonché con la chiara regolamentazione della gestione delle risorse finanziarie;
  • previsione di specifiche procedure /protocolli con indicazione anche del profilo sanzionatorio;
  • l’archiviazione della documentazione dell’ assessment 231
  • altro;

Il Modello specifico dovrà altresì essere attuabile. Capita non di rado di analizzare modelli perfetti sotto il profilo tecnico formale ma che per i contenuti cautelari ivi ipotizzati non siano effettivamente attuabili (quindi attuati con tutte le conseguenze facilmente immaginabili). In altri termini le misure a protezione dei rischi devono essere coerenti con le capacità dell’azienda di implementarle effettivamente. Si tratta di grandezze che si misurano sia mediante considerazioni di tipo economico finanziario che umano organizzativo. Sul punto è  utile ricordare che il razionale del “valutatore esterno” segue il seguente paradigma di base:

correttezza dell’individuazione del rischio ad esempio corruzione nel processo gare d’appalto

meno

adeguata implementazione dei presidi di controllo (ad esempio procedura gara d’appalto, procedura incassi, procedura subappalti eccetera)

uguale

rischio residuo accettabile

tenuta cautelare

Un errore di valutazione sul fronte del rischio del controllo compromette il giudizio finale di accettabilità, così come la non attuazione di procedure giudicate necessarie per ridurre il rischio. Si suggerisce di approfondire, in via preventiva, l’effettivo impatto sia sul business che sulla compliance dei presidi che si vuole implementare e di prevedere un “action plan” in cui trattare la priorità d’intervento anche con riferimento alla tempistica (cosidddetta  “gap analisys” e “gap recovery”).  Le aziende, alla stregua di qualsiasi organismo vivente sono esposte nel corso del tempo a continue, costanti più o meno evidenti, modificazioni. Le ragioni fisiologiche (alle volte anche patologiche!) del cambiamento possono avere origine interna e o esterna. La permanenza economica delle nostre risiede proprio nella capacità di reagire positivamente ai variegati stimoli appena tratteggiati. Il Modello Organizzativo pertanto non può non deve essere un documento statico ma dovrà evolversi parallelamente all’azienda. Questo infatti recepirà con sistematicità le modifiche organizzative al fine di verificare nel tempo l’adeguatezza del modello stesso. La delineata analisi “continuativa” avviene anche attraverso l’Organismo di Vigilanza che ha tra le altre la responsabilità di segnalare all’Organo di Gestione le necessità di aggiornamento.  Alcuni esempi possono essere di aiuto per meglio inquadrare tale aspetto. Si pensi al caso di modifiche normative a seguito ad esempio all’introduzione di nuovi reati presupposto che impattano sui processi aziendali. Il Modello sino ad oggi in vigore per evidenti ragioni non offre alcuna garanzia circa la salvaguardia da tali nuovi rischi per cui, con riferimento all’attualità, è inadeguato e necessita di un aggiornamento specifico. Nello stesso senso, nell’ipotesi in cui l’azienda sia stata oggetto di riorganizzazione del sistema delle deleghe e delle procure non più coerente con quanto tracciato nell’originale edizione del Modello. Si tratta di un percorso senza fine che rientra nella fisiologia della gestione aziendale, e dovrà essere condotto con sistematicità e secondo cadenze prefissate. Al riguardo si suggerisce di prevedere nel Modello una sorta di scadenza entro cui sottoporre ad analisi l’intero sistema 231, ciò anche a prescindere dalle verifiche periodiche dell’organismo di vigilanza. In altri termini si può affermare che il modello dovrà essere aggiornato per tenere conto dell’effettiva realtà dell’ente con riferimento sia al profilo di rischio che al profilo organizzativo. La verifica del requisito di attualità passa normalmente attraverso le seguenti evidenze:

  • l’analisi periodica delle modifiche organizzative o del profilo di business  eventualmente intervenute ad esempio mediante la previsione di uno specifico flusso informativo;
  • l’analisi dell’impatto 231 di eventuali nuove aree di business o nuovi reati presupposto;
  • l’analisi della coerenza del sistema delle deleghe delle procure con la realtà aziendale con le previsioni del modello
  • la previsione in termini di obbligatorietà di specifiche attività di audit sotto il coordinamento/ controllo analisi dell’OdV

Le previsioni del modello per essere effettive devono essere conosciute tra i soggetti interni ed esterni all’ente obbligati ad osservarle; dovrà pertanto essere chiara la risposta alle esigenze di:

  • diffusione;
  • formazione;
  • informazione;
  • del modello organizzativo.

La diffusione risiede nel rendere fruibile ai destinatari il modello o la documentazione di cui si chiede la conoscenza o il  rispetto. Di norma avviene tramite l’invio di un email con ricevuta di consegna/ lettura corredata dalla documentazione in argomento nonché mediante la pubblicazione presso le bacheche aziendali e/o la consegna dei cartacei ai  destinatari. Si badi che non si tratta di forme alternative ma concorrenti che saranno definite, caso per caso, in relazione alle effettive necessità aziendali.

La formazione sui contenuti del modello e dei documenti ad  esso correlati dovrà essere specifica, non generica nonché idonea a dare evidenza oltre che dei temi trattati, anche della partecipazione del livello di approfondimento conseguito. La formazione ha carattere di continuità e dovrà essere pianificata, almeno su base annuale, in uno specifico documento. L’informazione si inserisce nell’esigenza per cui  tutti gli attori della compliance 231 siano aggiornati sui fatti di rilievo e di interesse. Per questa ragione si suole prevedere periodici flussi informativi da /per l’Organismo di Vigilanza e/o i key officers nonché la possibilità per chiunque di segnalare eventuali violazioni, anche tentate, del modello e/o delle regole etiche dell’azienda. In tale ultima ipotesi, è necessario salvaguardare il segnalante da qualsiasi forma di ritorsione o discriminazione e, più in generale, tutelarne la riservatezza. Tali comunicazioni sono gestite direttamente dall’organismo di vigilanza che, secondo alcuni, potrà essere contattato anche in forma anonima. Il modo con cui l’azienda intende adempiere alla necessità di diffusione formazione informazione dovrà essere indicato in dedicate sezione del modello organizzativo, mediante:

  • introduzione dell’obbligo di riferire all’ODV circa eventuali violazioni del Modello e o commissione di reati rilevanti 231;
  • revisione della forma dell’informazione/diffusione
  • previsione di informazioni “sistematiche e proceduralizzate alzate ed relativi owner;
  • introduzione delle sanzioni in caso di violazione degli obblighi informativi;
  • altro.

La validità delle disposizioni cautelari risiede anche nella capacità dell’ente di sanzionare comportamenti assunti in violazione delle stesse.

Si tratta, è il caso di chiarirlo di sanzioni che riguardano tutti destinatari del Modello e non solo i dipendenti dell’ente. Per questa ragione il semplice richiamo alle indicazioni del CCNL appare inadeguato rispetto alle esigenze di compliance 231. Nello specifico è necessario sviluppare una chiara sezione del Modello in cui delineare le violazioni e prevedere in relazione alla gravità le sanzioni applicabili nonchè il procedimento di irrogazione delle stesse. Sotto tale ottica ad esempio saranno destinatari potenziali delle sanzioni :

  • i componenti degli organi di gestione di controllo;
  •  i dipendenti di ogni ordine e grado;
  • i consulenti ed i collaboratori in genere;
  • gli agenti;
  • i partner commerciali.

trattando il tema dell’implementazione del modello è opportuno per semplicità espositiva distinguere i due fondamentali momenti del risk assessment e della scelta della struttura del modello. Anche su questi temi si chiarisce che non esistono indicazioni legislative ma si farà esclusivo riferimento a quanto indicato le linee guida redatte dalle associazioni di categoria nonché nella dottrina e nella giurisprudenza di riferimento.

Di norma si suole seguire il seguente percorso logico, distinto per semplicità espositiva, in cinque fasi:

  • scoping fase 1 definizione degli obiettivi e del perimetro di progetto e pianificazione dettagliata attività
  • risk assessment fase 2 Identificazione dei reati potenziali e descrizione preliminare del modello “as is”
  • Progettazione fase 3 Gap Analisyis ed elaborazione del modello a tendere “to be”
  • Realizzazione fase 4 Redazione del modello Organizzativo definizione dell’ODV e piano di comunicazione e formazione
  • Implementazione Fase 5 adozione ed implementazione del modello

Lo Scoping del progetto è un fondamentale momento conoscitivo per comprendere il perimetro del progetto ma- soprattutto- per iniziare ad apprezzare l’effettivo livello di committment aziendale sulle tematiche in argomento. In questa delicata fase, inoltre, saranno individuate le attività ed i soggetti “sensibili” (c.d. owner dei rischi) con cui condividere e programmare lo sviluppo operativo dell’attività di assessment (ad esempio la pianificazione delle interviste, la selezione della documentazione da acquisire etc.) . L’attività di implementazione del Modello 231 dovrà essere condotta alla stregua di un complesso processo di risk management in cui le esigenze operative troveranno giusta considerazione in relazione agli specifici rischi di compliance 231 sottostanti. Per questa ragione è indispensabile conoscere l’azienda ed analizzare i processi con una metodologia verticale ed orizzontale, idonea a riconoscere il rischio 231 sia nella funzione orizzontale che nelle fisiologiche relazioni interfunzionali (verticale) come esemplificato nella figura che segue:

Mappatura verticale                                                                          Mappatura orizzontale

Pubblica amministrazione                                                              Pubblica amministrazione

Funzione aziendale                                                                         Funzione aziendale

sistema di controllo                                                                         Sistema di controllo

In tale contesto si dovrà procedere non solo con l’analisi dell’impatto e della probabilità ma, soprattutto,1 valutazione dell’interferenza tra le differenti categorie di rischio in relazione all’impianto dei controlli già esistenti in azienda. L’obiettivo del processo e di ricondurre il rischio ad un livello accettabile di sostenibilità

Rischio lordo – Presidi di controllo = Rischio accettabile

il rischio lordo rappresenta il valore misurato in termini di impatto probabilità, i presidi di controllo quanto esistente per ridurre il rischio residuo ad un livello accettabile. Ad esempio, nel caso di rischio corruzione la presenza di idonee procedure una successiva implementazione delle stesse riduce, di conseguenza, il rischio. L’attività di risk assessment si conclude con:

  • l’individuazione la valutazione delle aree di dischi rilevanti ai fini 231;
  • la formalizzazione la condivisione di una mappa delle aree sensibili corredata dalla valutazione preliminare dei controlli e degli elementi di compliance esistenti rispetto ai rischi/reati potenziali.

La gap analysis rappresenta la fondamentale fase conoscitiva finalizzata di individuare le aree di eventuale non compliance dell’esistente. Si tratta in altri termini di analizzare le motivazioni tecniche ed economico aziendale delle ragioni di inadeguatezza dei processi osservati in ottica 231 e delle  relative azioni remediali. Il documento di gap analysis pertanto dovrà dare riscontro non solo delle aree in cui il sistema di controllo è carente ma, soprattutto, delle azioni da intraprendere in relazione alle priorità, alle responsabilità e alla tempistica delle azioni correttive. E’ un momento formale di raccordo tra le dinamiche operative le responsabilità di compliance 231 : il giudizio sui gap si baserà su considerazioni di tipo cautelare preventivo.

La realizzazione è il momento introduce il tema della struttura del Modello in quanto si realizza con la stesura materiale che dovrà essere sviluppata in coerenza a quanto emerso in sede di risk assessment e di gap analysis. Il Modello di norma è un documento articolato su più parti:

  • parte generale
  • parti speciali
  • codice etico comportamentale
  • mappatura delle aree di rischio
  • altro

la parte generale del Modello tratteggia le caratteristiche dell’azienda e le principali regole caratteristiche dell’impianto 231 adottato dalla società. In particolare sono indicati:

  • descrizione dell’azienda e della governance
  • descrizione del mercato in cui l’azienda opera
  • descrizione del processo di implementazione del Modello
  • indicazione del quadro normativo 231
  • ruolo, responsabilità e requisiti dell’organismo di vigilanza
  • indicazioni sulla diffusione, formazione ed informazione in materia 231
  • previsioni disciplinari

Le parti speciali viceversa sono dedicate a trattare, nel dettaglio, la gestione dei rischi 231 cui l’azienda esposta. Si tratta in altri termini di dichiarare ai destinatari del Min maniera chiara e puntuale sia i rischi e come questi si manifestano nonché le procedure, i presidi di controllo delle cautele adottate dall’azienda per monitorarli e ridurli sino a livello di accettabilità di cui si è detto. In tale contesto assume particolare interesse il disegno del processo improntato a:

  • segregazione delle funzioni, per cui un unico soggetto non ha il potere di determinare tutto il processo, ad esempio, chi chiede una consulenza non è colui che seleziona il partner nonchè effettua il pagamento
  • caccia militare del processo decisionale al fine di rendere ricostruibile a posteriori il perché, da chi e sotto quali presupposti sia stata assunta la decisione
  • archiviazione della documentazione rilevante
  • segnalazione delle eventuali misconducts
  •  altro

è naturale che quanto descritto presenta delle dimensioni dell’ente soprattutto con riferimento requisito della segregazione. Si ribadisce la necessità che il Modello in particolare le parti speciali, siano molto dettagliate ed effettivamente rispondente alle dinamiche operative specifiche dell’ente. Il codice etico è il documento con cui l’azienda di chiara i  principi attraverso i quali intende condurre le proprie attività e da cui tutti propri interlocutori dovranno conformare i loro comportamenti. sebbene sia caratterizzato da astrazione è opportuno che si è disegnato in conformità ai rischi 231 specifici dell’azienda. Ad esempio,1′azienda particolarmente esposta al rischio sicurezza sui luoghi di lavoro, dovrà anche a livello di codice etico prevedere le regole di base e concentrare l’attenzione sul tema specifico.tale approccio consente di evitare il comune errore di sviluppare dei documenti che sia una mera elencazione di valori, troppo generica per essere effettivamente utilizzabile nell’ambito del processo 231. La mappatura delle aree di rischio e il documento che, di norma, riepiloga i processi sensibili sotto il profilo 231 e per ognuno indica:

  • Le funzioni aziendali coinvolte
  • il tipo di reato 231 le modalità attraverso cui potrebbe essere commesso
  • i presidi di controllo/ procedure esistenti
  • l’eventuale reportistica
  • i controlli dell’organismo di vigilanza o delle altre funzioni preposte
  • altro.
Be Sociable, Share!

Lascia un Commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

*

È possibile utilizzare questi tag ed attributi XHTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>