AdSense4

Bing

AdSense3

martedì 25 giugno 2019

Il sistema dei controlli “231”: verso una Compliance 2.0 (1^ parte)

Il sistema dei controlli delineato dalla “231”
Le opportunità della correlazione tra
l’Organismo di Vigilanza e la Funzione di Compliance
...verso una Compliance 2.0


di Ermelindo Lungaro
(1^ puntata)



1.     Una premessa di contesto

L’8 giugno 2019 la “231[1]” ha celebrato il diciottesimo anno di età ed è dunque divenuta “maggiorenne”.
Questo simbolico evento di celebrazione deve, a parere di chi scrive, rappresentare un momento di riflessione sul sistema delineato da questa normativa che ha posto nel panorama giuridico italiano le fondamenta di una modalità di organizzazione, gestione e controllo aziendale per un verso semplice, organica ed autoregolamentata e, per altro verso, idonea a garantire una conduzione aziendale efficace e trasparente in un contesto di continuità di medio e lungo termine e coerentemente con gli obiettivi strategici che ciascuna realtà persegue.
E’ quindi opportuno che - in un momento in cui è largamente diffusa nel sano tessuto politico e sociale l’esigenza di trasparenza e di “ripudio” di comportamenti illeciti specie se legati alla corruzione (che rientra fra i reati espressamente previsti dal D.Lgs 231/2001 quale fonte di responsabilità degli Enti) - si rifletta compiutamente sul modello ex art 6 del D.Lgs 231/2001 considerandolo alla stregua di un asset di cui si dispone, con potenziali benefici sia in termini organizzativo-gestionali che economico-strategici.
Le pagine che seguono, senza pretesa di esaustività, vogliono offrire qualche spunto per una riflessione concreta sull’essenza della normativa 231 e sulle opportunità che la stessa può consentire in realtà (quali settore sanitario, bancario, assicurativo, PMI appartenenti a gruppi internazionali, settore farmaceutico) che hanno adottato un Modello 231 e che dispongono nella propria struttura organizzativa di una Funzione di Compliance.
Nello specifico il documento si propone di fornire spunti di riflessione per un percorso che, se ben diretto con il coinvolgimento dell’Organo di Vertice di indirizzo, veda via via implementarsi un sistema dei controlli integrato che, nella specie, favorisca in particolare il raccordo tra l’Organismo di Vigilanza - che ne è l’attore principale, il cervello che muove razionalmente il “corpo” - e la Funzione di Compliance che ne deve costituire le membra e le braccia a garanzia di assurance del Modello e di sua concreta ed adeguata operatività.

2.     Il sistema dei controlli delineato dalla “231” e le sue opportunità

La normativa 231, in estrema sintesi, prevede che soggetti diversi dalle persone fisiche (società, organismi, associazioni anche prive di personalità giuridica) possano essere considerati responsabili per reati commessi nel loro proprio interesse o vantaggio. Tale responsabilità propria di queste entità si aggiunge, quindi - in modo distinto - alla responsabilità penale propria della/e persona/e fisica/he che ha/nno commesso il reato e si concretizza in sanzioni pecuniarie anche elevate e misure interdittive che possono “paralizzare” la vita aziendale (sospensione o revoca di autorizzazioni, licenze o concessioni e divieto di contrattare con la Pubblica Amministrazione; esclusione da agevolazioni, finanziamenti, contributi o sussidi, oltre all’eventuale revoca di quelli già concessi; divieto di pubblicizzare beni o servizi; confisca; nei casi più gravi, interdizione all’esercizio dell’attività; pubblicazione della sentenza di condanna).
Di fatto, la normativa 231 disegna - anche per le società, gli enti e le associazioni - un sistema sanzionatorio che, al di là della terminologia (responsabilità amministrativa) utilizzata dal Legislatore, è di natura essenzialmente penale perché comuni sono gli intenti (tutela di elevati valori di interesse pubblico) e comune è il meccanismo procedimentale e sanzionatorio, pur dovendo quest’ultimo necessariamente considerare le specificità proprie di soggetti diversi dalle persone fisiche (per la loro connotazione appunto di “entità non fisiche”) che non ne rende possibile la completa assimilazione quanto ai caratteri effettuali.
Ma attenzione!
La valenza della normativa 231 che qui preme rimarcare non è quella sanzionatoria (pur molto pericolosa per la realtà aziendale in considerazione delle ragioni sopra accennate), quanto quella dell’opportunità che il Legislatore ha inteso in tal modo fornire a ciascun operatore nel delineare uno strumento di autoregolamentazione dell’assetto organizzativo, gestionale e di controllo che - se adeguatamente e concretamente disegnato, attuato e verificato - non solo preclude la responsabilità, ma addirittura garantisce il perseguimento degli obiettivi strategici nel contesto delineato in premessa di efficacia e trasparenza.
La norma, infatti, espressamente prevede che l’Ente, per escludere la propria responsabilità, deve adottare ed efficacemente attuare un Modello di Organizzazione, Gestione e Controllo e nominare un Organismo di Vigilanza indipendente, dotato di autonomi poteri di iniziativa e di controllo al fine di garantire la supervisione sul funzionamento e l'osservanza del Modello.
Requisiti essenziali del Modello sono: (i) individuazione delle attività nel cui ambito possono essere commessi i reati; (ii) definizione di specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; (iii) individuazione di modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; (iv) previsione di obblighi di informazione nei confronti dell’Organismo di Vigilanza e di canali di segnalazione che garantiscano riservatezza dell'identità del segnalante e divieto di atti di ritorsione o discriminatori (v) introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello.
Ecco dunque che la normativa 231 lascia nel suo complesso strutturale intravvedere in modo evidente l’orientamento anche del Legislatore ad una visione sistemica della necessità - per ogni realtà più o meno complessa, profit, o non profit, industriale o di servizi, commerciale o sanitaria - di disporre di un modello gestionale che disegni un “sistema azienda” con approccio risk-based e, dunque, orientato alla gestione del rischio, alla prevenzione di illeciti ed alla conseguente individuazione di buone pratiche e raccomandazioni previste dalla regolamentazione interna. Al disegno deve accompagnarsi l’efficace attuazione, anche attraverso adeguata e sistematica formazione “sul campo”, nonché l’implementazione di idonei flussi informativi che consentano monitoraggio e conseguentemente, all’occorrenza, tempestivo aggiornamento.
Questo approccio della normativa 231 - che è andato via via consolidandosi nella sua evoluzione giurisprudenziale e culturale - ha trovato poi conferma in ulteriori rilevanti provvedimenti normativi anche di contesto internazionale e locale[2] con specifica disciplina, tra l’altro, afferente:
-    la protezione dei dati di carattere personale;
-    l’antiriciclaggio;
-    la prevenzione della corruzione nel settore pubblico con la Legge 190/2012 e con la codifica e diffusione di un’apposita best practice (la UNI ISO 37001 - Sistemi di Gestione Anticorruzione);
-    la responsabilità medica di cui alla c.d Legge Gelli (come da ultimo riconsiderata), in ambito sanitario.
Non secondario, poi, in questa vision del Legislatore è il progressivo ampliamento del catalogo dei reati presupposto (ovvero delle specifiche fattispecie di illecito considerate dalla norma quale fonte di responsabilità per gli Enti) tendente sempre più a ricomprendere nel perimetro di riferimento ogni forma di illecito che violi diritti a valenza pubblica e che può evitarsi con un comportamento aziendale di buona gestione e non ascrivibile, quindi, a “colpe” di organizzazione[3].
Il disegno di autoregolamentazione che la normativa richiede è quindi quello di un idoneo Modello che garantisca una corretta prevenzione dei rischi da illecito attraverso una gestione aziendale sana, efficace e trasparente, preservando, più in generale, dal complessivo rischio di mala gestio.
In questa ottica il Modello diventa sistemicamente presupposto fondamentale e veicolo di implementazione di un adeguato sistema di controllo interno, ovvero dell’insieme di regole, procedure e strutture organizzative atte a conseguire (i) la conduzione aziendale coerente con gli obiettivi prefissati; (ii) l’individuazione, la valutazione, la mitigazione ed il monitoraggio dei rischi; (iii) la salvaguardia del patrimonio sociale; (iv) l’affidabilità delle informazioni; (v) il rispetto della normativa; (vi) l’efficienza, l’efficacia e l’economicità dei processi aziendali e dell’impiego delle risorse.
In effetti, una compiuta definizione degli obiettivi strategici ed una conseguente conduzione in continuità dell’azienda in coerenza con tali obiettivi (e quindi prevenendone i rischi) in un “ambiente” di legalità, trasparenza, eticità e correttezza costituiscono il contesto tanto necessario quanto al tempo stesso potenzialmente fragile della vita di una qualsiasi entità aziendale.
Un’azienda - profit o non profit, industriale o di servizi, individuale o collettiva - può infatti operare solo e nella misura in cui sia in grado di: (i) definire i propri obiettivi misurabili di natura strategico-operativa attraverso decisioni consapevoli; (ii) implementarli conseguentemente, coerentemente e monitorarli; (iii) avere garanzia di sostenibilità che le assicuri i mezzi necessari in un’ottica di continuità nel tempo; (iv) operare in un contesto di legalità, venendo meno il quale si generano responsabilità pecuniarie o interdittive - di natura amministrativa, civile, oltre che, per le persone fisiche, penali - che inevitabilmente pregiudicano il conseguimento degli obiettivi stessi e, nei casi più gravi come si è in precedenza accennato, la vita dell’azienda medesima.
Una siffatta adeguatezza del sistema di controllo interno genera in modo esponenziale valore aggiunto in termini di benefici specifici sul piano sia esterno sia interno, prima ancora che costituire presupposto di esonero di responsabilità.
Un adeguato sistema di controllo interno facilita, infatti, il rapporto con tutti gli interlocutori, offrendo loro garanzia di affidabilità delle informazioni e di correttezza dei comportamenti e mantenendo elevata l’immagine aziendale.
Sul piano interno un adeguato sistema di controllo interno è idoneo a garantire assurance agli Organi Sociali ai fini delle proprie decisioni consapevoli e supporto al management nello svolgimento delle proprie attività.
In questo quadro, l’efficace adozione ed implementazione di un Modello di Organizzazione, Gestione e Controllo diventa strumento di continuo e progressivo consolidamento del percorso di sviluppo di governance, in modo tale da fondarlo sempre più su trasparenza e controllo, quali essenziali leve gestionali per il perseguimento degli obiettivi aziendali e snodo cruciale e strategico del governo di un’azienda.

...segue la 2^ parte dell'articolo (click qui)


[1] D.Lgs. 8-6-2001 n. 231 - Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni
anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300.
[2] Tenuto conto della brevità e dello scopo del presente approfondimento, si omettono gli specifici riferimenti a provvedimenti normativi di Amministrazioni locali che di fatto, in fase di gara pubblica, rendono addirittura obbligatorio e/o premiale dotarsi di un sistema di prevenzione dei rischi conforme a quello previsto dal Modello 231.
[3] La 231, da quando è stata introdotta nel 2001, è un cantiere aperto, un continuo working in progress, con la quasi annuale introduzione di nuove fattispecie di reato presupposto (da pochi giorni dopo il traffico di influenze illecite è stata anche introdotta la fattispecie dei reati di frode sportiva ed esercizio abusivo dell’attività di giuoco e scommessa).
Attualmente, si superano i 200 articoli del codice penale, come fattispecie di reato richiamati per l’applicazione della responsabilità amministrativa degli Enti; addirittura, secondo alcuni, con l’introduzione del reato di autoriciclaggio astrattamente potrebbero rientrare fra i reati 231 tutte le violazioni del codice penale non puntualmente previste purché siano compiute nell’interesse e vantaggio economico dell’impresa e siano caratterizzate dai dettami previsti dalla Legge n. 186/14.