L’OrganismodiVigilanzaexD.Lgs., 231/2001:,requisiti ... · 6" " da parte"dell’OdV" e"...

1

L’Organismo di Vigilanza ex D.Lgs. 231/2001: requisiti, attività, flussi informativi e relazioni con gli organi societari di Marco Allegrini e Giuseppe D’Onza1

Sommario 1. L’Organismo di Vigilanza nel D.Lgs. 231/2001: aspetti introduttivi .............................................................. 2

1.1. Riflessioni in merito ai requisiti dell’Organismo di Vigilanza .................................................................. 3

1.2. La composizione dell’Organismo di Vigilanza ........................................................................................ 8

2. L’attività dell’Organismo di Vigilanza .......................................................................................................... 10

3. I flussi informativi verso l’OdV ................................................................................................................ 15

3.1. Segnalazioni ..................................................................................................................................... 16

3.2. Attestazioni interne ......................................................................................................................... 16

3.3. Flussi informativi ............................................................................................................................. 17

3.3.1. Flussi informativi generali ....................................................................................................... 18

3.3.2. Flussi informativi speciali ........................................................................................................ 19

3.3.3. Flussi informativi sul tema della salute e sicurezza sul luogo di lavoro ................................... 22

3.4. Referenti dell’OdV ........................................................................................................................... 23

3.5. Principali benefici dei flussi informativi ........................................................................................... 24

4. Relazioni con il collegio sindacale ........................................................................................................... 25

5. Relazioni con il Consiglio di amministrazione / comitato di controllo interno ........................................ 26

1 Il presente scritto è frutto di un comune lavoro dei due autori. Tuttavia, Giuseppe D’Onza è autore dei paragrafi 1 e 2, mentre Marco Allegrini è autore dei paragrafi 3,4 e 5. 2 E’ interessante notare che il requisito della professionalità è richiamato dall’Ordinanza del Gip del Tribunale di Napoli del 26 Giugno 2007 in cui si evidenzia che la mancata specificazione dei requisiti di professionalità dei componenti dell’OdV costituisce una carenze del Modello di Organizzazione, Gestione e controllo. In tale ordinanza si indicano

2

1. L’Organismo di Vigilanza nel D.Lgs. 231/2001: aspetti introduttivi

Nel corso del 2001 il Decreto Legislativo n. 231 intitolato la “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” ha introdotto, come noto, nell’ordinamento italiano una nuova forma di responsabilità di tipo amministrativo, o come evidenziato da alcuni autori di natura para-‐penale, che riguarda un numero molto ampio di aziende. Fra i cambiamenti più significativi che il provvedimento ha determinato negli assetti organizzativi e di controllo interno delle aziende, si colloca la figura dell’Organismo di Vigilanza (d’ora in avanti – per brevità espositiva – OdV), la cui istituzione è condizione necessaria per poter beneficiare del cosiddetto “esimente da responsabilità”. In particolare ai sensi dell’art. 6 del D.Lgs. 231/2001, le aziende possono essere “esentate da responsabilità” evitando così le sanzioni previste dalla norma se, in sede giudiziaria, sono in grado di dimostrare di aver rispettato quattro condizioni: a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di Vigilanza. Dall’analisi del testo legislativo ben si comprende che l’istituzione dell’Organismo di Vigilanza costituisca un elemento nodale di un modello organizzativo e di controllo efficace sotto il profilo “penal-‐preventivo”. Il Legislatore, come è noto, non si è espresso in merito alla composizione dell’OdV tranne che nel caso delle piccole e medie imprese per le quali, in modo peraltro alquanto discutibile, riconosce la possibilità di identificare tale Organismo con l’organo dirigente. Il fatto che il Legislatore non abbia definito la composizione dell’OdV fa sì che le decisioni in merito alla numerosità dei membri dell’Organismo ed al loro profilo professionale siano rimesse all’autonomia decisionale delle aziende. Il decreto individua soltanto due condizioni che dovranno essere rispettate nelle scelte in merito alla composizione dell’OdV: una di natura organizzativa “essere un organismo dell’ente” ed una riguardante il suo funzionamento, identificabili con l’esigenza di operare secondo “autonomi poteri di iniziativa e di controllo”. Per quanto attiene alle attività dell’OdV, il disposto normativo individua la vigilanza sul funzionamento del Modello e la “cura” del suo aggiornamento stabilendo inoltre, al punto d) dell’art. 6, che l’ente per evitare l’applicazione delle sanzioni previste dalla norma, dovrà

3

dimostrare che l’OdV ha efficientemente vigilato sul Modello di organizzazione, gestione e controllo ex D.lgs. 231/2001 (d’ora in poi Modello 231). A partire dalle condizioni organizzative e di funzionamento sopra indicate e dalle attività che tale Organismo è chiamato a svolgere, possono essere individuati alcuni requisiti fondamentali ai quali devono conformarsi le scelte riguardanti la sua composizione (figura 1). Figura 1-‐ Requisiti e composizione dell’OdV

1.1. Riflessioni in merito ai requisiti dell’Organismo di Vigilanza In relazione allo schema sopra presentato un sistema di controllo efficace ai fini del D.Lgs. 231/2001 dovrebbe prevedere che la composizione dell’OdV risponda ad alcuni requisiti. Le linee guida delle Associazioni di categoria (quali Confiundustria, ABI, ASSTRA, ANIA, ecc.), i position paper delle associazioni professionali (quali l’Associazione degli Organismi di Vigilanza, l’Associazione Italiana Internal auditor) e le ordinanze e le sentenze che vanno via via intensificandosi sull’argomento permettono di individuare tali requisiti. Essi possono essere identificati con:

1. La professionalità; 2. L’indipendenza; 3. L’autonomia; 4. L’onorabilità.

L’ordine di esposizione riflette una valutazione di priorità da parte dello scrivente. Si ritiene, infatti, che il grado di complessità oramai raggiunto dalla tematica della responsabilità amministrativa fa sì che per l’efficace svolgimento dell’attività di OdV sia necessario il possesso di

4

un bagaglio sempre più ampio e sofisticato di conoscenze tecniche oltre che, come evidenziato di seguito, di skill comportamentali. Per professionalità si intende qui far riferimento all’insieme delle conoscenze tecniche necessarie per l’efficace svolgimento delle attività di vigilanza e di aggiornamento del Modello 231. Fra le competenze richieste si individuano le metodologie di identificazione e di valutazione dei rischi, le tecniche di analisi dei sistemi organizzativi e di controllo interno, gli skill in materia di investigazione delle frodi e una solida preparazione su aspetti di natura legale 2. Siamo convinti tuttavia che per un’efficace azione di vigilanza alle suddette competenze debba necessariamente abbinarsi una profonda e dettagliata conoscenza del modello di business dell’azienda, delle attività che caratterizzano la sua catena del valore, nonché di ogni altro aspetto organizzativo e gestionale necessario per identificare le modalità potenziali di commissione dei reati. La conoscenza del modello di business costituisce un elemento fondamentale per contestualizzare le tecniche di risk e control assessment nella realtà aziendale di riferimento, sfruttando appieno il loro potenziale di efficacia. Un’altra riflessione in merito alle competenze dell’OdV riguarda l’opportunità di possedere un’expertise specifica sulle categorie di reato a cui l’azienda risulta essere maggiormente esposta (es. i delitti in materia di sicurezza sui luoghi di lavoro per le aziende manifatturiere e di costruzioni, oppure i reati di antiriciclaggio per gli intermediari bancari). Pertanto anticipando alcune considerazioni sulla composizione dell’OdV, l’esigenza di assicurare la presenza di una professionalità qualificata per il corretto espletamento delle attività induce a ritenere che, compatibilmente con la complessità gestionale e la dimensione aziendale, una composizione di natura collegiale in cui siano presenti professionalità diversificate in grado di assicurare una conoscenza multidisciplinare dell’Organismo, sia da raccomandare rispetto ad organismi monocratici oppure ad organismi collegiali, i cui i membri hanno competenze piuttosto omogenee. Per quanto riguarda invece l’aspetto dell’indipendenza si tratta di un elemento ampiamente dibattuto in dottrina e nella pratica professionale che tende generalmente a prevalere anche sul requisito della professionalità. Tale requisito discende direttamente dall’esigenza di dover assicurare l’autonomia di azione dell’OdV, preservandola dall’influenza di altri soggetti aziendali fra i quali in primis i cosiddetti “apicali”. L’indipendenza costituisce condizione necessaria per permettere all’Organismo di: a) definire liberamente quali aspetti della gestione “sottoporre all’azione di vigilanza”; b) condurre l’azione di verifica scevro da qualsiasi pregiudizio; c) assumere un atteggiamento “imparziale” nella valutazione delle evidenze ottenute nel corso delle verifiche.

2 E’ interessante notare che il requisito della professionalità è richiamato dall’Ordinanza del Gip del Tribunale di Napoli del 26 Giugno 2007 in cui si evidenzia che la mancata specificazione dei requisiti di professionalità dei componenti dell’OdV costituisce una carenze del Modello di Organizzazione, Gestione e controllo. In tale ordinanza si indicano quali requisiti professionali “competenze di attività ispettiva, consulenziale ovvero la conoscenza di tecniche specifiche, idonee a garantire l'efficacia dei poteri di controllo e del potere propositivo ad esso demandati”.

5

Molto si discute in merito al concetto di indipendenza e, nell’ampio dibattito, si individuano tendenzialmente due profili in cui tale concetto può essere declinato. Un primo profilo è di carattere formale e fa riferimento alle condizioni oggettive che potrebbero far venire meno l’indipendenza. A tal riguardo una prima condizione necessaria è legata al fatto che all’OdV non siano attribuiti compiti che lo rendano partecipe di decisioni ed attività operative3. Da ciò deriva che la collocazione organizzativa dell’OdV dovrà essere necessariamente in staff al massimo organo di governo dell’azienda. Un secondo aspetto si riferisce alla modalità di nomina e di revoca dell’OdV. Per quanto riguarda la nomina, dal Decreto medesimo si deduce che esso non possa che spettare al Consiglio di Amministrazione (o organo analogo negli altri modelli di governance). All’atto della nomina e nel corso del mandato al Consiglio di amministrazione compete anche la verifica dell’insussistenza dei requisiti ineleggibilità e di decadenza più avanti richiamati. Circa la revoca, invece, nei regolamenti dell’OdV si prevede, a tutela dell’indipendenza, che essa possa avvenire soltanto in presenza di una cosiddetta “giusta causa” stabilendo, talvolta, delle maggioranze “rafforzate” per la delibera di revoca. Un altro fattore riguarda la previsione dei requisiti di ineleggibilità e di decadenza che, in mancanza di una regolamentazione specifica, sono spesso definiti mutuandoli dalla disciplina civilistica riguardante la figura dei sindaci. Se si considera quanto previsto dall’art. 2399 e la si traspone ai membri dell’OdV si individuano le seguenti cause di ineleggibilità o di decadenza:

• non trovarsi nella condizione giuridica di interdetto, inabilitato, fallito o condannato a una pena che importi l’interdizione, anche temporanea, dai pubblici uffici o l’incapacità ad esercitare uffici direttivi;

• non essere coniuge, parente od affine entro il quarto grado degli amministratori della società, di una controllata, della controllante o di aziende sottoposte a comune controllo.

Fra le altre cause di ineleggibilità in particolare nei Modelli adottati dalle aziende si individua, inoltre, la condanna per uno dei reati che rientrano nel campo di applicazione del Decreto di cui si dirà nella parte riferita al requisito di onorabilità. Per quanto riguarda invece l’applicazione del comma 1 lettera c) dell’art. 2399 4 si ritiene che la previsione debba essere necessariamente riferita ai “membri esterni” dell’OdV, non legati all’azienda da rapporti di lavoro subordinato. Questi soggetti, come opportunamente ribadito dalle linee guida professionali, non devono essere legati all’azienda da altri “rapporti continuativi di consulenza o di prestazione d'opera retribuita, ovvero da altri rapporti di natura patrimoniale che ne compromettano l'indipendenza”. Una seconda accezione di indipendenza è quella di carattere sostanziale. Tale concezione è, a nostro avviso, anche quella più importante, in quanto determina il livello di incisività dei controlli

3 Cfr. Linee Guida di Confindustria, Aggiornamento 2004. 44 Per quanto riguarda tale aspetto la norma prevede come condizione di ineleggibilità: “coloro che sono legati alla società o alle società da questa controllate o alle società che la controllano o a quelle sottoposte a comune controllo da un rapporto di lavoro o da un rapporto continuativo di consulenza o di prestazione d'opera retribuita, ovvero da altri rapporti di natura patrimoniale che ne compromettano l'indipendenza”.

6

da parte dell’OdV e costituisce l’indispensabile linea di difesa da circostanze pregiudizievoli. Concordiamo con quanti ritengono che essa si configuri come un “atteggiamento mentale” che induce i componenti degli organi aziendali cui sono assegnati funzioni di controllo, ad agire nel corso del loro mandato nel rispetto dei principi di obiettività, imparzialità ed onestà professionale. Così definita l’indipendenza sostanziale è un aspetto essenzialmente soggettivo, che riflette il sistema valoriale e i principi morali di ciascun componente dell’OdV. Malgrado si riconosca la natura eminentemente soggettiva dell’indipendenza, nella conduzione delle aziende occorre prestare particolare attenzione a quei fattori che potrebbero indurre comportamenti non ossequiosi dei principi di obiettività ed imparzialità, fra i quali si colloca la remunerazione5. Per brevità espositiva non è possibile affrontare in questa sede in dettaglio il tema ma è, del tutto evidente, come la remunerazione possa condizionare l’incisività dei controlli dell’OdV. Sotto il profilo teorico la remunerazione deve essere equa ossia deve essere commisurata alle attività di svolgere, alla professionalità richiesta e alla responsabilità assunta con lo svolgimento dell’incarico, spaziando fra un limite minimo, al di sotto del quale l’OdV è disincentivato dall’efficace svolgimento dell’attività, ad un limite massimo, in cui potrebbe venire meno l’imparzialità di giudizio6. L’autonomia è qui intesa come un requisito a sé stante e distinto rispetto all’indipendenza, che fa riferimento alla possibilità dell’OdV di essere dotato di poteri e mezzi adeguati per poter efficacemente realizzare le attività cui è preposto7. Per quanto riguarda i poteri nel riquadro sottostante si riporta un elenco non esaustivo di poteri che dovrebbero essere riconosciuti all’OdV. ESEMPIO POTERI DELL’ORGANISMO DI VIGILANZA

• facoltà di libero accesso presso tutte le funzioni della Società -‐ senza necessità di alcun consenso preventivo -‐ ad ogni informazione o dato ritenuto necessario per lo svolgimento dei compiti previsti dal D. Lgs. n. 231/2001;

• insindacabilità delle attività poste in essere dall’OdV da alcun altro organismo o struttura aziendale, fermo restando la possibilità del Consiglio di Amministrazione di svolgere un’attività di vigilanza sull’adeguatezza del suo intervento;

• facoltà di richiedere informazioni integrative su aspetti connessi all’applicazione del Modello agli amministratori, i dirigenti, i dipendenti e collaboratori aziendali;

5 E’ interessante notare come nei più recenti documenti (Associazione dei componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001; Linee guida di comportamento del Collegio Sindacale) prodotti da associazioni professionali del nostro Paese i concetti di indipendenza e di remunerazione sono spesso associati. A tali documenti si fa rinvio per una più ampia disamina della problematica. 6 Nella pratica aziendale per la determinazione della retribuzione dei membri dell’OdV in mancanza di tariffe professionali specifiche si assume, spesso, come riferimento la tariffa professionale prevista per le funzioni di sindaco o il compenso ad esso spettante secondo delibera assembleare, decurtandolo di una certa percentuale. Un’altra interpretazione fornita da parte del Consiglio Nazionale dei Dottori Commerciali e degli esperti contabili evidenzia che, in mancanza di una tariffa professionale specifica, per il compenso dell’OdV si potrà far riferimento a quanto previsto dall’art. 32 che definisce i compensi per la revisione legale. 7 Il concetto di autonomia presentato in questo lavoro è in linea con l’interpretazione fornita dall’ Associazione dei componenti degli Organismi di Vigilanza ex D.Lgs. 231/2001 (Aodv) secondo cui “mentre il requisito dell’indipendenza pertiene maggiormente all’attitudine mentale e alla forma mentis del componente dell’OdV, il requisito dell’autonomia si concretizza piuttosto nella messa a disposizione dell’Organismo degli strumenti necessari al suo efficace funzionamento”

7

• facoltà di procedere in qualsiasi momento ad operazioni di ispezione e controllo finalizzate a valutare l’applicazione del Modello 231;

• facoltà di richiedere al Presidente del Consiglio di Amministrazione la convocazione del Consiglio per riferire allo stesso su eventuali significative violazioni al modello individuate nel corso delle verifiche svolte;

• facoltà di partecipare alle riunioni del Consiglio di Amministrazione aventi ad oggetto aspetti attinenti l’applicazione e l’aggiornamento del Modello 231;

• facoltà di proporre agli organi aziendali competenti (CdA, ufficio risorse umane, ecc.) l’applicazione di sanzioni definite nel sistema disciplinare del Modello 231.

Con riferimento ai mezzi, l’Odv deve poter disporre di risorse finanziarie e umane adeguate per poter svolgere le attività pianificate e qualsiasi altro compito necessario per vigilare sull’applicazione del Modello e curarne l’aggiornamento. Nelle aziende di medio-‐grandi dimensioni l’OdV spesso dispone di un budget da poter utilizzare per ricorrere al supporto di consulenti esterni. Il budget quantifica le risorse monetarie necessarie per poter svolgere le attività pianificate e, per garantire l’autonomia, deve poter essere riconosciuta la possibilità all’OdV di chiedere all’organo dirigente un’integrazione del budget, laddove fattori non preventivabili (quali ad esempio modifiche normative) richiedano il compimento di attività aggiuntive rispetto a quelle previste nel piano. Laddove l’OdV si avvalga della collaborazione di unità organizzative interne, è opportuno che le attività svolte a supporto dell’OdV siano considerate nel budget disponibile e siano oggetto del rendiconto periodico al Consiglio di amministrazione. Nelle aziende le funzioni di cui l’OdV si avvale più frequentemente sono costituite dall’internal auditing, dall’organizzazione, dal legale, dal servizio prevenzione e protezione e da altre strutture eventualmente presenti nell’organigramma (es. l’ufficio controllo qualità, la funzione risk management, ecc.). Per poter stabilire la parte del costo delle suddette strutture da imputare nel Budget dell’OdV è opportuno a preventivo fare una stima dei tempi necessari per lo svolgimento delle verifiche e prevedere un assestamento a consuntivo, disponendo dei dati relativi al tempo effettivamente impiegato per lo svolgimento delle attività di verifica del Modello e/o per il suo aggiornamento. Si tratta di un aspetto ancora poco frequente nelle aziende italiane, anche per la difficoltà di scindere talvolta le attività a supporto dell’OdV da quelle ordinariamente svolte da una funzione, anche se crediamo che una corretta allocazione dei costi in questo caso, sia necessaria non soltanto per finalità interne ma anche per poter più facilmente provare in sede giudiziaria l’effettivo esercizio della vigilanza e l’adeguatezza della risorse. La definizione delle risorse a cui l’OdV ha possibilità di aver accesso viene generalmente stabilito all’inizio del periodo di mandato, quantificato tendenzialmente con periodicità annuale in sede di formulazione del piano di attività, formalizzato nel budget e, talvolta, adeguato nel corso di svolgimento dell’attività. L’altro requisito fa riferimento all’onorabilità. Per quanto riguarda l’onorabilità, si tratta di un requisito di carattere generale previsto dal nostro ordinamento per i soggetti che ricoprono la carica di amministratori e di sindaci, non espressamente richiamato dal D.Lgs. 231/2001 ma alquanto ricorrente nella prassi aziendale.

8

Fra i requisiti di onorabilità oltre alle già menzionate condizioni di ineleggibilità previste dall’art. 2382 del codice civile (l’interdetto, l’inabilitato, ecc.), nei Modelli 231 adottati dalle aziende si riscontrano altre condizioni quali la condanna, anche con una sentenza di primo grado, per uno dei reati previsti dal D. Lgs. 231/2001 oppure il fatto di non essere stati sottoposti a misure di prevenzione disposte dall’Autorità Giudiziaria. Nella maggior parte del Modelli 231 si menziona anche il requisito della continuità di azione. Tale requisito proposto dalle Associazioni di categoria è alle modalità di svolgimento dell’attività dell’OdV. L’applicazione di tale requisito, a parere di chi scrive, prescinde dall’aspetto della composizione dell’OdV e deve essere valutato avendo riguardo all’effettivo dispiegarsi dell’attività di verifica del Modello, che può essere comunque garantita anche in presenza di un OdV composto interamente da soggetti esterni alla combinazione produttiva. In quest’ultimo caso la continuità di azione oltre che dalla frequenza delle riunioni dell’Odv è soprattutto assicurata dalla presenza di strutture interne all’azienda che, operando per conto dell’Organismo, costituiscono la garanzia della continuità di azione. In tal senso elementi che possono dar evidenza della continuità di azione sono costituite da: i documenti che comprovano le attività svolte (report di audit, verbali dell’OdV), la presenza di flussi informativi dedicati da e verso l’OdV, incontri periodici fra l’OdV e soggetti che operano nelle attività a rischio, ecc.

1.2. La composizione dell’Organismo di Vigilanza La composizione dell’Organismo di Vigilanza costituisce uno degli aspetti più controverso del sistema di controllo adottato dall’azienda per prevenire i reati che rientrano nel campo di applicazione del D. Lgs. 231/2001. Non esiste probabilmente nessuna iniziativa formativa in cui non si discuta circa l’opportunità di prevedere nella composizione dell’OdV solo professionisti esterni oppure un membro del collegio sindacale, un amministratore indipendente ovvero il responsabile legale o ancora altri soggetti interni. Dopo dieci anni dall’introduzione della norma il dibattito appare tutt’altro che prossimo ad una conclusione anche se, malgrado la diversità di idee tuttora esistenti, si individuano alcuni orientamenti condivisi da larga parte degli addetti ai lavori. Di seguito si presentano quelli più rilevanti. Un primo aspetto riguarda la composizione collegiale o monocratica dell’Organismo. Come orientamento di carattere generale, si propende per organismi di tipo collegiale composti da soggetti con professionalità diversificate, in modo da assicurare la presenza di competenze multidisciplinari. A livello generale un’altra tendenza che si delinea è quella di prediligere una composizione mista dell’OdV, in cui sono presenti soggetti esterni, ai quali è spesso affidata la presidenza dell’Organismo, membri degli organi sociali (sindaci e/o amministratori) e responsabili delle funzioni aziendali (quali l’internal auditing, la compliance, il legale, ecc).

9

Una composizione mista quale quella sopra descritta risponde all’esigenza di abbinare alla conoscenza del modello di business e alla continuità di azione assicurata dai soggetti interni, le competenze di tipo metodologico e di natura legale di cui sono spesso portatori i componenti esterni. Questi due orientamenti trovano conforto anche nei risultati di alcune ricerche empiriche condotte sul tema8. Tali ricerche rilevano come, nel caso delle società quotate, una percentuale sempre più ridotta propenda per organismi di tipo monocratico. La presenza di organismi di tipo collegiale è, inoltre, riscontrabile anche in numerose società non quotate. Giocano a favore della soluzione collegiale anche il requisito dell’indipendenza ed il progressivo ampliamento del novero di reati presupposto della responsabilità amministrativa, difficilmente presidiabili in presenza di OdV di tipo monocratici. Un discorso a se stante riguarda i gruppi aziendali. In queste fattispecie l’orientamento prevalentemente è quello di ammettere la possibilità di una composizione collegiale dell’OdV nella capogruppo (e talvolta nelle sub holding di maggiori dimensioni), mentre nelle società controllate si propende per un organismo monocratico individuato dall’organo dirigente della controllata, la cui attività si svolge in maniera coordinata con l’OdV della capogruppo utilizzando, talvolta, risorse umane e finanziarie comuni. Sempre nel caso dei gruppi è indubbio che ciascuna società debba essere dotato di un OdV nominato dall’organo dirigente della società, anche se è frequente nei gruppi, che un medesimo soggetto ricopra la carica di OdV per più società del medesimo gruppo. Per quanto riguarda, invece, i soggetti che possono essere membri dell’Organismo di Vigilanza si ravvisano posizioni non coincidenti. Partendo dagli aspetti su cui si individua una certa convergenza di opinioni, si concorda sulla possibilità che ad esso possano partecipare soggetti esterni all’azienda che non abbiano altri rapporti contrattuali e patrimoniali tali da comprometterne l’indipendenza. E’ comunemente accettata l’opinione del coinvolgimento del responsabile della funzione di internal auditing, avallata anche da una sentenza di assoluzione di una società per il reato di aggiotaggio pronunciata nel 2009 da parte del Tribunale di Milano. Maggiormente dibattuto è la possibilità che all’OdV possano partecipare membri del collegio sindacale, amministratori non esecutivi e i responsabili di funzioni diverse dall’internal auditing. Ragioni di brevità espositiva non permettono di affrontare compiutamente questo aspetto, obbligandoci a far rinvio alla letteratura disponibile in materia, esprimendo tuttavia un parere negativo circa il coinvolgimento degli amministratori nell’OdV, anche di quelli non esecutivi ed indipendenti, in quanto parte “attiva” per il compimento del reato di false comunicazioni sociali e di altre fattispecie dei reati societari. In attesa dei primi orientamenti giurisprudenziali, siamo invece favorevoli al coinvolgimento nell’OdV di membri del collegio sindacale in virtù di considerazioni meramente economico aziendali. Differentemente dalle opinioni di alcuni giuristi, crediamo che la presenza di sindaci professionalmente qualificati come membri dell’OdV favorisca l’integrazione dei controlli interni

8 Si vedano in particolare le ricerche condotte dall’Università di Pisa insieme all’Associazione Italiana Internal auditors (AIIA) nel corso del 2004, dall’AIIA in collaborazione con Confindustria nel 2007, da Assonime nel 2008 e dall’AoDV anch’essa nel 2008.

10

che, spesso nelle aziende, mancano di una logica sistema che dovrebbe invece ispirarne la progettazione ed il funzionamento. La partecipazione dei sindaci come componente dell’OdV può realizzare positive sinergie, arricchire il flusso informativo a disposizione dell’OdV, conferirgli maggiore autorevolezza, senza trascurare il fatto che le attività di vigilanza dei due Organismi riguardano tematiche simili e, per alcuni aspetti, ambiti di azioni coincidenti. Sotto questo profilo è importante ricordare che il Modello 231 è parte del più ampio sistema di controllo aziendale e, pertanto, gli elementi informativi acquisiti nel corso delle verifiche dall’OdV costituiscono una preziosa fonte di conoscenza anche per il collegio sindacale che, come noto ai sensi dell’art. 2403 del codice civile, è tenuto a vigilare sull’adeguatezza del sistema organizzativo, amministrativo e contabile della società. Un altro elemento a favore del coinvolgimento dei sindaci come componenti dell’OdV muove dalla considerazione che con l’introduzione di nuove fattispecie di reato (compresi anche i reati ambientali), il Modello 231 è divenuto progressivamente il presidio più importante per garantire che nel suo complesso l’attività aziendale si svolga nel rispetto della norme di legge. Anche nel caso in cui le aziende optassero per una composizione dell’OdV privo della presenza di membri del collegio sindacale, è tuttavia opportuna l’istituzione di meccanismi finalizzati allo scambio di informazioni fra i due Organismi, sia per favorire la creazione di un sistema di controllo interno integrato, sia per limitare il rischio di una culpa in vigilando. Sempre con riferimento alla composizione dell’OdV, fra accademici ed operatori è molto diffusa l’idea che malgrado si stabilisca ex lege, che nelle piccole e medie imprese l’Organismo di Vigilanza possa essere identificato con l’organo dirigente, questa corrispondenza sia da evitare in quanto l’organo dirigente nelle PMI è frequentemente costituito da amministratori esecutivi. Nelle PMI, per le quali né nel Decreto né nella Relazione di accompagnamento si riporta la definizione di PMI, anche nel caso in cui gli amministratori non fossero esecutivi, tendenzialmente sono comunque legati alla proprietà o agli amministratori esecutivi da vincoli di parentela, affinità o da altri rapporti contrattuali che possono minarne l’indipendenza di giudizio. In questi casi è opportuno che si valutino altre soluzioni che, coerentemente con quanto sopra affermato, potrebbero portare ad OdV monocratici composti da un sindaco o da un professionista esterno.

2. L’attività dell’Organismo di Vigilanza Dall’analisi della normativa e delle indicazioni contenute nelle linee guida delle Associazioni di categoria emerge che, le principali attività che fanno capo all’OdV 231, sono costituiti da:

• la verifica dell’adeguatezza del Modello 231, ossia la sua capacità di prevenire, con ragionevole sicurezza, il compimento di “reati rilevanti”;

11

• la verifica dell’osservanza del Modello Organizzativo, ossia la conformità dei comportamenti concreti ai protocolli che caratterizzano la parte generale e le “parti speciali” del presente Modello9;

• la predisposizione degli aggiornamenti del Modello necessari per garantire che lo stesso mantenga nel tempo, il suo livello di adeguatezza e risulti agevolmente applicabile.

Le tre suddette attività non esauriscono, tuttavia, l’insieme dei compiti che fanno capo all’OdV sui quali avremo modo di tornare più avanti nel lavoro. L’Organismo di Vigilanza per poter svolgere efficacemente l’insieme delle attività che gli competono oltre al possesso delle competenze professionali e degli altri requisiti delineate nei paragrafi precedenti, dovrà dotarsi di un modello operativo attraverso cui sviluppare la sua azione. Un esempio è riportato nella figura 2. Figura 2-‐ Modello operativo dell’Organismo di Vigilanza

9 Generalmente i Modelli di organizzazione, gestione e controllo adottati dalle aziende presentano un articolazione di carattere modulare con una parte generale che riguarda il sistema di controllo preventivo nel suo complesso e alcune parti speciali, riferite alle principali categorie di reato presupposti della responsabilità amministrativa e all’insieme dei controlli interni posti a loro presidio.

Piano attività

Comunicazioni da aree sensibili

Pianificazione

Flussi informativi

Valutazione adeguatezza del

modello

Valutazione funzionamento del

modello

Rapporti di audit

Reporting al CdA

Reporting al Collegio Sindacale

Reporting al Comitato di

Controllo Interno

Report periodici

Proposta aggiornamento del

modello

12

Tale figura evidenzia gli input per l’attività dell’OdV, costituiti rispettivamente dalla pianificazione e dalle comunicazioni/segnalazioni proveniente dalle aree aziendali che presentano un profilo di rischio per i reati di cui al D.Lgs. 231/2001. Il piano di attività e le comunicazioni ricevute definiscono le attività da svolgere che possono essere raggruppate in tre azioni principali di cui si è detto all’inizio del paragrafo. Dell’esito delle verifiche è opportuno che l’OdV informi sia l’organo dirigente su cui ricade la responsabilità del funzionamento del modello, sia gli altri organi di governance, cui competono attribuzioni in materia di controllo interno ossia il Collegio Sindacale e laddove presente il Comitato di Controllo Interno. Se si considerano gli input riportati nello schema sopra proposto, l’OdV al pari di qualsiasi altro organo che opera in azienda, dovrebbe pianificare attentamente le attività da svolgere. La pianificazione consiste nell’individuazione dei processi e delle operazioni che si intende sottoporre a verifica, nella definizione dei tempi programmati per la realizzazione degli interventi e, eventualmente, nell’individuazione delle risorse professionali interne ed esterne necessarie per l’esecuzione della vigilanza. La pianificazione così concepita si collega all’aspetto organizzativo, per quanto attiene soprattutto la definizione delle risorse umane e le scelte in merito alle modalità di reperimento e all’altra funzione manageriale del controllo, che consiste in una verifica sulla direzione di marcia nel percorso del completamento del Piano oltre che di una verifica di efficacia dell’azione. Per quanto riguarda l’attività di pianificazione, in assenza di specifici standard professionali riguardanti l’attività dell’OdV, sotto il profilo operativo si potrebbe far riferimento ai principi generali per la pianificazione delle verifiche dei modelli organizzativi e di controllo interno. A tal riguardo utile indicazioni possono essere tratte da:

1. Le norme di comportamento del Collegio sindacale nelle società non quotate, definite dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili nel corso del 2010 per le parti riguardanti: 1) la vigilanza sull’adeguatezza e sul funzionamento dell’assetto organizzativo; 2) la vigilanza sull’adeguatezza e sul funzionamento del sistema di controllo interno; 3) la vigilanza sull’adeguatezza e sul funzionamento del sistema amministrativo-‐contabile

13

2. I principi di revisione definiti dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili con particolare riferimento ai seguenti documenti: 1) Documento 315 La comprensione dell'impresa e del suo contesto e la valutazione dei rischi di errori significativi; 2) Documento 330 Le procedure di revisione in risposta ai rischi identificati e valutati

3. Gli standard professionali dell’Institute of Internal Auditors per la parte relativa alla Pianificazione dell’attività di Audit.

Dall’analisi dei suddetti documenti emerge che il piano delle attività dei soggetti (organi) cui sono affidate funzioni di vigilanza (o di verifica) dei modelli organizzativi di controllo dovrebbe rispettare i seguenti criteri: -‐ essere basato su un’analisi preliminare dei rischi che potrebbero determinare situazioni di inadeguatezza dell’assetto organizzativo e dei controlli interni oppure ostacolare il regolare funzionamento dei meccanismi istituiti; -‐ tener conto delle indicazioni provenienti dagli Organi di governo e dal Management; -‐ esaminare le risultanze delle attività svolte negli anni precedenti. Se si applicano i suddetti criteri al Piano di attività dell’Organismo di Vigilanza si rileva che: -‐ tale piano dovrebbe essere basato sull’analisi dei “rischi 231” che caratterizzano l’azienda nel suo complesso. E’ opportuno pertanto disporre di una mappa dei rischi sufficiente aggiornata, per individuare sulla base del livello di esposizione al rischio delle attività sensibili, le priorità di intervento. Nei Modelli organizzativi ben strutturati, tale mappa potrebbe essere ricavata dall’analisi svolta in sede di progettazione del Modello 231, salvo comunque valutare se, a seguito dei cambiamenti intervenuti nel contesto interno ed esterno, si sia prodotto un significativo cambiamento del livello di rischio insito nei processi/attività; -‐ utili ai fini della pianificazione si rivelano, inoltre, i flussi informativi provenienti dalle Direzioni/funzioni aziendali, che se efficacemente strutturati potrebbero segnalare all’OdV situazioni critiche che necessitano di un approfondimento. Le indicazioni provenienti dal Consiglio di Amministrazione, dal Comitato di Controllo e dal Collegio Sindacale possono essere, inoltre, utilizzati dall’OdV per orientare l’attività di verifica su particolari aspetti della combinazione produttiva, fermo restando comunque la necessaria autonomia di iniziativa da parte dell’OdV. Su questi aspetto si tornerà nei paragrafi seguenti; -‐ il piano dovrebbe comprendere inoltre attività finalizzate a verificare l’attuazione dei suggerimenti e delle raccomandazioni proposte dall’OdV nel corso delle verifiche precedentemente svolte; -‐ nell’allocare le risorse umane e finanziarie disponibili, è necessario tener presente che una parte delle verifiche dell’OdV non è definibile ex ante e, pertanto, risulta non programmabile. Si fa riferimento, in particolare, alle attività di ispezione e di investigazione legate ad ipotesi di reati 231 segnalate all’OdV da soggetti interni o esterni oppure che emergono nel corso dello svolgimento degli interventi programmati. Generalmente nella prassi aziendale il piano di vigilanza ha cadenza annuale, è comunicato al Consiglio di Amministrazione e al Collegio Sindacale e, talvolta, anche al Comitato di Controllo Interno.

14

Il piano delle attività unitamente ai flussi informativi di cui si dirà successivamente costituiscono, come già evidenziato, gli input per lo svolgimento delle tre macro-‐attività svolte dall’OdV. Passando ad analizzare nel dettaglio tali attività, la vigilanza sull’adeguatezza del Modello è finalizzata a verificare l’efficace progettazione dello stesso, qui intesa come possibilità che il Modello 231, così come è stato concepito e progettato, risulti astrattamente idoneo a prevenire i reati che rientrano nel campo di applicazione della norma. Sotto il profilo concettuale tale valutazione riguarda la capacità teorica (o efficacia progettuale) del Modello di ridurre la probabilità di accadimento dei reati 231. La valutazione attuata attraverso dei test (identificati nella prassi con il termine di test of design) si sviluppa tramite un processo che articolabile nelle seguenti sette fasi:

1. identificazione dell’attività sensibile; 2. analisi della tipologia di reato 231 associabile all’attività; 3. definizione di una ipotesi circa la modalità di commissione del reato; 4. analisi del grado di esposizione al rischio lordo (valutato in assenza di controlli); 5. identificazione e rilevazione dei protocolli (insieme di meccanismi di controllo) posti a

presidio del rischio lordo; 6. valutazione del livello di adeguatezza dei protocolli; 7. stima del cosiddetto rischio residuale.

Per protocolli si intende, coerentemente con l’impostazione delle linee guida delle Associazioni di categoria, il complesso dei controlli istituiti a presidio del rischio 231 costituite, a titolo di esempio, da:

• presidi di natura organizzativa, quali deleghe e procure, mansionari, separazione dei ruoli e dei compiti;

• regole comportamentali, contenute nel codice etico, inserito nella parte generale del Modello 231 e nelle linee di condotta, incluse invece nelle parti speciali del Modello;

• regole tecniche, definite dalle procedure aziendali, da istruzioni operative o attraverso circolari e direttive interne;

• meccanismi di tracciabilità delle operazioni, quali flussi informativi inviati all’OdV, report gestionali, schede di evidenza;

• attività di controllo di tipo informatico, di natura generale riferibili all’azienda nel suo complesso o di tipo applicativo, riguardanti i processi sensibili.

La valutazione di adeguatezza è finalizzata ad esprimere un giudizio sulla capacità del protocollo di ridurre tendenzialmente a zero il grado di rischio residuale; in altri termini questo significa che il compimento di reati 231 può avvenire soltanto attraverso un’elusione fraudolenta del Modello. Tale valutazione riguarda vari aspetti costituiti rispettivamente dall’esistenza del protocollo, dal suo livello di aggiornamento, dal grado di analiticità con cui esso disciplina l’attività in questione. Per quanto riguarda, invece, la vigilanza del funzionamento del Modello, attraverso lo svolgimento di test di verifica (detti anche test of operativeness) l’OdV dovrà attestare: 1) il grado di conoscenza dei protocolli del Modello da parte dei soggetti tenuti alla sua applicazione; 2) l’effettiva applicazione dei protocolli nello svolgimento delle attività aziendali.

15

Per poter svolgere correttamente tali attività, l’Odv dovrà disporre di competenze in materia di auditing, essere in grado di applicare le tecniche di verifica del controllo interno (quali il riscontro documentale, le analisi comparative, il walk through, la reperformance, ecc.), le procedure di campionamento, conoscere i criteri di valutazione delle evidenze raccolte. Per quanto riguarda la terza macro-‐attività, l’OdV dovrà proporre al Consiglio di amministrazione dell’azienda gli eventuali aggiornamenti del Modello 231. Le necessità di aggiornamento del Modello possono derivare sia da fattori esterni, fra i quali il più frequente è stato costituito negli anni addietro dall’introduzione del campo di applicazione del D. Lgs. 231/2001 di nuove fattispecie di reato, sia da eventi interni al perimetro aziendali, quali ristrutturazioni, riorganizzazioni oppure l’introduzione di nuovi sistemi informativi che possono rendere parzialmente obsoleto il Modello 231. Introducendo le attività dell’OdV si è detto, che oltre alla vigilanza sul Modello e alla proposta di aggiornamento dello stesso, ad esso competono anche altri compiti. Fra questi rientrano:

a) lo svolgimento di investigazioni su sospetti di reati che rientrano nel campo di applicazione della D.Lgs. 231 di cui l’OdV ne ha notizia attraverso i flussi informativi e le segnalazioni che riceve da soggetti interni o esterni all’azienda (compresa l’autorità giudiziaria);

b) la formulazione in caso di inosservanza del modello della richieste di applicazioni ai competenti organi aziendali delle sanzioni disciplinari previste dall’apparato sanzionatorio incluso nei Modello;

c) talvolta lo svolgimento di attività formativa a favore di amministratori, dirigenti e altro personale che interviene nei processi sensibili;

d) la predisposizione dei report informativi nei confronti degli organi di governance.

3. I flussi informativi verso l’OdV L’Organismo di Vigilanza ha il compito di vigilare sull’adeguatezza e sul funzionamento del Modello di organizzazione, gestione e controllo (d’ora in avanti – per brevità espositiva – “Modello”). Per raggiungere tale obiettivo necessita di un sistema di flussi informativi avente per oggetto tutte le aree sensibili, come risultanti dalla mappatura dei rischi, propedeutica per la redazione del Modello e di cui ne costituisce, a tutti gli effetti, parte integrante.

Il sistema di flussi informativi consente all’OdV di acquisire in modo costante informazioni rilevanti su tutte le aree sensibili, minimizzando il tempo ed il costo di acquisizione di tali informazioni.

Per istituire un sistema di flussi informativi è necessario prevedere innanzitutto un regolamento dei flussi informativi nell’ambito del Modello 231.

Sotto il profilo operativo è necessario distinguere le differenti forme di comunicazione dirette all’OdV e, in particolare, tra:

• segnalazioni;

16

• attestazioni; • flussi informativi.

3.1. Segnalazioni Al fine di incoraggiare la prevenzione e la pronta eventuale reazione della Società nei riguardi dei “reati presupposto” indicati nel d.lgs. 231/2001, si rende necessario prevedere nel Modello di organizzazione, gestione e controllo l’obbligo per tutti i dipendenti e collaboratori di segnalare la presenza di situazioni illegali, i sospetti di illecito, le attività, eventi ed operazioni in chiara e significativa violazione del Modello.

Al fine di incoraggiare questo processo di comunicazione, è opportuno prevedere nel Modello che i segnalanti in buona fede sono garantiti contro qualsiasi forma di ritorsione, discriminazione o penalizzazione e, in ogni caso, che sarà assicurata la riservatezza dell’identità del segnalante, fatti salvi gli obblighi di legge e la tutela dei diritti della società o delle persone accusate erroneamente o in mala fede. Inoltre, viene normalmente predisposto un canale informativo dedicato che consente le segnalazioni anche in forma anonima; a tale riguardo, viene tipicamente istituita una cassetta postale dedicata presso la sede sociale. La possibilità di effettuare segnalazioni anonime indubbiamente agevola ed incoraggia la trasmissione di informazioni verso l’OdV. A tale scopo, oltre alla casella di posta elettronica intestata all’OdV, viene prevista anche la cassetta postale, anche per agevolare i dipendenti che non intendono essere individuati e coloro che non hanno a disposizione la posta elettronica o l’abitudine di farne uso.

Le segnalazioni sono diverse rispetto ai flussi informativi che saranno esaminati in seguito, in quanto riguardano tutti i dipendenti, non prevedono una frequenza predeterminata, né un formato predefinito dal punto di vista dei contenuti o della forma ed hanno carattere eventuale, potendosi riscontrare casi di aziende che dopo alcuni anni di implementazione del Modello 231 non hanno ancora ricevuto alcuna segnalazione.

In definitiva, le segnalazioni riguardano tipicamente situazioni patologiche, mentre i flussi informativi concernono anche il normale funzionamento dell’azienda e servono a dare un quadro aggiornato della dinamica delle attività sensibili all’OdV.

3.2. Attestazioni interne Per le attività sensibili in cui è rilevante il comportamento dei responsabili delle attività medesimi, un presidio significativo è costituito dalle attestazioni con valenza interna. Si tratta di dichiarazioni rese dai responsabili di singole attività a rischio con le quali essi attestano che, per quanto di loro conoscenza, tali attività si sono svolte in maniera regolare e non risultano comportamenti od azioni in grado di determinare una responsabilità amministrativa ex d.lgs. 231/2001. Tali attestazioni sono da inviare all’Organismo di Vigilanza ed al direttore generale/amministratore delegato. La presenza del disclaimer “per quanto di propria conoscenza” rende sovente

17

concretamente praticabile questo meccanismo organizzativo, mitigando eventuali resistenze da parte dei soggetti incaricati di rendere tali attestazioni.

Per alcune attività sensibili, l’attestazione ad uso interno è già presente nelle organizzazioni: basti pensare alla dichiarazione che il direttore amministrativo tipicamente rilascia alla società di revisione e con la quale attesta, per quanto di propria conoscenza, la veridicità e correttezza del bilancio. Nelle società quotate o comunque soggette al Testo Unico sulla Finanza, tale dichiarazione viene resa dal dirigente preposto e con i contenuti assai più impegnativi previsti dall’art. 154 bis del TUF. In tali casi, peraltro, l’attestazione ha in primis una valenza esterna essendo documento da allegare obbligatoriamente al bilancio di esercizio ed al bilancio consolidato.

Il presidio dell’attestazione interna può risultare inoltre opportuno nell’ambito di attività sensibili, come, a titolo esemplificativo, la rendicontazione verso la Pubblica Amministrazione; la richiesta, utilizzo e rendicontazione di sovvenzioni e contributi dalla PA; l’ottenimento ed il rinnovo di concessioni e autorizzazioni pubbliche e così via.

Il presidio dell’attestazione produce indubbiamente una sensibilizzazione dei soggetti apicali o dei responsabili delle attività a rischio coinvolti nei confronti dei temi del D.Lgs. 231/2001 e del Modello relativo. Inoltre, costituisce un meccanismo volto a separare l’eventuale “colpa organizzativa” rispetto ai comportamenti dolosi compiuti da singoli soggetti all’interno dell’azienda. Infine, rappresenta un presidio che supporta l’attività dell’Organismo di Vigilanza, in quanto palesa l’attivazione dei controlli di primo livello, ovvero quelli svolti direttamente dai soggetti che operano nelle attività a rischio.

3.3. Flussi informativi La definizione di un efficace sistema di reporting verso l’Organismo di Vigilanza costituisce uno dei requisiti di un efficace Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, così come richiesto dall’art. 6 comma 2 lettera d) del suddetto decreto e dalle linee guida delle associazioni di categoria.

I flussi informativi rappresentano un sistema di comunicazione interno strutturato, continuativo e diffuso che mira a creare un legame diretto tra i responsabili di attività potenzialmente a rischio ex D.Lgs. 231/2001 con l’Organismo di Vigilanza.

Considerato che l’universo di audit è particolarmente esteso, l’OdV necessita di questo meccanismo organizzativo per poter ampliare, a parità di risorse e tempo dedicati, l’area di osservazione. In altri termini, l’OdV, tramite il meccanismo dei flussi informativi, può periodicamente controllare la dinamica di tutte le attività sensibili, senza la necessità di dover svolgere verifiche specifiche su ciascuna di esse. E’ peraltro opportuno precisare che se, da un lato, i flussi informativi possono supportare ed orientare le verifiche dirette, dall’altro non possono

18

essere considerate un sostituto tout court degli audit medesimi, che dovranno ovviamente essere periodicamente svolti.

I flussi informativi vengono normalmente elaborati sulle attività a rischio, come risultano dalla mappa dei rischi elaborata al momento della prima redazione del Modello o in occasione dell’ultimo aggiornamento effettuato.

Nel caso di mancata osservanza del dovere di informazione sono applicabili le sanzioni disciplinari previste ed elencate nel Modello.

Si possono distinguere, a seconda del contenuto, flussi informativi generali rispetto ai flussi informativi speciali.

3.3.1. Flussi informativi generali Tali Flussi riguardano tutti i soggetti che operano in nome e per conto della Società (amministratori, dirigenti, dipendenti e collaboratori) ed hanno per oggetto situazioni di criticità effettiva o potenziale con riferimento ai reati contenuti nel D.Lgs. 231/2001 ed al relativo modello di organizzazione, gestione e controllo, nonché eventi inerenti al sistema organizzativo ed al sistema di controllo. Sono definiti “generali” in quanto possono riguardare attività od eventi riferiti all’intera Società e non in maniera esclusiva la singola funzione/direzione in cui opera il soggetto che invia tale comunicazione.

Per i flussi informativi generali, la comunicazione all’OdV deve avvenire tempestivamente; spesso, nei Modelli viene previsto un termine ultimo per la trasmissione dell’informativa non superiore a 5 -‐ 10 giorni dalla data di manifestazione dell’accadimento. Questo tipo di comunicazioni sono quindi “ad evento”, in quanto non è prevista una frequenza predeterminata, ma devono essere trasmesse soltanto in occasione del verificarsi di specifici eventi, come, a titolo esemplificativo, quelli sotto richiamati:

- la segnalazione di comportamenti o “pratiche” significativamente in contrasto con quanto previsto dal Modello 231, comprese le violazioni del codice etico;

- la segnalazione di situazioni illegali o eticamente scorrette o di situazioni anche solo potenzialmente foriere di attività illegali o scorrette;

- la segnalazione della commissione dei reati individuati nel Modello 231 da parte di un soggetto apicale o di un sottoposto, di cui si è venuti a conoscenza nel corso dello svolgimento delle proprie mansioni o a seguito di indicazioni proveniente anche da terzi;

- i provvedimenti e/o notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, nei confronti di amministratori, sindaci, dirigenti, dipendenti o altro collaboratori esterni, per i reati di cui al Decreto;

19

- le richieste di assistenza legale inoltrate dagli amministratori, dai direttori, dagli altri dipendenti e collaboratori in caso di avvio di procedimento giudiziario per i reati previsti dal Decreto;

- le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al D.Lgs n. 231/2001;

- i rapporti predisposti dai responsabili delle funzioni aziendali, nell’ambito della loro attività di controllo, dai quali possano emergere fatti, atti, eventi od omissioni con profili di criticità rispetto all’osservanza delle norme del Decreto;

- le eventuali significative carenze delle procedure vigenti che disciplinano attività sensibili ai fini del D.lgs. 231/2001;

- le notizie relative alla effettiva attuazione, a tutti i livelli aziendali, del Modello Organizzativo, con evidenza dei procedimenti disciplinari svolti e delle eventuali sanzioni irrogate, ovvero dei provvedimenti di archiviazione di tali procedimenti con le relative motivazioni.

3.3.2. Flussi informativi speciali I flussi informativi speciali sono elaborati ad hoc per ciascuna attività sensibile e prevedono contenuti informativi relativi anche a situazioni fisiologiche ed al normale andamento aziendale. Per facilitare queste comunicazioni, è preferibile creare delle schede strutturate con quesiti sui principali eventi, operazioni e decisioni da consegnare ai responsabili di funzione/direzione. Si tratta, in effetti, di report informativi che mirano a rendere conto all’Organismo di Vigilanza dell’attività periodicamente svolta da una certa area aziendale.

Questi flussi informativi presentano tipicamente una frequenza predeterminata, ad esempio trimestrale, proprio allo scopo di creare un costante collegamento tra i responsabili di funzione e l’OdV. E’ inoltre opportuno stabilire una scadenza massima, ad esempio entro e non oltre 20 giorni dalla chiusura del periodo di riferimento. Quindi, nel caso di adozione di flussi trimestrali, dovranno essere trasmessi secondo queste scadenze: 20 aprile, 20 luglio, 20 ottobre, 20 gennaio.

Tipicamente, si distinguono flussi informativi infrannuali, la cui periodicità è spesso trimestrale, rispetto ai flussi annuali.

Le schede dei flussi informativi devono essere compilate anche quando le risposte sono tutte negative (anche sui flussi generali) e non vi sono particolari informazioni da segnalare all’OdV: anche l’assenza di eventi od operazioni rilevanti è, in effetti, un’informazione significativa per l’Organismo di Vigilanza.

Sotto il profilo strutturale, come sopra menzionato, è preferibile creare delle schede con quesiti su singoli aspetti rilevanti, che costituiscono de facto una check list di controllo a disposizione dei soggetti incaricati della compilazione. Tale struttura consente di ridurre la discrezionalità delle informazioni da trasmettere, aumenta la comparabilità nel tempo delle informazioni fornite all’OdV, costituisce una guida utile per i soggetti incaricati per acquisire consapevolezza delle attività potenzialmente rilevanti ai fini del D.Lgs. 231/2001 e, soprattutto, consente di espletare

20

tale adempimento con limitato assorbimento di tempo da parte dei responsabili di attività/funzione.

Oltre alla scheda dei flussi informativi è opportuno inoltre allegare una serie di tabelle strutturate che dovranno essere compilate soltanto se il corrispondente quesito contenuto nella scheda ha ricevuto una risposta affermativa.

Con riferimento alle “attività strumentali”, ovvero le attività che possono creare i presupposti per la commissione di uno dei “reati presupposto” ex D.Lgs. 231/2001, i flussi informativi potrebbero riguardare le seguenti attività:

1. gestione della liquidità;

2.selezione ed assunzione del personale;

3.omaggi e spese di rappresentanza;

4.consulenze;

5. sponsorizzazioni, fiere e convegni, viaggi;

6. acquisti di beni e servizi;

7. accordi transattivi;

8. transazioni infragruppo.

Con riferimento alle attività che prevedono punti di contatto diretti con la PA, a titolo esemplificativo, e senza alcuna pretesa di esaustività, anche tenendo conto della necessità di adeguamento rispetto alle caratteristiche specifiche di ciascuna azienda, le attività che sono tipicamente oggetto di flussi informativi riguardano:

• trattative dirette/partecipazione gare di appalto indette da PA;

• convenzioni/contratti con PA;

• erogazione di servizi alla PA /incaricati di pubblico servizio PA;

• rendicontazione dei servizi erogati alla PA;

• procedimenti giudiziali ed arbitrali;

• autorizzazioni e concessioni;

• ispezioni, visite e controlli da parte di PA /incaricati di pubblico servizio;

• finanziamenti e contributi da PA.

21

Di seguito viene presentato un esempio, relativo ad una scheda dei flussi informativi trimestrali assegnabile al direttore amministrazione, finanza e controllo.

FLUSSI INFORMATIVI SPECIFICI –AFC

Flussi informativi ad evento Sì

No In caso di risposta affermativa,

compilare i seguenti documenti:

1. E’ maturato un risultato economico di segno negativo (perdita) in grado di incidere significativamente sul patrimonio netto?

Bilancio infrannuale con relazione del Responsabile AFC

Flussi informativi trimestrali Sì

No In caso di risposta affermativa,

compilare i seguenti documenti:

1. Nel periodo di riferimento si sono verificate significative deviazioni rispetto alle procedure amministrative e contabili previsti dai regolamenti e norme in vigore (interni e/o esterni)?

AFC.T.1 - Deviazioni significative da procedure amministrative e contabili

2. Nel periodo di riferimento, con riferimento a finanziamenti agevolati e/o contributo pubblico da Pubbliche Amministrazioni (PA):

a) sono state presentate domande per finanziamenti/contributi da PA;

b) sono stati ottenuti finanziamenti/contributi da PA; c) sono stati utilizzati finanziamenti/contributi da PA; d) è stato presentato il rendiconto per

finanziamenti/contributi da PA?

AFC.T.2 -Finanziamenti agevolati e contributi da PA

3. La Sua Direzione nel periodo di riferimento ha presentato dei rendiconti alla PA o con soggetti incaricati di pubblico servizio ?

AFC.T.3 – Rendiconti presentati alla PA

4. La Sua Direzione nel periodo di riferimento ha avuto altri contatti diretti con la PA o con soggetti incaricati di pubblico servizio (ispezioni, contenzioso, richieste o rilascio di autorizzazioni, omaggi e spese di rappresentanza)?

AFC.T.4 - Contatti con la PA/incaricato di pubblico servizio

5. Nel periodo si sono verificati pagamenti in contanti per importi unitari superiori a 516 euro?

AFC.T.5 – Pagamenti in contanti

6. Nel periodo di riferimento si sono verificate significative deviazioni rispetto al regolamento/procedura di tesoreria?

AFC.T.6 – Deviazioni da procedure

7. Nel periodo di riferimento si sono avute differenze significative tra le disponibilità liquide risultanti dalla contabilità e quelle effettive?

AFC.T.7 – Scostamenti nella liquidità

8. Nel periodo di riferimento, sono state rilevate anomalie e disfunzioni nel sistema di controllo interno (da parte dei revisori/sindaci nei verbali lasciati a disposizione in azienda o da altra fonte)?

AFC.T.8 – Anomalie nel sistema di controllo interno

22

3.3.3. Flussi informativi sul tema della salute e sicurezza sul luogo di lavoro Sul tema della salute e sicurezza sul lavoro, è opportuno costruire un sistema di comunicazione bottom up, che consenta una responsabilizzazione dei soggetti protagonisti dei controlli di primo livello (preposti alla sicurezza e delegati alla sicurezza) e dei controlli di secondo livello (responsabili per il servizio di prevenzione e protezione, RSPP).

I preposti alla sicurezza (come definito dall’art. 19 del Testo Unico sulla salute e sicurezza del luogo di lavoro) ed i delegati alla sicurezza (art. 16) dovrebbero periodicamente trasmettere al Responsabile del servizio di prevenzione e protezione una scheda informativa in cui segnalano, a titolo esemplificativo: eventuali significative deficienze dei mezzi e delle attrezzature di lavoro e dei dispositivi di protezione individuale non ancora risolte; situazioni di pericolo per i lavoratori ed altri eventi di rilievo.

Il RSPP dovrebbe trasmettere periodicamente (ad esempio, trimestralmente) all’OdV una scheda informativa con la quale informa quest’ultimo sullo stato del sistema di prevenzione e protezione e segnala eventuali rilevanti criticità emerse.

In ogni caso, il RSPP dovrebbe tempestivamente informare l’OdV su eventi di rilievo quali infortuni che rientrano nel campo di applicazione dell'art. 25 septies del D.Lgs. 231/2001 (omicidio colposo o lesione colposa grave o gravissima); comportamenti o “pratiche” che a suo avviso non sono conformi a quanto previsto dal sistema di gestione della salute e sicurezza sul luogo di lavoro; l’esito di ispezioni sul tema della salute e sicurezza sul luogo di lavoro svolte da parte di ASL, ufficio del lavoro, ed altri organi della PA; modifiche nell’organigramma della sicurezza, riguardanti RSPP, Preposti alla sicurezza, deleghe sulla sicurezza e procure. Infine, il RSPP dovrebbe segnalare all’OdV le criticità eventualmente emerse nelle comunicazioni ad uso interno prodotte dai preposti alla sicurezza o dai delegati alla sicurezza.

Il Responsabile del servizio di prevenzione e protezione dovrebbe inviare, inoltre, con cadenza annuale il prospetto riepilogativo con i dati sugli infortuni verificatisi ed il piano annuale delle verifiche da svolgere.

23

Sistema di reporting su Salute e sicurezza sul lavoro

1

Preposti /delegati alla sicurezza

RSPP

OdV

•Segnalazione di criticità •Attestazione di aver adempiuto agli obblighi statuiti dal Testo unico per i preposti

•Ad evento•Trimestrale

•Segnalazione di criticità•Attestazione su adeguatezza sistema di prevenzione•Statistiche infortuni e piano annuale attività

•Ad evento•Trimestrale•Annuale

3.4. Referenti dell’OdV E’ opportuno che il Consiglio di Amministrazione provveda alla nomina quali “referenti dell’OdV” di soggetti, responsabili o addetti di funzione nella Società, a cui venga assegnato il compito di redigere periodicamente le schede contenenti i flussi informativi generali e specifici e di trasmetterle all’Organismo di Vigilanza. L’Organismo di Vigilanza potrà inoltre assegnare ai “referenti OdV” specifici e delimitati compiti in tema di verifica dell’adeguatezza ed effettiva applicazione del Modello di organizzazione, gestione e controllo ex D. Lgs. 231/2001.

Questi soggetti saranno emittenti i flussi informativi e protagonisti attivi dell’applicazione del Modello ex d.lgs. 231/2001.

L’Organismo di Vigilanza deve essere informato da parte dei referenti OdV in merito a eventi che potrebbero ingenerare responsabilità ai sensi del D. Lgs. n. 231 del 2001.

In sintesi, il rapporto tra i “referenti” e l’OdV si può concretizzare nelle seguenti attività e comunicazioni:

• ciascun referente periodicamente compila la scheda dei flussi informativi (generali e speciali) con i relativi allegati;

• ciascun referente produce le attestazioni con valenza esclusivamente interne che gli sono state eventualmente assegnate;

• ciascun referente comunica all’Organismo di Vigilanza una informativa annuale sullo stato

24

di attuazione del Modello 231 nelle attività e strutture della Funzione e con la segnalazione delle situazioni maggiormente significative emerse nel periodo;

• almeno una volta l’anno, la funzione preposta alla gestione dei dati finanziari mette a disposizione dell’Organismo di Vigilanza il verbale del soggetto deputato alla revisione legale dei conti (ex D.Lgs. n. 39/2010) in cui è stato effettuato il controllo sulla procedura di gestione dei flussi finanziari;

• ciascun referente, anche tramite i propri collaboratori, svolge le verifiche definite con l’OdV.

3.5. Principali benefici dei flussi informativi Il meccanismo dei flussi informativi stricto sensu, ma anche delle segnalazioni e delle attestazioni può produrre, se adeguatamente strutturato ed efficacemente applicato, numerosi benefici, di seguito riassunti.

- L’assegnazione di flussi informativi a singoli responsabili di funzione/processo produce un effetto culturale che può essere qualificato come crescita dell’accountability dell’organizzazione, in quanto i responsabili di funzione/processo devono rendere conto ad un organismo indipendente delle attività svolte e delle operazioni effettuate (OdV);

• i flussi informativi e le attestazioni in particolare determinano una responsabilizzazione dei soggetti apicali delle aree più sensibili, in quanto questi soggetti assumono la responsabilità delle comunicazioni e dei fatti segnalati;

• si favorisce la comunicazione interna, secondo logiche di tipo “top-‐down” (richieste dell’OdV indirizzate ai responsabili di attività a rischio) e “bottom up” (flussi informativi, segnalazioni e attestazioni dirette all’OdV);

• la nomina di un unico “referente” dell’OdV per ogni attività sensibile a cui viene assegnato uno specifico flusso informativo può produrre una maggiore chiarezza organizzativa;

• l’assegnazione delle schede dei flussi informativi aiuta la diffusione della cultura dei controlli interni, generando un naturale e costante processo di formazione sui contenuti del Modello 231;

• l’OdV ottiene evidenti economie nell’acquisizione dei dati e delle informazioni sulle attività aziendali, potendo conseguentemente concentrare il proprio tempo e le proprie risorse nell’analisi critica di tali dati e nell’impostazione degli audit;

• l’ottenimento di informazioni continue da parte di tutte le funzioni e direzioni che presentano aree sensibili implica un automatico ampliamento del raggio d’azione dell’OdV;

25

• la documentazione trasmessa e auspicabilmente firmata da parte dei responsabili di attività sensibili può costituire una chiara evidenza dell’effettiva operatività del Modello;

• l’eventuale reato commesso da una persona fisica compiuto con la produzione di schede informative e/o attestazioni false potrebbe eventualmente essere considerata come evidenza dell’elusione fraudolenta del Modello da parte del soggetto responsabile.

4. Relazioni con il collegio sindacale Come ben evidenziano le Linee guida di Confindustria del 2008 “È evidente, peraltro, che il Collegio sindacale, per la notevole affinità professionale e per i compiti che gli sono attribuiti dalla Legge, sarà uno degli interlocutori “istituzionali” dell’Organismo. I sindaci, infatti, essendo investiti della responsabilità di valutare l’adeguatezza dei sistemi di controllo interno (in modo specifico nelle SPA, quotate e non; in via indiretta nelle SRL, in base al dovere di vigilare sulla correttezza dell’amministrazione), dovranno essere sempre informati dell’eventuale commissione dei reati considerati, così come di eventuali carenze del Modello. In taluni casi, rientranti nella patologia aziendale, poi, l’Organismo potrà riferire al Collegio sindacale affinché questo si attivi secondo quanto previsto dalla legge” (pagg. 34-‐35). Il dovere di vigilanza sull’osservanza della legge attribuito al collegio sindacale, così come sull’adeguatezza della struttura organizzativa, che a sua volta ricomprende, secondo le norme di comportamento del collegio sindacale emanate dal CNDCEC nel dicembre 2010, anche la vigilanza sul sistema di controllo interno, implica evidenti aree di possibile contiguità con l’Organismo di Vigilanza. Ciò in quanto il modello organizzativo, soggetto alle attività di verifica dell’OdV, è parte del sistema di controllo interno di cui il collegio sindacale deve valutare l’adeguatezza. Sorge quindi l’esigenza di istituire un rapporto di costante collaborazione, sia pure nel rispetto della diversità dei ruoli. La necessità che il collegio sindacale verifichi la corretta adozione del modello organizzativo e l’effettiva operatività dell’organismo di vigilanza è determinata, fra l’altro, dalla severità del sistema sanzionatorio previsto dal D.Lgs. n. 231/2001 che, con diverse misure, potrebbe compromettere le prospettive di continuità aziendale (CNDCEC, Norme di comportamento del collegio sindacale, 2010). In particolare, come menzionato dalle linee guida di CONFINDUSTRIA sopra richiamate, il collegio sindacale costituisce un autorevole interlocutore dell’OdV nei casi in cui le segnalazioni e le comunicazioni trasmesse al consiglio di amministrazione non abbiano trovato adeguate risposte e soluzioni e riguardino situazioni di particolare gravità. In effetti, il collegio sindacale dispone di poteri propri (non attribuiti invece all’OdV)10, che lo qualificano come interlocutore necessario ed insostituibile per le situazioni patologiche relative al Modello 231.

10 Basti pensare all’obbligo di convocazione dell’assemblea dei soci rimesso al collegio sindacale, qualora nell’espletamento dell’incarico ravvisi fatti censurabili di rilevante gravità e vi sia urgente necessità di provvedereo nei casi di inadempimento da parte dell’organo amministrativo. Inoltre, è opportuno richiamare il potere di denunzia di fatti censurabili all’assemblea (art. 2408 c.c.) e al Tribunale (art. 2409 c.c.)

26

Al contempo, il collegio sindacale può trarre beneficio dall’attività svolta dall'organismo di vigilanza (nel caso in cui esso non sia formato in tutto o in parte da componenti del collegio sindacale, come è d’altra parte auspicabile). Le norme di comportamento sul collegio sindacale emanate dal CNDCEC nel dicembre 2010 richiedono al collegio sindacale di acquisire informazioni al fine di verificare gli aspetti inerenti all’autonomia, all’indipendenza e alla professionalità dei membri dell’OdV necessarie per svolgere efficacemente l’attività ad esso assegnata. Il collegio sindacale deve quindi acquisire dall'organismo le informazioni relative al modello organizzativo adottato dalla società ed al suo funzionamento per valutare l’operatività dell’organismo di vigilanza e la congruità delle valutazioni e l’adeguatezza delle indicazioni da quest’ultimo adottate. È opportuno che il modello organizzativo preveda obblighi di informazione da parte dell'Organismo di Vigilanza verso il collegio sindacale in merito all’adeguatezza del modello e alla sua efficace attuazione. A tale fine, si ritiene opportuno prevedere che le comunicazioni che il Modello prevede debbano essere trasmesse al consiglio di amministrazione siano inviate per conoscenza anche al collegio sindacale. Inoltre, sempre nel Modello 231 dovrebbe essere previsto l’obbligo di effettuare almeno un incontro annuale con il collegio sindacale per favorire un utile scambio di informazioni e, in definitiva, una collaborazione sinergica. L’OdV dovrà inoltre riferire, al soggetto richiedente, sull’esito degli audit specifici condotti a seguito delle segnalazioni provenienti dal Collegio Sindacale.

5. Relazioni con il Consiglio di amministrazione / comitato di controllo interno

Il consiglio di amministrazione e l’eventuale comitato di controllo interno creato al suo intero (in applicazione del Codice di autodisciplina per le società quotate in borsa) costituisce il principale interlocutore dell’Organismo di vigilanza. In primis, occorre ricordare che il CdA provvede alla nomina dell’OdV, all’eventuale revoca per giusta causa (solitamente prevista nei Modelli), alla determinazione del compenso, nonché all’assegnazione dei poteri e mezzi all’OdV.

Da un punto di vista organizzativo e non strettamente giuridico, l’Organismo di Vigilanza può essere qualificato come un organo in staff al CdA (o al comitato di controllo interno), in quanto per garantirne l’indipendenza non deve essere subordinato ad una qualsivoglia funzione manageriale e quindi nemmeno al direttore generale o all’amministratore delegato.

Considerato che il consiglio di amministrazione è il primo soggetto responsabile per l’osservanza delle leggi nello svolgimento dell’attività aziendale e che, al contempo, è il primo responsabile per il funzionamento del sistema di controllo interno, esso dovrà essere periodicamente informato dall’OdV sullo stato di adeguatezza del Modello di organizzazione, gestione e controllo, nonché sull’effettiva applicazione dello stesso.

L’Organismo di Vigilanza riporta al Consiglio di Amministrazione le attività svolte secondo le tempistiche specificamente previste nel modello di organizzazione, gestione e controllo e nel suo regolamento di funzionamento.

27

In genere nei Modelli sono previste le linee di riporto seguenti:

- continuativa, nei confronti del Presidente del consiglio di amministrazione, il quale informa il Consiglio stesso sui fatti più significativi eventualmente emersi;

- periodica (ad esempio semestrale), nei confronti del consiglio di amministrazione e del collegio sindacale; a tale proposito viene predisposto uno specifico rapporto relativo all’attività svolta con segnalazione dell’esito delle verifiche e le eventuali proposte in merito;

- immediata, nei confronti del Presidente del consiglio di amministrazione, ove risultino accertati fatti di particolare materialità o significatività.

In particolare, l’Organismo di Vigilanza è tenuto a comunicare periodicamente al consiglio di amministrazione le seguenti informazioni:

• le attività svolte nel corso del periodo ed i risultati conseguiti, con la segnalazione di eventuali problematiche emerse;

• la necessità di modifiche al Modello che si rendono necessarie per cambiamenti organizzativi, per modifiche nelle modalità operative gestionali, per modifiche nel sistema delle deleghe o per adeguamenti normativi;

• la valutazione sull’adeguatezza del Modello e sull’effettivo funzionamento dello stesso; • un piano di attività previste per l’anno successivo.

L’OdV dovrà inoltre riferire al soggetto richiedente, sull’esito degli audit specifici condotti a seguito delle segnalazioni provenienti dal Presidente, dall’intero consiglio di amministrazione o dal comitato di controllo interno.

Oltre alle segnalazioni ed alle relazioni, è opportuno prevedere degli incontri periodici tra l’OdV ed il consiglio di amministrazione (o comitato di controllo interno), ad esempio stabilendo che, almeno una volta l’anno, sia dedicata una parte della seduta del consiglio al tema del Modello 231, con la presenza contestuale dell’OdV che, in tale occasione, presenterà la propria relazione annuale.

Inoltre, è da tenere presente che il consiglio di amministrazione e il Presidente hanno la facoltà di convocare in qualsiasi momento l’OdV affinché questo possa illustrare l’attività svolta od esprimere pareri in merito all’effettività e adeguatezza del modello, nonché su situazioni specifiche relative all’applicazione dello stesso. Al contempo, l’OdV può richiedere in qualsiasi momento al Presidente di convocare il Consiglio per riferire su eventuali significative violazioni al modello individuate a seguito delle verifiche svolte.

I verbali delle riunioni tenutesi con il Presidente o con il Consiglio di Amministrazione sono custoditi dal supporto tecnico -‐ operativo dell’OdV, oltre che ovviamente dagli organi interessati.

L’OrganismodiVigilanzaexD.Lgs., 231/2001:,requisiti ... · 6" " da parte"dell’OdV" e"...

Documents

Transcript of L’OrganismodiVigilanzaexD.Lgs., 231/2001:,requisiti ... · 6" " da parte"dell’OdV" e"...