"Check list" dei Modelli di organizzazione adottati ex D.Lgs. 231/01
di Giovanni Battisti.
La seguente check list è stata predisposta per facilitare la verifica “formale” del contenuto dei documenti che costituiscono il sistema di controlli adottato dall’ente; tale contenuto è stato identificato sulla base delle indicazioni del D.Lgs. 231/01, delle Linee Guida di Confindustria [1] (di seguito anche solo Linee Guida) e delle indicazioni che emergono da alcune sentenze ritenute particolarmente significative.
Prima di elencare i punti di verifica della check list, è tuttavia opportuno richiamare l’attenzione sulle indicazioni fornite da Confindustria relativamente alla predisposizione dei “Modelli di organizzazione, gestione e controllo”:
- “[…] la formulazione dei modelli e l’organizzazione dell’attività dell’organo di controllo devono porsi come obiettivo l’esito positivo di tale giudizio di idoneità. Questa particolare prospettiva finalistica impone agli enti di valutare l’adeguatezza delle proprie procedure alle esigenze di cui si è detto, tenendo presente che la disciplina in esame è già entrata in vigore.” (Linee Guida, pag. 5);
- “Facilita l’applicazione dell’esimente, soprattutto in termini probatori, la documentazione scritta dei passi compiuti per la costruzione del modello.” (Linee Guida, pag. 6);
- “Le Linee Guida svolgono […] un importante ruolo ispiratore nella costruzione del modello e dell’organismo di controllo con i relativi compiti da parte del singolo ente, il quale però, per meglio perseguire il fine di prevenire i reati, potrà anche discostarsene […]” (Linee Guida, pag. 6);
- Il modello e le relative misure devono cioè essere tali che l’agente non dovrà solo volere l’evento reato […] ma potrà attuare il suo proposito criminoso soltanto aggirando fraudolentemente (ad esempio attraverso artifizi e/o raggiri) le indicazioni dell’ente.” (Linee Guida, pag. 9).
Detto questo, ecco l’elenco degli argomenti che devono essere trattati dal “Modello di organizzazione, gestione e controllo” adottato dall’azienda in attuazione del Decreto Legislativo 231 del 2001:
1. la mappa delle aree aziendali a rischio (Linee Guida, pag. 11).
Il modello deve identificare ed elencare:
- le attività nel cui ambito possono essere direttamente commessi i reati previsti dal decreto (D. Lgs. 231/01, art. 6, co. 2, lett. a)
- le attività c.d. “strumentali” [2] alla commissione dei reati previsti dal decreto;
2. la mappa documentata delle potenziali modalità attuative degli illeciti (Linee Guida, pag. 11).
Il Modello deve evidenziare dettagliatamente:
- cosa può essere commesso (il tipo di reato);
- da chi (ruolo o funzione);
- come (in che modo);
- quando (in che occasione). [3]
3. la situazione attuale (as is), quella da attuare (to be), e gli eventuali adeguamenti relativamente a (Linee Guida, pag. 12):
3a. Codice Etico.
Il Codice Etico deve prendere in esame almeno i seguenti argomenti:
- L’ente ha come principio imprescindibile il rispetto di leggi e regolamenti vigenti in tutti i Paesi in cui esso opera:
o tale impegno vale per i dipendenti, consulenti, fornitori e chiunque abbia rapporti con l’ente;
o l’ente non inizierà o proseguirà nessun rapporto con chi non intende allinearsi con questo principio;
o i dipendenti devono essere a conoscenza delle leggi;
o l’ente deve adeguatamente informare i propri dipendenti;
o l’ente deve assicurare un adeguato programma di formazione sulle problematiche del Codice Etico.- Ogni operazione e transazione deve essere correttamente registrata, autorizzata, verificabile, legittima, coerente e congrua;
- I principi base relativamente ai rapporti con gli interlocutori dell’ente: Pubblica Amministrazione, pubblici dipendenti e, nel caso di enti concessionari di pubblico servizio, interlocutori commerciali privati:
o non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti della PA, italiana ed estera (fatti salvi beni e utilità di modico valore);
o si considerano atti di corruzione i pagamenti illeciti fatti direttamente dall’ente o da suoi dipendenti o tramite persone che agiscono per loro conto;
o è proibito accettare oggetti, servizi, prestazioni di valore per ottenere un trattamento più favorevole in relazione a qualsiasi rapporto con la PA, italiana ed estera;
o il personale incaricato dei rapporti (trattativa d’affari, richiesta) con la PA non deve cercare di influenzare impropriamente le decisioni della controparte;
o nelle gare con la PA si deve operare nel rispetto della legge e della corretta pratica commerciale;
o le direttive valide per i dipendenti dell’ente devono essere applicate a qualsiasi soggetto “terzo” che rappresenti l’ente nei rapporti con la PA;
o l’ente, nei rapporti con la PA, non deve farsi rappresentare da soggetti “terzi” quando si possano creare conflitti di interesse;
o nei rapporti con la PA (trattativa d’affari, richiesta o rapporto commerciale) non devono essere proposte o esaminate opportunità di impiego e/o commerciali che possano avvantaggiare dipendenti della PA a titolo personale; offrire omaggi; sollecitare o ottenere informazioni riservate;
o qualsiasi violazione (anche potenziale) commessa dall’ente o da terzi va segnalata tempestivamente alle funzioni competenti;
o il finanziamento di partiti politici, comitati, organizzazioni pubbliche o candidati politici deve avvenire nel rispetto delle normative vigenti.
3b. Sistema organizzativo.
Il Sistema organizzativo deve rispondere ai seguenti requisiti:
- essere formalizzato;
- prevedere una chiara attribuzione delle responsabilità;
- prevedere una chiara descrizione delle linee di dipendenza gerarchica;
- prevedere una chiara descrizione dei compiti;
- i sistemi premianti adottati non devono costituire un celato incentivo alla commissione dei reati previsti dal Decreto.
3c. Procedure operative manuali ed informatiche.
Particolare attenzione deve essere prestata alle procedure per la gestione delle risorse finanziarie (D. Lgs. 231/01, art. 6, co. 2, lett. c), soprattutto per i flussi finanziari non rientranti nei processi tipici aziendali (Linee Guida, pag. 13).
In generale, le procedure operative devono prevedere:
- specifici principi di controllo, in particolare: la documentabilità e verificabilità delle operazioni, transazioni ed azioni (che devono essere “coerenti e congrue”, Linee Guida, pag. 14);
- la separazione/contrapposizione di funzioni; la documentabilità dei controlli;
- opportuni punti di controllo (es. quadrature).
3d. Poteri autorizzativi e di firma.
Il sistema delle deleghe e procure deve:
- essere coerente con le responsabilità organizzative e gestionali;
- deve prevedere una puntuale indicazione delle soglie di approvazione delle spese.
3e. Sistema di controllo di gestione.
Nel contesto del sistema di controllo di gestione devono essere definiti:
- opportuni indicatori per le singole tipologie di rischio rilevato;
- i processi di risk assessment interni alle funzioni aziendali.
3f. Sistema di comunicazione al personale.
La comunicazione al personale del Modello deve essere:
- capillare;
- efficace;
- autorevole;
- chiara e dettagliata;
- periodicamente ripetuta;
- deve riguardare tutte le componenti del Modello (Codice Etico, Modello in senso stretto, flussi informativi etc.).
3g. Formazione.
Il programma di formazione deve:
- essere appropriatamente tarato in funzione dei livelli dei destinatari (“a seconda che la stessa si rivolga ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza ed ai preposti al controllo interno” [4]);
- prevedere “il contenuto dei corsi, la loro frequenza, l’obbligatorietà della partecipazione ai programmi di formazione” [4];
- prevede “controlli di frequenza e di qualità sul contenuto dei programmi di formazione” [4].
A parere di chi scrive, questi due ultimi punti –in ragione della loro variabilità e degli aspetti pratici connessi all’organizzazione operativa dei corsi- possono anche essere descritti in un allegato al Modello o in un piano annuale di formazione, richiamato nel Modello stesso.
3h. Sistema informativo verso l’Organismo di Vigilanza (OdV).
Deve essere previsto l’obbligo per le funzioni aziendali a rischio di dare informazioni all’OdV relativamente a:
- le risultanze periodiche dell’attività di controllo poste in essere in attuazione del Modello;
- le anomalie e le atipicità riscontrate.
3i. Sistema disciplinare.
- Per i casi di rapporto di lavoro subordinato, deve rispettare le procedure previste dall’art. 7 dello Statuto dei Lavoratori;
- Deve prevedere “espressamente […] la comminazione di sanzione disciplinare nei confronti degli amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia – non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei casi più gravi, perpetrazione di reati [4].
3j. Organismo di vigilanza (OdV).Il Modello deve prevedere che l’OdV:
- sia un organo interno all’ente;
- sia in grado di controllare non solo i dipendenti, ma anche i direttori e gli amministratori dell’ente [4];
- sia dedicato a tempo pieno all’attività di vigilanza sul Modello;
- abbia libero accesso presso tutte le funzioni della Società, senza necessità di alcun consenso preventivo;
- possa avvalersi dell’ausilio di tutte le strutture della società ovvero di consulenti esterni;
- sia dotato di adeguate risorse finanziarie.
Inoltre:
- la collocazione organizzativa dell’OdV deve garantirne l’autonomia dell’iniziativa di controllo da ogni forma d’interferenza e/o di condizionamento da parte di qualunque componente dell’ente”;
- non siano attribuiti all’OdV compiti operativi;
- i componenti dell’organo di vigilanza debbano possedere capacità specifiche in tema di attività ispettiva e consulenziale [5];
- le attività poste in essere dall’OdV non possono essere sindacate da alcun altro organismo o struttura aziendale.
Quanto ai compiti assegnati, l’OdV deve:
- vigilare sull’effettività del modello (verifica della coerenza tra i comportamenti concreti ed il modello adottato);
- verificare l’adeguatezza del modello, ossia la sua reale (e non meramente formale) capacità di prevenire i comportamenti non voluti;
- accertare il mantenimento nel tempo dei requisiti di solidità e funzionalità del modello;
- aggiornare il modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti, presentando proposte di adeguamento del modello e verificandone, successivamente, l’attuazione e l’effettiva funzionalità delle soluzioni proposte (c.d. follow up).
3k. Misure idonee a scoprire ed eliminare tempestivamente situazioni di rischio.
--
[1] Confindustria, Area Strategica Fisco e Diritto d’Impresa, Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, approvate il 7 marzo 2002, aggiornate al 24 maggio 2004.
[2] “Strumentali” sono quei processi nei quali, pur non potendosi ravvisare il rischio diretto di commissione di reati, si possono realizzare atti ed operazioni risultanti funzionali ed utili rispetto alla commissione di tali reati (ad es., condotte riconducibili al reato di corruzione). La distinzione tra processi “diretti” e processi “strumentali”, a parere di chi scrive, risponde alla necessità che il Modello fornisca una “rappresentazione esaustiva di come le fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda” (Linee Guida, pag. 11).
[3] Quanto al perché, il Decreto Legislativo 231/01 ha già definito che il reato deve essere stato commesso “nell’interesse o a vantaggio dell’Ente” (art. 5, co. 1).
[4] Ordinanza cautelare del GIP del Tribunale di Milano, depositata il 9 novembre 2004.
La seguente check list è stata predisposta per facilitare la verifica “formale” del contenuto dei documenti che costituiscono il sistema di controlli adottato dall’ente; tale contenuto è stato identificato sulla base delle indicazioni del D.Lgs. 231/01, delle Linee Guida di Confindustria [1] (di seguito anche solo Linee Guida) e delle indicazioni che emergono da alcune sentenze ritenute particolarmente significative.
Prima di elencare i punti di verifica della check list, è tuttavia opportuno richiamare l’attenzione sulle indicazioni fornite da Confindustria relativamente alla predisposizione dei “Modelli di organizzazione, gestione e controllo”:
- “[…] la formulazione dei modelli e l’organizzazione dell’attività dell’organo di controllo devono porsi come obiettivo l’esito positivo di tale giudizio di idoneità. Questa particolare prospettiva finalistica impone agli enti di valutare l’adeguatezza delle proprie procedure alle esigenze di cui si è detto, tenendo presente che la disciplina in esame è già entrata in vigore.” (Linee Guida, pag. 5);
- “Facilita l’applicazione dell’esimente, soprattutto in termini probatori, la documentazione scritta dei passi compiuti per la costruzione del modello.” (Linee Guida, pag. 6);
- “Le Linee Guida svolgono […] un importante ruolo ispiratore nella costruzione del modello e dell’organismo di controllo con i relativi compiti da parte del singolo ente, il quale però, per meglio perseguire il fine di prevenire i reati, potrà anche discostarsene […]” (Linee Guida, pag. 6);
- Il modello e le relative misure devono cioè essere tali che l’agente non dovrà solo volere l’evento reato […] ma potrà attuare il suo proposito criminoso soltanto aggirando fraudolentemente (ad esempio attraverso artifizi e/o raggiri) le indicazioni dell’ente.” (Linee Guida, pag. 9).
Detto questo, ecco l’elenco degli argomenti che devono essere trattati dal “Modello di organizzazione, gestione e controllo” adottato dall’azienda in attuazione del Decreto Legislativo 231 del 2001:
1. la mappa delle aree aziendali a rischio (Linee Guida, pag. 11).
Il modello deve identificare ed elencare:
- le attività nel cui ambito possono essere direttamente commessi i reati previsti dal decreto (D. Lgs. 231/01, art. 6, co. 2, lett. a)
- le attività c.d. “strumentali” [2] alla commissione dei reati previsti dal decreto;
2. la mappa documentata delle potenziali modalità attuative degli illeciti (Linee Guida, pag. 11).
Il Modello deve evidenziare dettagliatamente:
- cosa può essere commesso (il tipo di reato);
- da chi (ruolo o funzione);
- come (in che modo);
- quando (in che occasione). [3]
3. la situazione attuale (as is), quella da attuare (to be), e gli eventuali adeguamenti relativamente a (Linee Guida, pag. 12):
3a. Codice Etico.
Il Codice Etico deve prendere in esame almeno i seguenti argomenti:
- L’ente ha come principio imprescindibile il rispetto di leggi e regolamenti vigenti in tutti i Paesi in cui esso opera:
o tale impegno vale per i dipendenti, consulenti, fornitori e chiunque abbia rapporti con l’ente;
o l’ente non inizierà o proseguirà nessun rapporto con chi non intende allinearsi con questo principio;
o i dipendenti devono essere a conoscenza delle leggi;
o l’ente deve adeguatamente informare i propri dipendenti;
o l’ente deve assicurare un adeguato programma di formazione sulle problematiche del Codice Etico.- Ogni operazione e transazione deve essere correttamente registrata, autorizzata, verificabile, legittima, coerente e congrua;
- I principi base relativamente ai rapporti con gli interlocutori dell’ente: Pubblica Amministrazione, pubblici dipendenti e, nel caso di enti concessionari di pubblico servizio, interlocutori commerciali privati:
o non è consentito offrire denaro o doni a dirigenti, funzionari o dipendenti della PA, italiana ed estera (fatti salvi beni e utilità di modico valore);
o si considerano atti di corruzione i pagamenti illeciti fatti direttamente dall’ente o da suoi dipendenti o tramite persone che agiscono per loro conto;
o è proibito accettare oggetti, servizi, prestazioni di valore per ottenere un trattamento più favorevole in relazione a qualsiasi rapporto con la PA, italiana ed estera;
o il personale incaricato dei rapporti (trattativa d’affari, richiesta) con la PA non deve cercare di influenzare impropriamente le decisioni della controparte;
o nelle gare con la PA si deve operare nel rispetto della legge e della corretta pratica commerciale;
o le direttive valide per i dipendenti dell’ente devono essere applicate a qualsiasi soggetto “terzo” che rappresenti l’ente nei rapporti con la PA;
o l’ente, nei rapporti con la PA, non deve farsi rappresentare da soggetti “terzi” quando si possano creare conflitti di interesse;
o nei rapporti con la PA (trattativa d’affari, richiesta o rapporto commerciale) non devono essere proposte o esaminate opportunità di impiego e/o commerciali che possano avvantaggiare dipendenti della PA a titolo personale; offrire omaggi; sollecitare o ottenere informazioni riservate;
o qualsiasi violazione (anche potenziale) commessa dall’ente o da terzi va segnalata tempestivamente alle funzioni competenti;
o il finanziamento di partiti politici, comitati, organizzazioni pubbliche o candidati politici deve avvenire nel rispetto delle normative vigenti.
3b. Sistema organizzativo.
Il Sistema organizzativo deve rispondere ai seguenti requisiti:
- essere formalizzato;
- prevedere una chiara attribuzione delle responsabilità;
- prevedere una chiara descrizione delle linee di dipendenza gerarchica;
- prevedere una chiara descrizione dei compiti;
- i sistemi premianti adottati non devono costituire un celato incentivo alla commissione dei reati previsti dal Decreto.
3c. Procedure operative manuali ed informatiche.
Particolare attenzione deve essere prestata alle procedure per la gestione delle risorse finanziarie (D. Lgs. 231/01, art. 6, co. 2, lett. c), soprattutto per i flussi finanziari non rientranti nei processi tipici aziendali (Linee Guida, pag. 13).
In generale, le procedure operative devono prevedere:
- specifici principi di controllo, in particolare: la documentabilità e verificabilità delle operazioni, transazioni ed azioni (che devono essere “coerenti e congrue”, Linee Guida, pag. 14);
- la separazione/contrapposizione di funzioni; la documentabilità dei controlli;
- opportuni punti di controllo (es. quadrature).
3d. Poteri autorizzativi e di firma.
Il sistema delle deleghe e procure deve:
- essere coerente con le responsabilità organizzative e gestionali;
- deve prevedere una puntuale indicazione delle soglie di approvazione delle spese.
3e. Sistema di controllo di gestione.
Nel contesto del sistema di controllo di gestione devono essere definiti:
- opportuni indicatori per le singole tipologie di rischio rilevato;
- i processi di risk assessment interni alle funzioni aziendali.
3f. Sistema di comunicazione al personale.
La comunicazione al personale del Modello deve essere:
- capillare;
- efficace;
- autorevole;
- chiara e dettagliata;
- periodicamente ripetuta;
- deve riguardare tutte le componenti del Modello (Codice Etico, Modello in senso stretto, flussi informativi etc.).
3g. Formazione.
Il programma di formazione deve:
- essere appropriatamente tarato in funzione dei livelli dei destinatari (“a seconda che la stessa si rivolga ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza ed ai preposti al controllo interno” [4]);
- prevedere “il contenuto dei corsi, la loro frequenza, l’obbligatorietà della partecipazione ai programmi di formazione” [4];
- prevede “controlli di frequenza e di qualità sul contenuto dei programmi di formazione” [4].
A parere di chi scrive, questi due ultimi punti –in ragione della loro variabilità e degli aspetti pratici connessi all’organizzazione operativa dei corsi- possono anche essere descritti in un allegato al Modello o in un piano annuale di formazione, richiamato nel Modello stesso.
3h. Sistema informativo verso l’Organismo di Vigilanza (OdV).
Deve essere previsto l’obbligo per le funzioni aziendali a rischio di dare informazioni all’OdV relativamente a:
- le risultanze periodiche dell’attività di controllo poste in essere in attuazione del Modello;
- le anomalie e le atipicità riscontrate.
3i. Sistema disciplinare.
- Per i casi di rapporto di lavoro subordinato, deve rispettare le procedure previste dall’art. 7 dello Statuto dei Lavoratori;
- Deve prevedere “espressamente […] la comminazione di sanzione disciplinare nei confronti degli amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia – non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei casi più gravi, perpetrazione di reati [4].
3j. Organismo di vigilanza (OdV).Il Modello deve prevedere che l’OdV:
- sia un organo interno all’ente;
- sia in grado di controllare non solo i dipendenti, ma anche i direttori e gli amministratori dell’ente [4];
- sia dedicato a tempo pieno all’attività di vigilanza sul Modello;
- abbia libero accesso presso tutte le funzioni della Società, senza necessità di alcun consenso preventivo;
- possa avvalersi dell’ausilio di tutte le strutture della società ovvero di consulenti esterni;
- sia dotato di adeguate risorse finanziarie.
Inoltre:
- la collocazione organizzativa dell’OdV deve garantirne l’autonomia dell’iniziativa di controllo da ogni forma d’interferenza e/o di condizionamento da parte di qualunque componente dell’ente”;
- non siano attribuiti all’OdV compiti operativi;
- i componenti dell’organo di vigilanza debbano possedere capacità specifiche in tema di attività ispettiva e consulenziale [5];
- le attività poste in essere dall’OdV non possono essere sindacate da alcun altro organismo o struttura aziendale.
Quanto ai compiti assegnati, l’OdV deve:
- vigilare sull’effettività del modello (verifica della coerenza tra i comportamenti concreti ed il modello adottato);
- verificare l’adeguatezza del modello, ossia la sua reale (e non meramente formale) capacità di prevenire i comportamenti non voluti;
- accertare il mantenimento nel tempo dei requisiti di solidità e funzionalità del modello;
- aggiornare il modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti, presentando proposte di adeguamento del modello e verificandone, successivamente, l’attuazione e l’effettiva funzionalità delle soluzioni proposte (c.d. follow up).
3k. Misure idonee a scoprire ed eliminare tempestivamente situazioni di rischio.
--
[1] Confindustria, Area Strategica Fisco e Diritto d’Impresa, Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, approvate il 7 marzo 2002, aggiornate al 24 maggio 2004.
[2] “Strumentali” sono quei processi nei quali, pur non potendosi ravvisare il rischio diretto di commissione di reati, si possono realizzare atti ed operazioni risultanti funzionali ed utili rispetto alla commissione di tali reati (ad es., condotte riconducibili al reato di corruzione). La distinzione tra processi “diretti” e processi “strumentali”, a parere di chi scrive, risponde alla necessità che il Modello fornisca una “rappresentazione esaustiva di come le fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda” (Linee Guida, pag. 11).
[3] Quanto al perché, il Decreto Legislativo 231/01 ha già definito che il reato deve essere stato commesso “nell’interesse o a vantaggio dell’Ente” (art. 5, co. 1).
[4] Ordinanza cautelare del GIP del Tribunale di Milano, depositata il 9 novembre 2004.
Commenti
Posta un commento