Pubblicato il di azamboni

Principi consolidati per la redazione dei modelli organizzativi ex d.lgs. 8 giugno 2001, n.231

Premessa

A dicembre 2018 il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili, in collaborazione con ABI, Confindustria e Consiglio Nazionale Forense, ha pubblicato in consultazione il documento “Principi consolidati per la redazione dei modelli organizzativi e l’attività dell’organismo di vigilanza e prospettive di revisione del D.Lgs. 8 giugno 2001, n.231”.

Il presente articolo rappresenta un primo sommario del contenuto del documento senza alcuna pretesa di esaustività anche in considerazione del fatto che il documento è stato pubblicato in consultazione sino al 24 gennaio 2019 e potrebbe subire variazioni prima della sua stesura definitiva.

Elaborazione dei modelli organizzativi

Al fine di una corretta implementazione del modello di organizzazione, gestione e controllo è necessario prima di tutto eseguire alcune operazioni preliminari che sono sintetizzabili come segue:

  • individuare le attività nel cui ambito possono essere commessi i reati contemplati dalla norma;
  • prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”, che rappresentino dunque delle contromisure rispetto alle criticità e ai profili di rischio individuati;
  • individuare modalità di gestione delle risorse finanziarie, al fine di mitigare il rischio di commissione di alcuni illeciti, con particolare riferimento ai reati di corruzione;
  • affidare il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del Modello ad un organismo nei confronti del quale è necessario prevedere specifici obblighi di informazione;
  • introdurre un sistema disciplinare in grado di sanzionare il mancati rispetto delle misure organizzative previste dal Modello.

La costruzione del modello: elementi metodologici

La costruzione di un Modello organizzativo che possa essere considerato idoneo rappresenta un procedimento complesso, che richiede diverse attività. Lo svolgimento di alcune di queste attività si fonda in maniera consistente su principi più generali di corporate governance e valutazione rischi (risk assessment), da adottare in una specifica “ottica 231”, così che tutte le operazioni siano finalizzate e impostate in base ai criteri del Decreto e alle relative esigenze di tutela dell’Ente.

L’orientamento alla logica del Decreto richiede che siano sottoposte a valutazione tutte le strutture aziendali in relazione agli elementi che possono dare luogo alla responsabilità prevista dal D.Lgs. 231/2001, con l’obiettivo di individuare le possibilità di commissione di un eventuale illecito.

Check up aziendale

Ai fini dell’implementazione del Modello, risulta imprescindibile effettuare, in via preliminare, un’attività di check up che dovrebbe riguardare i seguenti elementi

  • documentazione rappresentativa e descrittiva della struttura organizzativa, della corporate governance, dei dati dimensionali, del tipo di attività svolta e delle aree di business,
  • nel caso di Gruppi Societari, informazioni che precisino il ruolo della Società nell’ambito del Gruppo e i rapporti della medesima Società con le altre legal entity, sopratutto per i processi distribuiti o per le attività in outsourcing. In particolare va verificata la presenza di contratti che regolino i rapporti infra-gruppo e le responsabilità di ogni compagine societaria.
  • codici etici e di comportamento, norma di autodisciplina, “compliance programme” che costituiscono la codificazione dei valore e delle regole dell’Ente.

Risk assessment in ottica 231

Volendo fornire indicazioni di massima relative agli scopi e alle fasi di cui si compone il processo di risk assessment 231/2001, si deve procedere a identificare, attraverso analisi documentali e incontri con i responsabili delle strutture:

  • le aree a rischio di potenziale commissione dei reati;
  • le fattispecie di reato astrattamente applicabili e le modalità di commissione relative alla specifica attività;
  • i controlli esistenti;
  • le eventuali aree di miglioramento;
  • i suggerimenti per il superamento delle aree di miglioramento identificate.

In estrema sintesi, lo scopo di questa attività, è quello di accertare la presenza ed il funzionamento di opportuni presidi che possano garantire la conformità dell’attività svolta alla normativa vigente in materia di responsabilità amministrative degli enti. In particolare, è opportuno verificare, a titolo esemplificativo, la presenza di:

  • regole formali che definiscono i ruoli e le responsabilità relative ai processi analizzati oltre che opportune modalità di tracciabilità e ricostruzione dei processi decisionali;
  • principi di comportamento e azioni di controllo sulle attività svolte tali da prevenire comportamenti a rischio in ambito 231/2001;
  • policy aziendali di gestione e prevenzione dei conflitti di interessi;
  • procedure di controllo ad ogni livello operativo;
  • predisposizione di sistemi informativi per l’intercettazione di anomalie;
  • registrazione di ogni fatto di gestione con adeguato grado di dettaglio;
  • procedure formalizzate per la gestione delle risorse finanziarie;
  • deleghe specifiche formalizzate;
  • procedure formalizzate per la redazione dei contratti;
  • eventuali avvenimenti passati in cui si sono già verificati casi di reati o comunque eventi critici.

Il rischio può essere analizzato sulla base di due componenti fondamentali, che ne consentono una valutazione e orientano le attività di risk mitigation da porre in essere:

  • la probabilità che l’illecito possa effettivamente verificarsi;
  • le conseguenze e l’impatto dell’evento

dalla connessione delle quali emerge l’esposizione al rischio, rappresentata dall’interrelazione tra le probabilità che il rischio si concretizzi e il suo impatto potenziale sull’Ente.

Individuazione della soglia di rischio accettabile e gap analysis

La valutazione del sistema di controllo interno esistente deve essere esaminata in relazione al livello auspicabile e ritenuto ottimale di efficacia ed efficienza di protocolli e standard di controllo. La valutazione in questione (gap analysis) e le attività conseguenti si estrinsecano, dunque nell’adeguamento dei meccanismi di controllo esistenti alla prevenzione della fattispecie di rischio individuate.

Nella definizione o miglioramento delle procedure è opportuno far riferimento al concetto di risk appetite, che andrà stabilito in relazione alla probabilità di commissione del reato e ai potenziali oneri che ne conseguirebbero.

Per quanto riguarda l’intensità e la pervasività dei controlli, al fine di evitare di appesantire le attività operative dell’ente attraverso l’istituzione di procedure eccessivamente rigide che avrebbero l’effetto di rallentarne il regolare svolgimento, la soglia accettabile è rappresentata da un sistema di prevenzione tale da poter essere eluso solo fraudolentemente.

Principi generali per l’elaborazione del Modello

Specificità

Le attività di analisi e i meccanismi di gestione del rischio dovranno essere elaborati e integrati tra loro secondo un approccio peculiare per l’organizzazione, avendo riguardo al sistema di controllo interno esistente, nonché alle aree e ai processi “sensibili”.

Adeguatezza

In linea generale, un Modello appare adeguato quando dimostra la sua reale capacità di prevenire i comportamenti non voluti. La giurisprudenza ha individuato alcune prerogative che il Modello deve rispettare per essere “adeguato” e “idoneo” quali ad esempio, in via esemplificativa e on esaustiva:

  • espressa indicazione nel Modello delle fattispecie illecite rispetto alle quali l’esposizione della società risulta particolarmente sensibile e quelle per le quali si ritiene trascurabile;
  • opportuno bilanciamento tra presidi esplicitati nel Modello e rinvio all’impianto documentare esistente (soprattutto per quelle procedure ove siano dettagliati opportuni processi di controllo), al fine di garantire un idoneo livello di dettaglio nell’illustrazione delle cautele adottate dall’Ente al fine di prevenire il potenziale rischio di commissione dei reati presupposto;
  • protocolli/divieti presenti nel Modello e rischiamo a procedure e regolamenti;
  • coordinamento, con riferimento ai reati previsti nel Modello, tra i controlli di linea di primo livello (insiti nelle procedure operative), di secondo livello (compliance, risk management, antiriciclaggio, ove applicabile) e di terzo livello (Internal Audit o Revisione Interna) previsti dal Modello e le procedure cui lo stesso rinvia;
  • coordinamento e integrazione del Modello con gli altri sistemi di gestione e controllo aziendale, con conseguente adeguamento dei suoi contenuti alla specifica realtà operativa di riferimento ai fini delle concreta applicabilità delle prescrizioni in esso contenute.

Attuabilità e condivisione

E’ essenziale che i protocolli e le misure organizzative siano effettivamente e concretamente attuabili in riferimento alla struttura dell’Ente e ai suoi processi operativi. Per tali ragioni, risulta quindi necessario il pieno coinvolgimento dei responsabili delle strutture per la definizione dei presidi che dovranno concordare sulle modalità di attuazione. In quest’ottica diventa di assoluto rilievo la programmazione di percorsi informativi e formativi idonei a consentire il rispetto del principio di condivisione (infra) e di diffusione del Modello.

Efficienza

Il sistema realizzato deve rispondere anche ad un principio di efficienza, inteso come coerenza fra le caratteristiche dell’Ente e la complessità del Modello, con particolare riferimento alla sostenibilità in termini economico-finanziari e, soprattutto, organizzativi.

Dinamicità

Come tutti i sistemi di controllo interno e gli ordinari strumenti di risk management, anche il Modello e tutta la documentazione ad esso attinente, devono essere oggetto di una costante attività di verifica e aggiornamento, che si concretizza in un’analisi periodica e/o continuativa dell’efficacia e dell’efficienza del disegno dei controlli interni e dell’effettiva operatività degli stessi, al fine di accertare che operino secondo gli obiettivi prefissati e che siano adeguati a eventuali cambiamenti della realtà operativa.

Unità

Il Modello organizzativo deve essere sviluppato procedendo a una valutazione dei rischi e dei processi sensibili che abbracci l’intera organizzazione dell’Ente, nella consapevolezza che, pur nell’analisi particolare delle singole aree di rischio, è necessario che l’organizzazione nella sua interezza sia coinvolta, anche al fine della creazione di una cultura fondata su valori condivisi, che trovano, poi, formalizzazione nel codice etico (documento richiesto non solo sotto il profilo formale, ma anche di assoluta valenza sotto il profilo sostanziale).

La diffusione nell’Ente dei principi stabiliti nel Modello, anche e soprattutto attraverso l’esempio degli organi direttivi, garantisce l’attenzione al rispetto delle regole da parte di tutti coloro che lavorano per e con l’Ente stesso.

Coerenza

L’elaborazione del Modello deve mostrare una coerenza di fondo fra i risultati dell’attività di risk assessment, i protocolli di prevenzione stabiliti, i principi enunciati nel Codice Etico, le sanzioni previste dal Sistema Disciplinare e la documentazione predisposta. La coerenza interna implica:

  • in sede preventiva, che gli strumenti, le procedure e tutto quanto previsto a livello organizzativo finanziario ed economico siano in linea e conseguenti alla pianificazione ed alle strategie dell’Ente;
  • in sede di gestione, che le decisioni e gli atti non siano in contrasto con gli indirizzi e gli obiettivi indicati nel Modello e non pregiudichino il controllo e il contenimento dei rischi provenienti dalla “responsabilità amministrativa”;
  • in sede di verifica, che sia rilevato e motivato l’eventuale scostamento fra risultati ottenuti e quelli attesi.

Neutralità

Pur in assenza di inevitabili profili soggettivi e discrezionali di valutazione, la redazione del Modello dovrà essere basata su criteri di neutralità, al fine di non far venir meno l’imparzialità, la ragionevolezza e la verificabilità. A tal proposito, è necessario che i soggetti incaricati della definizione delle procedure di controllo abbiano un adeguato grado di indipendenza, soprattutto nel rilevare eventuali carenze organizzative e le aree di rischio su cui intervenire strutturando gli opportuni meccanismi preventivi.

Principi specifici per l’elaborazione del Modello: procedure e meccanismi di prevenzione

 

00

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *