A qualche anno di distanza dall'entra in vigore del D.Lgs 231/2001, l’esperienza accumulata da società e professionisti come pure le prime importanti sentenze e interpretazioni giurisprudenziali sull'argomento consentono di fare il punto su quelli che possono definirsi i più tipici “errori” di impostazione e redazione dei Modelli di gestione, organizzazione e controllo previsti dalla normativa.
Come è noto, tra gli elementi che la normativa prevede essere fondamentali ai fini dell’esenzione della responsabilità amministrativa di un ente si annovera il requisito della efficace adozione di “modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi” (art. 6, co.1. lett. a). Al proposito è unanimemente accettato che il termine “modelli” si riferisca ai sistemi di controllo interno che, in quanto tali, devono essere conformi al framework rappresentato dagli standard emanati dal C.o.S.O., Committe of Sponsoring Organizations, nel 1992 (Internal Control Integrated Framework) e nel 2004 (Enterprise Risk Management Framework). Tali standard sono dunque una pietra angolare per tutti i professionisti che si occupano di tale tema, ivi compresi revisori, internal auditor, compliance officer, preposti al controllo interno, dirigenti ai sensi della legge 262/2005 ecc.
In ossequio a quanto stabilito da tali framework, l’impostazione di un sistema di controllo interno si fonda su diverse componenti quali la definizione degli obiettivi di controllo, la valutazione dei rischi di errore/frode, la definizione di apposite contromisure rispetto ai rischi maggiormente significativi ed il monitoraggio della efficace attuazione e funzionamento delle contromisure adottate (a loro volta fondate su specifiche componenti in termini di “ambiente di controllo” e di “attività di controllo”).
Chi si occupa di tali sistemi sa bene che i controlli devono tradursi, nella pratica, in procedure operative applicate ai diversi processi aziendali come pure in adeguati meccanismi di reporting degli errori/anomalie riscontrate. In tale ottica l’attuazione dei controlli interni richiede l’adeguato bilanciamento tra la dimensione informativa, ovvero l’utilizzo di informazioni e sistemi informativi per raccogliere, elaborare e controllare le attività svolte, e quella organizzativa, ovvero la definizione di opportune regole di suddivisione dei compiti e dei correlati meccanismi (tra i quali il sistema premiante/sanzionatorio, il presidio delle competenze del personale ecc.).
Tale premessa consente di avviare la disamina degli “errori” tipici riscontrabili in tale ambito.
1. Predisporre un modello 231 senza alcun corredo di procedure di controllo interno riferite ai singoli processi aziendali (elemento rientrante in quello che, nella pratica, si suole denominare “Parte Speciale” del modello) costituisce un assurdo logico. Solo la disamina delle procedure redatte ed attuate con riferimento agli obiettivi di prevenzione dei reati 231 consente di apprezzare il significato delle logiche di impostazione del sistema di controllo che sono tipicamente contenute nella c.d. Parte Generale; è infatti proprio in tale ottica che la normativa menziona i c.d. “specifici protocolli” all’art. 6, comma 2, lett. b). L’inesistenza di procedure operative redatte con specifico ed esplicito riferimento alla prevenzione dei reati 231 (e non riferiti ad altri obiettivi aziendali) costituisce una lacuna insanabile.
2. I modelli fanno spesso riferimento ad una valutazione dei rischi di compimento dei reati, in ossequio a quanto previsto dalla normativa all’art. 6, comma 2, lett. a). Nella pratica le “attività nel cui ambito possono essere commessi reati” sono definite “attività sensibili”. Trattasi di una attività di risk assessment e, nonostante gli apprezzabili sforzi di alcune Linee Guida emanate da Associazioni di Categoria, il riferimento metodologico per l’individuazione dei rischi non può che essere costituito dal framework Enterprise Risk Management sopra menzionato.
Il documento stabilisce che la valutazione dei rischi implica l’esplicita identificazione degli eventi negativi (nel caso di specie, i possibili comportamenti attuativi del reato) nonché la valutazione di probabilità e impatto a questi ascrivibile. Nella individuazione dei comportamenti attuativi del reato un riferimento metodologico imprescindibile è costituito dai c.d. fraud schemes, ben noti agli esperti di fraud auditing, che esplicitano le tipiche modalità attuative dei comportamenti fraudolenti. E’ proprio con riferimento a tali elementi che si deve valutare chiaramente l’eventualità che siano posti in essere azioni illecite.
La valutazione dei rischi in termini di probabilità e impatto pone problemi di ordine non solo metodologico ma anche “strategico” che devono trovare adeguata riposta da parte dei vertici aziendali: ma qual è il livello di tolleranza ammesso dalla direzione aziendale con riferimento a possibili comportamenti illeciti?
E’ di tutta evidenza che una attività di risk assessment svolta senza definire i livelli di tolleranza (le cd. risk tolerance) associati alle diverse fattispecie di illecito sia priva di significato sotto il profilo metodologico e, a nostro avviso, insostenibile ai fini della esenzione della responsabilità.
Al proposito risultano essenziali quegli indicatori (KPI, Key Performance Indicator e KRI,Key Risk Indicator) elaborati allo specifico scopo di garantire una elevata efficacia segnaletica dei c.d. red flag, cioè di quelle anomalie che possono rivelare la presenza di una eventuale frode; in questa prospettiva, i menzionati indicatori devono essere il più possibile “vicini” ai processi aziendali, essere raccolti e monitorati con tempestività ed essere agevolmente comprensibili, in modo che il loro valore segnaletico non si presti a errori interpretativi generati da eccessiva discrezionalità; ad evidenza, la progettazione di tali indicatori richiede la profonda comprensione di come determinati fraud scheme possano trovare applicazione in uno specifico processo aziendale, così da definire criteri di controllo, monitoraggio e analisi sufficientemente articolati. Oltre a ciò è anche imprescindibile che siano ben chiarite le soglie di tolleranza oltre le quali gli indicatori in esame forniscono indicazione della presenza di situazioni preoccupanti.
Ad oggi sono davvero ben pochi i modelli che entrano nel merito dei menzionati aspetti, anche nell'ambito della c.d. Parte Generale.
3. L’ottica di prevenzione degli illeciti prescritta dalla normativa comporta la necessità di spostare il baricentro dei controlli interni su quei sistemi che, strutturalmente, sono applicati ex ante e risultano anche difficilmente “aggirabili”. Ne deriva che i controlli successivi (cd. detective controls) devono essere giudicati consoni solo se possiedono caratteri di elevata efficacia segnaletica e tempestività.
Il massivo utilizzo di controlli automatizzati (automated controls), che tipicamente possiedono tassi di eccezione molto bassi (se non nulli), consente di garantire elevati standard di adeguatezza nel funzionamento dei modelli mentre i controlli svolti dal management e dal personale aziendale (manual controls) devono essere "centellinati" e ridotti al minimo, confinandoli là dove non esistano alternative di possibile automazione.
Analogamente occorre valorizzare i controlli sulle transazioni in quanto queste possono essere presidiate tramite meccanismi di autorizzazione e controllo delegabili ai sistemi informatici; ciò impone la necessità di definire meccanismi di autorizzazione preventiva e regole di controllo degli attributi informativi delle transazioni assai stringenti, in modo da “blindare” l’operatività aziendale entro parametri giudicati accettabili e consentire, successivamente, l’immediata segnalazione di operazioni anomale. Risulta anche imprescindibile applicare strumenti atti a garantire elevati livelli di tracciabilità delle operazioni, mediante sistemi di documentazione delle attività che siano il più possibile delegati ai sistemi informatici difficilmente manipolabili.
Quanto sopra deve trovare opportuna declinazione proprio nella “Parte Speciale” dei modelli 231, ovvero nell'ambito delle procedure operative predisposte in relazione ai singoli processi aziendali.
4. Tutti i modelli enunciano l’importanza del principio della separazione dei compiti. La componente di “segregation of duties” non deve tuttavia trascurare il fenomeno della collusione tra più soggetti, fermo restando che le procedure dovrebbero essere sempre “a tenuta di frode” perpetrata dal singolo manager o dipendente; atti illeciti che trovano fondamento su comportamenti collusivi dovrebbero dunque essere ridotti drasticamente da adeguati controlli interni, almeno in quelle aree di attività aziendale dove il fenomeno potrebbe produrre un impatto rilevante, se non catastrofico. La collusione non può essere valutata, aprioristicamente, un fattore idoneo a dimostrare l’elusione fraudolenta del modello e, conseguentemente, favorire, per sé, l’esenzione da responsabilità dell’ente.
I modelli devono quindi affrontare il tema di quale sia il livello di rigore richiesto all'applicazione del principio di separazione dei compiti, da un lato, e di quale siano le fattispecie collusive che i controlli interni presidiano, dall'altro.
5. Tra i vari meccanismi organizzativi previsti dalla componente "ambiente di controllo" merita attenzione specifica il sistema premiante, fondato su incentivi e sanzioni che operano, rispettivamente, nel caso di comportamenti virtuosi e devianti; molto si è scritto e detto in merito alle distorsioni che il sistema degli incentivi può provocare in termini di aumento della propensione a comportamenti fraudolenti; in termini generali, un peso significativo attribuito alla retribuzione variabile rispetto a quella fissa aumenta il rischio di frode, con la conseguente necessità di apportare notevoli rafforzamenti dei controlli proprio in quelle aree di business ed in quei processi aziendali ove le retribuzioni variabili costituiscono un elemento assai appetibile per il management/personale. Con ciò non si esclude a priori l’utilità strategica dei sistemi di retribuzione variabile, ma è quanto mai opportuno potenziare i sistemi di controllo preventivo a presidio di quelle aree ove operano manager e dipendenti che ne beneficiano. Sorprendentemente poco si è scritto e fatto - ed, ancor peggio, si ritrova nei modelli 231 - in relazione a due elementi fondamentali.
Il primo riguarda la previsione di sistemi di incentivo correlati agli esiti delle attività di controllo: se gli obiettivi di controllo anti frode o, in generale, di compliance, sono giudicati importanti dalla direzione e dagli azionisti, ad essi dovrebbero essere collegati sistemi premianti. I modelli 231 prevedono quanto sopra?
Il secondo elemento si richiama alla "dark side" dei sistemi premianti, ovvero ai sistemi sanzionatori, che esercitano un ruolo di deterrenza in tutti gli ambiti il cui il controllo ha una prospettiva di compliance e anti frode ovvero ove si intenda rafforzare l'attitudine alla legalità.
Anche il D.Lgs. 231 afferma la rilevanza del "sistema disciplinare" (art. 6, comma 2, lett. e), e poco si occupa – ben comprensibilmente - del sistema premiante. E’ ben noto che la progettazione di meccanismi sanzionatori risulti particolarmente complessa e delicata richiedendo opportuno coordinamento con la normativa giuslavorista, ma a tale aspetto occorre dedicare particolare enfasi allo scopo di esplicitare i profili di responsabilità penale e civile in ottica anti frode.
I modelli 231 devono essere chiari sui temi sopra menzionati, anche in virtù della loro pericolosità nella generazione di comportamenti illeciti.
In conclusione, si osserva che i modelli in argomento costituiscono un corredo all'esistenza, ed efficace attuazione, di procedure 231 applicate ai singoli processi aziendali. Questi, però, aggiungono valore alle procedure esistenti solo qualora rappresentano un documento di sintesi dell’approccio aziendale al controllo interno ai fini della citata Legge; in termini più espliciti il modello risulta efficace solo se affronta con chiarezza i cinque snodi metodologici menzionati, oltre ad altri aspetti previsti dalla normativa, quali il sistema di formazione e comunicazione, l’Organismo di Vigilanza ecc.
Si auspica che, a dieci anni dall'entrata in vigore della normativa, enti e professionisti coinvolti operino in queste direzione consentendo così la “reale” attuazione delle finalità previste dalla Legge.
