UNIVERSITA’ DEGLI STUDI DI MACERATA DIPARTIMENTO DI ECONOMIA E DIRITTO
Corso di Laurea in Consulenza e Direzione Aziendale
Tesi di laurea in Internal Auditing
IL MONITORAGGIO DEL MODELLO ORGANIZZATIVO Ex. D.Lgs. 231/2001 NELLE AZIENDE MULTINAZIONALI
Relatore:
Laureanda:
Chiar.mo Prof. Angelo Micocci
Alessia Scamaccio
Anno Accademico 2011/2012 1
INDICE
Premessa
Pag.
5
Capitolo primo:
La normativa ex D.Lgs. 231/2001 1.1 La responsabilità amministrativa degli Enti
7
1.2 I soggetti coinvolti
8
1.3 I reati presupposto
10
1.4 Le sanzioni
12
1.5 L’ambito territoriale
15
1.6 L’esimente
16
1.7 Normative che seguono le linee del D.Lgs. 231 in ambito estero
19
1.7.1 Ley Organica Spagnola
20
1.7.2 Il Bribery act nel Regno Unito
21
1.7.3 La responsabilità delle persone giuridiche nell’ordinamento francese 1.7.4 La responsabilità delle persone giuridiche in Cile
23 25
Capitolo secondo:
Il Modello Organizzativo 2.1 Un’introduzione al Modello
28
2.2 Le caratteristiche del Modello Organizzativo
31
2.3 Il Modello 231 e il framework internazionale ERM
42
2
Capitolo terzo:
L’Organismo di Vigilanza 3.1 Composizione dell’OdV
47
3.2 Nomina e revoca dell’OdV
49
3.3 Requisiti dell’Organismo di Vigilanza
50
3.4 Compiti dell’OdV
51
3.5 Rapporto dell’OdV con gli altri Organi di controllo
55
3.5.1 Rapporti tra l’OdV e il Collegio Sindacale
57
3.5.2 Rapporti tra l’OdV e il Comitato Controllo e Rischi
59
3.6 Relazione tra l’OdV e la funzione Internal Audit
61
3.7 Obblighi di informazione all’OdV
62
Capitolo quarto:
Ruolo della funzione Internal Audit nell’implementazione e nel monitoraggio del Modello Organizzativo 4.1 L’Internal Audit a supporto degli OdV
64
4.2 Le caratteristiche professionali degli Internal Auditor strumentali all’attività di supporto agli OdV 4.3 Le modalità attraverso le quali la funzione Internal Audit supporta gli OdV
3
65 74
Capitolo quinto: Una rilevazione sulle attività di monitoraggio del Modello Organizzativo
ex.
D.Lgs.
231/2001
in
quattro
aziende
multinazionali 5.1 Le principali fasi della survey e la metodologia applicata
82
5.2 Aziende multinazionali che hanno partecipato alla survey
84
5.3 L’ERM quale best practice internazionale utilizzata per la predisposizione dei questionari
92
5.4 L’analisi dei risultati
100
Conclusioni
107
Bibliografia
111
Sitografia
115
4
Premessa
Il Decreto Legislativo n. 231 del 2001 ha rappresentato un punto di svolta nell’ordinamento giuridico italiano, introducendo il principio della responsabilità in sede penale degli enti e quindi anche delle organizzazioni aziendali. Tale normativa, nata come strumento per contrastare i reati in danno della pubblica amministrazione (sulla base della ratifica di convenzioni internazionali), è divenuta uno dei principali strumenti a disposizione del legislatore italiano per prevenire la commissione di tutta una serie di reati posti in essere nell’interesse o vantaggio delle società (ultimi dei quali i reati di corruzione tra privati ed induzione indebita a dare o promettere utilità, introdotti a novembre 2012). Dopo poco più di un decennio dall’introduzione del decreto, possiamo quindi provare a fare un bilancio dei miglioramenti e delle naturali, prevedibili complicazioni che la normativa ha apportato alle organizzazioni aziendali. Infatti se da un lato il D.Lgs. 231/2001 ha contribuito a diffondere la cultura del rispetto dei principi etici nel perseguimento degli obiettivi aziendali e a stimolare importanti e trasversali discussioni su temi importanti riguardanti il sistema di controllo interno e la Corporate Governance delle società, coinvolgendo giuristi ed economisti nell’identificazione di un comune linguaggio, non si possono tuttavia non evidenziare alcuni aspetti negativi come gli alti costi di gestione dei modelli organizzativi di controllo e la prevalenza della “forma” sulla “sostanza”, soprattutto nei contesti aziendali meno strutturati. In relazione all’implementazione e al continuo aggiornamento del Modello Organizzativo che, unitamente all’operato dell’Organismo di Vigilanza, sintetizzano le condizioni “esimenti” da opporre al Giudice per dimostrare di aver fatto il possibile per prevenire il reato contestato, possiamo intuire il grado di difficoltà nella gestione di tali Modelli in contesti aziendali complessi quali sono le imprese multinazionali. La necessità di armonizzare le normative italiane a quelle locali degli Stati dove le imprese gestiscono i loro business, la definizione di principi 5
autorizzativi che da un lato non “ingessino” l’operatività di questi Gruppi (che fanno spesso della flessibilità operativa il fattore di successo) ma anche in grado di assicurare la corretta segregazione di ruoli e responsabilità (evitando potenziali pericolose concentrazioni di poteri gestionali) sono soltanto alcune problematiche con le quali le imprese multinazionali si confrontano abitualmente.
L’obiettivo principale di questo lavoro è proprio di analizzare l’approccio seguito dalle aziende italiane multinazionali nell’adozione e nell’implementazione dei Modelli Organizzativi ex D.Lgs. 231. A tal fine, nell’ultimo capitolo di questa tesi, sarà effettuata un’analisi comparata sulle attività di monitoraggio dei Modelli effettuate da quattro società multinazionali sulla base della principale best practice internazionale di valutazione del sistemi di controllo interno ossia l’Enterprise Risk Management (ERM). Si evidenzia inoltre che un particolare focus sarà effettuato sul ruolo dell’Internal Audit in questi processi di “compliance” al D.Lgs 231/2001. Questa unità organizzativa, per le sue specificità organizzative di “controllore indipendente” e per
l’applicazione
di
metodologie
professionali
coerenti
con
“standard
internazionali” di audit, rappresenta spesso il partner ideale degli Organismi di Vigilanza delle aziende multinazionali per la verifica dell’adeguatezza e dell’operatività dei Modelli Organizzativi.
6
Capitolo primo
La normativa ex D.lgs. 231/2001
1.1
La responsabilità amministrativa degli Enti
Il Decreto Legislativo 8 giugno 2001, n.231, ha introdotto la responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica in attuazione dell’art.11 della Legge 29 settembre 2000, n.300. Il Legislatore con quest’ultima legge ha voluto ratificare le Convenzioni internazionali, con riferimento: -
alla Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità Europee;
-
alla Convenzione di Bruxelles del 26 maggio 1997 sulla lotta alla corruzione nella quale sono coinvolti funzionari della Comunità Europea o degli Stati membri;
-
alla Convenzione Ocse del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed internazionali.
La norma prevede, in relazione ad alcune specifiche fattispecie, una responsabilità amministrativa degli Enti, paragonabile alla responsabilità penale1, nel caso in cui 1
L’utilizzo dell’aggettivo “amministrativa” ha permesso di mantenere la coerenza con l’Art. 27 della Costituzione secondo il quale la “responsabilità penale è personale”. La Commissione Ministeriale, nella relazione accompagnatoria al Decreto, descrive un diverso tipo di responsabilità non completamente riconducibile né a quella penale né a quella amministrativa, definita come responsabilità para-penale.
7
il reato sia commesso nell’interesse o a vantaggio dell’ente da suoi dirigenti, definiti nel decreto come “soggetti apicali”, ma anche da tutti quei soggetti che per esso operano. La responsabilità amministrativa dell’ente si aggiunge a quella della persona fisica che ha commesso materialmente il reato. Tale responsabilità viene meno se si dimostra di aver istituito un Organismo di Vigilanza e di aver adottato Modelli Organizzativi al fine di prevenire i reati.
1.2 I soggetti coinvolti Il D.Lgs. 231/2001, all’art.1 comma 2, individua i soggetti destinatari della norma riferendosi agli “enti”, e precisamene sia a quelli forniti di personalità giuridica sia alle società ed associazioni prive di personalità giuridica. Il legislatore ha voluto includere nella norma anche i “soggetti” sprovvisti di personalità giuridica poiché possono eludere controlli e risultano a maggior rischio di attività illecite; pertanto sono soggetti alla norma: -
le persone giuridiche private;
-
le società di persone, di capitali e le cooperative;
-
le associazioni non riconosciute;
-
gli enti pubblici economici.
Il decreto non può essere applicato: -
allo Stato e agli altri enti pubblici territoriali (Comuni, Regioni, Provincie), essendo titolari di poteri pubblicistici;
-
agli altri enti pubblici non economici in quanto esercitano pubblici poteri;
-
a tutti gli altri enti che svolgono funzioni di rilievo costituzionale (partiti politici e sindacati), in quanto l’interdizione allo svolgimento dell’attività sindacale verrebbe a limitare in modo significativo la loro rappresentatività, ponendo in pericolo le libertà costituzionali da essi tutelate.
8
Inoltre la normativa della responsabilità amministrativa si applica anche alle imprese individuali che spesso, secondo la Corte, presentano un’organizzazione interna complessa e può coinvolgere la responsabilità di soggetti diversi dall’imprenditore, che operano nel suo interesse2. All’art. 5 comma 1 del decreto vengono individuate le persone fisiche che, con il loro operare non conforme alle norme, pongono in essere la responsabilità dell’ente; possiamo suddividerle in due categorie: a) soggetti apicali; b) soggetti sottoposti alla direzione o alla vigilanza di soggetti apicali. Nella prima categoria vi rientrano coloro che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché persone che esercitano anche di fatto, la gestione ed il controllo dell’Ente. Tali soggetti si identificano nelle figure degli amministratori, dei direttori generali, dei rappresentanti legali a qualsiasi titolo, dei componenti del collegio sindacale nonché dei preposti a sedi secondarie e dei direttori di divisioni. Rientrano invece nella categoria dei soggetti sottoposti all’altrui direzione tutti coloro che operano nell’ente in una posizione di subordinazione, nonché coloro che svolgono collaborazioni coordinate e continuative, quali ad esempio i consulenti, gli agenti o i fornitori3. Il secondo comma dell’art. 5, stabilisce che la responsabilità dell’ente non sussiste se i soggetti identificati nelle due categorie, hanno agito nell’interesse esclusivo e a vantaggio proprio o di terzi.
2
Sentenza Cass. Pen., Terza Sezione Penale della Cassazione, 20 aprile 2011 n. 15657. Es. Un’azienda, che sia avvale di fornitori, per noleggiare, acquisire attrezzature di lavoro, al fine di non incorrere in reati in materia di sicurezza sul lavoro, disposti all’art. 25-septies del D.Lgs. 231/01, deve controllare che i fornitori rispettino tutte le disposizioni legislative vigenti in materia e che ci siano, per i beni forniti all’azienda, procedure di attestazione alla conformità, accompagnati da relativa documentazione. 3
9
1.3 I reati presupposto Costituiscono “reato 231” solo le fattispecie espressamente elencate dal Legislatore (principio del “numerus clausus” dei reati), in riferimento al principio di legalità4 confermato dall’art. 2 del D.Lgs. 231/2001. Le fattispecie di reato hanno subito, sin dall’introduzione del Decreto nel 2001, un progressivo ampliamento. Alla data del presente lavoro risultano “individuati” dalla normativa i seguenti reati5: 1) reati commessi nei rapporti con la Pubblica Amministrazione (art. 24, D.Lgs. 231/01): a) malversazione a danno dello Stato o di altro ente pubblico (art. 316-bis c.p.); b) indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico o della Comunità europea (art. 316-ter c.p.); c) truffa in danno dello Stato o di altro ente pubblico o della Comunità europea (art. 640, comma 2, n.1,c.p.); d) truffa aggravata per il conseguimento di erogazioni pubbliche (art.640bis c.p.); e) frode informatica in danno dello Stato o di altro ente pubblico (art.640-ter c.p.); 2) delitti informatici e trattamento illecito di dati (art. 24-bis, D.Lgs. 231/01); 3) delitti di criminalità organizzata (art. 24-ter, D.Lgs. n. 231/2001); 4) reati commessi nei rapporti con la Pubblica Amministrazione (art. 25, D.Lgs. 231/01); 4
Art. 2, Decreto Legislativo 231 del 2001, l'ente non può essere ritenuto responsabile per un fatto costituente reato se la sua responsabilità amministrativa in relazione a quel reato e le relative sanzioni non sono espressamente previste da una legge entrata in vigore prima della commissione del fatto. 5 Confindustria, Area Affari Legislativi: elenco dei reati, presupposto della responsabilità amministrativa degli enti ex D.Lgs. 231/2001.
10
5) delitti contro l’industria e il commercio (25-bis.1., D.Lgs. n. 231/2001); 6) reati di falsità in monete, carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis, D.Lgs. 231/01); 7) reati societari (art. 25-ter, D.Lgs. 231/01); 8) reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal codice penale e dalle leggi speciali (art. 25-quater, D.Lgs. 231/01); 9) pratiche di mutilazione degli organi genitali femminili (art. 25-quarter.1, D.Lgs. 231/01); 10) delitti contro la personalità individuale (art. 25-quinquies, D.Lgs. 231/01); 11) reati di abusi di mercato (art.25-sexies, D.Lgs 231/01): a) abuso di informazione privilegiate; b) manipolazione del mercato; 12) reati transnazionali (Legge 16 marzo 2006, n.146, artt.3 e10); 13) reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25septies, D.Lgs. 231/01); 14) ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (art.25-octies, D.Lgs. 231/01); 15) delitti in materia di violazione del diritto d’autore (art. 25-novies, D.Lgs. n.231/2001); 16) induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria(art. 25-decies, D.Lgs. 231/01); 17) reati ambientali (art. 25-undecies, D.Lgs. n. 231/01); 18) impiego di lavoratori stranieri privi del permesso di soggiorno (art.25 duodecies, D.Lgs. n. 231/01);
Ultimi reati introdotti in ordine temporale risalgono a novembre 2012 a seguito della legge anticorruzione che ha permesso l’inserimento di due nuovi reati presupposto ai sensi del D.Lgs. n. 231/01 quali:
11
19) induzione indebita a dare o promettere utilità (art.25, comma 3, viene inserito il richiamo al nuovo art. 319-quater codice penale); 20) corruzione tra privati (art. 25-ter, comma1, viene aggiunta la lettera s-bis,che richiama il nuovo delitto di corruzione tra privati, nei casi di cui al nuovo terzo comma dell’art. 2635 codice civile).
I reati descritti, come detto, sono stati introdotti nel corso degli anni. Si riportano nel seguente diagramma le principali tappe che hanno portato all’attuale configurazione dei reati presupposto punibili ai sensi del Decreto 231:
1.4
Le sanzioni
Il progressivo ampliamento del numero dei reati presupposto è stato anche determinato dal dettato dell’art. 9 del Decreto, con riferimento all’efficace struttura di sanzioni applicabili agli enti in seguito alla commissione o tentata commissione dei reati; esse includono: a) sanzioni pecuniarie; 12
b) sanzioni interdittive; c) confisca; d) pubblicazione della sentenza. La sanzione pecuniaria è sempre prevista in caso di reato; il Legislatore, per determinarne l’entità, ha scelto un metodo “per quote” tenendo in considerazione sia la gravità del fatto (valutazione oggettiva), sia le condizioni economiche dell’ente (valutazione soggettiva).
La determinazione della sanzione avverrà in due momenti: -
definizione delle quote, che non possono essere inferiori a cento ne superiori a mille (valutazione oggettiva);
-
definizione dell’importo della singola quota, che deve essere compreso tra un minimo di circa 258 € e un massimo di circa 1.550.000 € (valutazione soggettiva).
Tale meccanismo garantisce una determinazione della sanzione più equa e conforme ai principi di uguaglianza sostanziale affermati dall’art. 3 della Costituzione.
Le sanzioni interdittive si suddividono in: a) interdizione dall'esercizio dell'attività; b) sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; c) divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; 13
d) esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; e) divieto di pubblicizzare beni o servizi.
Le sanzioni interdittive, si applicano solo in relazione ai reati per i quali sono espressamente previste e solo se ricorra almeno una delle seguenti condizioni: • l’ente ha tratto dall’illecito un profitto di rilevante entità e il reato è stato commesso da soggetti apicali o da soggetti sottoposti all’altrui direzione; • in caso di reiterazione degli illeciti. Il legislatore inoltre ha stabilito che tale sanzione sia applicata solo ai reati più gravi, stabilendo inoltre che la loro durata sia compresa tra un minimo di tre mesi e un massimo di due anni. L’art.19 del decreto, dispone che con la sentenza di condanna sia sempre disposta la confisca, misura destinata a sottrarre all’ente il prezzo o il profitto del reato, ad eccezione della parte che può essere restituita al danneggiato. Con riferimento alla pubblicazione della sentenza di condanna, il tribunale può disporla per una sola volta su uno o più giornali indicati dal giudice nella sentenza o per affissione nel comune in cui è ubicata la sede principale dell’ente. Quest’ultimo dovrà sostenere le spese della pubblicazione che sarà eseguita a cura della cancelleria del giudice. Dato il grave danno arrecato da quest’ultima sanzione all’impresa, la cui immagine può essere danneggiata irreparabilmente, la sanzione può essere disposta solo nel caso in cui nei confronti dell’ente sia applicata una sanzione interdittiva.
Il “danno di immagine” correlato è potenzialmente molto rilevante per le grandi aziende multinazionali che fanno della “buona reputazione” uno strumento competitivo strategico. In effetti anche se i “rischi 231” a cui sono soggette le 14
aziende multinazionali sono apparentemente simili a quelli delle piccole aziende (per entrambe le categorie si avrebbe una diminuzione della propria credibilità sia interna che esterna), il danno di immagine e il conseguente impatto economico che risulterebbe per le aziende multinazionali avrebbe effetti esponenziali che in alcuni casi potrebbero comportare l’esclusione dal mercato o il sostenimento di elevati costi per recuperare, almeno in parte, la loro credibilità.
1.5
L’ambito territoriale
Il Decreto Legislativo 231, all’art.4, affronta il caso in cui l’Ente è chiamato a rispondere per i reati commessi al di fuori dei confini italiani. Il Legislatore prende in considerazione solo gli enti che hanno la sede principale della società nel territorio italiano e in presenza di fattispecie reato verificatesi al di fuori del territorio nazionale (e purché nei loro confronti non proceda lo Stato del luogo in cui e' stato commesso il fatto); in tali casi verrà applicata la “giurisdizione italiana” con conseguente applicazione del D.lgs. 231/2001 nei confronti dell’ente. Le fonti che disciplinano la “territorialità” in materia “231” possono essere così individuate: •
articolo 6 del Codice penale;
•
articolo 4 del D.lgs. 231/2001;
•
legge 146/2006 che prevede i reati transnazionali.
L’art. 6, secondo comma del Codice penale, afferma che il reato si considera commesso nel territorio dello Stato anche quando la condotta sia ivi avvenuta, anche in parte. L’art. 4 del D.Lgs. 231/2001 richiama gli articoli 7,8,9 e 10 del codice penale, nel definire i casi e le condizioni nelle quali si configura una responsabilità amministrativa 231 a carico dell’ente per reati commessi all’estero nel suo
15
interesse o a suo vantaggio da parte di un suo dipendente o mandatario anche non organico6. Con la legge 146/2006, all’art. 3, sono stati introdotti i reati transnazionali definiti come “il reato punito con la pena della reclusione non inferiore al massimo di quattro anni, qualora sia coinvolto un gruppo criminale organizzato”. Ai fini del D.Lgs. 231/2001, il reato transnazionale rileva qualora derivi da una attività organizzata dotata di stabilità e prospettiva strategica e suscettibile di essere ripetuto nel tempo. Ad esempio, una società che ha sede principale nel territorio dello stato italiano ed opera anche all’estero, ordina l’acquisto di merce “illecita” con consegna presso la consociata estera del Gruppo; il reato viene considerato commesso nel territorio dello stato, se si dimostra che tale reato è stato pensato o organizzato in Italia.
1.6
L’esimente
Il Decreto prevede che la responsabilità dell’Ente possa essere esclusa nel caso in cui l’Ente stesso abbia posto in essere preventivamente specifiche misure di prevenzione e controllo. Tali misure devono essere adottate prima della commissione del reato e sono: -
la predisposizione e l’attuazione di un Modello di Organizzazione e di gestione idoneo a prevenire la commissione dei reati;
-
l’istituzione di un organo di controllo, l’Organismo di Vigilanza, dotato di poteri di autonoma iniziativa, con il compito di vigilare sul funzionamento dei modelli di organizzazione.
6
Gli articoli del codice penale disciplinano: reati commessi all’estero; delitto politico commesso all’estero; delitto comune del cittadino estero; delitto comune dello straniero all’estero.
16
Ruolo di notevole importanza viene attribuito ai Modelli Organizzativi a cui è riconosciuta la possibilità di esonerare l’Ente dalla responsabilità derivante dalla commissione di uno dei reati contemplati nel Decreto. Il primo comma dell’art. 6, in particolare, dispone che, in caso di reato compiuto da soggetto in posizione apicale l’Ente non è responsabile se: a) prima della commissione del fatto ha adottato ed attuato Modelli Organizzativi e di Gestione idonei a prevenire reati analoghi a quello verificatosi; b) ha affidato ad un Organismo dell’ente dotato di poteri di iniziativa e di controllo il compito di vigilare sul funzionamento di detti modelli e di curare il loro aggiornamento; c) a fronte del reato è stata riscontrata l’elusione fraudolenta dei Modelli Organizzativi; d) il menzionato Organismo di Vigilanza ha espletato le sue funzioni in modo corretto.
Se il reato è commesso da soggetti sottoposti all’altrui direzione, la esclusione della
responsabilità
dell’Ente
è
subordinata
all’adozione
di
protocolli
comportamentali adeguati, per il tipo di organizzazione e di attività svolta, a garantire lo svolgimento dell’attività stessa nel rispetto della legge e a prevenire ed eliminare tempestivamente situazioni di rischio. Il Legislatore con l’introduzione dell’esimente ha realizzato un meccanismo di inversione dell’onere della prova In relazione alla distinzione tra l’autore del reato: se si tratta di un soggetto apicale secondo quanto disposto dall'art. 6 del D.Lgs. 231/2001, impone alla difesa di provare che: a) l'ente ha adottato ed efficacemente attuato un Modello di Organizzazione idoneo a prevenire la consumazione di reati della specie di quello verificatosi;
17
b) ha istituito un Organismo di Vigilanza dotato di poteri autonomi ed ha adeguatamente svolto le sue funzioni (rilievo attestante del buon operare dell’Organismo proviene dalla documentazione prodotta durante il normale svolgimento delle sue attività), e che il Modello Organizzativo è stato fraudolentemente eluso aggirando intenzionalmente le procedure aziendali.
L'art. 7 D.Lgs. 231/2001, in riferimento alla commissione di un illecito da parte di un soggetto sottoposto all'altrui direzione, richiede alla difesa solo di dimostrare che l'ente ha adottato e attuato un Modello Organizzativo idoneo a prevenire reati della specie di quello verificatosi. L'ente è responsabile se la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza”, pertanto, il Pubblico Ministero ha l'onere di provare l'omessa direzione o vigilanza e il collegamento fra questa e il reato commesso7.
L’art. 6 del Decreto 231/01 rientra in un quadro normativo più ampio volto a perfezionare il concetto di adeguatezza organizzativa affermato sia dall’art. 2381, quinto comma, del codice civile, che attribuisce agli organi amministrativi delegati il compito di curare che l’assetto organizzativo sia adeguato alla natura e alle dimensioni dell’impresa e al consiglio di amministrazione il compito di valutarne l’adeguatezza sulla base delle informazioni ricevute; sia dall’art. 2403 C.c., che impone al collegio sindacale il compito di vigilare su rispetto della legge e dello statuto nonché sul rispetto dei principi di corretta amministrazione con particolare riguardo alla adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul concreto funzionamento. Le “prove” fornite dall’ente saranno successivamente oggetto di valutazione da parte di un giudice penale chiamato ad accertare sia la colpevolezza dell’autore materiale del reato che la fondatezza delle esimenti fornite dalla società al fine di dimostrare la propria estraneità al reato commesso. 7
M. Malavasi, “L'onere della prova nella responsabilità ex d.lgs. 231/2001”, alla luce della sentenza della Corte di Cassazione n.27735 del 16.7.2010, giurisprudenza commentata, rivista231, gennaiomarzo 2011, n.1.
18
1.7
Normative che seguono le linee del D.Lgs. 231 in ambito estero
L’attuazione della Convenzione OCSE sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed internazionali ha posto nuovi importanti vincoli giuridici alle imprese operanti sui mercati internazionali a tutela della integrità delle amministrazioni pubbliche e della correttezza e lealtà della concorrenza internazionale, adottando comportamenti corretti, anche in assenza di obblighi e conseguenze legali nel paese d’origine.
I vincoli espressi nella Convenzione si applicano a tutte le imprese dei paesi aderenti all’OCSE. L’OCSE ha sviluppato delle “Linee Guida destinate alle imprese multinazionali” con l’obiettivo di favorire la diffusione di comportamenti responsabili da parte delle aziende italiane (incluse le PMI) e straniere operanti sul territorio nazionale e sul mercato internazionale, mediante una condotta responsabile. Le Linee Guida sono una raccolta di indicazioni e principi di comportamento responsabile non vincolanti adottate dagli stati membri dell'OCSE (attualmente 34), nonché da Argentina, Brasile, Lettonia, Lituania e Romania, firmatari della "Dichiarazione OCSE sugli investimenti internazionali e le imprese multinazionali". Tra gli stati membri, dal 2010, figura anche il Cile di cui parleremo nelle pagine successive. Il contenuto delle Linee Guida è articolato in tre parti: 1. la trasparenza, le relazioni industriali, l’ambiente, la lotta alla corruzione, la tutela del consumatore, il trasferimento tecnologico, la concorrenza e gli obblighi tributari; 2. i requisiti organizzativi e funzionali dei Punti di Contatto Nazionale (PCN), organi per la promozione e attuazione delle Linee Guida; 3. i commenti ai contenuti delle Linee Guida.
19
Restringendo il focus ad un ambito europeo, possiamo dire in generale che le direttive Comunitarie hanno un carattere orientativo e vincolante nei confronti dei sistemi giuridici nazionali che devono adeguarsi. Questo “modus operandi” vale ovviamente anche in materia di responsabilità degli enti. L’identificazione di soggetti responsabili avviene mediante un criterio formale comune a tutti i sistemi giuridici nazionali che consente un adeguamento di tutti gli ordinamenti nazionali sulla base della normativa Comunitaria; inoltre consente di procedere con maggiore sicurezza e semplicità all’introduzione negli stati membri di una responsabilità in capo alle persone giuridiche per la commissione di reati presupposto. Nelle pagine seguenti saranno riportati tre casi di normative “nazionali” similari al Decreto 231: tre in ambito europeo (Spagna, Regno Unito e Francia) e uno in ambito OCSE (Cile). Uno degli obiettivi di tale analisi è di mettere in evidenza la complessità che un’azienda multinazionale deve affrontare nelle attività di “compliance” alle normative nazionali dei paesi in cui opera (pensiamo, ad esempio, alla definizione di un modello organizzativo, che per sua natura dovrebbe essere unico e rappresentativo della Società, efficace in tutti i differenti contesti normativi di riferimento).
1.7.1 Ley Organica Spagnola8 La Ley Organica 5/2010, è entrata in vigore il 23 dicembre 2010 apportando modifiche al Codigo Penal spagnolo con l’introduzione dell’art. 31-bis, in cui si disciplina la responsabilità da reato delle persone giuridiche. Il modello spagnolo si caratterizza per: - Il superamento del principio “societas delinquere non potest”; - l’inserimento di tale responsabilità nel “Codigo Penal”; 8
Gandini, “La Ley Organica”,rivista 231, pubblicato sul n.1/2011, riferito a maggio 2010, pag. 29 ss.
20
- il principio di specialità, con la previsione della responsabilità per i soli delitti in ordine ai quali è ricollegata espressamente tale conseguenza; - l’autonomia delle responsabilità della persona giuridica rispetto a quella della persona fisica; - la previsione, oltre alla responsabilità amministrativa, anche di una responsabilità omissiva. Viene infine previsto il possibile ruolo di esimente dei Modelli di Organizzazione e le contestuali sanzioni: pecuniarie e “ad hoc” stabilite di volta in volta dalla normativa. Ci sono analogie tra la normativa spagnola e quella italiana in materia di responsabilità degli enti in quanto entrambe fanno riferimento ad un numero di fattispecie reato che devono essere commessi per conto o a vantaggio dell’ente, facendo l’ulteriore distinzione tra soggetti apicali e i soggetti sottoposti all’altrui direzione. La differenza tra le due normative sta nel contenuto, nella predisposizione, nell’aggiornamento e nella costruzione del Modello Organizzativo, in quanto il Modello spagnolo resta privo di linee guida da seguire, diversamente da quanto avvenuto in Italia con le linee guida dei Modelli emesse da Confindustria.
1.7.2 Il Bribery act nel Regno Unito Dal primo luglio 2011 è entrato in vigore nel Regno Unito il “Bribery Act”. Il Bribery Act definisce norme penali di contrasto alla corruzione che presentano analogie con il nostro D.Lgs. 231/2001 relativo alla disciplina della responsabilità amministrativa delle persone giuridiche. La normativa, ridefinisce il concetto di corruzione, inteso come “concessione di un vantaggio a un altro soggetto affinché questi tenga un comportamento inappropriato” e disciplina le seguenti fattispecie di reato: 21
a. corruzione attiva verso soggetti pubblici o privati (section 1); b. corruzione passiva verso soggetti pubblici o privati (section 2); c. corruzione di un pubblico funzionario straniero (section 6); d. mancata prevenzione della corruzione da parte delle società (section 7)9. Due le principali differenze che emergono rispetto alla normativa italiana: 1. nel Regno Unito si è soggetti alla normativa non solo quando ad essere corrotto è un soggetto pubblico ma, anche quando si tratta di un corruzione tra privati (mentre in Italia è prevista solo l’ipotesi di corruzione di pubblico ufficiale); 2. in Italia la corruzione sussiste anche nel caso di concessione di un vantaggio a un pubblico ufficiale per indurlo a compiere il proprio dovere, mentre in UK questa ipotesi non è annoverata nel concetto di “bribery”, bensì rientra in ciò che gli inglesi definiscono “facilitation payments”, che diventano illegali solo quando il vantaggio sia tale da far presumere che chi l’ha ricevuto violi i suoi doveri di imparzialità e buona fede. Le prime due sections disciplinano i reati di corruzione attiva e passiva verso soggetti pubblici e privati; la section 6 del Bribery Act contempla la fattispecie del reato di corruzione di funzionario pubblico straniero. La section 7 del Bribery Act rappresenta la vera innovazione poiché contempla il reato di “mancata prevenzione della corruzione da parte della società”. Si tratta di una nuova fattispecie di responsabilità delle organizzazioni commerciali per fatti corruttivi commessi da soggetti a vantaggio o nell’interesse delle società, nel caso in cui le prime non si siano dotate di modelli organizzativi e procedure interne volte a prevenire tali atti. La società, risponde per le azioni poste in essere da soggetti a essa collegati (o che svolgono la propria attività in nome e nell’interesse dell’ente) nel caso in cui tali soggetti, nell’esercizio della propria attività, commettano il reato di corruzione al fine di ottenere o mantenere affari o vantaggi in favore della società stessa. 9
Associazione italiana Internal Auditors: “D.Lgs.231/01 al traguardo dei 10 anni: il bilancio di successo?, atti del Convegno, Milano, 8 giugno 2011.
22
Uno degli aspetti più significativi della recente legge britannica è rappresentato dall’extra territorialità delle sue previsioni. La normativa si applica, oltre che alle società costituite e operanti nel Regno Unito, anche alle società in esso costituite ma che operano fuori dal Regno Unito, nonché alle società non britanniche che svolgono la propria attività, in tutto o in parte, nel Regno Unito, indipendentemente dal luogo in cui la società è stata costituita. Analogie con il D.Lgs. 231/2001, si hanno in merito all’efficacia dell’esimente attribuita alle adequate procedures cioè la possibilità per le società di dimostrazione di aver adottato, prima del reato, modelli e/o procedure di organizzazione volte a prevenire la commissione di reati da parte di soggetti ad essa collegati. Nel modello inglese, l’implementazione delle “Procedures” è affidata a linee guida che il Secretary of State pubblica e aggiorna periodicamente.
1.7.3 La responsabilità delle persone giuridiche nell’ordinamento francese Nell’ordinamento francese, l’entrata in vigore il primo marzo 1994, del nuovo codice penale, ha segnato il superamento del principio “societas delinquere non potest”, in cui il legislatore ha introdotto nella parte generale del codice la disciplina penale delle persone giuridiche. All’art. 121-2 del codice penale si stabilisce che: “Le persone giuridiche ad eccezione dello Stato, sono penalmente responsabili, in base alle distinzioni previste dagli artt. da 121-4 a 121-7, dei reati commessi, per loro conto, da propri organi o rappresentanti”. L’esclusione dello Stato avviene in quanto esso è il titolare del potere di punire e non è possibile che diventi il destinatario della sanzione penale.
23
L’articolo definisce l’ambito di applicazione della disciplina stabilendo che sono passibili di responsabilità penale le sole “personnes morales”: pertanto restano esclusi dall’applicazione della norma gli enti sforniti di personalità giuridica. Possono essere chiamate a rispondere penalmente: • le società civili e commerciali; • le società cooperative; • le associazioni e le fondazioni; • le istituzioni rappresentative dei lavoratori dipendenti, nonché i sindacati ed i partiti politici. I sindacati e i partiti politici sono soggetti ad un regime sanzionatorio di favore, non potendo ai sensi dell’art. 131-39 c. pén., delle più severe pene strutturali dello scioglimento e della sottoposizione a sorveglianza giudiziaria. Tra i destinatari della normativa francese ci sono anche le persone giuridiche di diritto pubblico, in ossequio al principio di uguaglianza, con l’obiettivo di “parificare il settore pubblico e settore privato di fronte alla pretesa punitiva”10. Le sanzioni applicabili alla “personne morale” sono disciplinate dagli artt. 131-37 ss del codice penale. Tali sanzioni così come avviene per la normativa italiana vanno
dalla
pena
pecuniaria
allo
scioglimento
della
persona
giuridica,
dall’interdizione all’esercizio di determinate attività alla pubblicazione della sentenza penale di condanna e confisca. La normativa francese si differenzia dalla normativa italiana in cui la punizione per i reati viene estesa anche agli enti pubblici, compresi gli enti territoriali, ad eccezione dello Stato, purché il reato sia commesso “nell’esercizio delle attività suscettibili di essere oggetto di convenzione di delega di servizio pubblico”. Altra differenza si ha sulla scelta e tipologia dei reati presupposto, l’art. 121-2 limitava l’ambito di applicazione della responsabilità penale alle persone giuridiche 10
Giavazzi, “La responsabilità penale delle persone giuridiche: dieci anni di esperienza francese”, in Rivista trimestrale Dir. Pen. Econ., anno 2005, pag.873.
24
e comprendeva già un considerevole numero di reati, che con il tempo si sono ampliati. Con la legge 204/2004 entrata in vigore il 31 dicembre 2005, il legislatore francese ha abrogato la clausola di specialità, optando per una completa equiparazione tra persone fisiche e giuridiche. Infine nell’ordinamento francese non viene contemplata alcuna esimente per non incorrere nella responsabilità di reato, quindi non abbiamo la predisposizione di un Modello Organizzativo ne di un Organismo di Vigilanza.
1.7.4 La responsabilità delle persone giuridiche in Cile IL Cile, è diventato il primo paese sudamericano ad accedere all’OCSE nel 2010; al suo ingresso, il Cile ha dovuto adottare modifiche normative al fine di assicurare che tutte le persone giuridiche cilene fossero assoggettabili alla responsabilità per il reato di corruzione di un pubblico ufficiale straniero nelle operazioni economiche internazionali come previsto dall’art. 2 della convenzione OCSE del 1997. La normativa cilena in materia di responsabilità degli enti introdotta con la Ley no. 20.393 entrata in vigore il 2 dicembre 2009, presenta analogie con quanto stabilito dal Legislatore italiano con il Decreto Legislativo n. 231 del 2001, in riferimento alla responsabilità penale degli enti, distinguendo: soggetti apicali e sottoposti ed il ruolo e la portata dei Modelli di Organizzazione. Punti comuni della Ley no. 20.393 con il decreto 231 italiano, si hanno in riferimento: - principio di specialità della responsabilità di reato degli enti11; - campo di applicazione soggettivo: la responsabilità si estende alle persone giuridiche nonché alle empresas del Estado12, così come nel decreto 231 11
Considerati reati solo quelli espressamente previsti dalla legge, Articulo 1 della Ley 20.393, ossia: riciclaggio , finanziamento del terrorismo e delitti in materia di corruzione previsti dagli art. 250-251bis del Codigo Penal.
25
italiano restano escluse dall’applicazione della disciplina lo Stato, le persone giuridiche pubbliche regionali e provinciali nonché gli enti pubblici senza scopo di lucro. - autonomia della responsabilità riprende l’art. 8 del decreto legislativo 231; - criterio di imputazione, introdotto all’art. 3 nel disciplina cilena, mette in rilievo tre condizioni che devono verificarsi affinché sussista la responsabilità dell’ente: a) il delitto deve essere commesso direttamente ed immediatamente13 nell’interesse o a vantaggio esclusivo dell’ente, con la conseguente esclusione della responsabilità per i reati commessi esclusivamente nell’interesse dell’autore o di un terzo; b) il delitto deve essere commesso da persona fisica in possesso di una determinata qualifica che li metta in relazione all’ente, distinti tra apicali e sottoposti; c) la commissione del delitto deve essere stata conseguenza della violazione, da parte degli apicali, del dovere di supervisione e direzione14.
Nel modello cileno cambia il criterio di attribuzione della responsabilità dei sottoposti previsto dall’art. 7 del D.Lgs. 231/2001, attribuendogli la valenza di criterio generale e di imputazione della responsabilità valido anche per i soggetti apicali. Altra similitudine con il Decreto 231, si ha con riferimento all’adozione di Modelli di Organizzazione, amministrazione e supervisione al fine di escludere la responsabilità dell’ente dalla commissione dei reati. 12
Articulo 2 della Ley 20.393, in cui si comprendono sia imprese create dallo stato , sia le imprese da quest’ultimo controllate. Vengono inoltre assoggettate alla disciplina le imprese minerarie istituite o controllate dallo stato. (Impresa National de Mineria). 13 Requisiti aggiuntivi, rispetto al D.Lgs. 231/2001, la natura immediata e diretta dell’interesse o vantaggio dell’ente che rappresentato una restrizione del campo di applicazione della disposizione. Il reato deve essere commesso sia nell’interesse o vantaggio esclusivo dell’ente ma deve essere avvenuto in modo immediato e diretto. 14 F. Gandini , La circolazione del modello 231: la responsabilità da reato delle persone giuridiche in Cile, rivista 231, anno 2011, pag.51.
26
Nella Ley 20.393, l’adozione del Modello è facoltativa (così come nel modello italiano) da parte dell’ente, e l’articolo 4 della legge cilena ne indica il contenuto minimo, così come indicato dagli artt. 6-7 del D.Lgs. 231/2001. La Ley 20.393, prevede una procedura di certificazione facoltativa del modello di prevenzione adottato dall’ente. Tale certificazione viene rilasciata solo da società di auditing esterne, nonché da altri soggetti preventivamente autorizzati e registrati. La certificazione del modello ha lo scopo di invertire l’onere della prova per quanto concerne la conformità del modello di prevenzione al tipo legale e la sua effettiva implementazione. Il modello cileno seguendo il modello italiano, prevede che per accertare la responsabilità penale dell’ente siano svolte dall’ufficio del pubblico ministero e che le disposizioni speciali siano dettate dalla Ley 20.393 e le disposizioni generali dal codice di procedura penale. Con riferimento alle sanzioni abbiamo: a) dissoluzione dell’ente: non viene applicata alle società statali o persone giuridiche private che svolgono funzioni di pubblica utilità; b) divieto temporaneo o permanente di contrattare con la pubblica amministrazione; c) perdita totale o parziale di sussidi fiscali; d) pena pecuniaria, a beneficio del fisco. Il modello cileno prevede tre circostanze attenuanti ed una aggravante della responsabilità penale. Con riferimento alle attenuanti, vengono considerate tali l’adozione di misure preventive alla commissione dei reati, e nella collaborazione nelle indagini al fine della ricostruzione dei fatti e nella ripartizione del danno, l’aggravante è costituito dalla recidiva.
27
Capitolo Secondo
Il Modello Organizzativo
2.1
Un’introduzione al Modello Il Modello di Organizzazione ex D.Lgs. 231/2001, può essere definito come
un insieme di principi, regole, disposizioni, schemi organizzativi e connessi compiti e responsabilità, volti alla realizzazione ed alla diligente gestione di un sistema di controllo e monitoraggio delle attività a rischio, al fine di prevenire la commissione del reati previsti dal Decreto. Il Legislatore del 2001, ha preferito non delineare uno standard di Modello da seguire; infatti gli artt. 5,6,7 del Decreto forniscono solo indicazioni sugli elementi ma non su come i modelli devono essere predisposti. Per la costruzione dei modelli alcune indicazioni sono state fornite dalle Linee Guida, elaborate da Confindustria; la prima versione di tali guide risale al 2002 ed è stata redatta dal Gruppo di lavoro sulla “Responsabilità amministrativa delle persone
giuridiche”
con
riferimento
ai
soli
reati
contro
la
Pubblica
Amministrazione; esse sono state successivamente integrate con i reati societari e, nel giugno 2004, con le indicazioni formulate dal Ministero della Giustizia. Il primo aggiornamento, sulla base anche dei rilievi sollevati dal Ministero, aveva riguardato, in particolare, l’ambito delle aree a rischio reato, i protocolli preventivi e l’Organismo di Vigilanza. Ulteriori modifiche erano state apportate a seguito delle prime esperienze applicative realizzate dalle associazioni e dalle imprese, nonché delle novità intervenute sugli assetti interni delle società di capitali per effetto della riforma del diritto societario. 28
A seguito dei numerosi interventi legislativi che, nel frattempo, hanno modificato la disciplina sulla responsabilità amministrativa degli enti, estendendone l’ambito applicativo a ulteriori fattispecie di reato, il Gruppo di lavoro di Confindustria ha provveduto ad aggiornare le Linee Guida per la costruzione dei Modelli Organizzativi. Nel febbraio 2008 la versione aggiornata delle Linee Guida è stata trasmessa al Ministero della Giustizia15. Il 2 aprile 2008 il Ministero della Giustizia ha comunicato la conclusione del procedimento di esame della nuova versione delle Linee Guida di Confindustria per la costruzione dei Modelli di Organizzazione, Gestione e Controllo. Le Linee Guida sono state approvate in quanto l’aggiornamento è stato ritenuto “complessivamente adeguato e idoneo al raggiungimento dello scopo fissato dall'art. 6, comma 3 del D.Lgs. n. 231/2001”. Il Ministero ha inoltre ricordato che la piena efficacia delle Linee Guida lascia impregiudicata ogni valutazione sulle modalità della loro implementazione e sulla concreta attuazione dei Modelli di Organizzazione e Gestione da parte dei singoli enti, affiliati o meno all'Associazione. Attraverso le Linee Guida di Confindustria per la costruzione dei Modelli di Organizzazione Gestione e Controllo ex D.Lgs. 231/2001, si forniscono standard e parametri oggettivi per consentire la qualificazione dell’adeguatezza di un Modello 231, standard che spesso non riescono ad adeguarsi al moltiplicarsi nel breve tempo dei reati presupposto e ciò ha reso sempre più concreto il rischio di incorrere in una della sanzioni indicate nel Decreto. Le misure di prevenzione che l’azienda deve predisporre devono riguardare l’intera organizzazione societaria; quindi il Modello 231, non si riferisce più ad un ambito limitato ad alcune attività ma si è passati ad un “Sistema di gestione 231” strutturato e organico che comprende procedure e attività di controllo finalizzate a prevenire il rischio di reati per i quali è prevista l’applicazione della responsabilità
15
www.confindustria .it. 31 ,marzo 2008.
29
amministrativa: un sistema che diventa parte integrante del più generale Sistema di Controllo Interno16.
Sistema di controllo interno
Si evidenzia che l’adozione del Modello di Organizzazione, gestione e controllo è facoltativa; tuttavia, la mancata adozione o attuazione del Modello, non permette all’ente di beneficiare della condizione “esimente” e quindi lo espone alla responsabilità per gli illeciti realizzati sia dagli amministratori che dai dipendenti. L'adozione del Modello diviene, pertanto, di fatto necessaria se si vuole beneficiare di tale esimente.
16
F. Attisano, R. Rosato, “Modello 231, ERM e riforma della responsabilità amministrativa”, Rivista dell’Associazione Italiana Internal Auditors, pubblicazione Maggio /Agosto 2011, pag. 21.
30
2.2 Le caratteristiche del Modello Organizzativo Le generali indicazioni fornite nelle Linee Guida devono naturalmente essere adattate ai vari contesti aziendali da parte delle imprese che scelgono di adottarle. Ogni Modello Organizzativo, infatti, per poter esercitare la propria efficacia preventiva, va costruito tenendo presenti le caratteristiche proprie dell'impresa cui si applica. Il rischio reato di ogni impresa è strettamente dipendente dal settore economico, dalla complessità organizzativa, non solo in termini dimensionali, dell’impresa ma anche dell'area geografica in cui essa opera. Il Modello adottato deve quindi prevedere misure idonee a garantire lo svolgimento
dell’attività
dell’ente
nel
rispetto
della
legge
e
a
rilevare
tempestivamente le situazioni in cui vi è il rischio di commissione di un reato nell’interesse o a vantaggio dell’ente stesso. Tali rischi devono essere quindi opportunamente gestiti ad esempio implementando un sistema organizzato di controlli: procedurali, organizzativi, autorizzativi, informatici, ecc..
Ai sensi dell’art. 6 del Decreto Legislativo 231/2001, nel caso di reati commessi da soggetti in posizione apicale la responsabilità dell’ente può essere esclusa qualora dimostri che: a) l’organo dirigente dell’Ente ha adottato ed efficacemente attuato, prima della commissione del fatto, Modelli di Organizzazione e di gestione idonei a prevenire i reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e sull’osservanza dei Modelli nonché di curare il loro aggiornamento è stato affidato ad un organismo dotato di autonomi poteri di iniziativa e controllo; c) le persone che hanno commesso i reati hanno agito eludendo fraudolentemente i suddetti modelli; d) non via stata omessa o insufficiente vigilanza da parte dell’Organismo di Vigilanza.
31
Nel caso in cui i reati siano stati commessi da soggetti sottoposti all’altrui direzione o vigilanza, l’Ente è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione e vigilanza. L’inosservanza è esclusa se l’Ente prima della commissione del reato, ha adottato ed attuato un Modello di Organizzazione, Gestione e Controllo volto alla prevenzione dei reati. Il secondo comma dell’art. 6 del Decreto, indica le caratteristiche essenziali che un Modello di Organizzazione Gestione e Controllo deve possedere; esso deve: a) individuare i rischi ossia identificare le attività nel cui ambito possono essere commessi i reati previsti dal Decreto; b) stabilire procedure volte a prevenire la commissione dei reati, cui dovranno conformarsi i soggetti in posizione apicale nell’assunzione e attuazione delle decisioni Dell’Ente; c) individuare modalità di gestione delle risorse finanziarie idonee a impedire che si verifichino situazioni atte a favorire la commissione di reati (per esempio, la creazione di fondi occulti); d) prevedere obblighi di informazione dei vari settori aziendali nei confronti dell’Organismo deputato a vigilare sul funzionamento del modello; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle disposizioni del Modello, in modo da garantire l’efficace attuazione.
Il Decreto 231/2001, offre criteri generali per l’attuazione del sistema di organizzazione gestione e controllo che necessitano di adattamenti in relazione: -
alla dimensione dell’ente;
-
alla struttura organizzativa;
-
alla natura dell’attività esercitata;
-
alle aree di rischio reato.
Il Modello di Organizzazione viene adottato con delibera del Consiglio di Amministrazione ed i destinatari del Modello, che sono chiamati a conoscerlo ed osservarlo sono: 32
-
i componenti del Consiglio di Amministrazione;
-
i componenti del Collegio Sindacale;
-
i dipendenti e tutti i collaboratori con cui si intrattengono rapporti contrattuali a qualsiasi titolo, anche occasionali e/o temporanei;
-
tutti coloro che intrattengono rapporti commerciali e/o finanziari di qualsiasi natura con la società.
Secondo il Decreto, il Consiglio di Amministrazione delega ad un organo preposto, dotato di poteri di iniziativa e di controllo, la vigilanza dell’attuazione e del funzionamento del Modello; tale organo viene identificato nell’Organismo di Vigilanza. L’adozione di un Modello aggiornato, correttamente funzionante e effettivamente osservato, determina in tutti coloro che operano in nome e per conto della Società nelle aree di attività a rischio, la consapevolezza di poter incorrere nella commissione di illeciti. Attraverso il Modello si esplica che tali forme di comportamento illecito sono condannate dalla Società senza possibilità di compromesso, in quanto contrarie sia alle disposizioni di legge che ai principi etici ai quali la Società intende attenersi nell’esercizio della sua attività. Il Modello e le regole in esso definite devono essere coerenti con le prescrizioni del codice di condotta. Il codice definisce i principi etici da adottare nella conduzione degli affari e la cui osservanza è richiesta a tutti coloro che entrano in rapporto con la società. I vantaggi per le imprese che adottano il Modello non consistono solo nello scongiurare la responsabilità sia penale che civile per gli illeciti commessi da amministratori e dipendenti e quindi nell’evitare che l’azienda incorra in sanzioni; il Modello costituisce infatti anche un valido strumento per migliorare l’immagine aziendale in quanto è espressione di trasparenza e linearità nel perseguimento dei suoi obiettivi di business. Il Modello è costituito da: -
principi etici finalizzati alla prevenzione dei reati previsti dal Decreto; 33
-
poteri autorizzativi e di firma aggiornati e coerenti con le responsabilità organizzative e gestionali definite prevedendo quanto richiesto, una puntuale indicazione delle soglie di approvazione delle spese;
-
sistema organizzativo formalizzato e chiaro, soprattutto per quanto attiene all’attribuzione delle responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti;
-
procedure organizzative ed applicazioni informatiche, volte a regolamentare le attività, anche nelle aree aziendali a rischio con gli opportuni punti di controllo;
-
sistema di controllo di gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità;
-
sistema di regolazione dei flussi informativi nei confronti dell’Organismo di Vigilanza;
-
sistema di comunicazione e formazione del personale avente ad oggetto tutti gli elementi del Modello, compreso il Codice Etico17;
-
sistema disciplinare adeguato a sanzionare la violazione delle norme del Codice Etico e delle altre indicazioni del Modello.
Le finalità che il Modello di Organizzazione si prefigge sono: -
migliorare il sistema di governance della società;
-
predisporre un sistema strutturato ed organico di prevenzione e controllo finalizzato alla riduzione del rischio di commissione dei reati connessi all’attività aziendale, con particolare riguardo alla eliminazione o riduzione di eventuali comportamenti illeciti;
-
determinare in tutti coloro che operano in nome e per conto della società nelle “aree di attività a rischio”, la consapevolezza di poter incorrere, in caso di violazione delle disposizioni, in un illecito passibile di sanzioni, sul piano penale ed amministrativo, non solo nei propri confronti ma anche nei confronti dell’azienda;
17
Codice Etico: stabilisce i principi, i diritti, i doveri e le responsabilità dell’azienda nei confronti degli azionisti, dipendenti e collaboratori, clienti, fornitori e Autorità pubbliche. Con esso, inoltre, raccomanda, promuove e vieta determinati comportamenti da cui possono discendere responsabilità per l’azienda o comunque non conformi ai principi etici stabiliti.
34
-
informare tutti coloro che operano a qualsiasi titolo in nome, per conto o comunque nell’interesse della Società che la violazione delle prescrizioni contenute nel Modello comporterà l’applicazione di apposite sanzioni;
-
ribadire che la Società non tollera comportamenti illeciti, non rilevando in alcun modo la finalità perseguita ovvero l’erroneo convincimento di agire nell’interesse o a vantaggio della Stessa, in quanto tali comportamenti sono comunque contrari ai principi etici cui la società intende attenersi e dunque in contrasto con l’interesse della stessa;
-
censurare fattivamente i comportamenti posti in essere in violazione del Modello attraverso la comunicazione di sanzioni disciplinari e/o contrattuali.
L’implementazione del Modello include le seguenti attività: a) attività di individuazione delle aree aziendali più esposte alla commissione di uno più reati presupposto (analisi dei rischi); b) la definizione di procedure idonee alla prevenzione di commissione dei reati (protocolli di controllo); c) predisposizione di un Modello Organizzativo finalizzato a ridurre la commissione dei reati; d) monitoraggio sull’effettivo funzionamento del Modello ed in particolare dei protocolli di controllo.
a) Analisi dei rischi L’analisi dei rischi viene effettuata analizzando i processi aziendali al fine di identificare le aree e le attività in cui esiste la possibilità di commettere i reati e misurando, per ciascuna di esse, il livello di rischio (in termini di “probabilità” e “impatto”). Tale attività di “risk assessment”, ossia di valutazione dei rischi, si focalizza, con riferimento ai reati previsti dalla normativa 231, sulla struttura aziendale, sul modello di business, sui rischi specifici connessi all’attività aziendale e sul sistema normativo interno all’ente (le procedure aziendali). Il risultato dell’analisi è la definizione di una matrice in cui vengono collocati tutti i rischi individuati e riconducibili alla commissione dei reati. 35
Rischio E Rischio H Rischio A Rischio G Rischio D FB Rischio IRischio Rischio Rischio C
Probabilità alta
media
bassa
bassa
media
alta
Impatto
I rischi sono individuati attraverso un processo strutturato di valutazione dei rischi (risk assessment), effettuato generalmente mediante: •
interviste ai manager;
•
workshop con le risorse di una o più funzioni aziendali;
•
questionari.
Il risk assessment finalizzato alla definizione del Modello Organizzativo 231/2001 ha quindi come scopo di effettuare una mappatura completa dei processi e delle aree aziendali dove è maggiore la possibilità di commissione di reati. Nello svolgimento di questa analisi preliminare assume un ruolo fondamentale la funzione di Internal Audit come poi vedremo in dettaglio nel capitolo quattro.
36
b) Protocolli di controllo Sulla base dei rischi 231/2001, il Management definisce dei protocolli di controllo cioè delle attività finalizzate a mitigare i rischi identificati. Esistono differenti classificazioni dei controlli, ad esempio: •
in funzione del tempo: -
controlli ex-ante: prima che l’evento si verifichi, sono controlli preventivi riducono la probabilità del verificarsi dell’evento da subito in modo diretto;
-
controlli ex-post: dopo che l’evento si è verificato, detective. Riducono la probabilità
dalla
“prossima
volta”,
in
modo
diretto
identificano
il
responsabile. •
In funzione delle modalità di applicazione: -
Manuali;
-
Automatici (basati ad esempio sui sistemi informativi).
I controlli possono consistere in: 1) Regole, che possono includere: - Cultura aziendale: intesa come complesso di valori, convinzioni, conoscenze, simboli, riti, storie e modelli di pensiero che indirizza direttamente od indirettamente l'operato di ogni azienda, si tratta di regole non scritte ma, note a tutti, è opportuno che non ce ne siano troppe in quanto possono costituire un problema ad esempio con i neo-assunti, o in caso di sanzioni; - Mission: meglio conosciuta come mission, rappresenta lo scopo di un’organizzazione o impresa, la giustificazione della sua esistenza, e al tempo stesso ciò che la contraddistingue da tutte le altre organizzazioni; - Valori: consistono nella visione aziendale, in alcuni casi si riduce ad uno slogan, mentre in altri è più esaustivo e pone e risolve le questioni di fondo relative all’organizzazione, in quest’ultimo caso può essere visto come una strategia di lungo periodo; 37
- Codice di comportamento: enuncia le linee guida per una gestione degli affari improntata al rispetto dell’etica e dell’integrità morale; - Regolamenti degli organi di governance. 2) Procedure, che devono avere i seguenti requisiti: - essere qualificate da un fine specifico; - essere scritte e redatte da esperti della materia; - indicare chi sono i responsabili per l’aggiornamento; - essere comunicate ai responsabili; - essere imperative; - indicare una sequenza temporale di azioni, gli strumenti necessari per il loro completamento e i soggetti responsabili; - indicare i controlli ed i relativi responsabili; - fissare le regole di comportamento, elencando o richiamando le norme da seguire per ogni azione. 3) Strutture organizzative, ossia: o sociogrammi; o organigrammi; o disposizioni organizzative (comunicazioni/disposizioni interne); o procedure notarili; o deleghe di poteri; o job description; o mansioni.
4) Controlli IT (Information Tecnology) Sono controlli che supportano la gestione del business e la governance prevedendo controlli generali e specifici sulle infrastrutture informatiche quali sistemi, infrastrutture, persone.
38
I controlli IT “generali” possono riguardare l’accesso ai sistemi come ad esempio l’uso delle password; i controlli specifici sono invece direttamente collegati ai principali processi aziendali: il ciclo degli acquisti, il ciclo delle vendite, il ciclo del payroll, ecc. Altri controlli IT possono riguardare tematiche organizzative con riferimento ad esempio alla gestione automatizzata delle procure o alla cosiddetta segregation of duties18. Come abbiamo detto i controlli sono attività poste in essere dal management per fronteggiare i rischi ma non rappresentano l’unica via. Le modalità di gestione dei rischi possono infatti comprendere: -
accettazione del rischio, quando lo stesso è basso sia in termini di probabilità che di impatto e quando il costo del controllo è alto in confronto al beneficio della riduzione del rischio;
-
trasferimento/condivisione del rischio (ad es. assicurandolo);
-
evitare il rischio o meglio evitare l’attività in grado di determinarlo.
Con riferimento al grafico precedente della matrice dei rischi, i controlli possono essere così rappresentati:
18
La Segregation of duties consiste nella separazione dei ruoli e delle responsabilità all’interno di un processo operativo al fine di non concentrare gli stessi e diminuire il rischio di frode; generalmente si usa dire “che chi fa non deve autorizzare e chi deve autorizzare non deve controllare”.
39
Il “rischio inerente” è la probabilità di commissione di quello specifico reato in assenza di alcun tipo di controllo; il “rischio residuo” è il rischio di commissione del reato dopo che sono stati posti in essere dei controlli. Il passaggio dal rischio “inerente” al rischio “residuo”, più basso, è quindi determinato dal sistema dei controlli. I controlli diminuiscono il livello di rischio “agendo” sulla probabilità di accadimento, sull’impatto o su entrambi. I controlli devono essere valutati periodicamente perché possono cambiare i rischi di riferimento, sia quelli inerenti che quelli residui. Si evidenzia che Il rischio residuo non può essere annullato o meglio può essere annullato solo eliminando l’attività collegata.
40
c) Predisposizione del Modello Organizzativo A seguito delle fasi di analisi dei rischi e dell’implementazioni dei protocolli di controllo, viene emanato, dal vertice aziendale, il Modello Organizzativo di gestione e controllo conforme ai requisiti del Decreto 231/2001. Il Modello Organizzativo è rivolto alla struttura aziendale e stabilisce: -
l’obbligo di formazione ai dipendenti che gestiscono processi o fasi degli stessi in cui vengono identificati reati potenzialmente commissibili;
-
le caratteristiche dell’Organismo di Vigilanza ed i relativi compiti;
-
il sistema sanzionatorio da applicare in caso di violazione delle normative aziendali;
-
l’insieme delle procedure aziendali predisposte per scongiurare la commissione di reati.
La diffusione del Modello Organizzativo all’interno dell’ente può essere effettuata tramite: -
predisposizione e sviluppo di un piano di comunicazione generale al personale, diretto alla diffusione del Modello;
-
predisposizione di corsi di formazione per dirigenti e dipendenti alla fine della comprensione dei contenuti del Modello e delle modalità di applicazione dello stesso nelle singole aree e settori dell’ente.
Il Modello Organizzativo è uno strumento “dinamico” in quanto deve adattarsi all’evoluzione dell’ente, sia in termini di business sia in termini di mutamenti della organizzazione interna, e alle novità legislative “esterne”; tale compito di adattamento e di ulteriore controllo sul Modello (in generale possiamo parlare di monitoraggio) viene affidato all’Organo di Vigilanza, secondo quanto stabilito dal decreto 231/2001 all’art. 6, comma 1, lettera b.
41
2.3 Il Modello 231 e il framework internazionale ERM L’implementazione del Modello Organizzativo 231 rappresenta la sintesi di un processo di valutazione obiettivi-rischi-controlli che può essere ricollegato al più importante modello internazionale per la valutazione del sistema di controllo interno, noto come ERM (Enterprise Risk Management Model). L'Enterprise Risk Management (ERM) è stato pubblicato nel settembre 2004 dal Committee of Sponsoring Organizations of the Treadway Commission (CoSO).
Il framework descrive i principi, le componenti ed i concetti più importanti della gestione del rischio aziendale e fornisce una metodologia precisa per identificare e gestire i rischi. L'ERM si basa sull'Internal Control - Integrated Framework, lo standard internazionale più noto e diffuso per il sistema di controlli interni, pubblicato nel 1992 sempre dal CoSO. Nell’ERM si affrontano tematiche strettamente correlate al Modello Organizzativo 231/2001 quali: -
gestione del rischio;
-
governance aziendale;
-
controllo interno.
L’ERM, costituisce il modello di riferimento a livello internazionale per la corretta gestione dei rischi a cui l’azienda è esposta e rappresenta un supporto per il top management nella definizione della strategia aziendale ed ha le seguenti caratteristiche: a. l’allineamento della strategia al rischio accettabile: il management stabilisce il livello di rischio accettabile per valutare le alternative strategiche, fissare i corrispondenti obiettivi e sviluppare i meccanismi per gestire i rischi che ne derivano; 42
b. il miglioramento della risposta al rischio individuato: l’ERM fornisce una metodologia rigorosa per identificare e selezionare tra più risposte alternative al rischio quella più adeguata (evitare, ridurre, condividere, accettare il rischio); c. la riduzione degli imprevisti e delle perdite conseguenti: le aziende accrescendo la loro capacità di identificare eventi potenziali, di valutare i relativi rischi e di formulare risposte adeguate, riducono la frequenza degli imprevisti come pure i costi e le perdite conseguenti; d. l’identificazione e la gestione dei rischi correlati e multipli: ogni azienda deve affrontare una miriade di rischi che interessano diverse aree dell’organizzazione, e l’ERM facilita la formulazione di un’efficace risposta ai rischi con impatti correlati e risposte univoche a rischi multipli; e. l’identificazione delle opportunità: analizzando tutti gli eventi potenziali, il management è in grado di identificare e cogliere proattivamente le opportunità che emergono; f. il miglioramento dell’impiego di capitale: l’acquisizione di informazioni affidabili sui rischi consente al management di valutare efficacemente il fabbisogno finanziario complessivo e di migliorare, così l’allocazione del capitale19. L’ERM, che tratta dei rischi e delle opportunità che influenzano la creazione o la preservazione di valore, è: a. definito come un processo posto in essere dal Consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; b. utilizzato per la formulazione delle strategie in tutta l’organizzazione; c. progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali.
19
Autori Vari, “La gestione del rischio aziendale ERM- Enterprise Risk Management, un modello di riferimento e alcune tecniche applicative”, Ed. Il Sole 24 ore, maggio 2006, pag. 8.
43
A livello grafico l’ERM viene così rappresentato:
L’ERM considera i vari livelli dell’organizzazione: -
a livello di impresa (gruppo);
-
divisione;
-
business unit;
-
controllata.
Gli obiettivi di un’organizzazione possono essere classificati in quattro categorie: -
strategici;
-
operativi;
-
reporting;
-
compliance.
Ovviamente a livello di obiettivi individuati dall’ERM, e di relativi rischi che potrebbero impedire il loro raggiungimento, le tematiche 231 sono indirizzate in modo specifico a quelli di tipo “compliance”.
44
Le componenti dell’ERM riguardano: -
l’ambiente interno;
-
la definizione degli obiettivi;
-
l’identificazione degli eventi (i rischi che possono compromettere il raggiungimento degli obiettivi);
-
la valutazione dei rischi;
-
la risposta al rischio;
-
Ie attività di controllo;
-
l’informazione e la comunicazione;
-
il monitoraggio.
Sulla base di quanto descritto nelle pagine precedenti, si può ben capire come il processo di implementazione del Modello 231 sia strettamente correlato al framework proposto dall’ERM. Ad esempio il concetto di ambiente interno, che l’ERM pone alla base del sistema di controllo interno, comprende i valori etici che devono essere diffusi all’interno delle organizzazioni aziendali; ebbene proprio il codice etico aziendale è uno degli elementi fondamentali, forse il principale per importanza, che compongo il Modello Organizzativo 231. Proprio per dare evidenza dell’adeguatezza del Modello e del suo effettivo funzionamento si “traccia” la consegna del codice etico a tutti i dipendenti e si inseriscono generalmente clausole di accettazione del Codice Etico nei contratti con i fornitori. Per quanto riguarda invece la definizione degli obiettivi e l’identificazione degli eventi abbiamo già considerato che l’implementazione del Modello prevede la mappatura di tutte le attività e le aree nelle quali è possibile l’effettuazione di un reato 231. Sulla base di questa mappatura i rischi-reato vengono quindi valutati in termini di probabilità e impatto. A questo il management decide come rispondere ossia come gestire i rischi, ad esempio se mitigarli con il sistema dei controlli. 45
Abbiamo inoltre visto come il Modello Organizzativo, per poter essere considerato “funzionante” deve essere portato a conoscenza (informazione e comunicazione) di tutti i dipendenti ed in generale di tutti coloro che, con i loro comportamenti, potrebbero determinare “reati 231” a carico dell’ente (es. fornitori). In generale, per concludere, abbiamo sottolineato che il Modello Organizzativo non può essere considerato una “fotografia” statica dell’organizzazione; infatti per poter essere a tutti gli effetti valutato positivamente come esimente all’interno di un processo penale per addebito di responsabilità 231, deve essere continuamente adeguato ai cambiamenti a cui è soggetta un’organizzazione complessa come è un’azienda soprattutto multinazionale, di natura endogena (es. cambiamenti organizzativi) e di natura esogena (es. cambiamenti normativi). Dopo aver messo in evidenza le correlazioni che ci sono tra il Modello Organizzativo 231 e la più importante best practices internazionale per la valutazione del sistema di controllo interno, ossia l’ERM, possiamo ben capire come le logiche che sono alla base dell’implementazione del Modello 231 sono sicuramente ben conosciute nelle aziende multinazionali. Le difficoltà che queste ultime devono comunque affrontare dipendono soprattutto dal fatto che la normativa 231 è una normativa locale che si “scontra” inevitabilmente con le altre normative locali dei paesi nei quali le stesse si trovano ad operare. Le strategie organizzative che le imprese multinazionali hanno adottato per la conformità al D.Lgs 231/2001 saranno affrontate nel quinto capitolo del presente lavoro.
46
Capitolo Terzo
L’Organismo di Vigilanza
3.1
Composizione dell’OdV
Il D.Lgs. n. 231/2001 prevede che la responsabilità dell’ente venga esclusa sia attraverso l’adozione e l’efficace attuazione di un Modello Organizzativo volto a prevenire la commissione dei reati presupposto sia attraverso l’istituzione di un Organismo di Vigilanza, a cui affidare il compito di vigilare sul funzionamento e l’osservanza del Modello di organizzazione nonché di curarne il suo aggiornamento in base a quanto stabilito dall’art. 6 c.4 del decreto legislativo 231 del 2001. La disciplina in esame non fornisce indicazioni circa la composizione dell’Organismo di Vigilanza (OdV). Ciò consente di optare per una composizione sia mono che plurisoggettiva, sia interna che mista. La scelta tra l’una o l’altra soluzione dovrà tenere presenti le finalità perseguite dal Decreto e, quindi, deve assicurare il profilo di effettività dei controlli in relazione alla dimensione ed alla complessità organizzativa dell’ente20. Nella composizione plurisoggettiva possono essere chiamati a far parte dell’OdV componenti sia interni che esterni all’ente, purché in possesso dei requisiti indicati dalle Linee Guida elaborate dalle Associazioni riconosciute dal Ministero della Giustizia (Confindustria, ABI, ANIA, API, ANCE, ecc).
20
Confindustria, Linee Guida per la Costruzione dei modelli di organizzazione, gestione e controllo Ex D.Lgs 231/2001 edizione del 31 Marzo 2008 pag. 32.
47
Nelle società di capitali è preferibile una composizione di tipo collegiale; questa impostazione è anche confermata dalla Legge di Stabilità 2012 che stabilisce come le funzioni dell’Organismo di Vigilanza possono essere demandate anche al collegio sindacale, al consiglio di sorveglianza e al comitato per il controllo interno21. Nelle società di piccole dimensioni i compiti dell’Organismo di Vigilanza possono essere svolti direttamente dall’organo dirigente (art. 6, c.4 D.Lgs. 231/2001); pertanto la composizione monocratica potrebbe ben garantire le funzioni demandate dall’Organismo22. Nel caso di grandi gruppi societari e multinazionali, diverse sono le alternative possibili. Si potrebbe optare per una soluzione accentrata con un unico Organismo di Vigilanza, a livello di holding, con responsabilità di controllo su tutte le società del Gruppo, italiane ed estere; oppure preferire una soluzione che preveda un OdV collegiale presso la Holding e le principali società operative del Gruppo, e una pluralità di OdV snelli, magari monocratici, presso le altre società, incluse quelle estere. Quale che sia l’alternativa individuata, nel caso dei grandi gruppi multinazionali, l’Organismo di Vigilanza deve quasi necessariamente richiedere il supporto di “controllori” indipendenti per le attività di monitoraggio a suo carico (anche perché sarebbe difficilmente sostenibile dimostrare un’adeguata attività di monitoraggio sul Modello Organizzativo, in una realtà aziendale multinazionale, posta in essere da un Organismo formato, ad esempio, da tre o cinque membri). Fra i “professionisti” aziendali maggiormente coinvolti dall’Organismo di Vigilanza, la funzione di Internal Auditing è, nella prassi, l’unità organizzativa di riferimento per queste attività. I motivi alla base di questa scelta saranno approfonditi nel capitolo quattro del presente lavoro.
21
Legge di Stabilità 2012, (12 novembre 2011 n. 183), all'art 14 dispone l'inserimento di un comma 4-bis nell'art 6 del D.Lgs. 231/2001, con decorrenza 1 gennaio 2012, che recita: “Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo della gestione possono svolgere le funzioni dell'organismo di vigilanza di cui al comma 1, lettera b”. 22 F. D’Ambrosio, L. Micheletti,“Responsabilità della società (D.Lgs. 231/2001)”, Memento pratico, Ipsoa Francis Lefebvre, ed. 2013 (aggiornato ad agosto 2012), pag.829.
48
3.2
Nomina e revoca dell’OdV
L’Organismo di Vigilanza viene nominato dall’organo dirigente della società che adotta il Modello Organizzativo, quindi dal Consiglio di Amministrazione. All’atto della nomina l’organo dirigente dovrà stabilire: la durata dell’incarico, la possibilità di rinnovo, i compensi per i membri dell’OdV e le cause di revoca dell’incarico per giusta causa. L’Organo dovrà inoltre porre attenzione alle possibili cause di ineleggibilità e incompatibilità di nomina dei membri dell’OdV, come ad esempio: • l’assenza di vincoli di parentela con il vertice aziendale e di legami di tipo economico con la Società (es. partecipazioni azionarie) o di qualsiasi altra situazione che possa generare conflitto di interesse; • l’esistenza di una loro condanna, anche non definitiva, per uno dei reati previsti dal Decreto 231/2001. I componenti dell’Organismo di Vigilanza possono essere revocati per giusta causa, quando sussistono le seguenti condizioni: • interdizione o inabilitazione, ovvero una grave infermità che renda un componente l’OdV inidoneo a svolgere le proprie funzioni di vigilanza o un’infermità che comporti la sua assenza dal luogo di lavoro per un periodo superiore a sei mesi; • attribuzione al componente dell’OdV di funzioni e responsabilità operative incompatibili con i requisiti di autonomia, indipendenza e continuità d’azione; • grave inadempimento dei doveri dell’Organismo; • il venir meno all’obbligo di riservatezza e dei requisiti di onorabilità; • sentenza di condanna, anche non passata in giudicato, ovvero un “patteggiamento” a carico di uno dei componenti dell’OdV per aver personalmente commesso uno dei reati previsti dal Decreto.
49
3.3
Requisiti dell’Organismo di Vigilanza
In riferimento ai requisiti che l’Organismo di Vigilanza deve possedere, il primo comma dell’art. 6 del Decreto 231/2001, prevede in generale che l’Organismo debba essere dotato di “… autonomi poteri di iniziativa e controllo …” La Giurisprudenza ha successivamente delineato i requisiti dell’Organismo di Vigilanza, classificandoli in: oggettivi (autonomia, indipendenza e continuità d’azione) e soggettivi (professionalità e onorabilità). Si analizzano di seguito i requisiti che caratterizzano l’Organismo di Vigilanza: a. autonomia:
all’Organismo
dovranno
essere
riconosciuti
dall’Organo
dirigente effettivi poteri di ispezione e controllo, libertà da interferenze o condizionamenti; b. indipendenza: assenza di vincoli rispetto ai vertici dell’ente e di funzioni operative connesse con l’attività aziendale e piena libertà di giudizio; c. continuità d’azione: l’Organismo di Vigilanza deve monitorare in modo costante la coerenza tra i comportamenti previsti nel Modello e le attività svolte in concreto dal personale della società. Il monitoraggio costante dell’effettività del Modello, in tal senso, richiede la continuità di azione da parte dell’OdV, che deve dedicarsi alle proprie funzioni in modo sistematico (calendarizzazione delle attività, verbalizzazioni, flussi informativi e così via)23; d. professionalità e onorabilità: i componenti dell’Organismo di Vigilanza dovranno possedere strumenti e tecniche per poter svolgere l’attività assegnata. I componenti dell’OdV, nonché i soggetti dei quali l’OdV a qualsiasi titolo si avvale, hanno l’obbligo di riservatezza su tutte le informazioni delle quali sono venuti a conoscenza nell’esercizio delle loro funzioni o attività. L’Organismo di Vigilanza opera in assenza di vincoli gerarchici ma ha rapporti con le diverse funzioni aziendali riportando al Consiglio di Amministrazione, al Collegio 23
www.confindustria.ge.it, Il ruolo dell’Organismo di Vigilanza, pag. 9 ss.
50
Sindacale, nonché al Presidente e all’Amministratore Delegato le attività svolte e le azioni intraprese supportate da accurata documentazione. Le professionalità principali che l’Organismo di Vigilanza deve soddisfare nella sua composizione sono: a. competenza in materia di sistemi di controllo; b. consulenza in materia penalistica; c. competenze di carattere tecnico.
La professionalità dell’OdV trova fondamento: •
ex ante: nel valutare l’efficacia “in astratto del Modello 231;
•
correntemente: nel verificare i comportamenti quotidiani, in relazione a quelli codificati nel Modello;
•
ex post: nel verificare le cause di malfunzionamento del Modello, che hanno condotto alla realizzazione di un reato 231.
3.4
Compiti dell’OdV
L’articolo n. 6 del D.Lgs. 231 del 2001 prevede per l’OdV “… autonomi poteri di iniziativa e di controllo” pertanto esso deve quindi essere dotato di tutti i poteri necessari per assicurare una puntuale ed efficiente vigilanza sul funzionamento e sull’osservanza del Modello Organizzativo adottato dalla società24. I compiti dell’OdV, indicati agli artt. 6 e 7 del D.Lgs. 231/2001, consistono: § nella verifica dell’efficienza ed efficacia del Modello Organizzativo adottato rispetto alla prevenzione ed all’impedimento della commissione dei reati previsti dal D.Lgs. 231/2001;
24
Gruppo di studio 231, “L’organismo di vigilanza: Linee guida”,ODCEC, Torino, settembre 2011.
51
§ nella verifica del rispetto delle modalità e delle procedure previste dal Modello Organizzativo per la rilevazione degli eventuali scostamenti comportamentali che dovessero emergere dall’analisi dei flussi informativi e dalle segnalazioni alle quali sono tenuti i responsabili delle varie funzioni; § nella formulazione delle proposte all’organo dirigente per gli eventuali aggiornamenti ed adeguamenti del Modello Organizzativo adottato, da realizzarsi mediante le modifiche e/o le integrazioni che si dovessero rendere necessarie in conseguenza di: o significative violazioni delle prescrizioni del Modello Organizzativo; o significative modificazioni dell’assetto interno della società e/o delle modalità di svolgimento delle attività d’impresa; o modifiche normative25.
§
segnalazione
all’Organo
dirigente,
per
l’assunzione
degli
opportuni
provvedimenti, di quelle violazioni accertate del Modello Organizzativo che possano comportare l’insorgere di una responsabilità in capo all’ente. L’Organismo al fine di svolgere al meglio i propri compiti previsti dal D.Lgs. 231/2001, ha libertà di accesso a tutta la struttura aziendale e a tutte le informazioni aziendali, che risultano utili allo svolgimento del suo incarico, senza necessità di alcun consenso preventivo. Questi dati ed informazioni vengono trattati nel rispetto di quanto stabilito in materia di privacy dal D.lgs. 196/2003 e in caso di trattamento di informazioni e dati “price sensitive”, in conformità alle disposizioni del T.U.F. sull’insider trading (artt. 180 e ss. D.lgs 58/1998). L’OdV ha inoltre a sua disposizione un budget che gli consente la possibilità di avvalersi, qualora ne fosse necessario, dell’ausilio di consulenti esterni in merito a specifiche competenze richieste. L’Organismo può inoltre richiedere qualora lo ritenga necessario di partecipare alle riunioni degli organi sociali nel caso in cui nell’ordine del giorno compaiano argomenti di rilevanza 231.
25
Linee guida Confindustria, ed. 30 marzo 2008, pag. 38.
52
In materia di sistemi di controllo interno, l’Organismo di Vigilanza, per essere in grado di svolgere al meglio i compiti a cui è chiamato, deve avere una padronanza su ambiti diversi quali: a. campionamento statistico; b. analisi e valutazione dei rischi (risk assessment); c. flow-chart di processi; d. interviste e questionari; e. tecniche di fraud detection e fraud management.
Nello schema di seguito rappresentato si sintetizzano le funzioni e i poteri dell’Organismo di Vigilanza.
53
L’attività e gli obblighi dell’Organismo di Vigilanza, sono volti al funzionamento, alla potenzialità preventiva dei reati, alla tenuta ed alla osservanza del Modello da parte dei destinatari dello stesso, curandone l’aggiornamento, ma laddove il Modello Organizzativo non esista o sia stato adottato in maniera non efficace, divenendo così un’entità meramente fittizia, e pertanto inidonea a creare obblighi in capo a coloro che sono tenuti a vigilare sul suo rispetto, non sussiste alcun profilo di responsabilità dell’Organismo di Vigilanza. Ed in effetti, il D.Lgs. 231/2001 non attribuisce all’Organismo di Vigilanza poteri di intervento impeditivi nei confronti di comportamenti irregolari o illeciti e poteri disciplinari e sanzionatori diretti, che presuppongono l’esercizio di un’autorità sui comportamenti altrui all’interno e all’esterno dell’impresa, ma si limita ad indicare le modalità organizzative e le condizioni in presenza delle quali la società può escludere la responsabilità amministrativa, nel caso di commissione di un reato presupposto da parte di un suo amministratore o dirigente. Va dunque ribadito che l’Organismo di Vigilanza non ha alcun compito di impedire i reati, ma quello di concorrere a realizzare i presupposti per la sussistenza della condizione esimente di cui all’art. 6 D.Lgs. 231/2001: prima con la sua nomina e quindi con il monitoraggio circa l’adeguatezza, il funzionamento, l’osservanza e l’aggiornamento del Modello di cui è parte integrante. Nell’attuale quadro normativo gli artt. 2381 e 2403 c.c. (come riformulati dal D.Lgs. 6/2003 di riforma del diritto societario) hanno creato, in sostanza, la saldatura tra il sistema della responsabilità esterna (e cioè della società nei confronti del mondo esterno, per i reati commessi dai suoi amministratori) ed il sistema della responsabilità interna (degli amministratori nei confronti della società e degli altri soggetti danneggiati dai predetti comportamenti)26. Secondo la legislazione vigente, l’ente condannato ex D.Lgs. 231/2001 per responsabilità “da reato” può tentare azioni civili intese ad ottenere, da coloro che ne hanno creato i presupposti, il risarcimento del danno economico conseguente alla condanna; fra questi soggetti, oltre agli amministratori, i sindaci e gli altri 26
P. Vernero, studio Vernero-Manavella & Associati, “Il D.Lgs. 231/2001”, atti del convegno, Torino, 28 settembre 2010.
54
organi sociali deputati alla gestione ed al controllo, si può includere anche l’Organismo di Vigilanza qualora sia provato che lo stesso non ha “vegliato” in modo diligente sul funzionamento e sull’osservanza del Modello di organizzazione e gestione. Pertanto anche all’infuori dei casi di dolo e di colpa grave, può sussistere una responsabilità civile dell’Organo di Vigilanza per condotta omissiva o comunque non diligente. La responsabilità dei componenti dell’OdV è di tipo contrattuale essendo “per relationem” il contratto rappresentato dal Modello; l’unico soggetto deputato ad esperire l’eventuale azione di risarcimento danni per responsabilità civile dei componenti dell’OdV è l’ente/società, solo quest’ultimo ha infatti la legittimazione attiva ad esercitare l’azione di inadempimento e risarcimento danni nei confronti dei componenti dell’OdV, in quanto creditore della prestazione (di vigilanza) in base al rapporto contrattuale di affidamento del relativo incarico.
3.5
Rapporto dell’OdV con gli altri Organi di controllo
L’Organismo di Vigilanza è uno dei soggetti del Sistema di Controllo Interno aziendale; insieme agli altri organi societari che hanno responsabilità di controllo, contribuisce a fornire un’assurance complessiva sullo stesso sia in termini di disegno del sistema dei controlli che in termini di funzionamento degli stessi. L’Organismo di Vigilanza è un “controllore” cosiddetto di terzo livello; con riferimento infatti ad un approccio integrato al SCI27, si individuano tre livelli di controllo: - controllo di primo livello: “definisce e gestisce i controlli di linea (procedurali, informatici, amministrativo contabili ecc …) insiti nei processi operativi”; è proprio del management operativo, sia corporate che delle strutture periferiche. 27
Associazione Italiana Internal Auditors, “Approccio Integrato al Sistema di Controllo Interno”, Corporate Governance, Position Paper, novembre 2009.
55
- controllo di secondo livello: “presidia il processo di valutazione e controllo dei rischi garantendone la coerenza rispetto agli obiettivi aziendali e rispondendo a criteri di segregazione organizzativa in modo di consentire un efficace monitoraggio”; si riferisce alle strutture che svolgono attività di assurance su specifici rischi, quali le funzioni di Risk management, il Controllo di Gestione, ecc. Di solito i responsabili di tali unità organizzative riportano gerarchicamente all’Amministratore Delegato. - controllo di terzo livello: fornisce un’“assurance” pienamente indipendente sul disegno e sul funzionamento del sistema di controllo interno aziendale; rientrano in questa terza categoria l’Organismo di Vigilanza ex. art. 231/2001 e l’Internal Audit. Le modalità di interrelazione tra l’Organismo di Vigilanza e gli altri organi di controllo avviene attraverso: § flussi informativi; § comunicazione conoscitiva-partecipativa; § scambi finalizzati all’attuazione di direttive. Esempio di flusso informativo Attraverso i flussi informativi, ad esempio, l’OdV trasmette almeno annualmente informazioni al Comitato per il Controllo Interno e al Collegio Sindacale sull’applicazione del Modello 231, con particolare riferimento al funzionamento complessivo del modello di prevenzione e all’aggiornamento delle aree a rischio.
Esempio di comunicazione conoscitiva-partecipativa Agli incontri dell’OdV partecipano inoltre periodicamente su invito (qualora non ne siano componenti), un membro del Collegio Sindacale, in qualità di uditore, ed un amministratore indipendente componente del CCI; ovviamente l’OdV o un suo membro, se l’organizzazione è collegiale, partecipa su invito agli incontri del collegio sindacale in qualità di uditore. 56
Esempio di scambi finalizzati all’attuazione di direttive Il Modello Organizzativo ex D.Lgs 231/2001, sulla cui osservanza e funzionamento vigila l’Organismo di Vigilanza, è parte del sistema di controllo interno di cui il Collegio Sindacale deve valutare l’adeguatezza, in ragione dell’obbligo di vigilare sull’osservanza della legge e dello statuto e sul rispetto dei corretti principi di amministrazione cui è chiamato.
3.5.1 Rapporti tra l’OdV e il Collegio Sindacale Il Collegio Sindacale, in relazione ai suoi rapporti con l’Organismo di Vigilanza è tenuto: -
ad acquisire le informazioni sulla composizione dell’OdV al fine di verificare gli aspetti relativi all’autonomia, all’indipendenza e alla professionalità necessari per svolgere efficacemente l’attività ad esso assegnata;
-
ad acquisire, le informazioni relative al Modello Organizzativo adottato ed al suo funzionamento, per poter così valutare l’operatività dell’Organismo di Vigilanza e la congruità delle valutazioni e l’adeguatezza delle indicazioni da quest’ultimo adottate;
-
a stabilire con l’Organismo di Vigilanza termini e modalità per lo scambio di informazioni rilevanti.
E’ opportuno che il Collegio Sindacale riceva delle relazioni informative periodiche dall’Organismo di Vigilanza e che tra i due organi ci siano degli incontri almeno due volte nel corso dell’esercizio (generalmente hanno cadenza semestralmente). Gli incontri tra l’Organo di Vigilanza e il Collegio Sindacale devono essere oggetto di specifica verbalizzazione; i verbali dovranno essere trascritti sul libro delle adunanze di entrambi gli Organi e delle deliberazioni del Collegio Sindacale e dovranno essere sottoscritti dagli intervenuti.
57
Dai verbali devono risultare: -
le informazioni ricevute dall’Organismo di Vigilanza;
-
le richieste di informazioni fatte all’Organismo di Vigilanza e le risposte da questo ricevute, anche se negative.
Le informazioni avranno ad oggetto il Modello Organizzativo adottato dalla società ed in particolare: -
le modalità con cui viene condotta l’identificazione e la valutazione dei rischi di commissione dei reati;
-
le misure con cui sono gestiti e coperti i rischi di commissione dei reati e le linee di condotta previste;
-
il sistema di diffusione delle informazioni rilevanti alle persone che operano per la società;
-
il controllo sull’efficace applicazione delle misure indicate dal Modello Organizzativo;
-
il sistema dei flussi informativi verso l’Organismo di Vigilanza;
-
il sistema disciplinare con cui è sanzionato il mancato rispetto delle misure indicate dal Modello Organizzativo;
-
il piano di vigilanza sul funzionamento e l’osservanza del Modello Organizzativo e l’attività;
-
il piano di vigilanza sul funzionamento e l’osservanza del Modello Organizzativo e l’attività svolta dall’Organismo di Vigilanza;
-
le violazioni alle prescrizioni previste dal Modello Organizzativo;
-
i mutamenti nell’assetto organizzativo dell’attività e le modifiche normative che interessano il Modello Organizzativo;
-
gli adeguamenti e gli aggiornamenti del Modello Organizzativo;
-
le relazioni informative periodiche inviate agli amministratori;
-
le altre informazioni e comunicazioni afferenti al Modello Organizzativo ed al suo funzionamento indirizzate agli amministratori, alla società di revisione, al preposto al controllo interno ed ai responsabili delle funzioni aziendali; 58
-
ogni altra informazione ritenuta rilevante od utile per lo svolgimento dell’attività di vigilanza.
Si raccomanda infine che il Collegio Sindacale, qualora la società non abbia posto in essere, in tutto o in parte, gli adempimenti previsti dal Decreto 231, solleciti, nell’ambito della Relazione al bilancio, ex art. 2429 c.c.28, un’adeguata riflessione in merito, soprattutto ai fini delle responsabilità che potrebbero derivare da un non corretto adempimento dei doveri previsti dall’art. 2403 c.c.29, a cui si correla la diligenza professionale nell’espletamento dell’incarico.
Si evidenzia comunque che il flusso informativo tra l’Organismo di Vigilanza e il Collegio Sindacale è bi-direzionale. Infatti il Collegio Sindacale fornisce all’Organismo di Vigilanza “informativa almeno semestrale su fatti d’interesse di quest’ultimo ovvero rilevanti nella valutazione del funzionamento del Modello Organizzativo 231, con particolare riguardo a quanto contemplato dai reati inerenti le comunicazioni sociali. A titolo esemplificativo, viene fornita informativa su eventuali problematiche del SCI del sistema di controllo relativo ai processi amministrativo-contabili di cui venga a conoscenza il Collegio Sindacale, che hanno attinenza per i possibili reati sulle comunicazioni sociali rilevanti anche ai fini 231”30.
3.5.2 Rapporti tra l’ODV e il Comitato Controllo e Rischi Il Comitato Controllo e Rischi, secondo la recente definizione del nuovo Codice di Autodisciplina delle società quotate, presenta una serie di caratteristiche che lo rendono idoneo a svolgere i compiti che il decreto 231 attribuisce all’OdV come ad esempio un certo grado di autonomia ed indipendenza dei suoi membri (in quanto 28
Art. 2429 cc.: Relazione dei Sindaci e Deposito del Bilancio. Art. 2403 cc.: Doveri del Collegio Sindacale. 30 Associazione Italiana Internal Auditors, “Approccio Integrato al Sistema di Controllo Interno”, Corporate Governance, Position Paper, novembre 2009, pag.21. 29
59
deve essere composto da amministratori non esecutivi, la maggioranza dei quali indipendenti). Inoltre il Comitato Controllo e Rischi svolge un ruolo in parte assimilabile a quello richiesto all’OdV. Esso, infatti, presiede al sistema di controlli interni dell’impresa in quanto: •
assiste il Consiglio di Amministrazione nella fissazione delle linee di indirizzo e nella verifica periodica della loro adeguatezza e del loro effettivo funzionamento, assicurandosi che i principali rischi aziendali siano identificati e gestiti in modo adeguato;
•
valuta il piano di lavoro preparato dai preposti al controllo interno e riceve le relazioni periodiche degli stessi;
•
valuta, unitamente ai responsabili amministrativi della società ed ai revisori, l’adeguatezza dei principi contabili utilizzati e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato;
•
valuta le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella lettera di suggerimenti;
•
riferisce
al
Consiglio,
almeno
semestralmente,
in
occasione
dell’approvazione del bilancio e della relazione semestrale, sull’attività svolta e sulla adeguatezza del sistema di controllo interno; •
svolge ulteriori compiti che gli vengono attribuiti dal Consiglio di Amministrazione, particolarmente in relazione ai rapporti con la società di revisione.
Proprio in considerazione di queste caratteristiche comuni tra l’Organismo di Vigilanza 231 e il Comitato Controllo e Rischi, possiamo ben comprendere come le relazioni tra i due organi siano frequenti sia in termini di flussi informativi che di partecipazione congiunta a meeting (usualmente anche con la presenza di membri del Collegio Sindacale). A titolo di esempio, sempre nel position paper citato dell’Associazione Italiana Internal Auditors, si afferma che l’Organismo di Vigilanza 60
trasmette al Comitato Controllo e Rischi un flusso informativo strutturato sull’applicazione del modello D.Lgs. 231, con particolare riguardo ai seguenti argomenti:
-
funzionamento complessivo del modello di prevenzione (almeno annualmente);
-
aggiornamento delle aree a rischio (almeno annualmente);
-
fatti/eventi rilevanti emersi dall’applicazione del modello (almeno trimestralmente)”31.
3.6
Relazione tra l’OdV e la funzione Internal Audit
L’internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza,
finalizzata
al
miglioramento
dell’efficacia
e
dell’efficienza
dell’Organizzazione. Assiste l’Organizzazione nel proseguimento dei propri obiettivi tramite un approccio professionale sistematico che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance. Tale funzione può supportare l’Organismo di Vigilanza nella verifica del funzionamento del Modello, verificando il disegno e il funzionamento dei protocolli di controllo posti in essere per mitigare il rischio di commissione dei reati. L’Internal Audit, a tal fine, presenta annualmente all’Organismo di Vigilanza una proposta del piano annuale delle attività di verifica che intende svolgere nelle aree di rischio 231; l’Organismo di Vigilanza, dal suo canto, può altresì richiedere integrazioni al piano. Periodicamente, generalmente con cadenza trimestrale, l’Organismo riceverà i rapporti di audit in relazione alle verifiche svolte nel periodo.
31
Associazione Italiana Internal Auditors, “Approccio Integrato al Sistema di Controllo Interno”, Corporate Governance, Position Paper, novembre 2009, pag.21.
61
L’internal auditing può anche svolgere un ruolo di segreteria tecnica del Collegio Sindacale e pertanto può partecipare agli incontri che il Collegio Sindacale ha con il Comitato di Controllo Interno e l’OdV.
3.7
Obblighi di informazione all’OdV
L'Organismo di Vigilanza deve essere informato in ordine a fatti che potrebbero comportare una responsabilità della società ai sensi del D.lgs. 231/2001. L'attività di report verso l’OdV può essere distinta fra: a) flussi informativi da effettuarsi al verificarsi di particolari eventi; b) flussi informativi periodici.
Flussi informativi da effettuarsi al verificarsi di particolari eventi Nel Modello Organizzativo è opportuno prevedere l'obbligo di trasmettere immediatamente all'Organismo di Vigilanza le informazioni concernenti: •
ogni fatto o notizia relativi ad eventi che potrebbero, anche solo potenzialmente, determinare la responsabilità della società, ai sensi del D.Lgs. 231/2001;
•
provvedimenti e/o notizie o comunque l’avvio di procedimenti da parte di organi di polizia giudiziaria, o da parte di qualsiasi altra autorità dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per gli illeciti ai quali è applicabile il D.Lgs. 231/2001, qualora tali indagini coinvolgano la società o suoi dipendenti od organi societari o collaboratori o comunque la responsabilità della società stessa;
•
le richieste di assistenza legale inoltrate dai dirigenti e/o dai dipendenti nei confronti dei quali la Magistratura procede per i reati previsti dalla richiamata normativa;
62
•
le violazioni del Modello o del Codice Etico e i comportamenti che possano far sorgere il sospetto di trovarsi di fronte ad un atto illecito o comunque ad una condotta non in linea con i principi, le procedure e le regole prefissate nell'ambito del Modello o del Codice Etico;
•
le anomalie o le atipicità rispetto ai principi delineati nel Modello (un fatto non rilevante se singolarmente considerato, potrebbe assumere diversa valutazione
in
presenza
di
ripetitività
od
estensione
dell’area
di
accadimento).
Flussi informativi periodici All'Organismo di Vigilanza devono essere trasmessi i flussi informativi periodici da tutti i soggetti coinvolti con funzioni dì responsabilità e controllo nei processi "sensibili" come definiti nel Modello Organizzativo. All’OdV devono pervenire informazioni circa: •
il livello di attuazione del Modello;
•
il rispetto dei principi di controllo e comportamento;
•
le eventuali criticità nei processi gestiti, gli eventuali scostamenti rispetto alle indicazioni dettate dal Modello o più in generale dall'impianto normativo;
•
le variazioni intervenute nei processi e nelle procedure.
63
CAPITOLO QUARTO
Il ruolo della funzione Internal audit nell’implementazione e nel monitoraggio del Modello Organizzativo. 4.1
L’Internal Audit a supporto degli OdV Gli internal auditor, con l’introduzione della normativa 231, hanno visto
ampliare l’ambito della propria azione assumendo un ruolo chiave nel processo di adozione ed attuazione del Modello Organizzativo. Prova non confutabile di questo processo è il sempre maggiore spazio che “occupano” gli audit di compliance 231 all’interno del piano annuale degli interventi di audit approvato dall’organo verso il quale il Responsabile Internal Audit riporta gerarchicamente (Consiglio di Amministrazione, Comitato Controllo e Rischi, ecc.). La funzione Internal Audit è diventata, dall’introduzione del Decreto ad oggi, il “braccio operativo” o comunque il punto di riferimento degli Organismi di Vigilanza nelle attività finalizzate all’implementazione e al monitoraggio del Modello. Il Responsabile della funzione Internal Auditing può essere componente dell’Organismo
di
Vigilanza,
ciò
permette
a
quest’ultimo
di
integrarsi
maggiormente nelle attività aziendali e all’internal auditor di coniugare le normali attività di audit con tutte quelle legate alla compliance normativa. Inoltre la funzione può essere chiamata a svolgere attività a supporto dell’OdV data la sua competenza nella valutazione del sistema dei controlli. Le società, soprattutto quelle più grandi, che scelgono di adottare i Modelli per beneficiare della condizione esimente prevista dal Decreto 231/2001, si dotano di funzioni “compliance” oppure si avvalgono di consulenti esterni per sviluppare procedure o processi di controllo che rendono le aziende “compliant” cioè conformi 64
ai dettami normativi. Però, nella pratica aziendale, sono proprio le funzioni audit quelle maggiormente coinvolte nelle attività di supporto agli OdV. Se questo concetto è vero nelle Società “nazionali”, anche le più grandi, lo è ancor di più in contesti “multinazionali” dato che gli standard di riferimento della professione di internal auditing sono internazionali in quanto emanati, con validità globale, dal The Institute of Internal Auditors americano. Nelle prossime pagine, dopo aver individuato e descritto le caratteristiche professionali che rendono gli Internal Auditor partner ideali degli Organismi di Vigilanza, procederemo ad analizzare i vari ambiti della loro attività di supporto.
4.2
Le caratteristiche professionali degli Internal Auditor strumentali all’attività di supporto agli OdV
La professione è disciplinata da standard internazionali I principi di riferimento della pratica professionale dell'Internal Audit, definiti da comitati tecnici internazionali dell’Associazione Internazionale degli Internal Auditors, sono inclusi nell’International Professional Practieces Framework (IPPF)32. I principi si dividono in due categorie: -
vincolanti: la conformità ai principi e alle linee guida è essenziale per la pratica professionale di IA.
-
fortemente raccomandati: descrivono pratiche professionali finalizzate all’effettiva
implementazione
del
Codice
Etico
e
degli
Standard
Internazionali per la Pratica Professionale dell’Internal Auditing.
Graficamente l’IPPF può essere così rappresentato: 32
IIA - Internal Auditing Standards Board, “International Professional Practices Framework (IPPF)” casa ed. AIIA, anno 2011.
65
I principi vincolanti (mandatory) sono inclusi nella definizione internazionale della professione, negli standard e nel codice etico. Le regole fortemente raccomandate (strongly recommended) sono costituite dai position paper, dalle guide pratiche, guide interpretative.
Gli obiettivi fondamentali, la natura e l’ambito di riferimento dell’attività di IA, vengono indicati nella definizione internazionale in cui si afferma che: “l’Internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza finalizzata al miglioramento
dell’efficacia
e
dell’efficienza
dell’organizzazione.
Assiste
l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance”.
66
In relazione all’attività di supporto agli Organismi di Vigilanza, nel monitoraggio del Modello Organizzativo e dei protocolli di controllo, caratteristiche come l’indipendenza funzionale (riporto ai più alti livelli del top management, come ad esempio il Presidente del Consiglio di Amministrazione) o l’obiettività individuale nell’espressione dei giudizi, rappresentano sicuramente degli ottimi “biglietti a visita” per gli Internal Auditor al fine della loro individuazione tra i “professionisti” aziendali con le caratteristiche più idonee a svolgere tale ruolo.
Con specifico riferimento ai contesti multinazionali, lo svolgimento delle proprie attività attraverso metodologie standard a livello internazionale (dallo svolgimento dei test alla rappresentazione dei risultati e delle evidenze raccolte in un rapporto di audit) permette all’Internal Auditor di supportare l’OdV anche nelle attività di monitoraggio del Modello Organizzativo 231 all’estero. Ad esempio una società multinazionale dotata di unità di audit anche nelle società controllate estere potrebbe far svolgere verifiche ex. D.Lgs 231 direttamente agli Internal Auditor locali (con grande efficienza ed efficacia) comunicando successivamente all’OdV i risultati delle verifiche effettuate.
La professione ha un codice etico vincolante (indipendenza, obiettività, riservatezza e competenza) I comportamenti che gli internal auditor devono seguire nell’espletamento delle proprie funzioni sono invece indicati nel Codice Etico della professione. Scopo del Codice Etico è quello di promuovere la cultura etica nell’esercizio della professione di internal auditor; elemento fondamentale per la credibilità ed il successo della professione stessa.
67
Il codice etico include due componenti essenziali: a) i principi: sono i fondamenti della professione e della pratica dell’internal auditing; b) le regole di condotta: descrivono le norme comportamentali che gli internal auditor sono tenuti ad osservare.
a) I principi Il codice si applica sia ai singoli individui che aIle strutture che forniscono servizi di intenal auditing. L’internal auditor è tenuto ad applicare e sostenere i seguenti principi: 1. Integrità: l’integrità dell’internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale; 2. Obiettività: nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il processo in esame,l’internal auditor deve manifestare al massimo livello di obiettività professionale. Deve cioè valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da altre persone o da interessi personali nella formulazione dei propri giudizi. 3. Riservatezza: l’internal auditor deve rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazioni, salvo che lo impongano motivi di ordine legale o deontologico. 4. Competenza: nell’esercizio di propri servizi professionali, l’internal auditor utilizza il bagaglio più appropriato di conoscenze, competenze ed esperienze.
b) Regole di Condotta 1. Con riferimento all’Integrità
68
L’internal auditor: -
deve operare con onestà, diligenza e senso di responsabilità;
-
deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge e dai principi della professione;
-
non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera;
-
deve rispettare e favorire il conseguimento degli obiettivi dell’organizzazione per cui opera, quando etici e legittimi.
2. Con riferimento all’obiettività L’internal auditor: •
non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione. In tale novero vanno incluse quelle attività o relazioni che possano essere in conflitto con gli interessi dell’organizzazione;
•
non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione;
•
deve riferire tutti i fatti significativi a lui noti, la cui omissione possa fornire un quadro alterato delle attività analizzate.
3. Con riferimento alla riservatezza L’internal auditor: o deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico;
69
o non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge e agli obiettivi etici e legittimi dell’organizzazione.
4. Con riferimento alla competenza L’internal auditor: § deve effettuare solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza; § deve prestare i propri servizi in pieno accordo con gli Standard internazionali per la Pratica Professionale dell’Internal Auditing; § deve continuamente migliorare la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi.
Il mancato rispetto del Codice Etico da parte dei membri dell’Institute, dei detentori delle certificazioni professionali e di coloro che si candidano a riceverle, viene valutato e sanzionato secondo le norme previste nello Statuto e nelle “Administrative Directives” dell’Institute33.
L’Internal Auditor è per definizione un “valutatore” del Sistema di Controllo Interno La principale responsabilità degli Internal Auditors è quella di fornire un’assurance sul disegno e sul funzionamento del Sistema dei Controlli attraverso valutazioni indipendenti. L’ambito di audit, ossia il perimetro che racchiude tutte le attività di audit che possono essere effettuate, viene generalmente definito “audit universe. Nello specifico l’ambito di audit può essere focalizzato su processi operativi come ad esempio il ciclo degli acquisti, il ciclo delle vendite, il ciclo della produzione; in questi casi le attività di audit vengono definite di tipo “operational”. L’ambito di 33
www.aiiaweb.it, Associazione Italiana Internal Auditors, Codice Etico, 1 gennaio 2009.
70
audit può altresì includere processi “financial” ossia quelli che hanno un collegamento più diretto sulle voci di bilancio (questo è spesso l’ambito dove ci può essere sovrapposizione con la revisione “esterna”) oppure di tipo IT. Le verifiche di audit finalizzate a verificare il sistema di controllo dei processi disciplinati da procedure interne o da normative esterne sono dette di tipo “compliance” e chi le effettua viene definito un “compliance auditor”. Si evidenzia che, al di là delle varie tipologie di attività di audit che possono essere poste in essere, le modalità attraverso le quali un internal auditor svolge la propria valutazione del sistema dei controlli segue sempre lo stesso modello mentale:
Analisi del processo/sotto processi à identificazione degli obiettivi del processo/sotto processi à identificazione dei rischi (ossia degli eventi che possono compromettere il raggiungimento degli obiettivi à identificazione del disegno dei controlli (che dovrebbero mitigare i rischi) à definizione e svolgimento dei test per verificare l’effettivo funzionamento dei controlli.
Il processo appena descritto è anche quello che l’Organismo di Vigilanza dovrebbe porre in essere con particolare riferimento ai rischi 231 e ai relativi protocolli di controllo. Per questo motivo la funzione Internal Auditing diviene un alleato prezioso e fidato (cioè del cui giudizio si fida) dell’Organismo di Vigilanza con riferimento alla valutazione dell’adeguatezza e la funzionalità del Modello Organizzativo ex. D.Lgs. 231/2001.
La naturale predisposizione della funzione Internal Audit alla valutazione dei sistemi di controllo viene rafforzata dalle proprie caratteristiche funzionali ed
71
individuali delle risorse di cui dispone che abbiamo già citato ossia l’indipendenza e l’obiettività di giudizio34: a) Indipendenza: libertà da condizionamenti che minaccino la capacità dell’IA o del suo responsabile di adempiere senza pregiudizio alle proprie responsabilità. Per raggiungere il livello di indipendenza necessario per esercitare in modo efficace le responsabilità dell’attività di IA, il responsabile IA ha diretto e libero accesso al senior management e al Board. Ciò può essere conseguito tramite un duplice riporto organizzativo. b) Obiettività: attitudine mentale di imparzialità che permette agli IA di svolgere i propri incarichi senza compromessi e condizionamenti.
La Funzione di Audit si configura, generalmente, come il braccio operativo dell’Organismo di Vigilanza, rimanendo pur sempre quest’ultimo il responsabile della vigilanza e funzionalità del Modello. L’OdV può deliberare un piano delle attività che l’internal auditing dovrà effettuare con lo scopo di valutare l’efficacia del sistema di controllo a presidio di processi/aree aziendali “critiche”, ovvero maggiormente sensibili, ai sensi del D.Lgs. 231.
Il Codice di Autodisciplina (quello aggiornato a dicembre 2011) lo identifica come “braccio” operativo del Consiglio di Amministrazione nell’adempimento delle sue responsabilità sul sistema di controllo interno Il Codice di Autodisciplina di Borsa Italiana SpA è ad “adesione volontaria”. Nel documento tuttavia si afferma che “qualora l’emittente non abbia fatto proprie, in tutto o in parte una o più raccomandazioni, fornisce adeguate infromazioni in merito ai motivi della mancata o parziale applicazione” (nella relazione sul governo societario).
34
www.aiiaweb.it, The Institute of Internal Auditors, “ international standards for the professional practice of internal auditing (standards)”, Standard di Connotazione 1100: indipendenza ed obiettività, aggiornati ad ottobre 2012, in vigore dal 1° gennaio 2013.
72
Fatta questa debita premessa, secondo quanto disposto dal Codice di Autodisciplina “ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale”35.
La funzione Internal Auditing oltre a svolgere funzioni dell’OdV, viene definito come un strumento operativo del Consiglio di Amministrazione nel Codice di Autodisciplina, aggiornato a dicembre 2011 (prima di tale aggiornamento il Codice non investiva direttamente il Responsabile Internal Audit di tale ruolo ma si riferiva ad un più “generico” preposto al controllo interno); nella versione aggiornata del codice, all’art 7, vengono elencati i principali attori cui compete il governo dei controlli. Al Consiglio di amministrazione, spetta il compito di definire le linee di indirizzo del sistema dei controlli, in coerenza con il profilo di rischio dell’emittente determinato dallo stesso CdA, ed è responsabile della valutazione dell’adeguatezza del sistema dei controlli. Il responsabile IA nominato dal CdA, verifica che il Sistema di Controllo Interno e di gestione dei rischi sia funzionante e adeguato attraverso un processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi aziendali, al fine di verificarne l’adeguatezza e l’effettiva operatività rispetto agli obiettivi di Gruppo, fornendo al Consiglio di Amministrazione,all’Amministratore incaricato, agli Organi di Controllo ed al top management gli strumenti per le necessarie valutazioni.
35
www.borsaitaliana.it, Codice di Autodisciplina, art. 7 “Sistema di controllo interno e di gestione dei rischi”, pag. 30, dicembre 2011.
73
Il ruolo, le finalità e responsabilità dell’Internal Auditor sono formalizzati in un apposito mandato approvato dal CdA, secondo quanto disposto dal Codice di Autodisciplina. Con cadenza almeno annuale il Responsabile IA predispone e, dopo aver raccolto il
parere
del
Comitato
Controllo
e
Rischi,
del
Collegio
Sindacale
e
dell’Amministratore Incaricato, sottopone all’approvazione del Consiglio di Amministrazione il mandato di audit e il piano annuale di audit, basato sulla valutazione dei rischi, inclusivo del budget e del piano delle risorse necessarie. Terminate le verifiche si rendono necessari flussi informativi per rendere partecipe il CdA dei risultati ottenuti.
4.3 Le modalità attraverso le quali la funzione Internal Audit supporta gli OdV Supporto Nella fase di implementazione del modello e di aggiornamento (mappatura, RCM) Ai fini di un migliore e più efficace espletamento dei compiti e delle funzioni attribuiti all’Organismo, quest’ultimo si avvarrà della funzione Internal Audit in quanto dotata di competenze tecniche e risorse idonee a garantire lo svolgimento su base continuativa delle verifiche, delle analisi e degli altri adempimenti di competenza dell’Organismo. L’Organismo potrà avvalersi dell’Internal Auditing per lo svolgimento dei seguenti compiti: -
assistere l’Organismo nell’attività di predisposizione della mappa delle attività sensibili;
-
effettuare la raccolta delle segnalazioni che perverranno dalle strutture della Società e da soggetti terzi. In questo caso, l’Internal Auditing dovrà informare tempestivamente l’OdV del ricevimento di tali segnalazioni;
74
-
ricevere i flussi informativi definiti dall’OdV predisponendo una relazione trimestrale riportante le anomalie eventualmente riscontrate;
-
assistere l’OdV nell’analisi del Modello al fine di valutare l’effettiva capacità dello stesso a prevenire la commissione dei reati previsti dal Decreto (adeguatezza del disegno del Modello);
-
seguire il follow-up delle proposte di adeguamento del Modello formulato dall’OdV, al fine di verificare l’implementazione e l’effettiva funzionalità delle soluzioni proposte.
La redazione e l’implementazione di un modello di prevenzione è legata ad una preventiva, corretta ed efficace mappatura dei rischi-reato. L’art.6, secondo comma dell’ ex. D.Lgs. 231/01 dispone che il Modello Organizzativo preveda un meccanismo volto ad individuare le attività nel cui ambito possono essere commessi reati. Tale meccanismo ha inizio con la mappatura delle aree sensibili, che consiste nell’individuazione degli ambiti aziendali in cui possono essere commessi i reati ed implica una valutazione dettagliata di tutti i processi aziendali.
La mappatura avverrà attraverso: a) individuazione delle aree potenzialmente a rischio reato, in questo ambito va operata una importante distinzione tra:
a. le aree a rischio reato in senso proprio, selezionate in base a quanto disposto nel D.Lgs. 231/01; b. le aree cd. strumentali, che gestiscono gli strumenti finanziari destinati a supportare la commissione di reati nelle aree sub a);
b)
mappare i rischi delle varie attività; 75
c)
costruire la matrice probabilità/impatto degli eventi;
d)
prevedere specifici controlli atti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire attraverso la matrice dei controlli, la matrice delle attività sensibili e strumentali ed eventuali. Suggerimenti di revisione organizzativa;
e)
individuare le modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati.
La preventiva mappatura delle aree/processi aziendali permette di individuare quelle aree della società soggette alla possibile commissione dei reati stabiliti dal decreto 231/01. La funzione inoltre controlla le procedure e i protocolli se risultano conformi alla prevenzione dei reati. Individuate le aree/processi in cui possono essere commessi eventuali reati prescritti dal decreto, la funzione tende a predisporre una matrice dei rischi. Tale matrice indica i processi, i reati che possono essere commessi e ne attribuisce il livello di rischio. Dopo aver definito i processi/aree maggiormente a rischio commissione reati 231, nella fase di risk assessment rientra l’attività di gap analysis. E’ un processo essenziale e come esprime il termine stesso, si tratta di individuare per ogni processo ritenuto sensibile i gap cioè la “distanza” o “carenza” tra la situazione aziendale attuale e l’insieme dei requisiti imposti dalla normativa nonché dagli standard e dalle best practice internazionali di riferimento. L’individuazione dei gap ha lo scopo di intensificare le azioni correttive, al fine di ottenere: -
identificazione dei presidi di controllo disponibili nella gestione delle attività sensibili;
-
valutazione dei presidi di controllo e identificazione dei gap esistenti rispetto al sistema di controllo di riferimento;
-
identificazione delle azioni di miglioramento.
76
Quanto al compito dell’OdV di curare l’aggiornamento del Modello, si traduce nelle seguenti attività: • monitorare l’evoluzione della normativa di riferimento; • predisporre misure idonee ai fini di mantenere aggiornata la mappatura delle aree a rischio, secondo le modalità e i principi seguiti nell’adozione del presente
Modello
e
individuati
anche
dai
Responsabili
di
Unità,
disciplinandone le modalità di comunicazione; • vigilare sull’adeguatezza e sull’aggiornamento dei protocolli rispetto alle esigenze di prevenzione dei reati e verificare che ogni parte che concorre a realizzare il Modello sia e resti rispondente e adeguata alle finalità del Modello come individuate dalla legge, a tal fine potendosi avvalere delle informazioni e della collaborazione da parte dei Responsabili delle Unita Operative; • valutare, nel caso di effettiva commissione di reati e di significative violazioni del Modello, l’opportunità di introdurre modifiche al Modello stesso; • proporre al Consiglio di Amministrazione le modifiche al Modello; • verificare l’effettività e la funzionalità delle modifiche del Modello adottate dal Consiglio di Amministrazione; • vigilare sulla congruità del sistema di procure e deleghe al fine di garantire la costante efficacia del Modello. L’OdV dovrà pertanto anche svolgere controlli incrociati per verificare l’effettiva corrispondenza tra le attività concretamente poste in essere dai rappresentanti della Società ed i poteri formalmente conferiti attraverso le procure in essere.
Supporto
nella
partecipazione
alle
riunioni
degli
OdV
come
segretario
organizzativo o come membro degli stessi Le attività degli Organismo di Vigilanza, soprattuto nel caso delle grandi aziende, sono molteplici e spesso richiedono una “tracciabilità” per poter dimostrare ai terzi che il monitoraggio è effettivo e non virtuale. Per questo motivo l’organizzazione 77
dei delle riunioni, delle verifiche, dei flussi informativi “da” e “verso” l’OdV può essere un compito non agevole. Consideriamo anche che, generlamente, una parte dei suoi componenti è esterna all’organizzazione aziendale e per tale motivo un referente “interno” può essere indispensabile. La funzione Internal Audit e più precisamente il suo responsabile possono pertanto svolgere il ruolo di segreteria tecnica dell’Organismo di Vigilanza. Come abbiamo più volte detto spesso il Responsabile Internal Audit è anche componente dell’OdV.
Supporta nella attività di monitoraggio (audit previsti nel piano o su richiesta “ad hoc”) L’Organismo di Vigilanza redige un documento descrittivo delle attività di vigilanza attraverso il quale pianifica, in linea di massima, le proprie attività prevedendo: un calendario degli interventi da svolgere nel corso dell’anno; • la determinazione delle cadenze temporali dei controlli; • l’individuazione dei criteri e delle procedure di analisi, la possibilità di effettuare verifiche e controlli non programmati.
Per la realizzazione del piano e lo svolgimento della propria attività, l’Organismo di Vigilanza si avvale della funzione Internal Audit. La funzione di internal audit fornisce un supporto operativo all’Organismo di vigilanza tramite la conduzione di audit di compliance 231, intesi come: • analisi del mantenimento nel tempo dell’effettività e adeguatezza dei contenuti del Modello; • verifica dell’effettiva osservanza dei protocolli di controllo previsti dal modello e monitoraggio sull’attuazione delle misure previste; 78
• verifica che le disposizioni aziendali recepiscano i protocolli di controllo.
I risultati delle attività di audit vengono comunicati attraverso un rapporto di audit circolarizzato a tutti i componenti dell’Organismo di Vigilanza. Il report indica le debolezze riscontrate e fornisce suggerimenti per implementare controlli più efficaci per la gestione dei rischi relativi. Il report può altresì segnalare le “non conformità” riscontrate.
Supporto nel coordinamento dei flussi informativi verso gli ODV da parte delle funzioni operative dell’organizzazione L’Odv nell’espletamento delle proprie funzioni necessita di efficaci flussi informativi da parte delle funzioni operative dell’organizzazione. La funzione internal auditing supporta operativamente l’OdV: • coordinando la raccolta di dati (ad esempio tramite una casella di posta elettronica dedicata) e dei flussi informativi provenienti dalle direzioni o business unit; • producendo specifici report di sintesi sui flussi informativi raccolti • riportandoli periodicamente all’organismo.
Tali flussi informativi possono quindi derivare: • da chiunque venga a conoscenza di potenziali violazione del Modello Organizzativo e del Codice Etico in particolare e riguardano anomalie ed infrazioni riscontrate; • oppure possono derivare dai risultati delle attività di controllo di linea, cioè poste in essere dalle varie funzioni dell’ente (ad esempio: report delle omaggi e delle donazioni effettuate in un certo periodo, repertorio degli affidamenti di incarichi e consulenze, elenco degli infortuni sul lavoro, 79
elenco delle visite effettuate da organi di controllo ambientale, lista dei pagamenti anticipati rispetto alla contabilizzazione delle relative fatture, ecc.).
Supporto nelle attività di training/formazione Il secondo comma dell’ art. 6 del Decreto, indica le caratteristiche essenziali che un modello di organizzazione gestione e controllo deve possedere per poter concorrere a divenire una delle condizioni per l’applicazione dell’”esimente”. Tra i requisiti richiesti Il decreto non istituisce direttamente, in capo all’ente, un obbligo di formazione verso i dipendenti e i dirigenti. La formazione è invece indicata da Confindustria nelle citate “linee Guida”36, come uno dei componenti (o protocolli) indispensabili per garantire l’efficace attuazione del Modello ed il suo buon funzionamento. Le linee guida di Confindustria distinguono in proposito tra comunicazione al personale e formazione:
Comunicazione La comunicazione “deve riguardare ovviamente il Codice Etico ma anche gli altri strumenti quali i poteri autorizzativi, le linee di dipendenza gerarchica, le procedure, i flussi di informazione e tutto quanto contribuisca a dare trasparenza nell’operare quotidiano”; inoltre “deve essere: capillare, efficace, autorevole (cioè emessa da un livello adeguato), chiara e dettagliata, periodicamente ripetuta”.
36
Confindustria, Area Strategica Fisco e Diritto d’Impresa, Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, approvate il 7 marzo 2002, aggiornate al 24 maggio 2004, pagina 13.
80
Formazione Le “linee Guida” richiedono che sia “sviluppato un adeguato programma di formazione rivolto al personale delle aree a rischio, appropriatamente tarato in funzione dei livelli dei destinatari, che illustri le ragioni di opportunità, oltre che giuridiche, che ispirano le regole e la loro portata concreta”37.
L’Organismo di Vigilanza ha quindi sostanzialmente anche il compito di verificare e promuovere le attività formative sul Modello Organizzativo, sul Codice etico e in generale in caso di aggiornamento della normativa. Anche in questo caso l’Organismo può richiedere il supporto della funzione all’internal audit sia per la verifica della estensione della copertura delle attività di training ai dipendenti della società sia per effettuare direttamente tale formazione nelle varie unità organizzative della società (in Italia e all’estero).
37
Come riportato nel sito http://www.complianceaziendale.com, sul tema della formazione è intervenuto poi il giudice per le indagini preliminari del Tribunale di Milano, giudice Secchi, con l’ordinanza 20 settembre 2004 - 9 novembre 2004. Il GIP ha ribadito che il compito della formazione (quale specifico protocollo costituente il Modello) “è quello di assicurare una adeguata conoscenza, comprensione ed applicazione del modello da parte dei dipendenti e dei dirigenti”. A tal fine, la formazione deve essere differenziata “a seconda che la stessa si rivolga ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza ed ai preposti al controllo interno”; il Modello deve inoltre prevedere “il contenuto dei corsi, la loro frequenza, l’obbligatorietà della partecipazione ai programmi di formazione” e opportuni “controlli di frequenza e di qualità sul contenuto dei programmi di formazione”.
81
CAPITOLO QUINTO
Una rilevazione sulle attività di monitoraggio del Modello Organizzativo ex. D.Lgs. 231/2001 in quattro aziende multinazionali
5.1
Le principali fasi della survey e la metodologia applicata L’implementazione e il monitoraggio del Modello Organizzativo ex D.Lgs.
231/2001 sono attività molto elaborate che hanno avuto e hanno un grande impatto per le aziende che le pongono in essere dal punto di vista delle risorse impiegate (uffici che si occupano di compliance, funzione legale, internal audit, ecc.), dei processi da implementare (es. nuove procedure aziendali), delle tecnologie da sviluppare (es. software per la gestione dei protocolli di controllo o delle procure). Tali “problematiche gestionali”, che sono una conseguenza della scelta di adottare il Modello Organizzativo e della necessità di dimostrare che lo stesso è adeguato e funzionante, diventano molto più complesse nelle aziende multinazionali: sia per i costi associati alle relative attività che travalicano i confini nazionali per adattarsi ai contesti internazionali; sia perché la normativa 231 si “confronta” con leggi “locali" che possono disciplinare alcuni processi collegati agli stessi reati che rientrano nell’ambito di applicazione del Decreto (ponendo obblighi che sono in contrasto con quelli previsti dalla normativa italiana). I maggiori costi possono riguardare le spese di trasferta che specifiche attività di verifica “in loco” possono comportare o, ad esempio, le spese per la traduzione dei
82
Modelli e del Codice Etico nella lingua del paese dove la multinazionale ha una sede operativa. I confronti e l’accertamento degli ambiti di applicazione delle normative estere possono invece essere ben compresi alla luce di quanto detto nel paragrafo tre dal titolo “Normative che seguono le linee del D.lgs. 231 in ambito estero” del capitolo primo, quando abbiamo offerto alcuni esempi di normative similari alla 231 “italiana”. Ricordiamo a tal fine che il D.lgs. 231/2001 è applicabile alle società controllate e/o collegate estere con capogruppo italiana. Per avere un riscontro oggettivo e pratico circa le modalità organizzative e operative
effettivamente
implementate
dalle
aziende
multinazionali
nel
monitoraggio del Modello Organizzativo ex. 231/2001 abbiamo effettuato una “survey” su quattro importanti realtà aziendali che rientravano nel target scelto per questa tesi: multinazionali quotate in Italia o con la capogruppo avente la sede principale in Italia e quindi soggette alla normativa 231. Le aziende coinvolte sono state: a) Atlantia S.p.A; b) Indesit Company S.p.A.; c) Luxottica S.p.A.; d) Salini S.p.A.
Prima di introdurre brevemente le quattro Società, riportiamo schematicamente le principali fasi della “survey”38:
38
Nel corso della survey si è anche beneficiato della partecipazione al convegno tenuto a Milano nel mese di novembre 2012 organizzato dalla Società di consulenza KPMG per la presentazione di un position paper prodotto in collaborazione con l’Associazione Italiana di Internal Audit dal titolo: “La Compliance al D.Lgs. 231/2001 nei Grandi Gruppi”.
83
5.2
Aziende multinazionali che hanno partecipato alla survey
Atlantia S.p.A. Quotata in Borsa, con una capitalizzazione di 8 miliardi di euro, Atlantia è una delle principali società italiane con un fatturato 2011 di 3.976 milioni di euro, un Ebitda di 2.385 milioni di euro e un cash flow di 1.692 milioni di euro. Autostrade per l’Italia, la principale società del Gruppo, si posiziona ai primi posti in Europa tra i concessionari di costruzione e gestione di autostrade a pedaggio e dei servizi connessi alla mobilità grazie al Telepass e all’introduzione dei Tutor. Il Gruppo è leader nella progettazione e nell’ampliamento di infrastrutture autostradali, sicurezza e tecnologie di risparmio energetico. Nel 2012 per la quarta volta consecutiva Atlantia è stata selezionata all'interno del Dow Jones Sustainability World Index e del Dow Jones Sustainability Europe Index, ossia degli indici che includono le migliori imprese al mondo secondo criteri ambientali, sociali e di governance39. L’attività di sviluppo internazionale di Autostrade per l'Italia si basa sulle competenze del Gruppo nella gestione della rete e nel settore del tele-pedaggio
39
Le informazioni sono tratte dal sito istituzionale www.atlantia.com.
84
elettronico (con la società Telepass), nel quale è leader europeo con circa 4,4 milioni di clienti, equivalenti al 60% della quota di mercato continentale. Negli ultimi anni, il Gruppo Autostrade ha rafforzato la propria presenza mondiale, ed è attualmente leader in alcuni paesi a maggior potenziale di sviluppo: 442 km di rete autostradale a pedaggio in Brasile, 110 km in India, 313 km in Cile e 61 km di rete in Polonia. Oltre alla realizzazione e alla gestione di autostrade a pagamento nel 1995 negli Stati Uniti e nel 2003 in UK , il Gruppo ha progettato, realizzato e reso operativo, ad inizio 2004, il sistema di tele pedaggio dinamico Free-Flow per i mezzi pesanti in Austria. Nel 2011 in Francia, Autostrade per l'Italia è stata scelta per implementare e gestire un sistema di pedaggiamento satellitare per mezzi pesanti su 15.000 km della rete stradale statale. Il Gruppo Autostrade basa la propria leadership di settore su un brand di successo affermatosi anche grazie alla creazione di asset di valore replicabili quali: •
asset di tipo tecnologico e loro integrazione a sistema;
•
capacità / know-how manageriali e di gestione.
Autostrade si pone quindi come primario operatore nello sviluppo di iniziative nel settore della mobilità, rilevanti non solo in Italia ma anche sui mercati esteri facendo leva su questi asset. In questo senso le prospettive di sviluppo estero del Gruppo si incentrano su alcune tipologie di iniziative, in particolare: •
tolling: programmazione, realizzazione e gestione, su larga scala, di sistemi a pedaggio sia tradizionali (pedaggio diretto) sia evoluti (sistemi aperti di tipo free-flow);
•
acquisizioni / privatizzazioni: partecipazione a gare per la privatizzazione di concessionarie statali o tratte autostradali già aperte al traffico, acquisizione di quote di controllo in aziende operanti nel settore delle autostrade a pedaggio (e.g. Stalexport in Polonia); 85
•
project finance: partecipazione a gare finalizzate ad assegnare la concessione per la costruzione e la gestione di infrastrutture a pedaggio (greenfield) oppure per l'upgrade e la gestione di infrastrutture già esistenti (brownfield).
Indesit Company S.p.A. Indesit Company, in sintesi, è tra i leader in Europa nella produzione e commercializzazione
di
grandi
elettrodomestici
(lavabiancheria,
asciugabiancheria, lavastoviglie, frigoriferi, congelatori, cucine, cappe, forni e piani di cottura). E’ leader assoluta in importanti mercati come l’Italia, il Regno Unito e la Russia. Il fatturato dell’Azienda, fondata nel 1975 e quotata dal 1987 alla Borsa di Milano, nel 2011 è stato di 2,8 miliardi di euro. Indesit Company ha 8 poli industriali (Italia, Polonia, Regno Unito, Russia e Turchia) e occupa 16.000 persone. Indesit, Hotpoint e Scholtès sono i principali marchi del Gruppo.
In maggior dettaglio la diffusione di Indesit Company nel mondo è la seguente40: Italia Indesit Company affonda le sue radici a Fabriano, nelle Marche, dove ci sono la sede centrale (headquarter), il centro innovazione e alcuni stabilimenti. L'internazionalizzazione e l'unificazione dei mercati europei non hanno fatto smarrire l'identità italiana di Indesit Company che ha conservato nel tempo gli stessi valori che l'hanno portata al secondo posto tra i produttori europei di elettrodomestici: innovazione, rispetto per l'ambiente, ambizione per la leadership, attenzione verso gli stakeholder, semplicità e genuinità. Sono questi i punti di forza che le hanno permesso di replicare con successo all'estero il proprio modello di distretto industriale. In Italia la Società è presente con cinque siti produttivi nelle Marche e in Campania che servono il mercato locale ed europeo. 40
Le informazioni sono tratte dal sito istituzionale www.indesitcompany.com.
86
Regno Unito e Irlanda Con il brand Hotpoint, Indesit Company è leader di mercato nel Regno Unito. Il Gruppo conferma la sua leadership anche nelle attività di assistenza ai clienti grazie alla capillare rete di Centri di Assistenza Tecnica. L’assistenza è gestito da un’unica sede, a Peterborough, che comprende un Contact Centre, un magazzino ricambi e un team altamente specializzato che garantisce un’assistenza postvendita a una piattaforma di oltre 24 milioni di prodotti. Nel corso degli ultimi anni Indesit Company ha ottenuto importanti riconoscimenti che hanno permesso di consolidare ulteriormente la sua posizione: in particolare nel 2008 in occasione dei Motor Transport Awards ha ricevuto due importanti riconoscimenti per la propria struttura logistica nelle categorie “Customer Care” e “Network of the Year”.
Europa occidentale L’Europa occidentale è un’area commerciale molto vasta con mercati maturi e altamente competitivi. Indesit Company negli anni ha saputo perseguire una politica mirata al mantenimento della solidità finanziaria e, grazie a una forte rete commerciale consolidata nel tempo (24 le sedi commerciali nel mondo), ha continuato a potenziare e consolidare la propria posizione puntando sulla vicinanza a mercati rilevanti come la Francia e la Spagna. L’approccio del Gruppo a questi mercati si basa principalmente su alcune leve: forte innovazione tecnologica, prodotti sempre più evoluti e vicini alle esigenze dei consumatori, rinnovamento del posizionamento dei tre marchi principali, forte impegno sulla qualità.
87
Europa orientale Indesit Company ha creduto fortemente nello sviluppo dei Paesi dell’Europa centro orientale che hanno registrato negli anni un notevole trend di crescita complessiva grazie anche agli investimenti esteri. Oggi infatti può vantare una posizione di leadership in Romania, Bulgaria, Ucraina e anche una significativa presenza industriale in Polonia e in Turchia. In particolare, il Gruppo ha concentrato la produzione di frigoriferi e cucine nella Special Economic Zone di Lódz. Nel 2008 sono stati aperti due nuovi stabilimenti a Radomsko che completano la gamma specializzandosi nella produzione di elettrodomestici per il lavaggio, dando vita al più importante polo industriale del Paese nel settore. I forti ritmi di crescita, i competitivi costi di produzione e l’ottima posizione geografica, hanno reso anche la Turchia un Paese attraente dal punto di vista industriale: Indesit Company è infatti presente dal 1994 nell'area industriale di Manisa, a 40 km da Smirne, con uno stabilimento dedicato alla produzione di frigoriferi, modelli top di gamma, e un polo logistico.
Russia Indesit Company è presente in Russia e nella CSI dal 1974 ed è stata una delle prime aziende europee a investire sullo sviluppo economico del Paese. Oggi il Gruppo conta 10 uffici commerciali e oltre 300 centri servizi e assistenza in 150 città del Paese. La produzione, realizzata secondo il know-how e la tecnologia fornite dall’headquarter di Fabriano, si concentra in una regione dal forte sviluppo industriale, Lipetzk, a 400 chilometri a sud di Mosca. Il distretto industriale di Lipetzk include due stabilimenti, uno per la produzione di frigoriferi, l’altro per le lavabiancheria, e dal 2005 si è aggiunto il primo polo logistico per gli elettrodomestici nella Federazione Russa, il più grande del settore in Europa che 88
ha consentito a Indesit Company di migliorare ulteriormente il livello di servizio per i clienti e la possibilità per il mercato locale di avere subito disponibile l’intera gamma dei prodotti.
Overseas Al di fuori del territorio europeo Indesit Company opera nelle aree del Middle East, Far East, South & North America, Africa & Israel con tre sedi commerciali a Dubai, Singapore e Buenos Aires.
Luxottica S.p.A. Fondata nel 1961 da Leonardo Del Vecchio, è da sempre impegnata nella protezione degli occhi. Luxottica Group è oggi una grande realtà verticalmente integrata operante nel settore della produzione e distribuzione di montature da vista e da sole, di elevata qualità tecnica e stilistica. L’attenzione costante al processo di ricerca e sviluppo, l’innovazione tecnologica, l’adeguamento alle evoluzioni del mercato, nel rispetto delle persone e dell’ambiente, hanno condotto Luxottica ad un’espansione su scala mondiale41. Il Gruppo risulta essere leader mondiale nel settore, con un fatturato netto pari a 6,2 miliardi di Euro nel 2011, oltre 65.000 dipendenti e una solida presenza globale, Luxottica è leader nel design, produzione, distribuzione e vendita di occhiali di fascia alta, di lusso e sportivi. Il Gruppo Luxottica, al 31 dicembre 2011, è presente in Europa, America, Australia e Nuova Zelanda, Cina, Sud Africa e Medio Oriente con 162 società. L’attività è particolarmente rilevante per dimensioni di fatturato e di personale in Europa, in Nord America, in Australia e in Cina. 41
Informazioni tratte dal sito istituzionale www.luxottica.com.
89
Luxottica Group S.p.A. è quotata dal 1990 al New York Stock Exchange e dal 2000 è quotata sul Mercato Telematico Azionario organizzato e gestito da Borsa Italiana. Luxottica ha sei stabilimenti in Italia, due impianti in Cina e uno in America. Gli stabilimenti cinesi realizzano soprattutto le produzioni che necessitano di una maggiore intensità di manodopera, mentre è concentrata negli stabilimenti italiani la produzione a cui il "made in Italy" conferisce un altissimo valore aggiunto. Ciò che contraddistingue il made in Italy di Luxottica è prima di tutto la “cultura della qualità”, come valore aziendale supremo e distintivo, che dai tempi della fondazione fino ai nostri giorni accomuna chiunque faccia parte dell’azienda, compenetrato com’è negli uffici e nei reparti di produzione. Complessivamente, Luxottica produce negli stabilimenti italiani circa 30 milioni di pezzi all’anno, pari a circa il 65% della sua produzione mondiale complessiva. Nella struttura produttiva di Foothill Ranch, in California, si produce e assembla la maggior parte degli occhiali a marchio Oakley mentre a Dayton, in Nevada, un secondo polo produttivo Oakley è dedicato alla realizzazione delle montature degli occhiali X Metal, infine in India, uno stabilimento di piccole dimensioni serve il mercato locale.
Salini S.p.A. Il Gruppo Salini è il terzo “General Contractor” italiano, specializzato nelle costruzioni di grandi opere. Nel 2011 ha raggiunto un fatturato pari a 1,4 miliardi di euro ed un portafoglio lavori di circa 10 miliardi. Nel mondo, con circa 18.500 addetti, è fra i primissimi player delle costruzioni idroelettriche. Al Gruppo fanno capo 32 imprese controllate nei vari Paesi in cui opera e nei settori chiave per il core business, insieme ad altre 20 partecipazioni strategiche in Italia e all’estero42.
42
Informazioni tratte dal sito istituzionale www.salini.it.
90
Ricerca, sviluppo e innovazione tecnologica rappresentano da sempre per il Gruppo Salini attività essenziali per il successo nella realizzazione di grandi opere. Se il Gruppo Salini è oggi tra i più evoluti sul piano delle tecnologie impiegate, delle modalità di gestione dei progetti e dei cantieri, delle misure di sicurezza adottate, è grazie al continuo e crescente impegno di risorse economiche e umane investite nella ricerca e nello sviluppo. In stretta collaborazione con autorevoli professionisti e società di ingegneria di livello internazionale, il Gruppo ha sviluppato tecniche e soluzioni altamente innovative con cui affrontare temi progettuali di qualsiasi natura, dimensione e complessità. Questo approccio è uno dei punti di forza che rendono il Gruppo competitivo in tutto il mondo, anche nelle condizioni d’intervento più impegnative. Il Gruppo Salini ha saputo cogliere in anticipo i segnali del cambiamento del mercato orientandosi verso i segmenti del business a maggior valore aggiunto, consolidando il proprio posizionamento sui mercati nei quali è riuscito a costruire un solido vantaggio competitivo nel corso degli ultimi decenni.
Presenza del Gruppo Salini nel mondo 91
Come Gruppo si è affermato in Africa, Asia e Italia; è riuscito inoltre ad allargare il proprio raggio di azione in nuovi Paesi quali la Danimarca e l’America Latina portando le competenze maturate nella realizzazione di opere complesse come la realizzazione di una nuova rete metropolitana nella città di Copenhagen e istituendo una nuova struttura commerciale in America Latina allo scopo di esplorare e cogliere opportunità di nuovi progetti coerentemente con l‟obiettivo di affermarsi come leader di competenza e know-how nel settore delle costruzioni su scala mondiale”.
5.3
L’ERM quale best practice internazionale utilizzata per la predisposizione dei questionari
Il “COSO - ERM, Integrated Framework” del 2004 è la best practice internazionale che abbiamo preso come punto di riferimento per l’organizzazione della check list utilizzata per raccogliere le informazioni sulle modalità operative attraverso le quali il monitoraggio del Modello Organizzativo 231 viene effettuato. In effetti abbiamo già anticipato nel capitolo due di questo lavoro, come l’implementazione stessa del Modello Organizzativo 231 rappresenta la sintesi di un processo di valutazione obiettivi-rischi-controlli che può essere ricollegato al più importante modello internazionale per la valutazione del sistema di controllo interno, noto come ERM (Enterprise Risk Management Model) implementato dalla Committee of the Sponsoring Organizations of the Treadway Commission americana. Si evidenzia che l’ERM è la versione più recente del modello CoSO Report emesso dallo stesso comitato nel 1992 e che, come il suo “predecessore”, è stato adottato, dalle legislazioni nazionali, come modello per le regolamentazioni riguardanti il sistema di controllo delle imprese. Il “CoSO ERM, Integrated Framework” definisce le componenti essenziali del sistema di controllo interno, suggerendo un linguaggio comune e indicazioni chiare 92
per l’implementazione di un progetto di enterprise risk management. L’ERM, racchiude la gestione del rischio, la governance aziendale e il controllo interno.
Le componenti dell’ERM riguardano quindi: 1. l’ambiente interno; 2. la definizione degli obiettivi; 3. l’identificazione degli eventi (i rischi che possono compromettere il raggiungimento degli obiettivi); 4. la valutazione dei rischi; 5. la risposta al rischio; 6. Ie attività di controllo; 7. l’informazione e la comunicazione; 8. il monitoraggio.
Alle Società target è stato pertanto sottoposto un questionario contenente complessivamente 18 domande a risposta “aperta”: due domande per ogni elemento del Modello ERM (con l’eccezione delle quattro domande poste, vista la sua importanza, per l’ambiente di controllo). 93
Riportiamo di seguito le slides con le domande oggetto della survey:
94
95
96
97
98
Prima di passare all’analisi dei risultati si evidenzia che la survey, nel caso delle società Indesit Company e Luxottica ha incluso anche un’intervista presso le rispettive sedi di Milano, nell’ambito di un incontro in cui i referenti delle funzioni di Internal Audit responsabili delle attività di compliance audit, finalizzate al monitoraggio del Modello Organizzativo 231, si sono resi disponibili per rispondere alle relative domande. Nel caso delle società Atlantia e Salini, tale attività è stata svolta tramite un’intervista telefonica. Tutte le attività sono state svolte e completate nel mese di novembre 2012. L’analisi svolta è stata anche completata con la partecipazione, sempre a Milano nel mese di novembre 2012, di un workshop organizzato presso la sede di KPMG Advisory S.p.A. dalla società di consulenza e dall’Associazione Italiana Internal 99
Auditors per discutere di “La compliance al D.Lgs.231/01 nei Grandi Gruppi” e di “Tutela penale dell’ambiente e D.Lgs. 231/01”.
5.4
L’analisi dei risultati
Ambiente di controllo Composizione degli OdV Da una prima analisi dell’ambiente di controllo interno è emerso che nella maggior parte dei casi le società capogruppo italiane appartenenti ai Gruppi multinazionali coinvolti hanno nominato un Organismo di Vigilanza pluri-soggettivo, composto generalmente per le capogruppo da due membri interni e da due esterni indipendenti (in caso di pareggio in una votazione prevale comunque il presidente dell’OdV che è un “esterno”) oppure da tre membri di cui due esterni; il responsabile internal audit è generalmente membro dell’Organismo. Dai risultati della survey è emerso che anche i Sindaci o i componenti del Consiglio di Amministrazione possono essere componenti dell’OdV.
Nelle altre società di diritto italiano controllate e/o collegate, la funzione di Organismo di Vigilanza è svolta da un organo monocratico o collegiale in base alle dimensioni strutturali delle società e al profilo di rischio (nella maggioranza dei casi esaminati gli OdV monocratici sono svolti da risorse dell’Internal Audit). Con riferimento alle società estere del Gruppo sono stati rilevati diiferenti modus operandi. Nella maggior parte dei casi non è stato nominato alcun Organismo locale e la funzione di vigilanza è svolta dall’OdV di Gruppo che ha come referenti il consiglio di amministrazione delle controllata o il suo Amministratore Delegato.
100
Modelli Organizzativi I Modelli Organizzativi adottati dalle Società coinvolte sono elaborati secondo le Linee Guida Confindustria. Le società italiane del Gruppo si sono in generale dotate di propri modelli organizzativi sulla base dei propri rischi reato; dall’indagine effettuata è emerso che una soltanto di loro ha adottato uno specifico Modello Organizzativo per ogni diversa controllata estera. Gli altri Gruppi hanno adottato per le società estere il Modello Organizzativo e/o il Codice Etico che sono espressione del modello della Capogruppo (spesso all’estero il Modello è una versione semplificata di quello della capogruppo).
Diffusione del Modello Organizzativo e del Codice Etico Il Modello Organizzativo approvato dal Consiglio di Amministrazione, viene diffuso attraverso i canali che la società mette a disposizione quali: la intranet aziendale, opuscoli informativi e l’utilizzo della bacheca aziendale. Il Modello e/o il Codice Etico sono documenti tradotti in inglese e nelle lingue dei principali paesi dove le società controllate estere operano (francese, polacco, spagnolo, cinese, russo, ecc.). Il Codice Etico viene generalmente consegnato “brevi manu” ai dipendenti e tale consegna risulta tracciata in modo formale (ad esempio il Codice Etico viene consegnato insieme alla busta paga oppure al momento della stipula del contratto di assunzione).
Definizione degli obiettivi Descrizione di ruoli e responsabilità 231 Per i Gruppi analizzati i ruoli e le responsabilità dei vari attori del processo di monitoraggio del Modello Organizzativo ex D.Lgs. 231/2001, vengono riportati: •
nel modello stesso;
•
nella Relazione sulla Corporate Governance; 101
•
nelle disposizioni organizzative
•
nelle procedure specifiche che sono allegate al Modello;
•
nel regolamento dell’OdV
•
nel mandato dell’OdV all’Internal Audit.
L’organigramma aziendale e le job description (ossia la descrizione generale delle mansioni assegnate) prevedono l’esistenza, nella direzione Internal Audit, di un ufficio specifico con compito di vigilanza 231 e quindi anche di monitoraggio del Modello 231 (con responsabilità sia in Italia che all’estero).
Condivisione del piano di monitoraggio 231 E generalmente l’Internal Audit che supporta l’Organismo di Vigilanza nel monitoraggio del funzionamento del Modello Organizzativo sia a livello nazionale che internazionale. La condivisione del piano di monitoraggio e dei risultati delle verifiche
con
i
principali
organi
della
governance
(es.
Consiglio
di
Amministrazione, Collegio Sindacale, Organismo di Vigilanza, ecc.) avviene attraverso l’approvazione del piano audit comprendente interventi specifici 231, il reporting periodico dei risultati delle verifiche svolte e la partecipazione a meeting periodici (generalmente trimestrali, specie con gli OdV).
Identificazione degli eventi Chi monitora l’introduzione di nuovi reati Il contenuto del Modello Organizzativo può essere soggetto ad adeguamenti in riferimento all’introduzione di nuove normative nazionali ed internazionali. Nei Gruppi analizzati il monitoraggio delle normative viene effettuato dalla funzione Internal Audit, dall’unità Risk Management e dall’ufficio legale. 102
Strumenti utilizzati per monitorare i nuovi reati Per monitorare eventuali aggiornamenti delle normative sono a disposizione delle società diversi canali informativi ma tutte fanno ricorso ad abbonamenti a riviste specializzate, consulenti esterni, siti internet dedicati (ad esempio quello delle varie associazioni nazionali di internal auditors), newsletter. Ovviamente la competenza e la preparazione professionale dei componenti degli OdV supportano tale attività di aggiornamento.
Valutazione del Rischio Chi valuta i rischi 231 Le attività finalizzate alla valutazione dei rischi nel caso di mappatura “iniziale” 231 e nel caso di introduzione di nuovi reato vengono generalmente svolte dalla funzione Internal Audit su input dell’Organismo di Vigilanza (su tutto il Gruppo); in alcuni casi tale attività è stata anche svolta dal risk management. La valutazione viene
completata,
anche
con
il
necessario
supporto
dell’ufficio
legale,
coinvolgendo tutti i process owner delle funzioni aziendali che potrebbero essere coinvolte nelle attività a rischio reato.
Valutazione del rischio nelle attività di monitoraggio 231 Dalle risposte ottenute è emerso che il piano annuale delle attività di audit include anche attività di verifica che hanno rilevanza 231 (svolte sia in Italia che all’estero). In questi casi, la valutazione del rischio, in termini di rischio inerente (prima dei controlli) e di quello residuo (post controlli), viene riportata nel rapporto finale di audit che viene comunicato anche all’OdV o inserito in una periodica comunicazione allo stesso organismo. Ovviamente destinatario delle periodiche informative sui risultati di questa valutazione è anche il Collegio Sindacale.
103
Risposta al rischio Comunicazione procedure di impatto 231 agli OdV Le procedure aziendali sono tra i principali strumenti di controllo per fronteggiare i potenziali rischi 231. Dalle risposte ottenute nel corso della survey sono emerse differenti modalità di comunicazione delle nuove procedure “con impatto 231” agli OdV: • approvazione prima dell’emissione: esistenza di una procedura zero “0” (definita come procedura delle procedure) e procedure 231 che vengono sottoposte,
prima
della
loro
emissione,
anche
all’approvazione
dell’Organismo di Vigilanza (attraverso un processo di validazione); • attraverso la direzione Internal Audit che relaziona continuamente con l’OdV; • negli OdV a composizione mista, tramite i componenti interni (Responsabile Internal Audit, Resp. Risk Management) che avvisano i componenti esterni degli aggiornamenti procedurali; • nel caso di OdV composti da risorse interne al Gruppo gli strumenti utilizzati sono la posta elettronica e la intranet aziendale; • reporting all’OdV attraverso i referenti chiave dei processi sensibili. A seguito dell’introduzione di un nuovo rischio reato, l’Organismo di Vigilanza valuta la coerenza delle procedure aziendali con i nuovi protocolli di controllo, riportati nel Modello Organizzativo, valutando e analizzando i risultati del risk assessment o attraverso approfondimenti richiesti alla funzione Internal Audit.
Attività di controllo Chi verifica il disegno e il funzionamento dei protocolli di controllo In tutte le società analizzate emerge che le attività di controllo sulla verifica della coerenza dei protocolli di controllo vengono svolte, sia in Italia che all’estero, dalla 104
funzione internal audit nello svolgimento delle attività di audit e con l’ausilio delle varie funzioni aziendali in special modo dell’ufficio legale.
Modifiche organizzative che possono incidere sui protocolli di controllo Le modifiche organizzative del Gruppo che possono incidere sui protocolli di controllo (es. sistema di deleghe e procure), sono portate a conoscenza degli OdV dei Gruppi attraverso riunioni periodiche in cui l’Organismo viene aggiornato. Se all’interno delle società dei Gruppi esistono OdV misti, sono i componenti interni dell’Organo che avvisano quelli esterni; nel caso degli Organismo di Vigilanza composti dai soli membri interni (ad es, negli OdV monocratici costituti dalle risorse dell’Internal Audit) vengono utilizzate la posta elettronica e la intranet aziendale.
Informazione e comunicazione Formazione ai dipendenti e ai collaboratori Tutti i Gruppi coinvolti nella survey, al fine di rendere noti i contenuti della normativa 231 e di scongiurare l’insorgere di possibili reati prevedono una estesa attività di formazione sul decreto a tutti i dipendenti. La formazione avviene in primis al momento dell’assunzione dove generalmente si fornisce ai neoassunti un kit informativo o “welcome kit” che include il Modello Organizzativo ed il Codice Etico. La formazione avviene inoltre attraverso piattaforme e-learning (sia subito dopo l’assunzione sia in caso di introduzione di nuovi reati) e per alcune figure del top management della società attraverso lezioni in aula (con rilevazione delle presenze). Lo svolgimento di tale attività di formazione e l’estensione della stessa attività a tutti i dipendenti italiani ed esteri (ovviamente soprattutto ai soggetti 105
apicali e a quelli soggetti alla direzione o alla vigilanza dei soggetti apicali) è oggetto di specifiche attività di verifica effettuate dall’Internal Audit.
Informazione e comunicazione di aggiornamenti del Modello 231 A seguito di un eventuale aggiornamento del Modello conseguente all’introduzione di un nuovo rischio reato e di eventuali modifiche organizzative, l’attività di training viene effettuata attraverso la intranet aziendale, le bacheche e tramite attività di formazione specifica. Per eventuali comunicazioni ai dipendenti più operativi che potrebbero non avere accesso alla intranet aziendale (che permette tramite il “login” di tracciare l’avvenuta attività di formazione) può essere effettuata una comunicazione specifica allegata alla busta paga.
Monitoraggio Chi supporto agli ODV nelle attività di monitoraggio L’attività di monitoraggio del Modello Organizzativo svolta sia in Italia che all’estero svolta dall’OdV viene supportata nella maggior parte dei casi dalla funzione Internal Audit. Quest’ultima può essere anche coadiuvata dall’ufficio legale, dai process owner e da un efficace scambio di informazioni con gli responsabili della linea (management).
Strumenti per supportare il monitoraggio e per segnalare potenziali violazioni del Modello Organizzativo 231 e/o del Codice Etico nelle aziende multinazionali I principali strumenti utilizzati nelle aziende multinazionali coinvolte consistono, in generale: • in flussi informativi richiesti e comunicati all’Organismo di Vigilanza; • presenza di referenti locali dell’OdV presso le consociate estere; 106
• caselle di posta elettronica dove è possibile inviare segnalazioni anonime (l’esistenza di queste caselle è spesso anche in evidenza nei siti istituzionali delle capogruppo); • riunioni periodiche che coinvolgono il management delle consociate estere.
Sintesi Dalle risposte ottenute nella survey si può concludere che nelle aziende multinazionali coinvolte molteplici sono le risorse aziendali (sia umane che finanziarie) dedicate alle attività di monitoraggio del Modello Organizzativo 231. Nell’ambito di questa attività un ruolo centrale di supporto all’Organismo di Vigilanza è svolto dalla funzione Internal Audit. Differenti sono state le risposte circa la composizione degli Organismi di Vigilanza (monocratico, pluri soggettivo, membri interni ed esterni, ecc.) e le modalità di implementazione dei Modelli Organizzativi (un unico modello per tutto il Gruppo, un modello di sintesi per l’estero, tanti modelli in base alle differenti società, ecc.) Nelle società analizzate vengono effettuate costanti azioni di monitoraggio sul Modello organizzativo che sono estese anche alle consociate estere (anche se ovviamente con un ambito più circoscritto; del resto la 231 è una normativa italiana).
Il continuo monitoraggio del Modello Organizzativo 231, la diffusione dei contenuti dello stesso, il suo aggiornamento in caso di cambiamenti organizzativi e di processo sono oggetto delle verifiche poste in essere dagli Organismi di Vigilanza opportunamente supportati. L’attività di formazione e comunicazione ai dipendenti delle Società è molto curata sia in fase di assunzione che successivamente all’introduzione di nuovi reati. Lo strumento più utilizzato a tal fine è la modalità e-learning (piattaforma informatica). 107
CONCLUSIONI
L’implementazione iniziale e il monitoraggio continuo del Modello Organizzativo ex. D.Lgs. 231 hanno rappresentato e rappresentano un impegno rilevante per le società multinazionali. Un impegno però necessario se si vuole beneficiare della condizione “esimente” in caso di commissione di uno dei reati previsti dal Decreto da parte dei soggetti apicali dell’organizzazione e/o dei soggetti sottoposti alla loro direzione o vigilanza. In realtà l’introduzione della normativa 231 non ha soltanto “complicato” la vita delle società che hanno adottato il relativo Modello Organizzativo ma ha avuto anche il merito di aver posto particolare attenzione, forse per la prima volta nel panorama italiano in modo così netto, alla diffusione nelle aziende della cultura del rispetto dei principi etici, con la definizione di sistemi di controllo che da una parte assicurano la conformità alla normativa e dall’altra il perseguimento degli obiettivi aziendali. Di tutto questo le aziende hanno beneficiato con notevoli impatti positivi anche sulla loro immagine (concetto molto importante soprattutto per le aziende multinazionali). Le “complicazioni” che le aziende devono gestire per adeguarsi ai contenuti del Decreto sono correlate sia agli elevati costi di gestione dei modelli, nella fase iniziale di implementazione e nella gestione ordinaria degli stessi, sia all’adeguamento continuo delle procedure aziendali, nonché alla definizione di ruoli e responsabilità con l’obiettivo di definire un sistema informativo e di coordinamento, tra le unità organizzative, senza sovrapposizioni di ruoli e il sostenimento di costi aggiuntivi. Le problematiche gestionali “addizionali” che le aziende con un’organizzazione multinazionale devono affrontare rispetto a quelle che hanno il loro centro d’interesse prevalentemente in Italia, consistono principalmente nella necessità di valutare gli impatti della normativa italiana con quella locale dei paesi dove la 108
società svolge le sue attività (si pensi all’impatto derivante dall’introduzione di un nuovo reato come quello “ambientale”) e di implementare un efficace ed efficiente monitoraggio del Modello con i vincoli dettati dalle differenze linguistiche e dalla complessità organizzativa (si pensi alla “strutturazione” dei flussi informativi verso gli Organismi di Vigilanza). L’indagine
conoscitiva
effettuata
coinvolgendo
quattro
società
italiane
multinazionali mediante l’ausilio di un questionario da noi predisposto, ha fatto emergere differenze ed analogie nelle modalità operative poste in essere per le attività di monitoraggio del Modello Organizzativo ex D.Lgs. 231/2001. La prima e più evidente analogia è che in tutte le Società coinvolte nella “survey”, la funzione Internal Audit supporta l’attività degli Organismi di Vigilanza nel monitoraggio del funzionamento del Modello Organizzativo sia in Italia che all’estero. Le caratteristiche professionali dell’internal auditor e il ruolo di “controllore indipendente”, che anche il Codice di Autodisciplina gli attribuisce nel più generale sistema dei controlli aziendali, rendono gli stessi i “naturali” referenti degli OdV. L’identificazione annuale delle attività di audit in ambito 231 viene generalmente condivisa con l’Organismo di Vigilanza al quale si riportano altresì i risultati emersi. In riferimento ai Modelli Organizzativi adottati dalle multinazionali coinvolte, possiamo dire che tutti sono ovviamente ispirati alle Linee Guida Confindustria e tradotti (insieme al Codice Etico aziendale) nelle principali lingue dei Paesi dove le Società operano. Non tutte le aziende hanno comunque seguito modalità omogenee nella diffusione dei Modelli stessi. In alcuni casi esiste un unico Modello Organizzativo, quello della Capogruppo, e tanti codici di comportamento per le società estere che sono espressione di quello principale; in altri casi possono coesistere differenti Modelli, in relazione alle differenti Società appartenenti ai Gruppi, oppure possono essere previsti dei cosiddetti “Compliance Program” solo per le società estere (versioni semplificate del Modello Organizzativo). Gli Organismi di Vigilanza, che sono i soggetti responsabili dell’adeguatezza e del funzionamento del Modello Organizzativo 231, in tutte le aziende analizzate, 109
ricevono flussi informativi strutturati e periodici dai manager di linea, propedeutici alla loro attività di vigilanza, e incontrano periodicamente gli stessi per ottenere tutte le informazioni sull’organizzazione. La composizione degli stessi può però variare sia in termini di numero di membri (pluri soggettiva o monocratica) che per la presenza o meno di componenti “esterni” all’organizzazione (es. sindaci, consulenti legali, ecc.). Nelle società estere dei Gruppi non sempre sono nominati gli Organismi di Vigilanza; in tali casi la vigilanza viene effettuata dall’OdV della Capogruppo con il supporto di referenti locali. Altre informazioni desumibili dalla risposte ottenute nel corso della “survey” riguardano la presenza di numerosi soggetti interni ed esterni all’organizzazione nelle attività finalizzate al monitoraggio dei Modelli Organizzativi con il conseguente rischio di sovrapposizioni (es. odv, internal audit, collegio sindacale, consiglio di amministrazione, funzione legale, management, ufficio compliance, risk management, consulenti, ecc.) e con la conseguente necessità del loro coordinamento; la grande importanza che viene data nelle aziende coinvolte all’attività di informazione e formazione sui contenuti del Modello a tutti gli stakeholders ed in particolar modo a tutti i dipendenti del Gruppo (sia al momento dell’assunzione che nel corso degli anni; attraverso e-learning, intranet aziendale e lezioni in aula).
110
BIBLIOGRAFIA
A. Scafidi, S. Annovazzi, “Il ruolo del Collegio Sindacale nell’ambito dei Modelli Organizzativi ex D.Lgs. 231/2001 ed i suoi rapporti con l’Organismo di Vigilanza e controllo”, rivista 231, anno 2009. Associazione
dei
Componenti
degli
Organismi
di
Vigilanza
ex
D.Lgs.231/2001, (AODV 231), “I flussi informativi”, edizione 1.0, 19 marzo 2012. Associazione Italiana Internal Auditors, “Approccio Integrato al Sistema di Controllo Interno”, Corporate Governance, Position Paper, novembre 2009. Associazione Italiana Internal Auditors, Corporate Governance Paper, “Approccio integrato al sistema di controllo interno”, gli organi e le funzioni preposte al controllo interno aziendale e le loro relazioni, Milano, novembre 2009. Associazione Italiana Internal Auditors, KPMG, “La compliance al D.Lgs. 231/01 nei Grandi Gruppi, atti del convegno, Milano, marzo 2012. Associazione Italiana Internal Auditors, KPMG, “Tutela penale dell’ambiente e D.L.gs. n.231/2001”, Milano, marzo 2012. Associazione italiana Internal Auditors: “D.Lgs.231/01 al traguardo dei 10 anni: il bilancio di successo?, atti del Convegno, Milano, 8 giugno 2011. Bosa Italiana S.p.A., “Sistema di controllo interno e di gestione dei rischi” art. 7, Codice di Autodisciplina aggiornato dicembre 2011, pag.30 e ss. Confindustria, Linee Guida per la Costruzione dei modelli di organizzazione, gestione e controllo Ex D.Lgs 231/2001 edizione del 31 Marzo 2008 pag. 32. D. Andreis, A. Tonani, “Il processo di audit e l’adattamento delle tecniche a quanto previsto dal d.lgs. 231/2001”, rivista 23, anno 2006. 111
D. Ferrara, “Governance e modelli di gestione del rischio. Guida alla realizzazione di modelli di gestione e organizzazione per la mitigazione del rischio ai sensi del D. Lgs. 231/01”, casa ed. Franco Angeli, anno 2009. E. Bertolli, ”L’Organismo di Vigilanza ex D.Lgs. 231/2001 nella dottrina e nella giurisprudenza” , rivista 231, anno 2009, pag.61 e ss. F. Accardi, “L’importanza della comunicazione”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, gennaio/aprile, n.69, anno 2011, pag. 4 e ss. F. Attisano, R.Rosato, “Modello 231, ERM e riforma della responsabilità amministrativa”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, maggio/agosto, n.70, anno 2011, pag. 20 e ss. F. D’Ambrosio, L. Micheletti, “Responsabilità della società (D.Lgs. 231/2001), Memento pratico, casa Ed.Ipsoa Francis Lefebvre, anno 2013 (aggiornato ad agosto 2012), pag.829. F. Gandini, “La circolazione del modello 231: la responsabilità da reato delle persone giuridiche in Cile”,rivista 231, anno 2011 pag.51. F. Gandini, “La Ley Organica”, rivista 231, pubblicato sul n.1/2011, riferito a maggio 2010, pag. 29 e ss. F. Ledda, P. Ghini, “Organismo di Vigilanza: nomina e aspetti teorici e pratici”, rivista 231, anno 2008, pag. 213 e ss. G. D’Onza, “L’Organismo di Vigilanza: regolamento e piano di attività”, atti del convegno, Firenze, 22 giugno 2012. G. Lancellotti, F. Lancellotti, “il Modello di Organizzazione Gestione e Controllo ex D.Lgs. 8 giugno 2001, n.231, uno scudo processuale per le società e gli enti”, Diritto e Professione, G. Giappichelli editore, anno 2011. G. Lattanzi, “Reati e responsabilità degli enti, giuda al D.Lgs. 8 giugno 2001, n.231”, Giuffrè editore, seconda edizione, anno 2010. 112
G.
M.
Mirabelli,
dell’Associazione
“Standard Italiana
IIA
Internal
2011,
che
Auditors,
cosa
è
cambiato”,
pubblicazione
rivista
quadrimestrale,
gennaio/aprile, n.69, anno 2011, pag. 51 e ss. G. Pavan, “Il nuovo ruolo del Collegio Sindacale”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, gennaio/aprile ,n.69, anno 2011, pag. 30 e ss. Gruppo di studio 231, “L’organismo di vigilanza: Linee guida” ODCEC, Torino, settembre 2011. M. Cardia,”Legge di stabilità 2012 e d.lgs. 231/2001: riflessioni sulla composizione dell'Organismo di Vigilanza”, rivista 231, anno 2012. M. Malavasi, “Compiti, requisiti e poteri dell’Organismo di Vigilanza”, rivista 231, anno 2009, pag.51 e ss. M. Malavasi, “L'onere della prova nella responsabilità ex d.lgs. 231/2001”, alla luce della sentenza della Corte di Cassazione n.27735 del 16.7.2010, giurisprudenza commentata, rivista231, gennaio-marzo 2011, n.1. P. Vernero, studio Vernero-Manavella & Associati, atti del Convegno: “Il D.Lgs. 231/2001”, Torino, 28 settembre 2010. R. Villa, D. Cassano, R. Cervellione, R. De Simone, “231: I Modelli, gli auditor, il ruolo dell’AIIA”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, gennaio/aprile, n. 69, anno 2011, pag. 20 e ss. S. Barlini, “Modelli di successo”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, maggio/agosto, anno 2010, pag. 39 e ss. S. Giavazzi, “La responsabilità penale delle persone giuridiche: dieci anni di esperienza francese”, rivista trimestrale Dir. Pen. Econ., anno 2005, pag.873. Twister, “Dieci anni di D.Lgs. 231”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, gennaio/aprile, n. 69, anno 2011, pag. 9 e ss. 113
U. Lecis, “L’organismo di vigilanza nei gruppi di società”, rivista 231, anno 2012. V. Gennaro, “E ora, una riforma vera”, rivista dell’Associazione Italiana Internal Auditors, pubblicazione quadrimestrale, gennaio/aprile, n. 69, anno 2011, pag. 16 e ss. V. Gennaro, “Gli attributi dei protocolli di controllo e il compliance audit :il concetto di verificabilità del funzionamento e dell’osservanza del Modello” rivista 231, anno 2009, pag.169.
114
SITOGRAFIA
http://www.aiiaweb.it/files/aiia/Codice_Etico.pdf http://www.aiiaweb.it/files/aiia/IPPF_Standards_2013persito.pdf http://www.autostrade.it/ http://www.borsaitaliana.it/borsaitaliana/regolamenti/corporategovernance/codicec orpgov2011clean_pdf.htm http://www.complianceaziendale.com/ http://www.confindustria.it/Aree/lineeg.nsf/All/1F77A3860529403EC125742600577 C2B?openDocument&MenuID=572E9F6FDD21FCBCC1256F90002FB00E http://www.consob.it/main/documenti/Regolamentazione/normativa/dlgs58_1998.h tm#Art._150 http://www.indesitcompany.com/inst/it/ http://www.luxottica.com/it/ http://www.salini.it/ www.aiiaweb.it www.borsaitaliana.it, Codice di Autodisciplina, art. 7 “Sistema di controllo interno e di gestione dei rischi”, pag. 30, dicembre 2011 www.confindustria.ge.it, Il ruolo dell’Organismo di Vigilanza, pag. 9 ss. www.consob.it, Testo unico delle disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli n.8-21 della legge 6 febbraio 1996, n. 520F, aggiornamenti: d.l. n.179 del 18 ottobre 2012 coordinato con la legge di conversione n.221 del 17 dicembre 2012 e d.lgs. n.184 dell'11 ottobre 2012. 115