Responsabilità da reato delle imprese

Pubblicato il 21 luglio 2016

Costruzione dei Modelli di gestione e controllo

La responsabilità da reato delle imprese ex D.Lgs. 8 giugno 2001, n. 231 rappresenta un tema estremamente attuale per la presenza di diverse tipologie di illeciti, di cause che ne determinano l’insorgere, nonché per i vari interventi di prassi che hanno reso tale impianto normativo sempre più pervasivo e incisivo nella vita delle aziende. Non può inoltre non essere considerato l’ampliamento dei destinatari della normativa ad opera della giurisprudenza che si è formata nel corso del tempo, e che ha contribuito a colmare alcune lacune o zone d’ombra che la disciplina presentava in tal senso, includendo nel perimetro applicativo del Decreto 231, enti pubblici economici, società miste a partecipazione pubblica, operatori del terzo settore, studi professionali, ecc.

L’impianto normativo in questione ha rappresentato una svolta dell’ordinamento legislativo all’interno del quale sono state introdotte forme dirette di responsabilità per soggetti collettivi,  che possono esserne esonerati se dimostrano di aver adottato e attuato una serie di meccanismi preventivi rispetto alla commissione dei reati, che sono individuati da un apposito “Modello organizzativo”.

Destinatari di tale Modello sono tutti i soggetti tenuti ad adeguare le proprie azioni e i propri comportamenti ai principi, agli obiettivi, ai protocolli e alle procedure previste dalla norma. Sono in particolare tenuti a rispettare le disposizioni previste nel Modello:

• gli amministratori e coloro che rivestono funzioni di rappresentanza, di amministrazione o di direzione di enti o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché coloro che esercitano, anche di fatto la gestione e il controllo di una società;
• coloro che intrattengono con la società un rapporto di lavoro subordinato od occasionale;
• i soggetti che collaborano con la società, in forza di un rapporto di lavoro parasu-bordinato;
• coloro che pur non facendo parte della società, operino o abbiano rapporti con essa.

Le disposizioni del Modello riguardano non solo coloro che sono legati alla società da un rapporto di lavoro dipendente, ma anche i soggetti che agiscono sotto la direzione o vigilanza dei vertici aziendali dell’ente. 

La complessa struttura del D.Lgs. 231/2001, che associa elementi di carattere giuridico-penale ad altri di natura aziendalistica, richiede per l’implementazione del Modello il concorso di competenze ampie ed eterogenee. Da qui la necessità che le relative attività vengano svolte da un gruppo di lavoro. Tale soluzione consente di armonizzare al meglio le competenze specifiche di ciascun componente e conseguentemente di massimizzare il risultato in termini di maggiore garanzia di tenuta e di efficacia del Modello.

La prassi consolidatasi in questi anni rivela come la composizione ottimale del “Gruppo 231” preveda l’apporto misto di consulenti esterni e di personale interno e in relazione a quest’ultimo, normalmente viene individuato un responsabile per svolgere funzioni di raccordo tra il gruppo e l’Ente nel quale viene svolta l’attività di compliance.

Costruzione del Modello  

Per implementare un Modello organizzativo ex D.Lgs. 231/2001, è necessario effettuare in via preliminare un’attività di check up aziendale che consenta di pervenire ad un buon grado di conoscenza generale dell’ente allo scopo di individuare gli aspetti che saranno oggetto di approfondimento e di specifico esame nelle fasi successive.

L'analisi volta all’acquisizione della documentazione necessaria, nonché ad una prima individuazione di attività sensibili e dei fattori di rischio, dovrebbe riguardare i seguenti elementi:

• dimensione e complessità;
• tipo di attività svolta e interlocutori;
• appartenenza ad un gruppo nazionale o internazionale;
• struttura organizzativa;
• preesistenza di un'etica aziendale e di principi codificati;
• suddivisione del potere di gestione;
• ambiente di lavoro.

Successivamente all’attività di check-up, bisognerà iniziare ad elaborare un Modello tenendo conto dell’analisi dei meccanismi di controllo e prevenzione già esistenti all’interno dell’ente. In tale ambito è opportuno richiamare le migliori pratiche e le più significative esperienze internazionali, tra cui il CoSO Report, (Committee of Sponsoring Organizations) uno dei principali riferimenti relativi alla valutazione dell’efficacia dei sistemi posti in essere da imprese private ed enti pubblici, nonché per qualunque tipo di riflessione in materia di Sistema di Controllo Interno (SCI). 

La definizione di controllo interno proposta da tale framework evidenzia le caratteristiche principali individuandole sinteticamente nel concetto di processo che deve essere interpretato come complesso di azioni e funzioni che tendono al raggiungimento di determinati fini e risultati, attraverso la combinazione di diverse componenti quali:

• l’ambiente di controllo;
• la valutazione del rischio;
• le attività di controllo;
• l’informazione e comunicazione;
• il monitoraggio.

Attesa la peculiare disciplina del D.Lgs. 231/2001, l’analisi del sistema di controllo interno già esistente va integrata e modificata per renderlo conforme al dettato normativo. In tal senso l'analisi di ciascuna componente del sistema di controllo interno risulta indispensabile per comprendere al meglio il modello di business aziendale, per individuare le aree a rischio reato e prevedere gli specifici protocolli diretti a prevenire la commissione dei reati stessi.

Il rischio può essere scomposto in quattro componenti fondamentali:

• il potenziale pericolo che l'evento patologico possa effettivamente verificarsi;
• la probabilità di tale evenienza;
• le conseguenze e l'impatto dell'evento;
• l'esposizione al rischio, rappresentata dall'interrelazione tra la probabilità che il rischio si concretizzi e il suo impatto potenziale sull'Ente.

L’adeguamento del sistema di controllo

La determinazione della soglia di tolleranza al rischio è un'operazione fondamentale per dell'implementazione del Modello e delle azioni di risposta da mettere in campo. Solo se il livello di rischio verificato è considerato superiore a quello accettabile, sarà necessario intervenire attraverso operazioni di riduzione o mitigazione del rischio che nel caso di specie si estrinsecheranno prevalentemente nella realizzazione di appositi protocolli e meccanismi di controllo.

Il sistema dei controlli che l'Ente intende adottare costituisce la parte concreta e visibile del Modello organizzativo e quella che interviene in maniera più incisiva sulle pratiche operative e sulle routine della Società, in alcuni casi modificandole radicalmente, attraverso la costruzione di una serie di protocolli e procedure atte a prevenire la commissione degli illeciti previsti dalla normativa.

Integrazione tra Modello 231 e altri sistemi aziendali di gestione e controllo

La fase di check up aziendale consente di verificare anche quali siano i sistemi aziendali di gestione e controllo, le certificazioni già esistenti e di valutarne l’effettivo funzionamento. L’importanza di una simile attività è cresciuta nel tempo, atteso che l’ampliamento del catalogo dei reati ha portato all’inclusione nel perimetro applicativo della norma di illeciti relativi a salute, sicurezza sul lavoro e reati ambientali.

Nel momento in cui dovessero già essere presenti principi di prevenzione e procedure formalizzate, sarà necessario integrarli con i protocolli da realizzare e da attuare in “ottica 231”. In ogni caso l’implementazione di un sistema certificato di misure organizzative e preventive è già segno di un orientamento dell’azienda verso la cultura del rispetto delle regole, che sicuramente può rappresentare un importante fattore per la costruzione di modelli tesi alla prevenzione di reati.

Detto ciò i sistemi di gestione e controllo già presenti in azienda con relative certificazioni non possono configurarsi come strumenti sostitutivi del Modello 231 ai fini dell’esonero dalla responsabilità ivi prevista. Si pensi ad esempio al tema relativo agli adempimenti previsti dal D.Lgs. 81/2008 in relazione a salute e sicurezza sul lavoro, riguardo al quale è stato da più parti evidenziato come i documenti di valutazione dei rischi redatti ai sensi degli artt. 26 (DUVRI) e 28 ( DVR):

• non sono equiparabili al Modello organizzativo e gestionale di cui al D.Lgs. 231/2001;
• non assicurano l'efficacia esimente di cui agli artt. 6 e 7 del D.Lgs. 231/2001.

Ambito di commissione dei reati

Per elaborare protocolli e procedure efficaci con funzione preventiva, è necessario in primo luogo tenere conto delle potenziali modalità di commissione del reato. Il momento consumativo dell’illecito deve essere poi analizzato alla luce dei processi effettivamente presenti all’interno dell’organizzazione, oltre ad essere abbinato alle funzioni e alle aree aziendali che intervengono nello svolgimento delle attività operative, al fine di definire al meglio i presidi preventivi. La necessità di un siffatto approccio è affermata dalla stessa norma che (comma 6, lett. 2, a) impone di “individuare le attività nel cui ambito possono essere commessi i reati”.

Congruità e intensità dei controlli

Uno sviluppo del Modello che rispetti i principi generali di adeguatezza, con riferimento ai reati previsti dalla norma, impone il coordinamento e l’idoneità dei controlli previsti dal Modello e dalle procedure cui lo stesso rinvia.

L’intensità dei controlli e le modifiche al sistema di controllo interno esistente dipendono dal livello di rischio che si è disposti ad accettare. Gli organi direttivi di ogni organizzazione saranno tenuti in via preliminare, a definire il livello di rischio che essi sono disposti a sostenere, per adeguare le attività di controllo e monitoraggio in base al grado di rischio stabilito, tralasciando il controllo delle aree che non rispettano i parametri definiti.

L'analisi di tali fattori è fondamentale al fine di garantire il trade-off ottimale tra riduzione dei rischi e costi del controllo, intesi come rallentamenti o eccessiva burocratizzazione dell’attività operativa. Di conseguenza al fine di evitare di danneggiare le attività operative dell'ente attraverso l'istituzione di procedure eccessivamente rigorose che avrebbero l'effetto di paralizzarne il regolare svolgimento, è necessario utilizzare come riferimento il generale principio invocabile anche nel diritto penale dell’esigibilità concreta del comportamento.

Separazione delle funzioni

In linea con quanto fin qui delineato, risulta evidente che nessun soggetto dovrebbe gestire in autonomia un intero processo in quanto le diverse attività che lo compongono non devono essere in toto assegnate a un solo individuo ma suddivise tra più attori. Per tale motivo la struttura delle procedure aziendali deve garantire la separazione tra le fasi di:

• decisione;
• autorizzazione;
• esecuzione;
• controllo;
• registrazione e archiviazione

delle operazioni riguardanti le diverse attività aziendali, con specifico riferimento a quelle ritenute maggiormente sensibili, ovvero soggette a un elevato rischio reato.

Gestione delle risorse finanziarie

Tra i pochi spunti offerti in maniera diretta dalla norma, si sottolinea uno specifico riferimento alla necessità di individuare “modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati”.

A tale aspetto dovrà essere dedicata particolare attenzione per poter definire procedure che garantiscano una trasparente e corretta gestione della liquidità dell’Ente. Una cattiva gestione delle risorse finanziarie potrebbe rivelarsi strumentale alla commissione di alcuni reati-presupposto caratterizzati anche da sanzioni molto incisive, quali riciclaggio, autoriciclaggio, corruzione, ecc. Di conseguenza è opportuno che il Modello preveda apposite procedure tese a stabilire soglie di importo, meccanismi di firme abbinate, deleghe formali per i rapporti bancari e i pagamenti e tutti i presidi necessari alla riduzione dei rischi in quest'ambito.

In tal senso, deve risultare in modo evidente ed esplicito che l’introduzione di qualsivoglia prassi non codificata costituisce una violazione del Modello.

L’ODV (Organismo di vigilanza)

Il D.Lgs. 231/2001 prevede che il compito di vigilare sul funzionamento e l'osservanza dei modelli, di curare il loro aggiornamento sia stato affidato ad un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo. In mancanza di tale organo, anche il più strutturato Modello organizzativo non potrà definirsi efficacemente attuato e non sarà in grado di evitare le sanzioni a carico dell'ente in caso di commissione di illeciti. Al fine di assolvere al meglio alla relativa funzione, è necessario realizzare l’ottimale composizione dell’organismo di vigilanza con particolare riferimento alle caratteristiche dei soggetti che lo compongono. Posto che il dettato normativo è abbastanza scarno e menziona solo gli “autonomi poteri di iniziativa e di controllo”, è opportuno fare riferimento alla prassi e alla giurisprudenza.

Per ciò che concerne i necessari requisiti di connotazione dei componenti dell’OdV, vengono individuati:

• il requisito dell’indipendenza che pur non essendo espressamente richiamato dal D.Lgs. 231/2001, viene comunemente incluso tra quelli richiesti all’OdV in quanto individua la necessaria condizione di assenza di conflitto di interesse e di indipendenza nei confronti della società e, quindi, del suo management;
• all’OdV sono assegnati tutti i poteri necessari e opportuni per l’efficace svolgimento delle proprie attività senza alcuna forma di interferenza o condizionamento da parte dell’Ente (e in particolare dei soggetti apicali).
• i membri devono essere in possesso di competenze professionali adeguate alle funzioni che sono chiamati a svolgere (ad esempio in ambito giuridico e in particolare penale, in ambito amministrativo-contabile), nonché di strumenti e tecniche per poter efficacemente svolgere la propria attività.
• sebbene il D.Lgs. 231/2001 non contenga alcuna esplicita indicazione in merito ai requisiti di onorabilità dei componenti l'OdV, si desume dalla logica del Decreto stesso l’opportunità, anche per ragioni di coerenza del sistema, nonché per rispondere alle censure che potrebbero essere sollevate in sede giudiziaria, che il Modello preveda specifiche cause di ineleggibilità quale componente dell’Organismo di Vigilanza e di incompatibilità alla permanenza nella carica. 

Sulla base delle attività da svolgere e dei requisiti sopra richiamati, è possibile suggerire una modalità di composizione dell’OdV che possa dare vita a un organismo in grado di assolvere le funzioni richieste dalla norma. Al fine di rendere l’OdV quanto più autonomo e indipendente, appare altresì opportuno escludere dall’organismo di vigilanza qualsiasi soggetto che per la posizione ricoperta all’interno dell’ente, possa porre in essere o favorire uno degli illeciti rilevanti e contestualmente, trovarsi nella condizione di vigilare sull’effettività e adeguatezza del Modello, facendo così emergere un evidente conflitto di interessi e una sovrapposizione tra il ruolo di controllore e di controllato. In altri termini occorre escludere dai "candidati" tutti coloro che in funzione della mansione/incarico svolto per l’Ente, a qualsiasi livello, possano trovarsi coinvolti in processi sensibili in relazione al Decreto.

Attività di vigilanza

Le funzioni dell'Organismo di Vigilanza si evincono dall'art. 6, comma 1, lett. b) del D. Lgs. 231/2001, che prevede in capo allo stesso l'obbligo di "vigilare sul funzionamento e l'osservanza dei modelli e curare il loro aggiornamento".

L'organismo di vigilanza in quanto "garante" del Modello deve svolgere una serie di attività analitiche e funzionali necessarie a mantenere efficiente e operativo lo stesso e che possono essere raggruppate nelle seguenti macro-aree:

• analisi, vigilanza e controllo;
• aggiornamento del Modello;
• formazione.

Nell'ambito dell'attività di vigilanza, l'Organismo effettuerà, ad esempio, i seguenti interventi:

• verifiche sul rispetto delle leggi e del Modello da parte di tutti i destinatari;
• controlli sulle operazioni di gestione finanziaria e di tesoreria, al fine di evitare la costituzione di fondi neri o riserve occulte;
• verifiche periodiche sulle operazioni di maggior rilievo;
• controlli in caso di ispezioni o accertamenti della pubblica autorità;
• verifiche sulla regolarità formale e sull’utilizzo dei moduli e dei format previsti nei pro-tocolli;
• interventi con gli organi deputati al controllo contabile in prossimità della redazione delle comunicazioni sociali e della redazione del progetto di bilancio;
• verifiche sulla tenuta sul rispetto e l'interpretazione del Codice Etico, del Modello e delle procedure aziendali di attuazione;
• accertamenti sul documento di valutazione dei rischi in materia di salute e sicurezza sul lavoro e sul suo costante aggiornamento.

In coerenza con il principio di verificabilità, laddove se ne ravvisi l’esigenza in relazione all’attività dell’Ente, alle sue dimensioni e al settore di riferimento, il Modello potrà opportunamente prevedere la possibilità per l’OdV di accedere ai libri sociali.

L’OdV svolge le proprie verifiche circa il rispetto dei contenuti del Modello principalmente sulla base di una pianificazione preliminare di controlli da svolgere su un orizzonte temporale di norma annuale. La periodicità di svolgimento delle verifiche (trimestrale, semestrale, annuale, continua) è definita in considerazione della tipologia stessa della verifica.

Gli obiettivi, l’oggetto, le modalità di svolgimento e gli esiti di ciascun controllo, sono formalizzati in un apposito report. L’OdV, con cadenza periodica (semestrale o annuale), predispone una relazione riepilogativa delle attività complessivamente svolte nel periodo in analisi, ponendo evidenza, in particolare, alle criticità eventualmente riscontrate. Tutta la documentazione raccolta o prodotta è conservata in un apposito archivio accessibile esclusivamente ai componenti dell’OdV.

Flussi informativi

Il D.Lgs. 231/2001 prevede l’obbligo di stabilire appositi flussi informativi nei confronti dell'OdV, relativi sia all’esecuzione di attività sensibili, sia a situazioni anomale o possibili violazioni del Modello. Tutti i soggetti che fanno riferimento all’attività svolta dall’ente dovranno quindi garantire la massima cooperazione, trasmettendo all’OdV ogni informazione utile per l’espletamento delle funzioni che gli sono proprie. Vengono istituiti a tale scopo appositi mezzi di comunicazione (casella di posta elettronica dedicata), qualora la natura della segnalazione richieda la confidenzialità di quanto segnalato, al fine di evitare eventuali atteggiamenti ritorsivi nei confronti del segnalante. I flussi informativi devono avere natura bidirezionale, consentendo ai destinatari del Modello di informare costantemente l'OdV e a quest’ultimo di interagire/retroagire con gli stessi soggetti.

Al fine di garantire la segnalazione tempestiva di eventuali violazioni, anche in questo caso un utile strumento può essere rappresentato da apposite “schede di evidenza” delle operazioni, all’interno delle quali riportare le informazioni principali relative a processi/attività particolarmente “sensibili”.

Quadro Normativo

Decreto Legislativo n. 231 del 8 giugno 2001 “Decreto 231”