Integrare il Modello 231 nella gestione del rischio aziendale
In ambito aziendale il termine compliance assume il significato di conformità a una legge, a uno standard, a best practice o a politiche imprenditoriali ed è messo in relazione al sistema di controllo interno; la compliance aziendale è di fatto perseguita attraverso il sistema di controllo interno tramite la definizione di una serie di regole di funzionamento dell’azienda e di monitoraggio del comportamento dei soggetti che a essa fanno riferimento in modo diretto (dipendenti, amministratori ecc.) o indiretto (consulenti, terzisti ecc.).
Settori e Normative Coinvolti nel modello 231
L’attività di compliance è destinata a tutte le imprese, indipendentemente dalle dimensioni, che si trovano a dover gestire la propria conformità normativa in uno o più dei seguenti settori: Certificazioni di qualità e Normative ISO; Sicurezza informatica e Data protection; Trattamento dei dati personali; Lotta alla corruzione; normativa antiriciclaggio; Responsabilità degli enti e delle persone giuridiche ex D. Lgs. 231/2001.
In tale ottica il Modello di organizzazione, gestione e controllo ai sensi del D. Lgs. 231/2001 assume quindi un ruolo fondamentale e rappresenta lo strumento attraverso il quale la cultura della legalità e del controllo può indirizzare l’azione della società.
L’azienda, infatti, potrà esimersi da pesanti sanzioni se dimostra di essersi organizzata in modo tale da prevenire la commissione dei reati presupposto da parte di dipendenti e collaboratori. L’elenco dei reati contemplati dal Decreto è ampio e in continua evoluzione, e comprende, tra gli altri: reati contro la pubblica amministrazione; delitti informatici e trattamento illecito di dati; reati societari; omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro; ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita, nonché auto riciclaggio; reati ambientali; reati tributari.
L’impianto sanzionatorio dettato dal Decreto prevede sanzioni pecuniarie, sanzioni interdittive (interdizione dall’esercizio dell’attività; sospensione o revoca di autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; divieto di contrarre con la PA; esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi; divieto di pubblicizzare beni o servizi), confisca del prezzo o del profitto del reato e pubblicazione della sentenza di condanna.
Prevenzione dei Reati tramite il Modello 231
L’ente potrà essere esente dalla responsabilità qualora, in occasione di un procedimento penale per uno dei reati previsti dal D. Lgs. 231/2001, dimostri di aver adottato formalmente ed efficacemente attuato (adottando procedure e un sistema disciplinare, individuando l’Organismo di Vigilanza, formando il personale e gli altri destinatari del modello 231 e elaborando e applicando il codice etico) un Modello di organizzazione e gestione idoneo a prevenire la commissione di reati della medesima specie di quello verificatosi.
Ai fini della stesura di un Modello ai sensi del D. Lgs. 231/2001 è necessario svolgere una profonda analisi dell’azienda, raccogliendo la documentazione esistente e acquisendo informazioni tramite interviste alle figure aziendali più rilevanti. Devono quindi essere valutati i profili della cultura aziendale diffusa, in particolare con riferimento al grado di responsabilità assunto dal management aziendale nella gestione dell’attività e alla struttura organizzativa dall’ente, al livello di separazione dei poteri e riguardo ai sistemi di prevenzione e gestione dei rischi aziendali già predisposti dalla società.
Valutazione dei Rischi e Controlli secondo la 231/2001
L’attività di Risk Assessment permette quindi di identificare e valutare il livello di rischio legato alla commissione dei reati 231 esistente di ciascuna attività “sensibile” previamente individuata. In particolare è necessario:
- individuare i singoli processi aziendali e le attività nel cui ambito possono essere commessi i reati;
- prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
- verificare la presenza di regole formali che definiscono i ruoli e le responsabilità relative ai processi analizzati oltre che opportune modalità di tracciabilità e ricostruzione dei processi decisionali;
- eventualmente predisporre o integrare protocolli esistenti per introdurre misure volte al controllo delle attività in questione.
Al fine di determinare il risultato dell’analisi dei rischi viene spesso utilizzata una tabella a matrice che riporta per ogni tipo di reato l’attività a rischio e la procedura che disciplina responsabilità, metodi e criteri operativi per la sua conduzione.
Definire un sistema di deleghe per la gestione del rischio
La definizione di un sistema di deleghe è di fondamentale importanza nella realizzazione di un sistema di gestione del rischio. Per risultare efficace deve quindi prevedere:
- deleghe formalizzate in conformità con le disposizioni di legge applicabili, con chiara esposizione dei poteri attribuiti e chiara esplicitazione delle eventuali limitazioni di potere;
- applicazione di sanzioni in caso di violazione dei poteri delegati;
- il rispetto del principio di segregazione delle funzioni e dei ruoli, affinché nessuno possa gestire autonomamente un intero processo;
- la coerenza con i regolamenti aziendali e con altre disposizioni interne comprese quelle in materia antinfortunistica e in materia ambientale;
- periodico aggiornamento in relazione ai cambiamenti organizzativi;
- la documentabilità del sistema di deleghe che sia opponibile a terzi.
Un sistema di poteri di deleghe adeguato assicura numerosi vantaggi tra cui sicuramente l’efficienza operativa, con articolazione delle responsabilità coerentemente con gli obiettivi aziendali, e l’efficacia del processo decisionale, con allineamento dei poteri attribuiti alla relativa responsabilità e posizione in organigramma.
La coerenza del sistema di attribuzione dei poteri e l’individuazione formale dei poteri attribuiti ai soggetti che possono assumere, in nome e per conto della società stessa, obbligazioni verso terzi garantisce chiarezza e in generale tutela la società.
Come prevenire, identificare, misurare e comunicare la gestione del rischio
Ai fini dell’efficace implementazione del Modello risulta di fondamentale importanza coinvolgere tutta l’organizzazione nel definire, sviluppare e applicare il sistema dei controlli per prevenire, identificare, misurare, comunicare e gestire i rischi. Sul piano organizzativo, i soggetti coinvolti nel sistema di controllo aziendale, vengono individuati generalmente coerentemente con un’articolazione delle responsabilità su vari livelli.
Si possono individuare diverse tipologie di controllo:
- controlli di primo livello (controlli di linea): assicurano il corretto svolgimento delle operazioni. Sono effettuati nel corso dell’operatività e sono per esempio rappresentati da presidi di tipo gerarchico dai responsabili delle unità organizzative o da controlli sistematici o a campione mirati a identificare e analizzare i rischi derivanti dall’attività ordinaria;
- controlli di secondo livello (controlli sui rischi e sulle conformità): assicurano la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni e la conformità dell’operatività aziendale alle norme. Le funzioni preposte a tali controlli sono distinte da quelle produttive (normalmente sono rappresentate dalle funzioni di Risk Management, Compliance, Controllo di Gestione, Responsabile Sistemi di gestione, ecc.);
- controlli di terzo di livello (revisione interna): diretta ad individuare le violazioni delle procedure e della regolamentazione e a valutare periodicamente l’adeguatezza, la completezza, l’efficacia e l’efficienza del sistema di controlli interni;
Infine il sistema di controllo viene completato dagli organi posti in posizione apicale all’interno della società. In particolare si tratta del collegio sindacale, il consiglio di amministrazione nonché dell’Organismo di Vigilanza di cui al D. Lgs. 231/2001, chiamato a vigilare sulla reale efficacia dei Modelli organizzativi adottati e di fondamentale importanza ai fini del valore esimente dei Modelli stessi.
Risulta quindi evidente che la dimensione giuridica e quella organizzativa sono strettamente correlate, poiché pur trattandosi di materia tecnico giuridica, ai fini di un’efficace gestione del rischio risultano di fondamentale importanza la struttura organizzativa e i comportamenti delle persone all’interno dell’organizzazione.
L’ampio catalogo di reati presupposto e la complessità della struttura del D. Lgs. 231/2001 impongono un concorso di competenze eterogenee e ampie ai fini della corretta stesura e implementazione del Modello di organizzazione, gestione e controllo previsto dalla norma.
Approfondimenti: