Aspetti generali: i principi di riferimento 1. La ... · disposizioni contenute nella Convenzione...

1.1. LA NORMATIVA VIGENTE E L’EVENTUALE EVOLUZIONE

La normativa emanata nel 2001 come disciplina del recepimento di varie Convenzioni inter-nazionali anticorruzione 1 e quindi circoscritta inizialmente ai reati ed illeciti nei rapporti traprivati e pubblica amministrazione, all’indebita percezionedi finanziamenti, alla corruzione;si e via via estesa amaterie come i reati societari e finanziari, almarket abuse per concluderecon i reati sul diritto di autore, false informazioni, ambientali (Tavola 1.1) e, possiamoimmaginare, che altri reati, quali i reati ed illeciti fiscali, potranno essere inclusi in futuro.

Tavola 1.1 - Reati ed illeciti ex D.Lgs. 231/2001 2

I) Indebitapercezionedi erogazioni, truffa in dannodello Stato odi unente pubblico oper ilconseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di unente pubblico (art. 24 del Decreto) - Concussione, induzione indebita a dare o prometterealtra utilita e corruzione (art. 25 del Decreto);

II) Reati informatici e trattamento illecito di dati (art. 24 bis del Decreto);

III) Reati di criminalita organizzata (art. 24 ter del Decreto) - Reati con finalita di terrorismoodi eversione dell’ordine democratico previsti dal codice penale e dalle leggi speciali (art.25 quater del Decreto) - Reati di ricettazione, riciclaggio e impiego di denaro, beni o utilita diprovenienza illecita, nonche autoriciclaggio (art. 25 octies del Decreto);

IV) Reati di falsita inmonete, in carte di pubblico credito, in valori in bollo e in strumenti osegni di riconoscimento (art. 25 bis del Decreto);

V) Reati contro l’industria ed il commercio (art. 25 bis 1 del Decreto);

VI) Reati societari (art. 25 ter del Decreto);

VII) Reati contro la personalita individuale (art. 25 quinquies del Decreto) - Reati di pratichedi mutilazione degli organi genitali femminili (art. 25 quater 1 del Decreto);

VIII) Reati di abuso di mercato (art. 25 sexies del Decreto);

IX) Reati di omicidio colposo e lesioni gravi o gravissime, commessi con violazione dellenorme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 25 septies delDecreto);

1 La responsabilita amministrativa delle persone giuridiche e stata introdotta nell’ordinamento italiano in esecu-zione di diverse Convenzioni internazionali quali la Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degliinteressi finanziari della Comunita europea, la Convenzione di Bruxelles del 26 maggio 1997 sulla lotta allacorruzione di funzionari pubblici sia della Comunita europea che degli Stati membri, la Convenzione OCSE del17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed interna-zionali, la Convezione ed i Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottatidall’Assemblea generale il 15.11.2000 ed il 31.05.2001, ratificato con legge n. 146 del 2006. Rilevanti si presentano ledisposizioni contenute nella Convenzione del Consiglio d’Europa sulla criminalita informatica redatta a Budapestnel novembre 2001 e quella per la prevenzione del terrorismo firmata a Varsavia nel 2005, e la Convenzione delleNazioni Unite contro la Corruzione di Merida del 2003.2 I reati ed illeciti qui esposti possono essere soggetti a variazioni ed aggiornamenti a causa della continuaevoluzione della normativa di riferimento; quindi possono subire in futuro integrazioni e modifiche anche signi-ficative.

Q Wolters Kluwer Italia 7

Aspetti generali: i principi di riferimento 1.

La normativa vigente e l’eventuale evoluzione 1.1.

X) Reati in materia di violazione del diritto d’autore (art. 25 novies del Decreto);

XI) Reati di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaciall’autorita giudiziaria (art. 25 decies del Decreto);

XII) Reati ambientali (art. 25 undecies del Decreto);

XIII) Reato di impiego di cittadini di paesi terzi il cui soggiorno e irregolare (art. 25duodecies del Decreto);

XIV) Ulteriori reati previsti in altri provvedimenti normativi– Reati transnazionali (artt. 3 e 10 L. 146/2006) (controlli inclusi in III)– Abbandono di rifiuti (art. 192 D.Lgs. 152/2006) (controlli inclusi i XII)– Responsabilita degli enti per gli illeciti amministrativi dipendenti da reato (art. 12, L. n. 9/2013)

(costituiscono presupposto per gli enti che operano nell’ambito della filiera degli oli vergini dioliva)

Nel decreto si sono inclusi reati ed illeciti quali il terrorismo internazionale, l’infibula-zione e sicurezza sul lavoro che, forse, poco hanno in comune con il progetto d’originedi mettere in condizione l’autorita giudiziaria di combattere le sfide piu sofisticate dellacriminalita economica.Si fa notare come i reati indicati nel D.Lgs. 231/2001 abbiano riferimento nel «GlobalCompact» 3.Di contro le pene e le misure cautelari previste sono realmente in grado di mettere inginocchio un’azienda in quanto queste spaziano dal commissariamento, alla sospen-sione dell’attivita, alla revoca di finanziamenti ed agevolazioni per finire con il divieto diaccettare commesse pubbliche.E il Modello di Organizzazione, Gestione e Controllo (MOGC) il punto critico di questianni di applicazione del D.Lgs. 231/2001.I «Modelli Organizzativi» sono definiti nella cosiddetta «Parte Generale» 4 e nelle Partiriservate che accolgono gli «Specifici Protocolli» definiti dall’art. 6 comma 2b.Sussiste ancora il problema di adattare questi modelli organizzativi alle PMI 5 (Piccole eMedie Imprese), argomento di estremo interesse: la Corte di Cassazione con sentenza15657/2011 ha sancito l’applicabilita del decreto 231/2001 anche alle imprese indivi-duali (Tavola 1.2).

3 App. 10, - www.globalcompact.org.4 La parte generale del Modello e trattata nei capitoli 6 e 7 del volume dove si offrono al lettore due Modelli diOrganizzazione, Gestione e Controllo che possono essere confrontati con quelli gia inseriti in rete o pubblicati.Detti capitoli espongono molteplici procedure di carattere generale ma non scendono nell’analisi dei protocolli edelle metodologie di controllo interno necessarie per impedire la commissione del reato od illecito specifico;procedure e protocolli che conferiscono al Modello quel carattere «esimente» previsto dalla legge e che sono trattatinei capitoli 8 e 9.5 Trattato dal D.M. 13/2/2014 (G.U. n. 45 del 24/2/2014) ma solo per la sicurezza sul lavoro (CD allegato).

8 Q Wolters Kluwer Italia

1. Aspetti generali: i principi di riferimento

1.1. La normativa vigente e l’eventuale evoluzione

Tavola 1.2 - Evoluzione nell’interpretazione dei soggetti destinatari responsabili delleprevisioni del D.Lgs. 231/2001 (Source: GdF circolare 83607/2012Volume III pag. 5)

Con la sentenza n. 18941/2004, la Suprema Corte ha statuito, in un primo momento, che la respon-sabilita amministrativa poteva essere applicata solo agli enti dotati di personalita giuridica in formasocietaria e pluripersonale, escludendo cosı dal novero dei destinatari della disciplina le impreseindividuali 6

Sul punto, pero, piu di recente e intervenuta nuovamente la Corte di Cassazione che con sentenza n.15657, depositata il 21 aprile 2011, ha scelto un orientamento piu severo, specificando che se eindubbio che la disciplina dettata dal D. Lgs n. 231/01 e senz’altro applicabile alle societa a respon-sabilita limitata cc. dd. «uni personali», e altrettanto vero che molte imprese individuali spessoricorrono ad un organizzazione interna complessa che prescinde dal sistematico intervento deltitolare dell’impresa per la soluzione di determinate problematiche e che puo spesso involgere laresponsabilita di soggetti diversi dall’imprenditore, che operano nell’interesse della stessa personaindividuale.In questo senso, secondo la Corte, i soggetti che possono essere colpiti dalla norma vanno indivi-duati non solo attraverso la loro esplicita previsione «ma ben possono essere identificati sulla basedell’appartenenza alla generale categoria degli enti forniti di personalita giuridica nonche disocieta e associazioni anche prive di personalita giuridica»; per la Cassazione, quindi, non si puonegare che l’impresa individuale possa essere assimilata a una persona giuridica nella quale viene aconfondersi la persona dell’imprenditore come soggetto fisico che esercita una determinata attivitad’impresa. Il che porta alla conclusione che «da un punto di vista tecnico, per impresa deve inten-dersi l’attivita svolta dall’imprenditore-persona fisica per la cui definizione deve farsi rinvio agliarticoli 2082 e 2083 del codice civile».Secondo i giudici, ne consegue, pertanto, che una lettura costituzionalmente orientata della normadovrebbe indurre a conferire al disposto di cui al comma 2 dell’articolo 1 del decreto in parola unaportata piu ampia, tanto piu che non cogliendosi nel testo alcun cenno riguardante le impreseindividuali, la loro mancata indicazione non equivale ad un’esclusione,ma semmai ad un’implicitainclusione nell’area dei destinatari della norma.

Trattando dell’effetto «esimente» del Modello questo dovrebbe prodursi e realizzarsi nelcaso che i protocolli e le procedure di controllo interno poste in essere dall’aziendafossero violati sottostando a quattro fattori stabiliti dall’art. 6 comma 1:a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del

fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie diquello verificatosi;

b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loroaggiornamento e stato affidato a un organismo dell’ente dotato di autonomi poteri diiniziativa e di controllo;

6 Corte di Cassazione - Sentenza 15657/2011: «peraltro e indubbio che la disciplina dettata dal decreto 2317/01 siasenz’altro applicabile alle societa a. responsabilita limitata c.c. «uni personali» cosı come e notorio che molteimprese individuali ricorrono ad una organizzazione interna complessa che prescinde dal sistematico interventodel titolare dell’impresa per la soluzione di determinate problematiche che puo spesso involgere la responsabilitadi soggetti diversi dall’imprenditore ma che operano nell’interesse della persona individuale. In senso conformeanche G.I.P. presso il Tribunale di Roma, ordinanza in data 30 maggio 2003.




c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di orga-nizzazione e di gestione;

d) non vi e stata omessa o insufficiente vigilanza da parte dell’organismo di cui allalettera b).

In presenza di tali condizioni il modello dimostratosi inefficace superera il giudizio diidoneita.Adottando il modello con carattere «esimente» la societa dovra creare uno strumento cheeffettivamente possa ridurre gli eventuali rischi di commissione dei reati ed illeciti statuitievitando di cadere in derive esclusivamente formalistiche; in effetti e evidente come siaimpossibile delineare un modello universalmente valido: settori merceologici differenti esoglie dimensionali dell’impresa sono due tra i fattori che influisconomaggiormente sullecaratteristiche che un modello dovrebbe avere per svolgere efficacemente la sua azionepreventiva. L’operare in un settore merceologico in luogo di un altro puo infatti aumen-tare la propensione alla commissione di alcune tipologie di reato.Per questomotivo l’Ente dovra aver cura di creare uno strumentoquantopiu adatto «tailored»alla propria struttura in modo che non possa essere oggetto a censure di inidoneita.Elemento essenziale nel quale il progetto di prevenzione affonda le proprie radici ecostituito da un’attenta e minuziosa attivita di «audit» la quale deve produrre una map-patura dettagliata delle attivita della societa, delle deleghe, delle procedure esistenti edei controlli in essere.Da tale lavoro il professionista puo trarre gli elementi necessari per individuare leattivita a rischio e predisporre i controlli generici e i protocolli specifici per prevenirei reati ed illeciti previsti.In genere particolare attenzione sara posta in tutte quelle attivita di «boundary» o diconfine tra l’Ente ed il modo economico, finanziario ed umano che e esterno ad esso.Durante la progettazione ed attuazione del Modello di Organizzazione, Gestione eControllo dovra essere impegno particolare degli organi di Governance di curare ladiffusione, ad ogni livello aziendale, della conoscenza della normativa, dei comporta-menti specifici indicati nelle procedure di controllo interno e dai protocolli adottati.La formazione e l’informazione del personale dell’azienda dovranno essere curati dal-l’ente con particolare diligenza.

1.1.1 L’eventuale evoluzione 7

Si riporta quanto proposto nella passata legislatura non essendo a conoscenza di altreiniziative parlamentari ma si puo ritenere che le argomentazioni non possano disco-starsi di molto da quanto dibattuto finora e esposto nel seguito 8.Nel corso del 2010 sono stati proposti due progetti innovativi e nuove eventuali regole 9:

7 Gli autori consigliano la consultazione del «Position Paper» pubblicato con data 9 marzo 2016 dall’ AODV:Documento di consultazione «Proposta di riforma del D.Lgs. 8 giugno 2001 n. 231».8 Proposta di legge n. 3640 e AREL.9 Nessuna evoluzione si e avuta alla data di stampa della presente edizione.



1.1. La normativa vigente e l’eventuale evoluzione

a) Proposta di legge C-3640 10 sull’onere della prova ai fini della responsabilita ammini-strativa dell’ente, in caso di commissione di reato da parte di soggetti che occupanouna posizione apicale.

b) Proposta AREL 11 per il D.Lgs. 231/01Tale proposta contempla:� eliminazione dell’inversione dell’onere della prova nell’ipotesi di reato dell’apicale;� definizione di ente di piccole dimensioni;� certificazione del modello.

Proposta di legge C-3640. Per quanto riguarda l’onere della prova ai fini della respon-sabilita amministrativa dell’ente, in caso di commissione di reato da parte di soggetti cheoccupano una posizione apicale si passa dalla presunzione di colpevolezza dell’entealla presunzione di innocenza spostando, in capo alla pubblica accusa, l’onere didimostrare l’inefficacia dei modelli organizzativi e di gestione adottati per prevenire ilreato verificatosi.Tale spostamento dell’onere della prova e contenuto nell’articolo 1 della proposta dilegge C-3640, assegnata il 29 luglio 2010 alla commissione Giustizia di Montecitorio, cheva a modificare l’art. 6 del D.Lgs. 231/2001.Nella formulazione oggi in vigore, infatti, la responsabilita amministrativa dell’ente neicasi in questione e presunta, a meno che l’ente non provi i 4 punti dell’Art. 6 soprarichiamati in 1.1.Nella proposta C-3640 , invece, ai fini della responsabilita amministrativa dell’ente sarala pubblica accusa a dover dimostrare che:a) l’organo dirigente non ha adottato ed efficacemente attuato, prima della commissio-

ne del fatto, modelli di organizzazione e di gestione idonei a prevenire reati dellaspecie di quello verificatosi;

b) il compito di vigilare sul funzionamento e sull’osservanza dei modelli e di curare illoro aggiornamento non e stato affidato a un organismo dell’ente dotato di autonomipoteri di iniziativa e di controllo;

c) l’organismo di vigilanza di cui alla lettera b), nell’ambito degli enti di interessepubblico economico di cui all’articolo 16 del decreto legislativo 27 gennaio 2010,n. 39: 1) deve essere nominato dall’assemblea dei soci a maggioranza semplice; 2)deve avere natura collegiale; 3) almeno unmembro dell’organismo di vigilanza deveessere scelto tra soggetti esterni all’ente e dotati delle stesse caratteristiche di indi-pendenza di cui all’articolo 2399 del codice civile;

d) in tutte le societa o enti in cui e nominato unOrganismo di Vigilanza ai sensi della letterab): 1) deveessere data apposita comunicazionedella nominadell’organismodi vigilanzaal registro delle imprese entro trenta giorni a cura degli amministratori; 2) l’organismo divigilanza deve riferire annualmente all’assemblea in merito al suo operato con appositarelazione da presentare in occasione dell’approvazione del bilancio;

10 App. 2.11 App. 2.




e) le persone hanno commesso il reato non eludendo fraudolentemente i modelli diorganizzazione e di gestione;

f) vi e stata omessa o insufficiente vigilanza da parte dell’organismo di vigilanza di cuialla lettera b).

Il disegno di legge, in attesa di iniziare il suo iter parlamentare, apporta anche altremodifiche al decreto legislativo 8 giugno 2001, n. 231 e in particolare:– l’obbligo di elezione da parte dell’assemblea dell’organismo di vigilanza negli enti di

interesse pubblico;– l’esclusione dell’applicazione indiscriminata delle sanzioni interdittive in via cautelare;– l’inasprimento delle pene pecuniarie;– almeno unmembro dell’organismo di vigilanza deve essere scelto tra soggetti esterni

all’ente e dotati delle stesse caratteristiche di indipendenza di cui all’articolo 2399 delcodice civile.

Proposta AREL. Secondo questa proposta la responsabilita dell’ente e esclusa a 3 con-dizioni:� il modello sia regolarmente certificato, secondo le modalita definite dal Ministero di

Giustizia;� il modello concretamente attuato corrisponda al modello certificato;� non siano sopravvenute significative violazioni delle prescrizioni che abbiano resa

manifesta la lacuna organizzativa causa del reato (che sembra ricordare il concetto di«elusione fraudolenta» introdotto nelle prime linee guida di Confindustria).

La certificazione del modello costituirebbe solo il primo dei requisiti perche possaessere esclusa la responsabilita dell’ente. E per quanto riguarda i due requisiti restantil’azienda dovrebbe dimostrare sia la coerenza del modello attuato con quello certifica-to, sia l’elusione o forzatura fraudolenta del sistema organizzativo. Il PubblicoMinistero,che sarebbe tenuto a dimostrare sia l’incoerenza tra i comportamenti concreti e ilmodello istituito sia la colpa organizzativa dell’ente.Assonime e Confindustria hanno criticato questa proposta in quanto hanno rilevatoalcune perplessita. Una prima perplessita, in vero giustificata, e che si possa innescareun procedimento di indagine da parte del pubblico ministero che avrebbe, in luogodelle motivazioni di approfondimento indagatorio, una natura di ingiustificata e pene-trante valutazione organizzativa nei confronti dell’impresa mossa con strumenti nonpropriamente adatti.In secondo luogo, in ordine almodello della riforma, vi e da parte di Assonime il timore chesi vengano a costituire strutture private, in seno agli enti preposti al rilascio delle certifica-zioni, in grado di produrre effetti impropriamente invasivi nell’organizzazione interna e neiprocessi del SCI (Sistema di Controllo Interno) e su procedimenti giudiziari di tipo penale.

1.2. UN APPROCCIO SISTEMATICO: I PRINCIPI DI RIFERIMENTO

Le aziende sono poste davanti all’incombenza di applicare il Decreto e quindi al di-lemma di come gli organi aziendali debbano organizzare pianificare ed eseguire il



1.2. Un approccio sistematico: i principi di riferimento

proprio intervento e «con quali strumenti» l’Organismo di Vigilanza debba effettuare lafunzione di controllo e di aggiornamento ad esso demandata 12.Quanto sopra e lasciato alla discrezione dell’azienda in quanto le associazioni di cate-goria hanno proposto delle linee generali di applicazione e molti dei «Modelli» che sipossono consultare in rete sono una elencazione di cio che si deve o non deve faresenza entrare nel dettaglio e nel merito delle procedure applicabili dai vari livelli diresponsabilita e della metodologia che l’Organismo di Vigilanza deve utilizzare perassolvere i compiti ad esso assegnati.Per motivi sopra esposti si sono qui proposte delle procedure e protocolli di compor-tamento redatti in forma dettagliata sia per gli organi di Governance sia per le varieUnita Operative che stabiliscono la condotta da tenere nella conduzione nelle varieoperazioni aziendali includendo una serie di protocolli riferiti ai singoli reati ed illecitirichiamati dal decreto.Il fatto che a tutt’oggi gran parte delle associazioni di categoria non abbiano presentatouna metodologia e degli strumenti applicativi specifici dimostra quanto sia complesso iltema che si sta affrontando e quanto possa essere rischioso per questi organi istituzio-nali indicare delle tecniche e delle metodologie dettagliate che possono essere sotto-poste a giudizio da parte della magistratura 13.

1.2.1 Un approccio a due livelli. Organi di Governance e Unita Operative

Necessari nella redazione del modello sono alcuni requisiti dei quali l’ente o la societadeve essere dotata quali:1) un organigramma funzionale con deleghe e mansioni;2) un Organismo di Vigilanza;3) un Codice Etico ed il sistema disciplinare;4) dei flussi informativi chiari e definiti;5) la tracciabilita delle operazioni.I punti sopra esposti sono strettamente collegati, l’Organigramma Funzionale con ledeleghe delle mansioni che riporti graficamente la situazione organizzativa aziendaleaggiornata mediante la rappresentazione degli incarichi all’interno di essa e essenzialeper la mappatura delle deleghe aziendali.Pure la sintesi delle funzioni ed i compiti assegnati ad ogni dirigente, quadro e colla-boratore inserito nella struttura organizzativa e uno strumento utile a conoscere le variefunzioni all’interno dell’ente.L’Organismo di Vigilanza poi deve fare conto su un adeguato SCI (Sistema di ControlloInterno) con chiare ed affidabili procedure che evidenzino i flussi informativi e facilitinola conseguente tracciabilita delle operazioni.Si aggiunga la naturale predisposizione del personale a seguire le regole del Codice

12 L’Art. 6 del Decreto stabilisce che vi sia un Organismo deputato alla vigilanza del funzionamento del modello.13 Vedere Appendice 7 (Sentenze).



Un approccio sistematico: i principi di riferimento 1.2.

Etico quale esempio indicato e sostenuto dal comportamento del management ed degliOrgani di Governance.Tutto per limitare il Rischio di Infrazione ed il conseguente rischio che il reato siacommesso.Diversi sono gli studi e le metodologie di approccio per determinare i fattori di rischioche, generalmente, non si riferiscono direttamente alla commissione di illeciti o reati maalla validita e conseguente affidabilita delle procedure applicate nell’azienda ed alladeterminazione di possibili rischi derivanti da errori nella valutazione delle strategie etattiche gestionali.Ecco quindi che tutto il concetto di rischio di commissione di illeciti e reati (Rischio diInfrazione) ricade come sempre nella validita ed efficacia delle procedure adottatedall’azienda nel singolo ciclo operativo che si conclude alla fine con la transazionefinanziaria che puo essere «veicolo» dell’illecito o reato che viene commesso 14.La procedura e la metodologia di applicazione che puo essere proposta come lineeguida ai due livelli interessati nell’ambito aziendale, vale a dire il livello di Governanceed il livello delle varie Unita Operative segue le metodologie indicate ai punti 2 - 3 - 4 - 7- 8 della tavola 1.3 e possono essere prese come base da cui muoversi per costruire un«Modello» appropriato con la possibilita, di variarlo e di adattarlo alle esigenze ed allepeculiarita di qualsiasi azienda.Nel lavoro qui presentato e stata tralasciata del tutto la complessa parte di organizza-zione dell’impianto del «Modello»; vale a dire l’individuazione all’interno dell’Ente delcomponente 15 il Board del CdA incaricato della supervisione del modello e della per-sona di riferimento a questo sottoposta che abbia le competenze sufficienti per gestire il«Modello» e presiedere l’Organismo di Vigilanza.

Tavola 1.3 - Criteri e sistemi per identificare e stimare possibili casi ed elementi di rischio 16

Metodologia Descrizione

1 Analisi delle serie storiche Il metodo si basa su dati quantitativi storici e serie statisticheaccertate. Essi si dividono in:– causali (modelli output-input, econometrici, analisi di re-

gressione)– auto proiettivi (estrapolazione di trend, media mobile ecc.)

2 Analisi interne Le informazioni raccolte all’interno dell’azienda dalle varie Uni-ta Operative nel corso del processo di pianificazione vengonoincrociate e integrate con quelle provenienti dalle parti terze(stakeholders, consulenti ecc)

14 Si escludono, in questo concetto, tutti quei reati che non comportano transazione finanziaria come quelli riferitialla sicurezza sul lavoro, parte dei diritti d’autore, parte dei reati informatici, reati contro la personalita individuale ecosı via, che dovranno avere specifici controlli.15 Vedasi considerazione al riguardo al punto 1.2.6 primi 4 capoversi.16 In parte tratti da ERM (CoSO II) pag. 51 - Si ricorda qui che lo studio ERM non si riferisce al solo Rischio dicompimento di reati od illeciti ma al Rischio di gestione aziendale nelle sue varie componenti.




Metodologia Descrizione

3 Analisi del flusso di processo I cicli operativi all’interno dell’azienda vengono attentamente ana-lizzati e monitorati al il fine di individuare fattori esogeni ed endo-geni che potrebbero determinare incrinature nelle procedure

4 Catalogo degli eventi Esiste la possibilita di elaborare un elenco di potenziali eventi arischio comuni ad aziende appartenenti ad uno specifico settoreper mezzo di sofware specifici.

5 Indicatori di eventi Vengono identificati i cosiddetti indicatori di eventi ed in segui-to si esaminano i dati storici collegati ad essi e si possono iden-tificare i potenziali avvenimenti di rischio

6 Raccolta dati sulle perdite La raccolta dei dati e la verifica delle cause di eventi che hannogenerato perdite costituiscono una fonte utile di informazioniper identificare e tempestivamente ovviare l’evento negativo alsuo sorgere o antecedentemente.

7 Segnalatori di criticita Consiste in un’analisi approfondita effettuata dal managementper approntare appropriate misure atte a contrastare le poten-ziali criticita derivanti dall’analisi degli scostamenti tra glieventi attuali e parametri soglia stabiliti.

8 Workshop ed interviste Si riferiscono a tecniche che identificano gli eventi ricorrendo alleconoscenze ed esperienze maturate dal management, dal perso-nale e stakeholders tramite incontri organizzati. Le molteplici co-noscenze ed esperienze dei partecipanti consentono di identificareeventi importanti che altrimenti avrebbero potuto essere omessi

9 What is analysis Metodologia che consiste nell’analizzare possibili futuri scenariche potrebbero presentarsi al verificarsi di determinati eventi

L’impianto del Modello presuppone che la gestione dello stesso e la direzione e gover-no dell’Organismo di Vigilanza siano diretti e coordinati da persona con profondaconoscenza delle procedure aziendali e che sia, eventualmente, coadiuvata da oppor-tune professionalita interne ed esterne che garantiscano l’analisi e la soluzione dieventuali problemi legali, penali, contrattuali ed altri in modo da poter individuaretempestivamente e tempestivamente applicare o variare appropriate procedure che pos-sano inibire eventuali o possibili forzature della procedura e dei protocolli applicati. Ilfine da perseguire nella costruzione del Modello di Organizzazione, Gestione e Con-trollo e l’eccellenza ed e per questo motivo che i punti di riferimento del modellodevono essere solidi e riconosciuti come validi.

1.2.2 I principi di riferimento

Il piano operativo qui presentato fa riferimento:� al Codice di Autodisciplina di Borsa Italiana SpA 17;

17 Punti 1 e 8 App. 5.




� alle Linee Guida di Confindustria 18;

� alla Circolare GdF 83607/2012 Vol. III;

� all’indagine condotta dal Comitato per l’Area D. Lgs 231/2001 dell’AssociazioneItaliana Internal Auditors (AIIA);

� al documento CoSO Report (I) (Il Sistema di Controllo Interno) - Un modello inte-grato per la gestione dei rischi aziendali - Progetto Corporate Governance per l’Ita-lia 19 ;

� al documento CoSO Report II ). La gestione del rischio aziendale (ERM EntrepriseRisk Management) 20;

� al documento CoSO Report (III) (Il controllo interno per l’attendibilita del FinancialReporting 21 Strumenti di riferimento per il management (2008);

� ai Principi di Revisione, I.S.A. Italia pertinenti;

� alla pratica professionale in materia di revisione richiamata dal documento CoSOReport I sopra indicati.

Ai principi sopra esposti si e associato il metodo di ricerca del Rischio di Infrazione 22

e l’applicazione di un’appropriata «Matrice» che agevola la valutazione del «rischio reato»nelle rispettive aree analizzate.

1.2.3 La Metodologia applicativa

Si puo affermare che un buon sistema di controllo interno (SCI) deve confortare ilmanagement su una regolare esecuzione delle procedure e deve essere inoltre efficacenel controllo dell’operato delle Unita Operative quanto efficiente nel produrre dati difinancial reporting attendibili.Ne consegue che i fatti di gestione sono correttamente riportati nelle scritture contabili eche derivano da procedure e protocolli verificati da piu persone competenti e perquesto motivo non soggette a ledere l’azienda generando un illecito o reato.Ecco che l’intervento che qui si propone consiste nella verifica innanzitutto della mo-ralita del management e nella sua capacita di trasmettere la stessa a tutti i collaboratorinonche nel rigoroso comportamento degli stessi nel seguire le procedure indicate.Ne consegue che e l’attenzione che porra l’Organismo di Vigilanza nel creare, affinareed aggiornare i necessari metodi di contrasto da inserire negli usuali processi operativi

18 E/o altre associazioni di categoria.19 Il Principio di Revisione 315 App. 1 richiama in toto i principi guida del Documento CoSO Report I.20 Come in altre parti del volume, si ricorda al lettore che il Documento CoSO Report II (ERM) si riferisce allamolteplicita dei rischi riferiti agli obiettivi aziendali dei quali, quelli riferiti alle leggi e regolamenti ex D.Lgs.231/2001, sono solo una parte (Tavola 1.4).21 Si intende come Financial Reporting quanto viene presentato dall’azienda come bilancio e relativa informativaeconomico finanziaria.22 Cap. 17, paragrafo 17.3.




che determinera il costante carattere esimente del modello nelle parti operative degliorgani di governance e nelle unita operative.Sono le voci del bilancio conseguenti alla registrazioni contabili prodotte dai fatti digestione rilevati nel corso dell’anno (esercizio) che possono contenere operazioni illecite.E nel bilancio che devono anche essere ricercate, nel corso delle verifiche propriedell’Organismo di Vigilanza, le eventuali commissioni dell’illecito o reato previsto daldecreto 231/2001 23.La ricerca dovra partire dalle transazioni finanziarie 24 in primis ed eventualmente daaltri comportamenti o carenze di regole che possono portare alla commissione di illecitio reati in settori diversi e che non riguardano direttamente transazioni finanziarie (i.e.sicurezza sul lavoro, rifiuti, diritti d’autore, false dichiarazioni) (Tavola 1.4).Il sistema che qui si propone fa riferimento ai documenti CoSO I, II e III ed e inoltrederivato dalla metodologia e best practice in materia di Risk Approach per determinareil Rischio di Infrazione, che puo essere a sua volta di conforto nelle operazione dimappatura delle aree a rischio.

Tavola 1.4 - Documento CoSO II (ERM) obiettivi ai quali sono collegati irischi 25

� strategici: sono espressi in termini generali e devono essere allineati alla mission aziendale e ladevono supportare. Riflettono la scelta del management di come l’azienda si adopera per crearevalore per i suoi stakeholders;

� operativi: riguardano l’efficacia e l’efficienza delle operazioni aziendali. E necessario che riflet-tano l’ambiente micro - macro economico nel quale l’azienda opera. Il management deve assi-curarsi che gli obiettivi siano reali, riflettano le esigenze del mercato e siano espressi nei giustitermini al fine di consentire un’attendibile valutazione della performance;

� di reporting: riguardano le informazioni, che devono essere accurate, complete e coerenti con ifini perseguiti;

� di conformita: le aziende devono condurre le loro attivita (e spesso assumere provvedimentiparticolari) in conformita alle leggi e ai regolamenti in vigore.

Nell’eseguire i controlli l’OdV dovra porre particolare attenzione ad eventi o transazionisignificative.Un fatto di gestione significativo puo essere espressione di una operazione irregolare,illecita o essere manifestazione di un reato ed e per questo motivo che queste transa-zioni devono essere verificate sia come legittimita sia nel merito.

23 Ci si riferisce qui a quei reati ed illeciti che hanno diretta espressione nei fatti di gestione rilevabili nellacontabilita (par. 2.2).24 Si escludono tutti quei reati che non comportano transazione finanziaria come quelli riferiti alla sicurezza sullavoro, parte dei diritti d’autore, parte dei reati informatici, reati contro la personalita individuale e cosı via. Essidovranno essere sottoposti a specifici controlli.25 Si ricorda al lettore che il documento CoSO II (ERM) si riferisce alla molteplicita dei rischi riferiti agli obiettiviaziendali dei quali, quelli riferiti alle leggi e regolamenti ex D.Lgs 231/2001, sono solo una parte.




1.2.4 La metodologia applicativa: i principi di revisione ISA Italia

Si ricorda qui che i principi di revisione internazionali hanno avuto nell’ultimo decenniodue fondamentali adeguamenti:– il primo (ISA conformed) ha comportato un aggiornamento di tutti i principi di

revisione alla luce di due nuovi principi (ISA 315 e ISA 330) sulla centralita dellavalutazione del rischio di frodi ed errori significativi, la conformita a leggi ed aregolamenti e sulle conseguenti risposte nel processo di revisione;

– il secondo progetto, chiamato «Clarity Project», e stato ultimato nel corso del 2009 conla riedizione di tutti i principi di revisione e riguarda la struttura del principio orasuddiviso in introduzione, obiettivi, definizioni, regole, linee guida.

Lametodologia, qui proposta, che fa anche riferimento ai documenti CoSO I, II e III, quiproposta oltre a mutuare il cosiddetto metodo del Risk Approach indicato come bestpractice internazionale nella determinazione del rischio di operazioni in bilancio nonconformi anche a leggi, regolamenti ed esistenza di frodi o errori si riferisce a queiprincipi di revisione che direttamente trattano di detti rischi ovvero:– P.R. 240: La responsabilita del revisore nel valutare la possibile esistenza di frodi ed

errori;– P.R. 250: Gli effetti connessi alla conformita a leggi ed a regolamenti;– P.R. 315: La comprensione dell’impresa ed il suo contesto e la valutazione dei rischi

di errori significativi 26;– P.R. 330: Le procedure di revisione in funzione di rischi identificati;– P.R. 440: Valutazione degli errori identificati nel corso della revisione contabile.Oltre al rischio di commissioni di operazioni improprie vi sono principi di revisione cheriguardano situazioni che per loro natura possono portare alla commissioni di azioni«improprie» quali quelle che possono essere svolte con parti correlate altre poste inessere quando la continuita aziendale e incerta e che quindi possono portare a com-portamenti non conformi alla corretta amministrazione, altre che per i motivi sopradescritti possono essere compiute nell’esercizio successivo a quello esaminato:– P.R. 550: Le parti correlate;– P.R. 560: Eventi successivi;– P.R. 570: Continuita aziendale e corretta amministrazione;– P.R. 1010: Considerazione delle questioni ambientali nella revisione del bilancio.

1.2.5 Individuazione o «mappatura» delle aree a rischio reato

La determinazione della significativita delle transazioni da verificare, sposata con lametodologia dell’utilizzo dei questionari e check lists utili per conoscere nel dettagliole procedure permette all’OdV di determinare il «range» di operazioni da verificare.Con l’ausilio di appropriati questionari e check lists l’OdV e in grado di identificare e

26 P.R. 315 App. 1 par. 98 richiama tutti i principi del Documento CoSO I.




«mappare» 27 le Aree a rischio reato e determinare adeguate procedure di controllopreventivo e successivo.Come piu volte espresso in precedenza non vi sono solo le aree a rischio reato riferite afatti di gestione che si concludono con transazioni finanziarie rilevate nelle scritturecontabili, ma anche aree a rischio che non hanno come conclusione una scritturacontabile quali per esempio:– reati di omicidio colposo e lesioni gravi o gravissime commesse con la violazione

delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art.25-septies del Decreto e D.Lgs. n. 81 del 9 aprile 2008 e s.m.i.);

– parte dei Delitti informatici e trattamento illecito di dati (art. 24-bis del Decreto);– reati in materia di violazione dei diritti d’autore (art. 25 novies del Decreto);– reati di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci

all’autorita giudiziaria (art. 25 decies del Decreto);– reati di abbandono e deposito incontrollato di rifiuti sul suolo e nel suolo (art. 192,

comma 4, D.Lgs. n. 152 del 3 aprile 2006 e s.m.i.).In questo caso la mappatura dovra essere effettuata anche rivolgendosi ad esperti e aprofessionalita esterne.In generale, pero, sono quelle operazioni di confine o «boundary», sia significative nelloro ammontare sia non, che possono essere «sensibili» e contenenti reati ed illeciti.Tali fatti di gestione usualmente sono oggetto di una transazione finanziaria il cui iternon ha avuto adeguati controlli di merito al suo sorgere da parte degli organi di go-vernance e successivamente insufficienti e inadeguati verifiche e riscontri all’atto dellaloro manifestazione finanziaria finale.

1.2.6 Alcune considerazioni sulla rete dei controlli

La ricerca della migliore struttura o del migliore organismo possibile al fine di applicareun efficiente complesso di procedure di controllo interno nelle varie funzioni aziendaliha portato alla moltiplicazione delle figure di garanzia all’interno delle societa.Il fine e quello di perseguire una effettiva attivita di controllo delle procedure azien-dali ed e questo uno dei compiti prioritari del Consiglio di Amministrazione dellasocieta.Il fatto e che i componenti del Board del CdA ben poco si dedicano a questo compitofondamentale sia per il tempo limitato che spendono nelle riunioni istituzionali sia perla scarsita delle informazioni e documentazione che vengono loro sottoposte.Il Codice di Autodisciplina della Borsa italiana ha dettato alcune regole di best practicesecondo le quali le societa quotate debbono dotarsi di alcuni comitati (Comitato per ilcontrollo interno - Comitato Audit - Comitato Nomine - Comitato Remunerazione edaltro) eletti nell’ambito del CdA.Mediante la partecipazione a questi comitati il componente del CdA, indicato a farne

27 Art. 6 comma 2 lettera a) D.Lgs. 8 giugno 2001, n. 231 «individuare le attivita nel cui ambito possono esserecommessi reati» (Cap. 12).




parte, e finalmente informato e puo fornire un fattivo contributo all’applicazione di unadeguato sistema di controllo interno aziendale.Le molteplici figure di garanzia fin qui introdotte possono comportare una sovrappo-sizione di funzioni come nel caso del Collegio Sindacale (Art. 2403 c.c), del revisore osocieta di revisione (Art. 14 ex D.Lgs. n. 39 del 27/1/2010), dell’Organismo di Vigilanzaex D.Lgs. 231/2001 nonche del Comitato per il controllo interno, Comitato Audit efunzione Internal Audit (richiamati dal Codice di Autodisciplina) dove alcuni compitie doveri sono affini se non gli stessi.Quanto sopra porta alla considerazione, dettata dal buonsenso e da una corretta con-dotta professionale, che gli organi di controllo sopra citati debbano operare in uncontesto di collaborazione integrando reciprocamente la propria attivita in modo dapoter rendere all’azienda il miglior servizio possibile in tema di controllo interno e disicurezza operativa in riferimento ai rischi aziendali creando un «Sistema integrato dicontrolli» (par. 1.4).L’elenco di seguito proposto vuole essere una sintesi della rete di organi di controlloproposti dalla normativa vigente1) Dirigente preposto: figura introdotta sulla scia emotiva degli scandali finanziari ita-

liani trova una corrispondenza diretta con il Sebanes and Oxley Act statunitense cheha stabilito il principio di responsabilita diretta tra il direttore finanziario e l’ammini-stratore delegato chiamati ad attestare la veridicita dei reports trimestrali, annuali edegli altri documenti contabili;

2) Funzione Internal Audit: struttura esterna al CdA che coadiuva il CdA nella defini-zione del sistema di controllo interno e dei protocolli aziendali al fine di identificare irischi d’impresa, quantificarli e di conseguenza impedire che influenzino negativa-mente la corretta gestione aziendale;

3) Comitato Audit: coadiuva il CdA nella definizione delle linee di indirizzo del sistemadi controllo interno L’attivita istruttoria e svolta tipicamente dal comitato per il con-trollo interno, composto da amministratori non esecutivi, in maggioranza indipen-denti (ovvero esclusivamente indipendenti, nel caso di emittente controllato da altrasocieta quotata), cui sono attribuite funzioni consultive e propositive; il ruolo di talecomitato rimane distinto rispetto a quello attribuito dalla legge al Collegio Sindacale,che si caratterizza invece per una funzione di verifica prevalentemente ex post;

4) Comitato per il controllo interno: definisce le linee di indirizzo del sistema di con-trollo interno, in modo che i principali rischi afferenti all’emittente e alle sue con-trollate risultino correttamente identificati, nonche adeguatamente misurati, gestiti emonitorati, determinando inoltre criteri di compatibilita di tali rischi con una sana ecorretta gestione dell’impresa;

5) Collegio Sindacale: oltre ai compiti stabiliti dagli artt. 2403 c.c. e art. 14 ex D.Lgs. n. 39del 27/1/2010 vigila sull’operato della Societa di revisione riferite alla natura edall’entita dei servizi diversi dal controllo contabile prestati all’impresa, alle societacollegate e controllate nonche ai servizi prestati dalla «rete» collegata alla Societa direvisione;

6) Revisore o societa di revisione: in genere preposti alle verifiche Art. 14 ex D.Lgs. n. 39del 27/1/2010;




7) Organismo Di Vigilanza ex D.Lgs. 231/2001: ha il compito di vigilare l’applicazionedel D.Lgs. 231/2001 definendo il modello di Organizzazione, Gestione e Controlloper la prevenzione dei reati previsti dal decreto e controllare con continuita l’osser-vanza del «Modello» adottato.

1.3. L’ORGANISMO DI VIGILANZA: CARDINE DEL «MOGC»

E l’Organismo di Vigilanza il fulcro di tutta la struttura del Modello. Il carattere dicontinuita che gli attribuisce il Decreto Legislativo nelle operazioni che svolge oltre aicompiti di sorveglianza sul funzionamento, aggiornamento ed applicazione del «Mo-dello» lo pone in una posizione centrale e di forza nei confronti di tutte le funzioniaziendali con compiti di vigilanza e di monitoraggio sia interne (funzione Audit, comi-tato Audit, comitato sul controllo interno) se esistenti; sia sulle funzioni di controlloesterno all’azienda (Collegio Sindacale, Revisore, Societa di Revisione).L’Organismo di Vigilanza ha funzioni di «staff» e fa parte dell’Ente o azienda e puo esseredi impulso agli altri Organi di controllo con azioni di coordinamento nelle verifiche dimerito.L’Organismo di Vigilanza deve per forza di cose fare riferimento per il proprio lavoro disorveglianza e controllo sia su propri accertamenti e riscontri sulle procedure sia sulleverifiche che eseguono istituzionalmente o per legge tutti gli organismi sopramenzionati.Quanto sopra descritto porta l’Organismo di Vigilanza, per forza di cose, a svolgere unduplice controllo: il primo e quello istituzionale; il secondo e quello sulle procedureadottate nel Modello, sulla loro validita,funzionamento ed aggiornamento e contestual-mente sulla validita dei controlli eseguiti degli organi sopra citati e trovera il propriocompito facilitato e potra valersi di tutte le evidenze, di tutte le attivita di verifica giaeseguite dagli organi predetti.Finche il legislatore non avra fatto chiarezza sulle operazioni di verifica che si so-vrappongono nei vari organi preposti al controllo restera al buon senso ed alla cor-rettezza professionale dei professionisti coinvolti 28 nelle operazioni di verifica e con-trollo adeguare i propri comportamenti per assolvere il fine ultimo dell’interessedell’azienda (Par. 1.4).

28 Gli organi di controllo aziendali sono molteplici: Revisore Legale (o societa di revisione), Collegio Sindacale(anche incaricato della revisione legale), Organismo di Vigilanza, comitato per il controllo interno, internal audit,comitato di vigilanza, risk manager, dirigente preposto.Anche la funzione di controllo di gestione e il responsabile della sicurezza possono annoverarsi tra gli organi dicontrollo con specifiche funzioni.Gli strumenti (Questionari, check lists) utilizzabili da tali organi di controllo possono essere gli stessi (con oppor-tune modifiche) ma e l’ottica ed il fine per cui sono utilizzati che cambia.Il motivo del loro utilizzo da parte dell’ Organismo di Vigilanza consiste nell’«individuare le attivita nel cui ambitopossono essere commessi i reati» (art. 6 comma 2 lettera a) e prevedere specifici protocolli atti a programmare laformazione e «l’attuazione delle decisioni dell’ente in relazione dei reati da prevenire» (art. 6 comma 2 lettera b).



L’Organismo di Vigilanza: cardine del «MOGC» 1.3.

1.4. ALCUNE CONSIDERAZIONI SUGLI ORGANI DI CONTROLLO ISTITUZIONALI 29

La Commissione Europea nel suo recente Libro Verde sulla Corporate Governance 30 haindividuato nella scarsa attenzione degli organi direttivi d’impresa al tema del controllointerno e della diffusione della cultura del rischio una delle piu importanti concause dellarecente crisi dei mercati finanziari. Essa ha, inoltre, evidenziato l’errore commesso nell’inter-pretare il da farsi come unmero dovere di conformita alla normativa che si andava perfezio-nando,piuttostocheun’occasioneper realizzareunefficientesistemadigovernosocietario 31.A fronte di questa recente posizione europea, il sistemanormativo italiano, pur assicurandogrande enfasi al tema del controllo interno della societa, si caratterizza per ripetute sovrap-posizioni fra funzioni, compiti e responsabilita dei vari organi/soggetti deputati al controlloed alla vigilanza sui comportamenti di impresa e nell’impresa. Le necessita di coordina-mento ed integrazione funzionale sono spesso trascurate, cosı come le istanze di maggiorchiarezza e dettaglio provenienti dai destinatari delle diverse norme sul controllo, ripresesommariamente solo da fonti di natura secondaria o di origine regolamentare 32.Il processo di evoluzione normativa ha sempre di piu considerato, nell’ultimo decen-nio, l’approccio aziendalista. Basti pensare alla Riforma del diritto societario (D.Lgs. 6/03 e s.m.i.), che ha innovato la nozione attribuita al sistema dei controlli societari con labest practice nazionale ed internazionale in materia.Anche la trattazione organica del Legislatore - sotto il titolo «dell’amministrazione e control-lo», Capo V Libro V del codice civile - suggerisce un’interpretazione dell’attivita di controllocome una finalita che investe la conduzione della societa nel suo complesso e che, in varimodi e con diverse responsabilita, compete a tutti gli organi istituiti nei diversi sistemialternativi di governance aziendale (tradizionale, dualistico e monistico).Tuttavia, e importante ricordare che il sistema di controllo interno e un istituto chel’ordinamento rende obbligatorio solo per le societa quotate con collegio sindacale(art. 149 TUF) e per le societa che adottano il sistema monistico (art. 2409 octiesdeciesc.c.), pur essendoci in dottrina chi sostiene che l’obbligatorieta si estenda a tutte le societaper azioni, in quanto species dell’adeguatezza della struttura organizzativa della societa 33.In tale contesto l’attivita di progettazione, revisione e/o adeguamento del sistema deicontrolli interni, piuttosto che perseguire un aumento smodato degli adempimenti,quasi come se cio in se rappresentasse una maggiore garanzia di conformita al dettatonormativo e di conseguimento degli obiettivi aziendali, dovrebbe concentrarsi:– sul conseguimento di un sufficiente grado di trasparenza e completezza della rappre-

sentazione del c.d. rischio inerente o intrinseco (inherent risk), vale a dire il complesso

29 Contributo dell’Avv. Susanna Barbacovi Legale in Trentino Trasporti Esercizio S.p.a. www.ttesercizio.it30 Corporate Governance in financial institutios and remuneration policies - Green Paper COM (2010) 284 final.31 Vedi anche Documento CoSO Report I par. 1.5.232 Regolamento ISVAP 20 marzo 2008.33 P. Montalenti, Il sistema dei controlli interni nelle societa di capitali in Le societa - mensile di diritto e politicasocietarie, commerciale e fiscale - 2005, 296.



1.4. Alcune considerazioni sugli organi di controllo istituzionali

dei rischi rispetto ai quali l’impresa e per sua natura esposta per il fatto di operare con unproprio modello di business;

– sui presidi da strutturare per neutralizzare o almeno fronteggiare al meglio tali rischi 34.In questa operazione un contributo importante puo essere assicurato proprio dall’Organi-smo di Vigilanza ex D.Lgs. 231/01, che nello svolgimento del suo ruolo di vigilanza sul-l’efficace attuazione del Modello di Organizzazione, Gestione e Controllo, realizzando unoggettivo esame delle evidenze gestionali, puo rappresentare un punto di osservazione/valutazione indipendente dei processi di gestione del rischio, di controllo e di governantedell’organizzazione. Tale opportunita si concretizza nella misura in cui si riesce a configu-rare al meglio l’interazione dell’OdV con gli altri soggetti deputati al controllo.Occorre quindi predisporsi all’analisi organizzativa con una visione «a matrice», i cuiblocchi principali sono costituiti dai seguenti:a) le attivita poste in essere dall’impresa, distinguendo le funzioni che presidiano pro-

cessi operativi da quelle deputate al controllo e mappando, di conseguenza, le areesensibili rispetto a tutte le diverse categorie di rischio;

b) i soggetti attivi in qualita di attori potenziali di reato e/o decision maker/esecutori delsistema di controlli interni;

c) le modalita e gli strumenti utilizzati nell’esercizio delle diverse funzioni di controllo,considerando in primis quelli previsti dalla normativa;

d) le areedi sovrapposizione fra lediverse tipologiedi controllo (enon fra i diversi soggetti),a cuidedicarsi solo inuna seconda faseper individuare i criteri perdisciplinare e risolverenell’interesse dell’azienda i conflitti di interesse/ruolo/responsabilita evidenziati.

La precisa individuazione dei compiti e delle responsabilita primarie di ciascun attore edi fondamentale importanza al fine della stessa esistenza del sistema dei controlli in-terni, prima che del suo corretto funzionamento.Come noto, l’Organismo di Vigilanza nel corpus normativo del D.lgs. 231/2001 e trat-teggiato solo con pochi essenziali riferimenti e principalmente in base all’obiettivoassegnato: «il compito di vigilare sul funzionamento e l’osservanza dei modelli e dicurare il loro aggiornamento».Nulla dice la norma su come coordinare l’OdV con i diversi soggetti aventi compiti divigilanza, quali il Collegio Sindacale, il Revisore o la Societa di Revisione, il Comitato per ilControllo Interno, l’Internal Audit, il Risk Manager, il Dirigente Preposto, il Responsabiledella Sicurezza, funzione Controllo di Gestione, Enti Certificatori della Qualita, ecc..E chiaro, quindi, che si puo verificare una sovrapposizione dei diversi soggetti nelpresidio delle medesime aree di rischio e nello svolgimento di verifiche sulle medesimeoperazioni dell’impresa.Tale evenienza e fortemente avversata dalle imprese oggetto dei controlli, poiche lasovrapposizione costituisce una duplicazione di costi (o comunque viene percepitacome tale), ed inoltre puo comportare l’utilizzo inefficiente di risorse interne (in terminidi tempo che le funzioni aziendali devono dedicare al controllore che, di volta in volta,si presenta a richiedere supporto ed informazioni).

34 Gruppo di lavoro ASSTRA 231 - 2008 - www.asstra.it



Alcune considerazioni sugli organi di controllo istituzionali 1.4.

Per converso, la compresenza di diversi soggetti deputati al «controllo» potrebbe darluogo, paradossalmente, a pericolose deficiency nell’efficienza e nella completezza deicontrolli, qualora il soggetto effettivamente onerato ritenesse, erroneamente, di com-petenza altrui una propria attivita di vigilanza.Si puo anche ritenere probabile una sensazione di «de-responsabilizzazione», qualora laresponsabilita fosse suddivisa e condivisa da troppi soggetti.Secondo la prospettiva dell’Economia Aziendale, l’orientamento strategico impressodall’alta direzione all’intera organizzazione dovrebbe tendere verso l’istituzione di unsistema integrato di controlli interni.Preme sottolineare che tale approccio dovrebbe attuarsi mediante la definizione diprocedure interne univoche e definite con completezza a presidio di tutte le aree dirischio mappate, ma anche tramite il coordinamento dei diversi soggetti deputati allosvolgimento dell’attivita di controllo, in senso ampio, all’interno dell’azienda.

1.4.1 Rapporti tra Organismo di Vigilanza, Collegio Sindacale e Societa diRevisione

Organismo di Vigilanza e Collegio Sindacale

La Legge di Stabilita 2012 (legge 183/2011), emanata al fine di introdurre misure dirette adiminuire il carico di oneri e degli adempimenti amministrativi che gravano su imprese ecittadini, all’art. 14, comma 12, introduce la facolta per il Collegio Sindacale di svolgere lefunzioni dell’OdV, eliminando dal novero delle controversie interpretative la questionedella compatibilita tra sindaco e membro dell’OdV.E stato cosı inserito nell’art. 6 delD.Lgs. 231/2001 il comma4-bis, il quale dispone che «nellesocietadi capitali il collegiosindacale, il consigliodi sorveglianzae il comitatoper il controllodella gestione possono svolgere le funzioni dell’organismo di vigilanza di cui al comma 1,lettera b)».Esaminando il testo legislativo in maniera analitica, cio che emerge con immedia-tezza e la facolta di affidare al collegio sindacale le funzioni dell’OdV. Residuapertanto la discrezionalita degli organi amministrativi di mantenere la dualita delsistema di controllo, affiancando al collegio sindacale un organismo di vigilanza,mantenendo di conseguenza genesi e struttura inalterate; possono tuttavia com-porre l’organigramma dell’OdV anche soggetti estranei al collegio sindacale.L’ipotesi di una coincidenza dell’OdV e del Collegio Sindacale, seppur avanzata daalcuni interpreti anche autorevoli, e nel complesso avversata dalla dottrina maggiorita-ria, e raramente riscontrabile nelle imprese italiane 35.Appare utile richiamare le argomentazioni addotte da chi disincentiva l’investitura delCollegio Sindacale quale OdV:1) la «continuita di azione», che costituisce una specificita dell’OdV quale organo inter-

no dell’ente, mancherebbe invece al Collegio Sindacale in ragione della cadenza

35 Si veda anche Appendice 8.




delle verifiche del collegio ai sensi di legge (almeno ogni novanta giorni ex art. 2404c.c.), e per quanto si riscontra nella prassi;

2) altri requisiti essenziali dell’OdV sono l’«autonomia» e l’«indipendenza». Certamenteanche i membri del Collegio Sindacale devono essere in possesso del requisito dell’«indipendenza» nei riguardi della societa e del gruppo societario di appartenenza. A talfine il codice civile, art. 2399 primo comma, lett. b) e c) detta cause di ineleggibilitaspecificamente tese a garantire l’indipendenza dei sindaci. Lo Statuto, inoltre, puoprevede altre e piu rigorose cause di ineleggibilita e incompatibilita.Cio nonostante, secondo opinione dominante il requisito dell’«indipendenza» potreb-be difettare in capo ai sindaci nello svolgimento dei compiti di OdV, dal momento chegli stessi potrebbero essere sottoposti a controlli su alcuni reati-presupposto (in parti-colare i reati societari) ai sensi dell’art. 25-ter del 231/2001.Dalla lettura dell’articolo 25-ter del 231/2001, si nota immediatamente che i sindacinon rientrano tra i soggetti indicati come autori dei reati in materia societaria.Non si tratta certo di una svista o dimenticanza da parte del legislatore (che, come noto,comprende espressamente i sindaci tra i possibili agenti delle condotte che costitui-scono reato ai sensi degli artt. 2621 e 2622 c.c.), ma di una scelta precisa. La coerenzadella scelta viene ravvisata e confermata nell’esclusione dei sindaci dal novero deisoggetti «apicali» da cui alla lettera a) dell’art. 5, in quanto nonmuniti di rappresentanzae situati al di fuori di un rapporto di immedesimazione organica con l’ente. Ancora piunettamente puo escludersi che i sindaci possano essere «persone sottoposte alla dire-zione o alla vigilanza» di uno dei soggetti «apicali» (art. 5, comma 1, lett. b).Dopo aver constatato che i sindaci non sono compresi tra i soggetti che, commet-tendo un reato di false comunicazioni, possano causare una responsabilita ammini-strativa dell’ente ex D.Lgs. 231/2001, va rilevato che essi potrebbero comunquerisultare tra i soggetti indagati, come persone fisiche, dei reati in questione (verosi-milmente quali concorrenti nel reato degli amministratori). Per questo, diversi autorie commentatori - ed anche le «Linee Guida per la costruzione dei Modelli di Orga-nizzazione, Gestione e Controllo ex D.Lgs. 231/2001» di Confindustria - ritengonoche il collegio sindacale non dovrebbe coincidere con l’OdV.

3) Ulteriore requisito indefettibile dell’OdV e quello della «professionalita», naturalmenteintesa quale attributo individuale dei soggetti che lo compongono. Sotto questo profilova certamente riconosciuto (in questo senso anche le citate «Linee Guida» di Confindu-stria), che ai componenti di un collegio sindacale non difettano le professionalitarichieste per lo svolgimento dei compiti dell’OdV, se si considerano i requisiti di cuiall’art. 2397 c.c. Si puo osservare che spesso la composizione dei collegi sindacalirisente della prassi consolidatasi prima della riforma del diritto societario del 2003, evede quindi - generalmente parlando - una prevalenza di professionisti competenti inmateria di bilancio e fiscalita (diverso puo essere il caso delle societa quotate, ove lanormativa speciale gia in precedenza aveva segregato il compito di revisione conta-bile, da affidarsi a societa di revisione iscritta all’Albo Consob). Cio premesso, si puoosservare che nella composizione collegiale di un OdV, visto il suo compito comedefinito dalla legge, ed osservati i primi casi giurisprudenziali in campo 231/2001,appare auspicabile e consigliabile la presenza di un esperto in diritto penale (figura




raramente presente all’interno dei collegi sindacali), ed altresı la presenza di un espertodi internal audit e/o di organizzazione aziendale.

Si rileva, inoltre, che i componenti del Collegio Sindacale - proprio in virtu della loroprossimita all’Organo Amministrativo e della loro vicinanza alla piu delicate e sensibiliattivita di gestione della societa - si trovano esposti non solo al rischio di commettetereati propri (art. 2621 c.c.), ma anche al rischio di rispondere personalmente, secondo iltradizionale paradigma della responsabilita omissiva impropria di cui all’art. 40 cpv c.p.,per non aver impedito la commissione di reati rilevanti exD. Lgs. n. 231/2001 da parte didirigenti o amministratori.Risulta pertanto opportuno che l’ulteriore presidio di controllo di cui dispone la societa,l’OdV, si spinga sino a vigilare sull’operato dei sindaci: se l’OdV e chiamato a vigilaresulla corretta applicazione dei «protocolli diretti a programmare la formazione e l’at-tuazione delle decisioni dell’ente» in modo tale da prevenire la commissione dei reati,tanto piu sara chiamato a vigilare affinche coloro che sono investiti ex lege del controllosull’osservanza delle leggi da parte degli amministratori, non si rendano complici diviolazioni, la cui imputazione ruota intorno all’addebito di non aver impedito il verifi-carsi dell’evento (il «reato») che (il Sindaco/Collegio) ha l’obbligo giuridico di impedire(art. 40 cpv c.p.).Per evitare confusione di ruoli e sovrapposizioni di attivita, giova individuare conprecisione le attivita che l’OdV e chiamato a svolgere. Avendo preso atto della laconicadefinizione dell’obiettivo fissato da legislatore (art. 6 e 7 del D.Lgs. 231/2001), le LineeGuida di Confindustria hanno fornito uno schema piu esplicito ed articolato dei suoicompiti:� vigilanza sull’effettivita del modello, che si sostanzia nella verifica della coerenza tra i

comportamenti concreti ed il modello istituito;� disamina in merito all’adeguatezza del modello, ossia della sua reale (e non mera-

mente formale) capacita di prevenire, in linea di massima, i comportamenti nonvoluti;

� analisi circa il mantenimento nel tempo dei requisiti di solidita e funzionalita delmodello;

� cura del necessario aggiornamento in senso dinamico del modello, nell’ipotesi in cuile analisi operate rendano necessario effettuare correzioni ed adeguamenti. Talecura, di norma, si realizza in due momenti distinti ed integrati:

– presentazione di proposte di adeguamento del modello verso gli organi e le funzioniaziendali in grado di dare loro concreta attuazione nel tessuto aziendale. A secondadella tipologia e portata degli interventi, le proposte saranno dirette verso le funzionidi Personale edOrganizzazione, Amministrazione, ecc., o, in taluni casi di particolarerilevanza, verso il Consiglio di Amministrazione;

– follow-up, ossia verifica dell’attuazione e dell’effettiva funzionalita delle soluzioniproposte.

L’area di competenza dell’OdV appare come un sotto-insieme del piu ampio e generalecompito di vigilanza dei sindaci sull’adeguatezza dell’assetto dei controlli interni. Leattivita da svolgersi a cura dell’OdV, con l’ausilio della funzione aziendale di Internal




Audit e/o di Compliance o di adeguate professionalita interne nel caso di PMI, hannoconnotazioni piu specialistiche e piu focalizzate sul controllo dei processi aziendali.Certamente sia il Collegio Sindacale che l’OdV sono interessati e muniti di competenzaper vigilare, ad esempio, sul «ciclo passivo» dell’azienda. Ma la teleologia dell’attivita divigilanza e comunque differente, e piu ristretta nel caso dell’OdV, poiche detto Organi-smo dovrebbe concentrarsi sulle violazioni dei protocolli posti a presidio dei rischi direato-presupposto ai fini del D.Lgs. 231/2001, che come noto rilevano solo se commessinell’interesse o a vantaggio dell’ente.Al Collegio Sindacale, invece, compete vigilare anche sulla prevenzione e/o individuazio-ne di reati perpetrati a danno della societa, per frode o comportamento infedele in genere.Si aggiunga che ai sindaci compete vigilare sul ciclo passivo anche allo scopo di evitarecomportamenti palesemente antieconomici, avventati, rischiosi, indicativi di mala ge-stio degli amministratori, e/o di deficiency dell’assetto organizzativo, anche quando talicomportamenti non configurino neppure in astratto il rischio di un reato.E vero, comunque, che l’attivita di vigilanza svolta dall’OdV puo giovare fortemente alCollegio Sindacale anche ai fini suoi propri, nella misura in cui i protocolli associati alModello Organizzativo 231/2001 si inseriscano, come dovrebbe essere, all’interno di un«sistema integrato di controlli» teso a contrastare e presidiare l’insiemedei rischi aziendali 36.Sul tema del rapporto tra Collegio Sindacale ed Organismo di Vigilanza, si riscontranelle gia citate «Norme di Comportamento del Collegio Sindacale», approvate il 15dicembre 2010 dal Consiglio Nazionale Dottori Commercialisti ed Esperti Contabili,l’introduzione della Norma numero 5.5. rubricata «Rapporti con l’Organismo di vigilan-za», che cosı recita:«Criteri applicativi - In presenza dell’organismo di vigilanza e nel caso in cui esso nonsia formato in tutto o in parte da componenti del collegio sindacale, il collegio sindacaleacquisisce informazioni al fine di verificare gli aspetti inerenti all’autonomia, all’in-dipendenza e alla professionalita necessarie per svolgere efficacemente l’attivita ad essoassegnata. Il collegio sindacale deve quindi acquisire dall’organismo le informazionirelative al modello organizzativo adottato dalla societa ed al funzionamento per valu-tare l’operativita dell’organismo di vigilanza e la congruita delle valutazioni e l’ade-guatezza delle indicazioni da quest’ultimo adottate. Il collegio sindacale puo stabilirecon l’organismo termini e modalita per lo scambio di informazioni rilevanti concor-dando, eventualmente, un programma di incontri nel corso dell’anno.Nel caso in cui, viceversa, la societa non abbia fatto tale scelta e comunque opportunoche il collegio sindacale solleciti un’adeguata riflessione in merito.E opportuno altresı che il modello preveda obblighi di informazione del collegio sinda-cale nei confronti dell’organismo di vigilanza, nonche modalita di informazione, daparte dell’organismo di vigilanza, verso gli organi dirigenti e di controllo dell’ente inmerito all’adeguatezza del modello e alla sua efficace attuazione.»Non puo che valutarsi positivamente nella Norma 5.5. l’esplicita affermazione che ilflusso informativo tra i due Organi deve essere svolto nelle due direzioni, e quindi

36 «I rapporti tra Organismo di vigilanza e Collegio Sindacale» di Antonio Campanini in www.reatisocietari.it.




anche il Collegio Sindacale deve essere tenuto, sulla base del Modello Organizzativo, afornire informazioni all’OdV.Al riguardo puo giovare richiamare il documento «Approccio integrato al sistema dicontrollo interno» dell’Associazione Italiana Internal Auditors (A.I.I.A.), che individuale seguenti modalita’ di interrelazione tra gli organi di controllo e tra le funzioni internedi controllo:– flussi informativi, richiesti o prodotti, spontaneamente o in modo strutturato, per

l’acquisizione di conoscenze tramite lo scambio documentale o il flusso di informa-zioni e di dati;

– comunicazione conoscitiva-partecipativa, che si esplicita mediante la partecipazio-ne da parte dei diversi attori ad incontri finalizzati all’aggiornamento sulle materietrattate ed allo scambio di contributi; permette di portare a conoscenza di fattispecifici i soggetti che in azienda con diversi ruoli hanno la responsabilita di con-tribuire all’efficacia del sistema di controllo;

– scambi finalizzati all’attuazione di direttive necessarie all’assolvimento di compiti isti-tuzionali attribuiti al soggetto committente, nell’ambito dei poteri e mezzi attribuiti.

Oltre agli incontri in composizione «plenaria», il proficuo coordinamento delle rispettiveattivita puo essere favorito anche dalla partecipazione di un membro del CollegioSindacale alle riunioni dell’OdV su invito, quando vi siano all’ordine del giorno temidi specifico interesse. Analogamente, anche un componente dell’OdVpotrebbe invitatoa partecipare come uditore alle riunioni dei sindaci.Sempre in merito alle possibili interazioni di tipo «conoscitiva- partecipativa», e noto chei sindaci intervengono alle riunioni del Consiglio di Amministrazione e alle Assembleedei Soci, in base a specifico obbligo di legge sancito dall’articolo 2405 del codice civile.Si puo ritenere opportuno che l’OdV venga invitato a partecipare come uditore (o taloracome relatore), alle riunioni del Consiglio di Amministrazione che rechino all’ordine delgiorno temi attinenti al Modello Organizzativo 231/2001. E l’invito a presenziare po-trebbe provenire dagli amministratori, oppure proprio dal Collegio Sindacale che na-turalmente riceve le convocazioni delle riunioni del Consiglio, e che per affinita pro-fessionali puo ben individuare le occasioni in cui la partecipazione dell’OdV sia parti-colarmente opportuna.

Organismo di Vigilanza e Societa di Revisione

In dottrina e stata evidenziata la correlazione tra Modello ex D.Lgs. 231/2001 e revisionedel bilancio: l’irrogazione di una sanzione mettera in luce l’insufficienza del controllointerno, elemento questo che non dovrebbe non essere stato preventivamente rilevatoanche nell’ambito dell’attivita di revisione. Inoltre, tale inadeguatezza «non potrebbenon avere conseguenze sul giudizio complessivo dell’attendibilita del bilancio nel suoinsieme e sul connesso rischio dell’esistenza di errori significativi non scoperti, conpossibile invalidita civilistica e falsita penale del bilancio stesso» 37.

37 G. Albertinazzi, «Le conseguenze sul bilancio d’esercizio derivanti dalla nuova responsabilita penale dellesocieta», Rivista dei dottori commercialisti, 53 (2), 2002, pg. 276.




Assolutamente da evitare l’errore di ritenere che, laddove il bilancio sia certificato, ilModello possa essere ridotto ai minimi termini: infatti, reati rilevanti ai sensi del D.Lgs.231/2001 possono verificarsi anche in societa assoggettate a revisione e certificazione dibilancio.Per quanto riguarda poi l’Organismo di Vigilanza, il compito di vigilare sul funziona-mento e l’osservanza del Modello puo essere piu o meno vasto in relazione alla pre-senza o meno dell’istituto della certificazione del bilancio, ma non potranno mai essereazzerati sul presupposto che i controlli dei revisori esterni rendano superflua l’azionedell’organismo stesso (si tratterebbe di una delega all’esterno delle funzioni di vigilanza,non ammessa dal D.Lgs. 231/2001).Puo essere opportuno, invece, introdurre controlli ad hoc sull’operato del revisore,soprattutto in termini di mantenimento di quell’indipendenza senza la quale la certifi-cazione rischia di risultare un mero timbro formale sui documenti predisposti dall’ente.Sarebbe opportuno che i protocolli aziendali prevedessero almeno una riunione tra laSocieta di Revisione, il Collegio Sindacale, il Comitato per il Controllo Interno (oveesistente) e l’Organismo di Vigilanza, prima della seduta del Consiglio di Amministra-zione indetta per l’approvazione del bilancio, che abbia per oggetto tale documento.In ogni caso, e opportuno che l’OdV - anche in questo caso per aumentare la percezionedel grado di indipendenza funzionale dello stesso - rediga ed invii alla Societa diRevisione una relazione periodica sull’attuazione del Modello 231; d’altro canto laSocieta di Revisione deve comunicare all’OdV ogni informazione ritenuta rilevante aifini dell’attuazione del Modello e del rispetto del D.Lgs. 231/2001.

1.4.2 Organi di controllo attori di un «sistema integrato di controlli»

Nella maggior parte dei casi l’Organismo di Vigilanza opera in societa dove non sonopresenti molteplici organi di controllo ad eccezione di quelli imposti per legge e cioe ilCollegio Sindacale incaricato anche della revisione legale e il revisore legale quando ilcollegio sindacale non sia incaricato della revisione.In pratica l’Organismo di Vigilanza nell’ambito delle proprie competenze deve vigilareed aggiornare le procedure atte ad evitare la commissione di reati.Nel corso della propria attivita usera quegli strumenti che riterra piu utili a cio.Molteplici sono le attivita di controllo e di verifica applicate dagli organi oggetto dellapresente trattazione: verifiche di transazioni anche «sensibili»,conferme esterne, analisicomparativa, verifica dei fatti di gestione riguardanti i vari cicli aziendali (acquisti,vendite, immobilizzi e altro).Tutti i fatti di gestione sono oggetto di verifica a campione dagli organi di controlloe quindi e logico che detti organismi possano e debbano coordinare le proprieverifiche al fine di assicurare gli stakeholders circa le funzioni 38 da loro svolte.

38 Anche Linee Guida di Confindustria Parte III punto 2.3.1 pagg. 63/64: «L’art. 2409 del codice civile prevede chel’organo sindacale vigila sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla




Sarebbe prolisso dilungarsi su aspetti meramente organizzativi mentre e piu utile daredelle indicazioni sia sull’operativita dei controlli sia sui risultati raggiunti dagli stessi.

Tavola 1.5 - Lettera dell’OdV al Collegio Sindacale e all’organo incaricato dellaRevisione Legale

Egregi Colleghi,Con la presente Vi comunico che, dopo l’insediamento, l’Organismo di Vigilanza e presente setti-manalmente/ qundicinalmente (il mercoledı) presso la sede della Societa ALFA SpA al fine di curarel’aggiornamento del Modello di organizzazione gestione e controllo della stessa in conformita all’Art6 c. 1 lettera b.A questo scopo l’OdV sta provvedendo al riesame delle procedure per monitorare le aree a rischiogia individuate e di conseguenza aggiornare il «Modello».L’Organismo di Vigilanza ritiene che un opportuno coordinamento delle attivita dei vari organi dicontrollo offra una migliore garanzia agli amministratori ed a tutti gli stakeholders.Al fine di concordare un «sistema integrato di controllo» invita i Colleghi membri del CollegioSindacale/Revisore Legale a presenziare alle riunioni dell’OdV in ordine ad una efficace organizza-zione delle varie attivita di verifica e si impegna a partecipare con un proprio componente alleriunioni indette dal Collegio Sindacale/ Revisore Legale.La dott.ssa Barbacovi e disponibile a coordinare nostri eventuali incontri.Vi ringrazio per l’attenzione e porgo cordiali saluti.

Alberto PesenatoPresidente dell’Organismo di Vigilanza di ALFA SpA

1.5. RICERCA DEL CARATTERE «ESIMENTE»

Come previsto dall’Art. 6 comma 1 l’ente non risponde se prova che:a) l’organo dirigente ha adottato ed efficacemente attuato modelli di organizzazione e

gestione (MOGC) idonei a prevenire i reati della specie di quello verificatosi;b) ha delegato la vigilanza sull’adozione, sul funzionamento, l’osservanza nonche l’ag-

giornamento da parte di un organismo dotato di autonomi poteri di iniziativa econtrollo;

c) il reato e stato commesso eludendo fraudolentemente il modello;d) non vi e stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla

lettera b).

societa, di cui i modelli organizzativi 231 costituiscono senz’altro parte integrante. Quindi, laddove venganomantenuti separati, e opportuno in ogni caso che Collegio Sindacale e Organismo di Vigilanza interagiscano nellosvolgimento delle attivita di propria competenza. Infatti, i modelli, come cerchi concentrici, costituiscono il fulcrodell’attivita di controllo dell’Organismo di Vigilanza, ma rientrano anche nel piu ampio ambito dell’attivita dicontrollo del Collegio Sindacale. In mancanza di coordinamento, il rischio e la duplicazione dei compiti in capoa soggetti diversi e una perdita complessiva di efficienza del sistema dei controlli. Il Collegio Sindacale ricopreinfatti un ruolo centrale nel sistema dei controlli interni della societa. Pertanto, l’integrazione dei compiti ad essoattribuiti con la funzione di Organismo di vigilanza consentirebbe al Collegio di massimizzare le sinergie, elimi-nando duplicazioni e assicurando l’adeguatezza dei flussi informativi».



1.5. Ricerca del carattere «esimente»

Al comma 2 l’Art. 6 afferma che i modelli devono:a) individuare le attivita nel cui ambito possono essere commessi reati;b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle

decisioni dell’ente in relazione ai reati da prevenire;c) individuare modalita di gestione delle risorse finanziarie idonee ad impedire la

commissione dei reati;d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare

sul funzionamento e l’osservanza dei modelli;e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle

misure indicate nel modello.Il comma 3 stabilisce che «I modelli di organizzazione e di gestione possono essereadottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comporta-mento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero dellaGiustizia che, di concerto con i Ministeri competenti, puo formulare, entro trenta giorni,osservazioni sulla idoneita dei modelli a prevenire i reati».Adeguarsi alla normativa, e creare introdurre ed applicare un Modello di organizzazio-ne gestione e controllo adeguato alla societa, questo e il compito a cui e chiamato ilConsiglio di Amministrazione. Il «Modello» deve essere in grado di contrastare la possi-bilita di commettere gli illeciti e i reati indicati dal decreto (proprieta esimente). Lapredisposizione del «Modello» puo ormai fare riferimento a concreti orientamenti pro-fessionali ed autorevoli sentenze 39 oltre che alle Linee guida di Confindustria in pri-mis 40. Ma e la Circolare della GdF 83607/2012 Vol III da pag 69 che fornisce concreteindicazioni.E chiaro che ogni societa dovra adattare il modello e le procedure «specifici protocolli»in esso contenute alla particolare tipologia delle attivita e «core business» della stessa.Nelle societa, in genere, gli organi dirigenti si preoccupano principalmente contrastare ireati riferiti alla sicurezza sul lavoro e ambiente, ma anche altri reati quali quelli socie-tari, informatici, sono tra quelli piu monitorati nelle societa non quotate e PMI.Ecco che e compito dell’estensore di realizzare un Modello adatto «tailored» alla societaalla quale sara applicato (Art. 6 c. 2b).In seguito sara l’Organismo di Vigilanza (Art. 6 c. 1 b) a rivedere ed conformare ilModello cosı creato e le procedure «specifici protocolli» alle esigenze della Societa.E compito dell’organo dirigente adottare e presentare il Modello di Organizzazione,Gestione e Controllo nella sua primigenia stesura; mentre sara compito di un ‘‘organi-

39 Tribunale di Milano sentenza depositata i 9 novembre 2004 Giudice dott.ssa Beatrice Secchi - Tribunale di Bari -ordinanza 18 aprile 2005 - Giudice dott. Giuseppe De Benedictis.40 Anche: ABI Associazione Bancaria Italiana 2004, AIE associazione Italiana Editori 2011; AIOP AssociazioneItaliana Ospitalita Privata 2010 Assifact, ANIA Associazione Italiana Imprese Assicuratrici 2003, ASSOCONSULT2012, ASSONAT Associazione Natanti ASSOSIM Associazione Italiana Intermediari Mobiliari 2001, 2010 ASS.TRAAssociazione Trasportatori 2013, ASS.TRA.MOGC 2013, CONFINDUSTRIA 2014, CONFINDUSTRIAKey Study 2014FEDERCASA 2013, FEDERCHIMICA 2008, FEDERSICUREZZA 2010, Linee guida regionali per l’adozione del codiceetico e dei modelli di organizzazione e controllo delle aziende sanitarie locali e aziende ospedaliere Lombardia(2008).



Ricerca del carattere «esimente» 1.5.

smo dotato di autonomi poteri di iniziativa e controllo la vigilanza sull’adozione, sulfunzionamento, l’osservanza nonche l’aggiornamento del modello stesso’’ 41.A questo punto sorge il problema di trovare dei punti di riferimento validi dai qualitrarre gli elementi che compongano il «Modello» ed in particolare nei modi di agire degliorgani di Governance e dalle Unita Operative. E la parola «specifici protocolli» all’art. 6comma 2 lettera b), a giudizio di chi scrive, che indica all’estensore del «Modello» iprincipi a cui fare riferimento per una valida ed efficace costruzione del documentoche dovra avere quel carattere «esimente» richiesto. Partendo da questa premessa si puofondare il «Modello» facendo riferimento ai documenti sotto esposti. (si da un esempioin tavola 1.6).La parola «specifici protocolli» puo essere interpretata come «specifiche procedure» cherimandano direttamente a:a) Codice di Autodisciplina redatto dal Comitato per la Corporate Governance di Borsa

Italiana SpA 42 che parla di procedure e di controllo interno definendo quest’ultimo alpunto 8.P.1 «... l’insieme delle regole, delle procedure e delle strutture organizzativevolte a consentire, attraverso un adeguato processo di identificazione, misurazione,gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana,corretta e coerente con gli obiettivi prefissati» ed al punto 8.P.2 statuisce che «unefficace sistema di controllo interno contribuisce a garantire la salvaguardia delpatrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilitadell’informazione finanziaria, il rispetto di leggi e regolamenti».

Lo stesso documento amplia il concetto nei successivi punti 8.P.3, 8.P.4 e nei punti da8.C.1 a 8.C.7.Si ricorda qui che i concetti diffusi nel Codice di Autodisciplina per la Corporate Go-vernance sono tratti in alcune parti dal documento CoSO Report I 43;b) Circolare G.d.F. n. 83607/2012, vol. III, pag. 76 richiama i concetti di risk manage-

ment e risk assessment (richiamati dal documento CoSO Report II) senza definirli ed

41 L’OdV risulta funzione strumentale all’organo amministrativo, non solo in quanto da questo nominato e revo-cabile, ma perche suo esclusivo interlocutore nell’esercizio della funzione di vigilanza anti-reato, in ragione dellaquale deve essere dotato di peculiari requisiti, di una determinata configurazione e disciplina (delineata dalla 231),di poteri e responsabilita.Il ruolo di staff e altresı motivato dal fatto che l’OdV, quale funzione professionalmente qualificata ed indipendente- collocata al livello gerarchico dell’organo amministrativo -, operando in un ambito definito (l’organizzazionedell’ente collettivo in chiave di prevenzione dei reati-presupposto), garantisce la gestione delle potenzialita com-missive dei reati-presupposto a favore dell’Organo amministrativo, cui compete ogni correlato potere riguardante,in primis, la facoltativa adozione del Modello di legalita preventiva e, poi, l’effettivita e congruita di esso, nelcontesto generale di una sana e corretta gestione e nell’ambito di un assetto organizzativo ‘‘adeguato’’ ai caratteridell’ente empirico (avv. Sandro Bortolomucci - si veda Appendice 8).42 Consultabile nel sito www.borsaitaliana.it «Codice di Autodisciplina di Borsa Italiana Spa», (Marzo 2006)App. 5.43 Il sistema di controllo interno Addendum Italiano a «CoSO Report» Il Sole 24Ore - 2008. Il documento CoSoReport (I) e considerato come best practice di riferimento per l’architettura dei sistemi di controllo interno dalSerbanes Oxley Act del 2002. Anche lo studio ABI Sistemi di controllo interno ed evoluzione dell’Internal Auditingdel 1999 riprendendo le indicazioni dell’IME del 1995 ha fatto riferimento nei suoi lavori al CoSO Report (I).




ancora a pag. 79 parla espressamente, nel terzo capoverso, di «protocolli» e successi-vamente che cosa si intende per essi;

c) Documento CoSO Report I, principale riferimento attualmente disponibile per quan-to riguarda il «il sistema di controllo interno e la valutazione dei rischi d’azienda».L’Addendum Italiano al documento CoSO Report I a pag. 14 cosı si esprime: «ilcontrollo interno e definito come un processo svolto dal personale di un’azienda tesoa conseguire obiettivi specifici. La definizione e estensiva in quanto raccoglie tutti gliaspetti del controllo di un’azienda e, tuttavia, consente una focalizzazione su obiet-tivi specifici. Il sistema di controllo interno e costituito da 5 componenti intercon-nessi 44, inerenti alle modalita di gestione dell’azienda da parte del suo manage-ment. I componenti sono collegati e servono come criteri per valutare l’efficacia delsistema».

A pag. 189 dello stesso Addendum: «Il controllo interno e definito come un processosvolto dal consiglio di amministrazione dai dirigenti e da altri soggetti della strutturaaziendale finalizzato a raggiungere una ragionevole sicurezza sul conseguimentodegli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attivitaoperative; attendibilita delle informazioni di bilancio; conformita delle leggi e regola-menti in vigore;d) Principi di Revisione ora divenuti Pratica Professionale dal numero 6 al numero 17

che elencano dettagliatamente le procedure piu efficaci ed affidabili divise per ciclioperativi, procedure di controllo interno e che soddisfano ampiamente molti deidettami richiesti nel documento CoSO Report I sopra richiamato;

e) Principi di revisione ISA Italia: precisano appropriati metodi di verifica 45 su varisettori dell’azienda e possono essere di valido aiuto per determinare quei «specificiprotocolli» e procedure ai quali devono conformarsi gli organi di Governance e leUnita Operative con lo scopo di escludere la possibilita che si possano commettere ireati ed illeciti richiamati dal decreto;

f) Comitato per l’Area D.Lgs. 231/2001 dell’Associazione Italiana Internal Auditors(AIIA) in collaborazione con il Gruppo di lavoro di Confindustria sulla «responsabi-lita amministrativa delle persone giuridiche» ha condotto un’indagine allo scopo dirilevare i principali aspetti operativi connessi all’adozione ed attuazione dei modelliorganizzativi 231/2001 da parte delle societa non quotate;

g) Linee Guida 46 Confindustria 2014 che parlano espressamente di Risk Approach;h)Documenti CoSO II e CoSO III;i) Sistemi di gestione Qualita ISO 9001, Ambiente 14001:2004, Sicurezza OHSAS

18001:2007 ,il D.Lgs. 81/2008 ed il D. min. 13/2/ 2014 (G.U. n. 45 del 24/2/2014) per le PMI.

44 Richiamati in toto dal Principio di Revisione 315 nell’App. 1.45 P.R. n. 240 - La responsabilita del revisore nel valutare la possibile esistenza di frodi ed errori, P.R. n. 315 -Comprendere l’impresa ed il suo contesto, valutare i rischi di errori significativi, P.R. n. 330 - Le procedure direvisione in funzione di rischi identificati, P.R. n. 550 - Le parti correlate, P.R. n. 560 - Gli eventi successivi, P.R. n.570 - Continuita aziendale, P.R. n. 580 le attestazioni della direzione.46 Consultabile nel sito http://www.confindustria.it - da leggere - documenti - 2014 Versione aggiornata.




Nel caso che si adottasse un «Modello» che abbia come «sources» i documenti eprincipi qui sopra richiamati l’estensore avra modo di adattare alla realta azien-dale i vari strumenti proposti variandoli alle effettive particolari esigenze dell’a-zienda.Il Modello suggerito dovra essere adattato «tailored» alla specifica realta aziendale. Lasua struttura fara riferimento ai documenti ed ai principi sopra esposti e saranno questastruttura ed i relativi principi di riferimento che l’Autorita Giudiziaria dovra valutare neldecidere se il «Modello» creato abbia o meno validi e fondati elementi (specifici proto-colli) adattati agli organi di Governance ed alle Unita Operative aziendali, che diano alModello stesso quel carattere esimente richiesto.Molti intendono ancora per «Modello» quel documento che si puo consultare nel web eche viene comunemente definito ‘‘Parte Generale’’ associato al Codice Etico e al SistemaDisciplinare; mentre tali documenti si possono identificare come la «vetrina» che mostrae dimostra, a chi ne sia interessato, che la societa sta adottando o ha adottato il Modello.Le parti piu richiamate di esso e cioe Il Codice Etico ed il sistema disciplinare sonouna minima parte del ‘‘Modello’’. Il modello vero e proprio si compone in verita diben altri documenti applicativi che sono espressi nei «specifici protocolli» richiestidall’art. 6 del decreto stesso.Sono questi specifici protocolli rivolti agli organi diGovernance ed alle varie Unita Operative che costituiscono la parte essenziale del«Modello» che andra valutata dall’Autorita Giudiziaria 47 nel caso si trasgredisca aidettami del decreto.Pensare che il «Modello» sia composto dalla sola «Parte Generale» che gli autori defini-scono delle «buone intenzioni» e un errore che molti ancora commettono. Ecco quindiche e necessario fare riferimento alle sources sopra richiamate e trarre da esse tutti glielementi che andranno a comporre e formare quegli strumenti che conterranno queispecifici protocolli prescritti dal decreto e necessari per completare il «Modello» e fargliacquisire il «carattere esimente».Il professionista che si dedica alla stesura del «Modello» nella Parte Generale e nelle partiapplicative contenenti i specifici protocolli necessita della collaborazione di coadiutoriinterni 48 all’azienda che saranno di supporto per la stesura del Modello nella sua ParteGenerale e che egli dovra informare (per la Parte Generale) e formare nella predispo-sizione degli strumenti che l’Organismo di Vigilanza quale Organo di Staff del CdAdovra in seguito utilizzare e aggiornare per la verifica del buon funzionamento delleprocedure. In effetti e a loro che dovra essere trasmesso il necessario know-how erelativo modus operandi.Durante la ricognizione delle aree a rischio e l’adozione dei protocolli atti ad evitare econtrastare la commissione del reato sara l’Organismo di Vigilanza a rendere cogentile procedure adatte ad ostacolare o meglio impedire la commissione dell’illecito e/oreato.

47 Come descritto da pag 71 della Circolare GdF 83607/2012 Vol. III.48 Possibili coinvolgimenti: Ufficio legale , controllo di gestione, servizio ispettorato, revisori interni.




Tavola 1.6 - «Sources» e Struttura del Modello di Organizzazione, Gestione eControllo

Il presente Modello di Organizzazione, Gestione e Controllo adottato da Termisol Termica Srl 49,come gia evidenziato in premessa, ha come punti di riferimento, oltre alle prescrizioni del Decreto:4 il Codice di Autodisciplina per la Corporate Governance di Borsa Italiana S.p.A. 50;4 le Linee Guida di Confindustria 2014;4 la Circolare GdF n. 83607/2012 - Vol. III;4 i documenti CoSO Report I, II ,III (Committee of Sponsoring Organizations of the Treadway

Commission);4 i Principi di revisione I.S.A. Italia riferiti al rischio di commissione di illeciti e reati 51;4 i principi di Pratica Professionale in materia di revisione contabile che a questi ultimi fanno

riferimento e che soddisfano i requisiti richiesti dal CoSO Report I;4 Sistema qualita ISO 9001:2004;4 D.Lgs.81/2008;4 il Sistema di Gestione sulla Sicurezza sul Lavoro redatto ed implementato secondo il dettato della

norma OHSAS 18001:2007;4 il Sistema di Gestione Ambientale redatto ed implementato secondo il dettato della norma UNI

EN ISO 14001:2004;4 Il Decreto Ministeriale 13/2/ 2014 (G.U. n. 45 del 24/2/2014).Le «Sources» sopra indicate sono parte integrante del presente «Modello», il quale si concretizza in unarticolato sistema piramidale di principi e procedure 52, che si puo descrivere sinteticamente comesegue:1) La Parte Generale del «Modello» ed il Codice Etico: in essi sono rappresentati i principi generali

(trasparenza, correttezza, lealta) cui si ispira lo svolgimento e la conduzione delle proprie attivita.Gli stessi sono quindi presentati e pubblicati.

2) Le linee guida per gli Organi di Governance 53, introducono regole specifiche al fine di evitare lacostituzione di situazioni ambientali favorevoli alla commissione di reati in genere, e tra questi inparticolare dei reati di cui al Decreto Legislativo n. 231/2001; si sostanziano in una declinazioneoperativa di quanto espresso dai principi del Codice Etico.

3) Il Sistema di Controllo Interno (SCI) per le Unita Operative: e l’insieme degli «strumenti» volti afornire una ragionevole garanzia in ordine al raggiungimento degli obiettivi di efficienza e diefficacia operativa, affidabilita delle informazioni finanziarie e gestionali, rispetto delle leggi e deiregolamenti, nonche salvaguardia del patrimonio sociale anche contro possibili frodi. Il sistemadi controllo interno si fonda e si qualifica su alcuni principi generali, appositamente definitinell’ambito del Modello di Organizzazione, Gestione e Controllo il cui campo di applicazionesi estende trasversalmente a tutti i diversi livelli organizzativi.

Detti strumenti si concretizzano in Check lists e Questionari sul Controllo Interno 54 (ICQ), elaboratiper tutti i processi operativi e per i processi strumentali. Tali check lists e questionari presentano

49 Consultabile in www.termisol.com. Gli autori hanno ritenuto di portare Termisol Termica Srl come esempio, inquanto codesta societa adotta il massimo livello di gestione sulla sicurezza sul lavoro, gestione ambientale e qualita.50 Punti 1 e 8 - App. 5.51 P.R. ISA Italia 240, 315, 330, 450, 550, 57052 I punti 2 e 3 fanno parte di quei «Specifici Protocolli» pretesi dall’art. 6, comma 2, lett. b) del D.lgs. 231/2001.53 Contenuti nella Parte Governance (Riservata).54 Contenuti nella Parte - Procedure - Unita Operative (Riservata).




un’analoga struttura, e verificano il complesso di regole volte ad individuare le principali fasi di ogniprocesso, i reati che possono essere commessi in relazione ai singoli processi, le specifiche attivita dicontrollo per prevenire ragionevolmente i correlativi rischi di reato, nonche appositi flussi informa-tivi verso l’Organismo di Vigilanza al fine di evidenziare situazioni di eventuale inosservanza delleprocedure stabilite nei modelli di organizzazione.4) Il Sistema Disciplinare, aspetto fondamentale del Modello, il quale prevede l’esistenza di ade-

guate sanzioni per la violazione delle regole e dei disposti ivi definiti al fine della prevenzione deireati.

Le Due parti Riservate (punti: 2 e 3), gestite dall’Organismo di Vigilanza, contengono le procedurespecifiche di controllo interno divise nei settori «Governance», «Unita Operative» ed insieme alCodice Etico e Sistema Disciplinare rappresentano il vero e proprio ‘‘MOGC’’ in quanto eviden-ziano la verifica della situazione attuale delle procedure (As is analysis), la valutazione del rischioallo stato attuale (Risk Assessment) tramite appropriati questionari sul controllo interno (ICQ) e leazioni per la gestione ed il contrasto dello stesso (Risk Management). Le risultanze di tali opera-zioni sono lo strumento necessario all’Organismo di Vigilanza per redigere ed aggiornare ildocumento ‘‘Analisi delle attivita sensibili’’ o ‘‘Mappatura delle aree a rischio’’. Tali documentisono per loro natura riservati ai vari livelli di Governance ed alle Unita Operative della Societa efanno parte di quei ‘‘Specifici Protocolli’’ che concorrono a fornire il ‘‘Carattere esimente’’ richiestodal D.Lgs. 231/2001.Le procedure verificate dai questionari di controllo interno sono state elaborate alla luce di tre regolecardine e precisamente:a) la separazione dei ruoli nello svolgimento delle attivita inerenti ai processi;b) la c.d. «tracciabilita» delle scelte, cioe la costante visibilita delle stesse (ad esempio mediante

apposite evidenze documentali), per consentire l’individuazione di precisi «punti» di responsa-bilita (Punti di Forza o keys control)) e la «motivazione» delle scelte stesse;

c) l’oggettivazione dei processi decisionali, nel senso di prevedere che, nell’assumere decisioni, siprescinda da valutazioni meramente soggettive, facendo invece riferimento a criteri predetermi-nati.

Il presente Modello di Organizzazione, Gestione e Controllo , peraltro, si completa con l’istituzionedi un Organismo di Vigilanza, che, come previsto dall’art. 6 del D.Lgs. n. 231/2001, e dotato diautonomi poteri di iniziativa e di controllo, al fine di vigilare sul funzionamento, l’efficacia e l’os-servanza del Modello stesso curandone altresı il costante aggiornamento.

Tale profilo e ulteriore condizione per l’applicazione dell’esimente prevista dalla norma.

Quanto sopra descritto assolve all’articolo 6 del Decreto, il quale nell’introdurre il suddetto regime diresponsabilita amministrativa, prevede, tuttavia, una forma specifica di esonero (funzione esimente)da detta responsabilita, come evidenziato nel punto 1.2.

1.5.1 Gli orientamenti giurisprudenziali

La sentenza del GIP del Tribunale di Milano (dott.ssa Beatrice Secchi) depositatail 9 novembre 2004 rafforza l’orientamento e l’impostazione in base ai quali leattivita di analisi e i meccanismi di gestione del rischio dovranno essere elaboratie integrati tra loro avendo riguardo alle peculiarita dell’ente o azienda, al sistemadi controllo interno gia esistente, alle aree e ai processi «sensibili», al settore




di riferimento, alla cultura aziendale presente all’interno dell’organizzazione, ecosı via.Il «Modello» deve accogliere i requisiti di specificita e dinamicita.La giurisprudenza in piu casi ha evidenziato l’inadeguatezza del piatto recepimento dıLineeGuida o di codici etici generali e astratti 55. Il requisito della specificita si estrinsecanella concreta aderenza del modello alle peculiarita strutturali dell’ente o societa chel’adotti; in relazione alla dinamicita, e assolutamente ovvio ritenere che la necessita diun costante aggiornamento del modello sia «parallela all’evolversi ed almodificarsi dellastruttura del rischio di commissione di illeciti» 56.Ecco qui riportata la traccia indicata dalla sentenza:1) Il modello deve essere adottato partendo da una mappatura dei rischi di reato

specifica ed esaustiva e non meramente descrittiva o ripetitiva del dettato norma-tivo;

2) Il modello deve prevedere che i componenti dell’organismo di vigilanza possegganocapacita specifiche in tema di attivita ispettiva e consulenziale;

3) Il modello deve prevedere quale causa di ineleggibilita a componente dell’ODV lasentenza di condanna (o di patteggiamento) non irrevocabile;

4) Il modello deve differenziare tra formazione rivolta ai dipendenti nella loro genera-lita, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza edai preposti al controllo interno;

5) Il modello deve prevedere il contenuto dei corsi di formazione, la loro frequenza,l’obbligatorieta della partecipazione ai corsi, controlli di frequenza e di qualita sulcontenuto dei programmi;

6) Il modello deve prevedere espressamente la comminazione di sanzione discipli-nare nei confronti degli amministratori, direttori generali e compliance officersche per negligenza ovvero imperizia non abbiano saputo individuare, e conse-guentemente eliminare, violazioni del modello e, nei casi piu gravi, perpetrazionedi reati;

7) Il modello deve prevedere sistematiche procedure di ricerca ed identificazione deirischi quando sussistano circostanze particolari (es. emersione di precedenti viola-zioni, elevato turn-over del personale);

8) Il modello deve prevedere controlli di routine e controlli a sorpresa - comunqueperiodici - nei confronti delle attivita aziendali sensibili;

9) Il modello deve prevedere e disciplinare un obbligo per i dipendenti, i direttori, gliamministratori della societa di riferire all’Organismo di Vigilanza notizie rilevanti erelative alla vita dell’ente, a violazioni del modello o alla consumazione di reati. Inparticolare, deve fornire concrete indicazioni sulle modalita attraverso le qualicoloro che vengano a conoscenza di comportamenti illeciti possano riferire all’or-gano di vigilanza;

10) Il modello deve contenere protocolli e procedure specifici e concreti.

55 Rivista italiana di diritto e procedure penale - 2002 - 438.56 Tribunale di Bari - ordinanza 18 aprile 2005 - Giudice dott. Giuseppe De Benedictis.




1.5.2 Documenti CoSO: evoluzione, riferimento e paragone per un adeguatosistema di controllo interno

Il primo studio nasce negli Stati Uniti come iniziativa delle associazioni professionali piuprestigiose d’America (American Institute of Certified Public Accountants (AICPA),American Accounting Association AAA), Institute of Internal Auditors (IIA), Instituteof Management Accountants (IMA), Finanacial Executive Institute(FEI)) che hannodato vita ad una commissione di studio all’interno della National Commission on Frau-dolent Financial Reporting (NCFFR) conosciuta come Treadway Commission dal nomedel suo presidente James C. Treadway Jr.Tale Commissione prese il nome di (Commitee of Sponsoring Organizations of theTreadway Commission) successivamente nota come Treadway Commission edincarica la Coopers & Lybrand il relativo studio al fine di migliorare i sistemi dicontrollo interno e di fornire a tutte le parti interessate (autorita di controllo,dirigenti, revisori, membri del consiglio di amministrazione, chief executivesecc.) un concetto comune di controllo. Il testo conclusivo edito nel settembre1992 e stato denominato CoSO Report - Internal Control. Integrated Framework(c.d. Documento CoSO I Report) ed e stato integrato nel maggio 1994 da unaddendum.Nel corso degli anni i consensi a questo approccio sono cresciuti e nel 1996 fu diffuso«Guidance on Monitoring Internal Control System - internal conrol Issues in derivatesUsage» con utili strumenti di controllo per le attivita connesse ai derivati.Nel 1997 in Italia viene pubblicato l’Addendum italiano del Documento CoSO Reportche riprende le edizioni statunitensi ed e a questo documento, oltre ai principi direvisione e di pratica professionale, che si fa riferimento nella Parte III del presentemanuale proponendo check lists dettagliate che espongono i principi base ed i que-stionari presentati nella parte metodologica dell’Addendum italiano 57.Resta il fatto che il Documento CoSO Report I, nonostante l’indiscusso successo all’e-poca della sua pubblicazione (40.000 copie vendute nella prima stampa) e successiva-mente, non ha trovato in seguito riscontro nei fatti.Il boom delle borse e la prevalente attenzione agli aspetti monetari da parte deglishareholders hanno posto in un piano secondario la vigilanza sul rispetto delle regoledel buon governo delle imprese.La cosiddetta deregulation ha cosı portato ad una flessibilita delle regole a dispetto deicomportamenti virtuosi.A nulla e servito il fatto che gia nel 2001 il Documento CoSO Report I sia stato indicatocome best practice di riferimento per l’architettura dei sistemi di controllo interno dalSerbanes-Oxley Act 58 dopo i casi Enron,Vivendi in USA e Parmalat in Italia.Attualmente dopo il default mondiale delle borse avvenuto nel 2008/2009 e forza di

57 Per gli strumenti di valutazione specifici si veda OdV Governance da check-list 11.1 e Tav. 11.2 e OdV UnitaOperative tutti ICQ da Questionari 2 a 25.58 App. 9.




cose riportare lo studio in oggetto al ruolo che gli compete all’interno delle compaginisocietarie.La base dello studio effettuato dalla «Treadway Commission» e stato condotto richie-dendo suggerimenti ed opinioni ad amministratori, docenti universitari, dirigenti diaziende di diverse dimensione pubbliche e private, ad autorita tutorie ed uomini poli-tici.Alla fine del lavoro di studio il modello predisposto e stato testato su 5 aziende didimensioni medio grandi per verificare l’effettivo funzionamento ed avere confermadella validita delle metodologie e degli strumenti operativi.Il Documento CoSO Report I (Commitee of Sponsoring Organizations of the TreadwayCommission 59) (Il sistema di controllo interno) Progetto Corporate Governance perl’Italia. - Un modello integrato per la gestione dei rischi aziendali (Addendum italiano)esemplifica le cinque componenti del controllo interno:1) ambiente di controllo;2) valutazione dei rischi;3) attivita di controllo;4) informazione e comunicazione;5) monitoraggio.In seguito, nell’anno 2001 la commissione CoSO ha lanciato un nuovo progetto perelaborare un modello di riferimento che potesse essere rapidamente adottato dai ma-nagers per valutare e migliorare la gestione del rischio aziendale, inteso come rischio digestione, definendo un modello di riferimento integrato nei processi operativi e com-prendente tutte le diverse tipologie di rischio.Lo studio, commissionato alla PricewaterhouseCoopers, ha prodotto nel 2002 il cosid-detto «ERM - Enterprise Risk Management - Integrated Framework» noto anche con ilnome di Documento CoSO Report II. Secondo questo studio (ERM) gli obiettivi 60 azien-dali possono essere cosı individuati (vedi anche Cap. 2.5):– strategici: sono espressi in termini generali e devono essere allineati alla mission

aziendale e la devono supportare. Riflettono la scelta del management di comel’azienda si adopera per creare valore per i suoi stakeholder;

– operativi: riguardano l’efficacia e l’efficienza delle operazioni aziendali. E necessarioche riflettano l’ambiente micro - macro economico nel quale l’azienda opera. Ilmanagement deve assicurarsi che gli obiettivi siano reali, riflettano le esigenze delmercato e siano espressi nei giusti termini al fine di consentire un’attendibile valu-tazione della performance;

– di reporting: riguardano le informazioni, che devono essere accurate, complete ecoerenti con i fini perseguiti;

59 Per gli strumenti di valutazione specifici si veda OdV Governance check list 11.1 e 11.2 e OdV Unita Operativetutti I.C.Q. da Questionario 2 a 25.60 Come in altre parti del volume, si ricorda al lettore che il Documento CoSO II (ERM) si riferisce alla molteplicitadei rischi riferiti agli obiettivi aziendali dei quali, quelli riferiti alle leggi e regolamenti ex D.Lgs.231/2001, sono solouna parte (Tavola 1.4).




– di conformita: le aziende devono condurre le loro attivita (e spesso assumere prov-vedimenti particolari) in conformita alle leggi e ai regolamenti in vigore.

Lo studio (Documento CoSO II - ERM) ha identificato otto componenti del sistema dicontrollo tra loro interconnessi. Questi componenti sono:– ambiente interno: ilmanagement formula la filosofia di base e determina il livello di

accettabilita del rischio. Determina, in termini generali, i modi in cui il rischio econsiderato e affrontato dalle persone che operano in azienda;

– definizione degli obiettivi: gli obiettivi devono essere fissati prima di procedereall’identificazione degli eventi che possono pregiudicare il loro conseguimento;

– identificazione degli eventi: devono essere identificati gli eventi che possono avereun impatto sull’attivita aziendale. Comporta l’identificazione di fatti potenziali diorigine interna e esterna che possono pregiudicare il conseguimento degli obiettivi.E necessario distinguere gli eventi che rappresentano rischi da quelli che rappresen-tano opportunita;

– valutazione del rischio: i rischi identificati sono analizzati al fine di determinare comedevono essere gestiti. I rischi sono collegati agli obiettivi e possono pregiudicarne ilraggiungimento. I rischi sono valutati sia in termini di rischio inerente (rischio inassenza di qualsiasi intervento) sia di rischio residuo (rischio dopo aver attivatointerventi per ridurlo), determinando la probabilita che il rischio si verifichi e ilrelativo impatto (cosiddetto metodo as is);

– risposta al rischio: il management identifica e valuta le risposte possibili al rischio,che potrebbero essere: evitare, accettare, ridurre e compartecipare il rischio. Sele-ziona una serie di azioni per allineare i rischi emersi con la tolleranza al rischio e alrischio accettabile;

– attivita di controllo: devono essere definite e realizzate politiche e procedure perassicurare che le risposte al rischio siano efficacemente eseguite;

– informazioni e comunicazione: le informazioni pertinenti devono essere identifica-te, raccolte e diffuse nella forma e nei tempi che consentano alle persone di adem-piere alle proprie responsabilita. Si devono attivare comunicazioni efficaci in modoche queste fluiscano per l’intera struttura organizzativa: verso il basso, verso l’alto etrasversalmente;

– monitoraggio: l’intero processo deve essere monitorato e modificato se neces-sario. Il monitoraggio si concretizza in interventi continui, integrati nella nor-male attivita operativa aziendale, in valutazioni oppure in una combinazione deidue metodi 61.

Nel 2006 e stato emanato un nuovo documento «Internal Control over Financial Repor-ting - Guidelines for Smaller Public Companies» (CoSO Report III) che e stato predispostoper le imprese di dimensioni ridotte ed e specifico per il Financial Reporting.

61 Si veda anche CoSO Report (I) (Commitee of Sponsoring Organizations): Addendum italiano - Appendice allaSezione «Rapporto per i soggetti esterni» (maggio 2008). Tav. 2 par. 1.




Per ultimo il 4 febbraio 2009 e stato pubblicato «CoSO Report - Internal Control. Inte-grated Framework - Guidance in Monitoring internal Control System».Tale documento recepisce piu operativamente la normativa SOX (Serbanes Oxley Act)ed ha coinvolto numerosi operatori appartenenti a diversi settori economici(Tavola 1.7).

Tavola 1.7 - Documento CoSO III - «Internal Control over Financial Reporting -Guidelines for Smaller Public Comapanies» 62

Principi applicativi 63 per realizzare un efficace controllo interno finalizzato al financial reporting 64

Questa Guida definisce venti principi base che rappresentano i concetti fondamentali ricavatidirettamente dai cinque componenti del Framework.

Ambiente di controllo1. Integrita e valori etici - Integrita e valori etici, particolarmente per le posizioni apicali, sono

elaborati e compresi e costituiscono le fondamenta su cui costruire il codice di condotta per ilfinancial reporting.

a) Definizione di chiari valorib) Monitoraggio della conformitac) Identificazione delle violazioni2. Consiglio di Amministrazione - Il consiglio di amministrazione svolge un ruolo di supervi-

sione e possiede conoscenze adeguate in materia di financial reporting e relativo controllointerno.

a) Definisce i poterib) Opera con indipendenzac) Svolge interventi di monitoraggio3. Filosofia e stile di direzione - La filosofia e lo stile di direzione contribuiscono a rendere

efficace il controllo interno finalizzato al financial reporting.a) Determina il carattere generale dell’organizzazioneb) Influenza i comportamenti nella scelta dei principi contabili e nella determinazione delle stime

di bilancioc) Definisce chiaramente gli obiettivi4. Struttura organizzativa - La struttura organizzativa di un’impresa contribuisce a rendere

efficace il controllo interno finalizzato al financial reporting.a) Definisce i livelli gerarchici interessati al financial reportingb) definisce la struttura organizzativa

62 Concetti inclusi nel Documento CoSO (I) Check list 11.1 e 11.2 ed ampliati nei questionari delle Unita Operativeda 2 a 25.63 I presenti 20 principi sono seguiti dalle relative 55 caratteristiche; si veda Documento CoSO Report (III) (Ilcontrollo interno per l’attendibilita del Financial Reporting) - Strumenti di riferimento per il management -PriceWaterhouseCoopers Il Sole 24Ore pag. 16 e segg. e pag. 42 e segg.64 Si intende come financial reporting quanto viene presentato dall’azienda come bilancio e relativa informativaeconomico finanziaria.




5. Competenze in materia di contabilita e bilancio - Personale esperto e competente inmateria di contabilita e bilancio e che svolge un relativo ruolo di supervisione deve esseretrattenuto e incentivato.

a) Identifica le competenzeb) Trattiene il personalec) Valuta le competenze6. Attribuzione dei poteri e delle responsabilita - Sono attribuiti ai manager e ai dipendenti

adeguati poteri e responsabilita per agevolare il funzionamento efficace del controllo internofinalizzato al financial reporting.

a) Definisce le responsabilitab) Definisce i limiti di autorita7. Risorse Umane - Le politiche e le prassi per le risorse umane sono progettate e realizzate

per agevolare il funzionamento efficace del controllo interno finalizzato al financialreporting.

a) Stabilisce prassi di gestione delle risorse umaneb) Favorisce la ricerca e la conservazione del personalec) Attiva adeguati corsi di formazioned) Valuta la performance ed il sistema premiale

Valutazione del rischio8. Obiettivi del financial reporting - Il management determina con chiarezza gli obiettivi del

financial reporting e adotta criteri adeguati per consentire l’identificazione dei rischi chepossano pregiudicare l’attendibilita dei reporting.

a) E conforme ai principi contabili generalmente accettati.b) Supporta l’informativa di bilancioc) Rispecchia la realta aziendaled) E di supporto alle pertinenti asserzioni di bilancio9. Rischi del financial reporting - L’impresa identifica ed analizza i rischi, che potrebbero

pregiudicare il conseguimento degli obiettivi del financial reporting, anche al fine di stabilirecome gestirli. Appropriati livelli di management.

a) Considera i processi operativib) Considera le tecnologie informatichec) Coinvolged) Considera fattori sia interni che esternie) Valuta le probabilita e l’impattof) Stabilisce indicatori per valutare il rischio10. Rischio Frode - L’eventualita che si verifichino errori significativi a causa di azioni fraudolente,

viene esplicitamente considerata quando si valutano i rischi che influiscono sulla realizzazionedegli obiettivi del financial reporting.

a) Considera gli incentivi e le sollecitazioni verso pratiche fraudolenteb) Considera i fattori di rischioc) Fissa le responsabilita

Attivita di Controllo11. Integrazione con la valutazione del rischio - Si devono intraprendere le necessarie azioni

per gestire il rischio al fine di conseguire gli obiettivi del financial reporting. Ai principicontabili generalmente accettati.

a) Contenere i rischib) Considera tutti gli aspetti piu significativi del processo contabilec) Considera l’Information technology




12. Selezione e sviluppo delle attivita di controllo - Le attivita di controllo sono selezionate esviluppate in funzione del loro costo e della loro potenziale efficacia nel mitigare i rischi chepossono pregiudicare il conseguimento degli obiettivi del financial reporting.

a) Considera i range di attivitab) Comprende i controlli preventivi e successivic) Richiede la separazione dei compitid) Contempla un adeguato rapporto costi-benefici13. Politiche e procedure - Le politiche riguardanti l’attendibilita dei financial reporting sono

definite e diffuse in tutta l’impresa, assieme alle relative procedure da eseguire derivanti dadirettive del management.

a) Richiede la definizione delle responsabilita di controllo nei processi operativib) Richiede la definizione delle responsabilita e la conseguente rendicontazionec) Esige che le procedure si attuino tempestivamented) Esige che le procedure si implementino integralmentee) Contempla lo svolgimento di indagini sulle eccezioni rilevatef) Contempla il riesame periodico14. Information Technology - I controlli sui sistemi informativi, se del caso, sono progettati e

realizzati per favorire il conseguimento degli obiettivi del financial reporting.a) Considera i controlli applicativib) Esamina i controlli generali sui sistemi informativic) Considera l’‘‘end user computing»

Informazione e Comunicazione15. Informazioni del financial reporting - Informazioni pertinenti sono identificate, raccolte e

utilizzate da tutti i livelli della scala gerarchica dell’impresa, e distribuite e presentate nella forma enei tempi dichiarati, di modo che si faciliti il conseguimento degli obiettivi del financial reporting.

a) Acquisire i datib) Include informazioni economico-finanziariec) Utilizza fonti interne ed esterned) Mantiene ostante nel tempo la qualita dell’informazione16. Informazioni concernenti il controllo interno - Informazioni utilizzate per il corretto

funzionamento di altri componenti del controllo interno, sono identificate, raccolte e diffusenella forma e nei tempi che consentano al personale di esercitare le proprie responsabilita suicontrolli interni a loro assegnati.

a) Acquisisce i datib) Provoca decisioni e cambiamentic) Mantiene costante la qualita nel tempo17. Comunicazioni interne - Le comunicazioni consentono di realizzare gli obiettivi del con-

trollo interno, di attivare i processi e di esercitare le responsabilita a tutti i livelli della strutturaorganizzativa aziendale.

a) Comunica al personaleb) Comunica al Consiglio di Amministrazionec) Stabilisce canali separati di comunicazioned) Accesso all’informazione18. Comunicazioni esterne - Fatti che possono incidere sul conseguimento degli obiettivi del

financial reporting sono comunicati a terzi esterni interessati.a) Fornisce inputb) Fornisce valutazioni indipendenti




Monitoraggio19. Monitoraggio continuo e valutazioni separate - Il monitoraggio continuo e/o valutazioni

separate consentono al management di determinare se il controllo interno finalizzato al finan-cial reporting sia presente e stia funzionando correttamente.

a) Integrato nelle attivita operativeb) Consente una valutazione obiettivac) Impiega personale competented) Tiene conto dei feedbacke) Modifica l’ambito della frequenza20. Relazioni sulle carenze riscontrate - Le criticita riscontrate nei controlli interni sono segna-

late tempestivamente a coloro che sono responsabili di intraprendere le necessarie azionicorrettive, al management e al consiglio di amministrazione, come puo risultare piu opportuno.

a) segnala le criticitab) Segnala le carenzec) Attiva tempestivamente interventi correttivi

1.5.3 Costruzione del «Modello» e successivi monitoraggi ed aggiornamento daparte dell’OdV

La costruzione del MOGC e un processo complesso che richiede lo svolgimento dimolteplici fasi tra loro interconnesse (Tavola 1.8).Gli stadi di elaborazione del MOGC e suo successivo aggiornamento si possono sinte-tizzare nel seguente schema (art. 61.b):1) Conoscenza dell’attivita Aziendale, della struttura organizzativa e relativa organizza-

zione interna;2) Conoscenza del sistema di Controllo Interno (SCI);3) Individuazione delle attivita e processi aziendali e loro studio;4) Analisi delle attivita sensibili5) Identificazione dei fattori di Rischio Reato6) Mappatura delle aree a Rischio Reato7) Valutazione del Rischio di Infrazione e del Rischio Reato8) Definizione e redazione di adeguati «Specifici Protocolli» di protezioneIl compito principale dell’OdV dopo il Suo insediamento e quello di aggiornare ecompletare la Parte Generale e pubblica del MOGC integrandola con appropriateAppendici (specifici protocolli) rivolti agli Stakeholders e parti terze in genere.




http://shop.wki.it/Ipsoa/Libri/Organismo_di_Vigilanza_ex_D_Lgs_231_2001_s20512.aspx?utm_source=estpdf&utm_medium=shopwki&utm_campaign=estratto

Aspetti generali: i principi di riferimento 1. La ... · disposizioni contenute nella Convenzione...

Documents

Transcript of Aspetti generali: i principi di riferimento 1. La ... · disposizioni contenute nella Convenzione...