Il sistema dei controlli delineato dalla “231”
Le opportunità della correlazione tra
l’Organismo di Vigilanza e la Funzione di Compliance
...verso una Compliance 2.0
di Ermelindo Lungaro
(1^ puntata)
1.
Una premessa di contesto
L’8 giugno 2019 la “231[1]” ha
celebrato il diciottesimo anno di età ed è dunque divenuta “maggiorenne”.
Questo simbolico evento di celebrazione deve, a
parere di chi scrive, rappresentare un momento di riflessione sul sistema
delineato da questa normativa che ha posto nel panorama giuridico italiano le
fondamenta di una modalità di organizzazione, gestione e controllo aziendale
per un verso semplice, organica ed autoregolamentata e, per altro verso, idonea
a garantire una conduzione aziendale efficace e trasparente in un contesto di
continuità di medio e lungo termine e coerentemente con gli obiettivi
strategici che ciascuna realtà persegue.
E’ quindi opportuno che - in un momento in cui
è largamente diffusa nel sano tessuto politico e sociale l’esigenza di
trasparenza e di “ripudio” di comportamenti illeciti specie se legati alla corruzione
(che rientra fra i reati espressamente previsti dal D.Lgs 231/2001 quale fonte
di responsabilità degli Enti) - si rifletta compiutamente sul modello ex art 6
del D.Lgs 231/2001 considerandolo alla stregua di un asset di cui si dispone, con potenziali benefici sia in termini
organizzativo-gestionali che economico-strategici.
Le pagine che seguono, senza pretesa di
esaustività, vogliono offrire qualche spunto per una riflessione concreta
sull’essenza della normativa 231 e sulle opportunità che la stessa può consentire
in realtà (quali settore sanitario, bancario, assicurativo, PMI appartenenti a
gruppi internazionali, settore farmaceutico) che hanno adottato un Modello 231
e che dispongono nella propria struttura organizzativa di una Funzione di
Compliance.
Nello specifico il documento si propone di fornire
spunti di riflessione per un percorso che, se ben diretto con il coinvolgimento
dell’Organo di Vertice di indirizzo, veda via via implementarsi un sistema dei
controlli integrato che, nella specie, favorisca in particolare il raccordo tra
l’Organismo di Vigilanza - che ne è l’attore principale, il cervello che muove
razionalmente il “corpo” - e la Funzione di Compliance che ne deve costituire
le membra e le braccia a garanzia di assurance del Modello e di sua concreta ed
adeguata operatività.
2.
Il sistema dei controlli delineato dalla “231” e le sue opportunità
La normativa 231, in estrema sintesi, prevede
che soggetti diversi dalle persone fisiche (società, organismi, associazioni
anche prive di personalità giuridica) possano essere considerati responsabili
per reati commessi nel loro proprio interesse o vantaggio. Tale responsabilità
propria di queste entità si aggiunge, quindi - in modo distinto - alla
responsabilità penale propria della/e persona/e fisica/he che ha/nno commesso
il reato e si concretizza in sanzioni pecuniarie anche elevate e misure
interdittive che possono “paralizzare” la vita aziendale (sospensione o revoca
di autorizzazioni, licenze o concessioni e divieto di contrattare con la
Pubblica Amministrazione; esclusione da agevolazioni, finanziamenti, contributi
o sussidi, oltre all’eventuale revoca di quelli già concessi; divieto di
pubblicizzare beni o servizi; confisca; nei casi più gravi, interdizione
all’esercizio dell’attività; pubblicazione della sentenza di condanna).
Di fatto, la normativa 231 disegna - anche per
le società, gli enti e le associazioni - un sistema sanzionatorio che, al di là
della terminologia (responsabilità amministrativa) utilizzata dal Legislatore,
è di natura essenzialmente penale perché comuni sono gli intenti (tutela di
elevati valori di interesse pubblico) e comune è il meccanismo procedimentale e
sanzionatorio, pur dovendo quest’ultimo necessariamente considerare le
specificità proprie di soggetti diversi dalle persone fisiche (per la loro
connotazione appunto di “entità non fisiche”) che non ne rende possibile la
completa assimilazione quanto ai caratteri effettuali.
Ma attenzione!
La valenza della normativa 231 che qui preme
rimarcare non è quella sanzionatoria (pur molto pericolosa per la realtà
aziendale in considerazione delle ragioni sopra accennate), quanto quella
dell’opportunità che il Legislatore ha inteso in tal modo fornire a ciascun
operatore nel delineare uno strumento di autoregolamentazione dell’assetto
organizzativo, gestionale e di controllo che - se adeguatamente e concretamente
disegnato, attuato e verificato - non solo preclude la responsabilità, ma
addirittura garantisce il perseguimento degli obiettivi strategici nel contesto
delineato in premessa di efficacia e trasparenza.
La norma, infatti, espressamente prevede che l’Ente,
per escludere la propria responsabilità, deve adottare ed efficacemente attuare
un Modello di Organizzazione, Gestione e Controllo e nominare un Organismo di
Vigilanza indipendente, dotato di autonomi poteri di iniziativa e di controllo
al fine di garantire la supervisione sul funzionamento e l'osservanza del
Modello.
Requisiti essenziali del Modello sono: (i)
individuazione delle attività nel cui ambito possono essere commessi i reati;
(ii) definizione di specifici protocolli diretti a programmare la formazione e
l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire;
(iii) individuazione di modalità di gestione delle risorse finanziarie idonee
ad impedire la commissione dei reati; (iv) previsione di obblighi di
informazione nei confronti dell’Organismo di Vigilanza e di canali di
segnalazione che garantiscano riservatezza dell'identità del segnalante e
divieto di atti di ritorsione o discriminatori (v) introduzione di un sistema
disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello.
Ecco dunque che la normativa 231 lascia nel suo
complesso strutturale intravvedere in modo evidente l’orientamento anche del
Legislatore ad una visione sistemica della necessità - per ogni realtà più o
meno complessa, profit, o non profit, industriale o di servizi, commerciale o
sanitaria - di disporre di un modello gestionale che disegni un “sistema
azienda” con approccio risk-based e,
dunque, orientato alla gestione del rischio, alla prevenzione di illeciti ed
alla conseguente individuazione di buone pratiche e raccomandazioni previste
dalla regolamentazione interna. Al disegno deve accompagnarsi l’efficace
attuazione, anche attraverso adeguata e sistematica formazione “sul campo”,
nonché l’implementazione di idonei flussi informativi che consentano
monitoraggio e conseguentemente, all’occorrenza, tempestivo aggiornamento.
Questo approccio della normativa 231 - che è
andato via via consolidandosi nella sua evoluzione giurisprudenziale e
culturale - ha trovato poi conferma in ulteriori rilevanti provvedimenti
normativi anche di contesto internazionale e locale[2] con
specifica disciplina, tra l’altro, afferente:
- la protezione dei dati di carattere personale;
- l’antiriciclaggio;
- la prevenzione della corruzione nel settore
pubblico con la Legge 190/2012 e con la codifica e diffusione di un’apposita best practice (la UNI ISO 37001 -
Sistemi di Gestione Anticorruzione);
- la responsabilità medica di cui alla c.d Legge Gelli (come da ultimo
riconsiderata), in ambito sanitario.
Non secondario, poi, in questa
vision del Legislatore è il
progressivo ampliamento del catalogo dei reati presupposto (ovvero delle
specifiche fattispecie di illecito considerate dalla norma quale fonte di responsabilità
per gli Enti) tendente sempre più a ricomprendere nel perimetro di riferimento
ogni forma di illecito che violi diritti a valenza pubblica e che può evitarsi
con un comportamento aziendale di buona gestione e non ascrivibile, quindi, a
“colpe” di organizzazione[3].
Il disegno di autoregolamentazione che la
normativa richiede è quindi quello di un idoneo Modello che garantisca una corretta
prevenzione dei rischi da illecito attraverso una gestione aziendale sana,
efficace e trasparente, preservando, più in generale, dal complessivo rischio
di mala gestio.
In questa ottica il Modello diventa
sistemicamente presupposto fondamentale e veicolo di implementazione di un
adeguato sistema di controllo interno, ovvero dell’insieme di regole, procedure
e strutture organizzative atte a conseguire (i) la conduzione aziendale
coerente con gli obiettivi prefissati; (ii) l’individuazione, la valutazione,
la mitigazione ed il monitoraggio dei rischi; (iii) la salvaguardia del
patrimonio sociale; (iv) l’affidabilità delle informazioni; (v) il rispetto
della normativa; (vi) l’efficienza, l’efficacia e l’economicità dei processi
aziendali e dell’impiego delle risorse.
In effetti, una compiuta definizione degli
obiettivi strategici ed una conseguente conduzione in continuità dell’azienda
in coerenza con tali obiettivi (e quindi prevenendone i rischi) in un
“ambiente” di legalità, trasparenza, eticità e correttezza costituiscono il
contesto tanto necessario quanto al tempo stesso potenzialmente fragile della
vita di una qualsiasi entità aziendale.
Un’azienda - profit o non profit, industriale o
di servizi, individuale o collettiva - può infatti operare solo e nella misura
in cui sia in grado di: (i) definire i propri obiettivi misurabili di natura strategico-operativa
attraverso decisioni consapevoli; (ii) implementarli conseguentemente, coerentemente
e monitorarli; (iii) avere garanzia di sostenibilità che le assicuri i mezzi
necessari in un’ottica di continuità nel tempo; (iv) operare in un contesto di
legalità, venendo meno il quale si generano responsabilità pecuniarie o
interdittive - di natura amministrativa, civile, oltre che, per le persone
fisiche, penali - che inevitabilmente pregiudicano il conseguimento degli
obiettivi stessi e, nei casi più gravi come si è in precedenza accennato, la
vita dell’azienda medesima.
Una siffatta adeguatezza del sistema di
controllo interno genera in modo esponenziale valore aggiunto in termini di
benefici specifici sul piano sia esterno sia interno, prima ancora che
costituire presupposto di esonero di responsabilità.
Un adeguato sistema di controllo interno
facilita, infatti, il rapporto con tutti gli interlocutori, offrendo loro
garanzia di affidabilità delle informazioni e di correttezza dei comportamenti
e mantenendo elevata l’immagine aziendale.
Sul piano interno un adeguato sistema di
controllo interno è idoneo a garantire assurance agli Organi Sociali ai fini
delle proprie decisioni consapevoli e supporto al management nello svolgimento
delle proprie attività.
In questo quadro, l’efficace adozione ed
implementazione di un Modello di Organizzazione, Gestione e Controllo diventa strumento
di continuo e progressivo consolidamento del percorso di sviluppo di governance, in modo tale da fondarlo sempre
più su trasparenza e controllo, quali essenziali leve gestionali per il
perseguimento degli obiettivi aziendali e snodo cruciale e strategico del
governo di un’azienda.
...segue la 2^ parte dell'articolo (click qui)
[1] D.Lgs. 8-6-2001 n. 231
- Disciplina della responsabilità amministrativa delle persone giuridiche,
delle società e delle associazioni
anche
prive di personalità giuridica, a norma dell'articolo 11 della legge 29
settembre 2000, n. 300.
[2] Tenuto conto della
brevità e dello scopo del presente approfondimento, si omettono gli specifici riferimenti
a provvedimenti normativi di Amministrazioni locali che di fatto, in fase di
gara pubblica, rendono addirittura obbligatorio e/o premiale dotarsi di un
sistema di prevenzione dei rischi conforme a quello previsto dal Modello 231.
[3] La 231, da quando è
stata introdotta nel 2001, è un cantiere aperto, un continuo working in progress, con la quasi
annuale introduzione di nuove fattispecie di reato presupposto (da pochi giorni
dopo il traffico di influenze illecite è stata anche introdotta la fattispecie
dei reati di frode sportiva ed esercizio abusivo dell’attività di giuoco e
scommessa).
Attualmente, si superano i 200 articoli
del codice penale, come fattispecie di reato richiamati per l’applicazione
della responsabilità amministrativa degli Enti; addirittura, secondo alcuni,
con l’introduzione del reato di autoriciclaggio astrattamente potrebbero
rientrare fra i reati 231 tutte le violazioni del codice penale non
puntualmente previste purché siano compiute nell’interesse e vantaggio
economico dell’impresa e siano caratterizzate dai dettami previsti dalla Legge
n. 186/14.