Free cookie consent management tool by TermsFeed Policy Generator
avvocati-pnrr-logo-colore

231, il “contenuto” dei modelli di organizzazione gestione

Avv. Samantha Battiston

Prevedendo un metodo fondato sull’adozione di protocolli si possono eliminare alla radice i rischi di realizzazione di condotte illecite o che possano rivelarsi strumentali alla commissione di determinati reati.

Contenuti

Protocolli

È possibile individuare una definizione più estesa e standard di “specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire” (art. 6, comma 2, lett. B D.lgs. 231/01)?

Per poter rispondere a tale quesito si ritiene opportuno premettere che con il termine protocollo ci si riferisce ad un insieme di norme e di principi organizzativi che devono essere messi in atto dalla società al fine di prevenire efficacemente la commissione di reati.

A tal fine il D.Lgs. n. 231 del 2001, all’art. 6 comma secondo lett. b, prevede la predisposizione di regole di Risk management, ossia di veri e propri “protocolli” in grado di delineare i processi decisionali ed operativi dell’ente funzionali alla prevenzione della commissione dei reati presupposto.

In quest’ottica lo svolgimento di attività ritenute maggiormente “sensibili”, ovvero in grado di esporre l’ente ad una responsabilità ai sensi del D.Lgs. n. 231 del 2001, dovrà avvenire nel rispetto di precise regole di comportamento formulate secondo i canoni di trasparenza, tracciabilità dei processi decisionali e segregazione dei compiti.

Prevedendo un metodo fondato sull’adozione di protocolli come sopra delineati, si possono eliminare alla radice i rischi di realizzazione di condotte illecite o che possano rivelarsi strumentali alla commissione di determinati reati.

L’insieme di protocolli e delle procedure di prevenzione da adottare nel Modello devono necessariamente allinearsi alle best practices nazionali ed internazionali (si vedano i documenti CoSO Report I e II ERM) dettate in materia, nonché alle Linee Guida di Confindustria ed alle disposizioni contenute nella circolare della Guardia di Finanza n. 83607 del 2012 .

I protocolli si possono classificare in due tipologie principali:

  • Protocolli e procedure generali, concernenti il sistema di controllo e prevenzione degli illeciti a livello di ente in generale;
  • Protocolli e procedure specifici, relativi ai processi che in sede di valutazione dei rischi vengono considerati come maggiormente “sensibili”.

La circolare n. 83607 del 2012 della Guardia di Finanza prevede che all’interno dell’ente siano predisposti protocolli e procedure efficienti ed efficaci valutate da un professionista esperto di SCI (Sistema di Controllo Interno). In detta circolare si consiglia di utilizzare la metodologia del Risk Approach nelle sue due componenti, ossia Risk Assessement (identificazione del rischio) e Risk Management (gestione del rischio).

In seguito alla emissione della circolare menzionata, nel 2014 anche Confindustria ha inserito nelle sue “Linee guida” il metodo del Risk Approach ponendo particolare attenzione all’esame e costruzione dei protocolli e delle procedure al fine di individuare le criticità presenti all’interno dell’ente.

Seguendo tale approccio dovranno essere analizzati in modo puntuale:

  • l’Organigramma generale, attraverso il quale si fornisce una visione complessiva dell’azienda partendo dagli organi di vertice e di amministrazione e giungendo fino ai diversi presidi operativi ed esecutivi (controllo di gestione, magazzino, commerciale vendite, acquisti, risorse umane e via dicendo);
  • l’Organigramma per unità operativa, con il quale vengono messi in rilievo i soggetti a vario titolo coinvolti nelle specifiche procedure aziendali valutando con quali modalità tali soggetti interagiscono tra loro;
  • i Protocolli e le procedure aziendali, a mezzo dei quali si identificano i responsabili di ciascuna unità operativa.

Sarà fondamentale procedere alla mappatura del “rischio di reato” ovvero ad una analisi delle prassi aziendali finalizzata ad individuare i settori maggiormente esposti a rischi di illeciti e l’idoneità delle misure di prevenzione.

Dopo tale mappatura, gli organi di vertice dovranno predisporre i protocolli interni in modo da contrastare e ridurre in maniera efficace i rischi identificati provvedendo altresì ad aggiornare i sistemi di prevenzione già in essere.

Alla luce di quanto brevemente esposto è di tutta evidenza che l’analisi dei processi interni e delle procedure seguite costituisce una fase fondamentale per l’identificazione delle attività nell’ambito delle quali si possono configurare i reati presupposto previsti dal D.Lgs. 231 del 2001. Tramite la mappatura iniziale, infatti, si assicura che il Modello sia adottato in base alle concrete esigenze aziendali e non sia la mera ripetizione delle prescrizioni del dettato normativo.

  • Il numero minimo di documenti che devono comporre il modello ai fini della sua capacità esimente

Il Modello, nella prassi applicativa, si compone di due parti fondamentali:

  • la parte generale che contiene la descrizione della struttura organizzativa dell’impresa e dell’attività svolta, il regolamento e la disciplina dell’organismo di vigilanza, la disciplina dei flussi informativi, le modalità di aggiornamento e formazione dei soggetti a vario titolo coinvolti nonché il sistema sanzionatorio;
  • la parte speciale, solitamente suddivisa in processi aziendali o categorie di reati-presupposto, che contiene l’elenco delle attività sensibili con i relativi protocolli di comportamento nonché gli strumenti di controllo necessari a prevenire il rischio di commissione di reati.

Il Modello viene ulteriormente integrato attraverso il rinvio a procedure operative, regolamenti interni o altri documenti come i codici di condotta, i codici etici e di anticorruzione, le istruzioni operative e via dicendo.

In generale, i componenti essenziali del Modello sono:

  1. una descrizione introduttiva della struttura organizzativa dell’impresa e delle attività che svolge;
  2. una “mappatura oggettiva” di identificazione dei rischi, ovvero la descrizione delle aree aziendali maggiormente esposte al rischio di commissione di reati-presupposto con individuazione specifica delle possibili modalità di commissione degli illeciti.

La giurisprudenza ha stabilito che “il modello deve rappresentare l’esito di una efficace analisi di rischio e di una corretta individuazione delle vulnerabilità oggettive dell’ente in rapporto alla sua organizzazione ed alla sua attività” (G.I.P. Napoli, ordinanza del 26/06/2007) e deve tener conto delle caratteristiche degli altri soggetti operanti nel settore nonché della storia, anche giudiziaria, dell’ente (G.I.P. Milano, ordinanza del 09/11/2004).

Il Tribunale di Milano, Sezione XI, con l’ordinanza di riesame del 28/10/2004, ha statuito che “non può essere considerato idoneo a prevenire i reati e ad escludere la responsabilità amministrativa dell’ente un modello aziendale di organizzazione e gestione, adottato ai sensi degli artt. 6 e 7 D.Lgs. 8 giugno 2001 n. 231, che non preveda strumenti idonei a identificare le aree di rischio nell’attività della società e a individuare gli elementi sintomatici della commissione di illeciti, quali la presenza di conti correnti riservati all’estero, l’utilizzazione di intermediari esteri al fine di rendere più difficoltosa la scoperta della provenienza dei pagamenti, la periodicità dei pagamenti in relazione alle scadenze delle gare di appalto indette dalla società”;

  • la “Mappatura normativa” contenente il sistema di prevenzione e di contenimento degli illeciti nonché le modalità operative interne predisposte al fine di prevenire in modo concreto ed efficace la commissione di reati-presupposto, incluse la previsione di protocolli di informazione nei confronti dell’Organismo di Vigilanza e la gestione delle risorse economiche. Le Linee Guida di Confindustria precisano che i protocolli e le procedure devono prevedere (Linee Guida Confindustria, p. 37 ss.): – un codice etico o di comportamento, con indicazione dei valori aziendali a cui l’ente intende conformarsi e che rappresenta il fondamento del sistema di controllo preventivo;
  • una regolamentazione dello svolgimento delle attività sensibili, con individuazione di “punti di controllo” e l’attuazione di una “separazione di compiti” fra coloro che sono addetti a fasi cruciali di ogni processo “a rischio” e di una tracciabilità dei controlli svolti; – un sistema organizzativo sufficientemente aggiornato;
  • un’adeguata assegnazione dei poteri autorizzativi e di firma; – una idonea ed efficace attività di comunicazione e di formazione;
  • l’Organismo di Vigilanza, che ha il compito di garantire la concreta attuazione del Modello e di curarne l’aggiornamento, con autonomi poteri di iniziativa e controllo, secondo requisiti di autonomia e indipendenza, professionalità e continuità di azione (art. 6, comma 1, lett. b, D.Lgs. n. 231 del 2001 e Linee Guida Confindustria, p. 55 ss.);
  • la previsione di obblighi di informazione nei confronti dell’Organismo di Vigilanza (art. 6, comma 2, lett. d, D.Lgs. n. 231 del 2001 e Linee Guida Confindustria, p. 55 ss.);
  • la previsione di un sistema disciplinare interno che sanzioni la mancata osservanza dei protocolliprevisti e delle norme di “deontologia aziendale” contenute nel codice etico. La previsione di un sistema sanzionatorio costituisce un elemento essenziale per la effettività del Modello (Circolare della Guardia di Finanza n. 83607 del 2012);
  • specifici requisiti in materia di whistleblowing (art. 6, comma 2 bis, D.Lgs. n. 231 del 2001);
  • la previsione di un sistema di aggiornamento del Modello, in base ai cambiamenti dell’attività e/o dell’organizzazione dell’ente, nonché in base alla scoperta di eventuali condotte illecite e/o di violazioni del modello nonché di adeguamenti normativi (art. 7, comma 4, lett. a, D.Lgs. n. 231 del 2001 e Linee Guida Confindustria, pp. 56 e 71).
  • Gli elementi essenziali che devono essere presenti nei documenti aziendali per ritenersi idonei a supportare un modello 231

L’organigramma, come si è visto, rappresenta graficamente una struttura organizzativa con l’obiettivo di descrivere gli aspetti organizzativi rilevanti dell’azienda.

Un organigramma funzionale con deleghe e mansioni diviene senza dubbio uno strumento necessario per la redazione di un Modello 231 in quanto consente di evidenziare in modo facilmente percepibile la situazione organizzativa aziendale in un dato momento.

Il mansionario è, invece, il documento che descrive tutte le mansioni assegnate ad una specifica figura aziendale e fornisce un parametro di valutazione delle performance di ogni lavoratore.

Il processo è un insieme di attività finalizzate al raggiungimento di obiettivi aziendali definito attraverso un sistema di regole (direttive, norme operative, procedure interne, e via dicendo) e sistemi di verifica di congruità, coerenza e responsabilità.

Le scelte operative all’interno dell’ente devono essere sempre tracciabili, così come devono essere identificabili coloro che ne sono responsabili ragion per cui è fondamentale il continuo flusso di informazioni fra processi.

I processi aziendali devono:

  • essere definiti nel rispetto di principi e norme di comportamento etico (correttezza, trasparenza, onestà, collaborazione, integrità);
  • prevedere adeguati meccanismi di controllo;
  • essere caratterizzati dal principio della contrapposizione delle funzioni e separazione dei poteri nello svolgimento del processo;
  • essere in linea con l’organigramma funzionale e le responsabilità organizzative;
  • essere verificabili e aggiornabili;
  • essere soggetti al monitoraggio e formalizzati all’interno di documenti che disciplinano modalità operative e responsabilità.

Il protocollo o procedura definisce i processi in termini di scopo, ambito di applicazione, principi da applicare, responsabilità dei soggetti coinvolti, modalità operative (schede, modulistica, modelli, e via dicendo) da utilizzare e si fondano sulla:

  • separazione delle attività;
  • individuazione di regole per i poteri di firma ed autorizzativi;
  • tracciabilità e trasparenza del processo;
  • specificazione e descrizione delle procedure;
  • reporting;
  • descrizione del sistema informativo utilizzato per la gestione del processo.

Per i processi sensibili ai reati di cui al D.Lgs. 231 del 2001 devono essere applicati protocolli specificatamente finalizzati a definire i criteri di organizzazione e controllo di tali attività. A titolo esemplificativo si ricordano i seguenti protocolli specifici:

  • congruità del prezzo, con inserimento negli accordi negoziali di clausole che assicurino prezzi in linea con i valori di mercato in relazione alla natura e caratteristiche dei beni o servizi;
  • clausola 231: previsione negli accordi negoziali dell’obbligo ad operare rispettando i principi del D.Lgs. n. 231 del 2001, statuendo in caso contrario la possibilità di risolvere il contratto e/o applicare penali;
  • modalità di pagamento definite tramite le quali vengono identificate le modalità di pagamento

(carte di credito, bonifici) con divieto dell’utilizzo di denaro contante;

  • modalità di approvvigionamento definite: la scelta della modalità di acquisto di beni e servizi deve essere previamente disciplinata;
  • evidenza di svolgimento di contenziosi di natura giudiziale;
  • modalità di monitoraggio dell’andamento delle specifiche operazioni, dei pagamenti, dei software, programmi e applicazioni informatiche;
  • controllo sicurezza su accesso a sistemi informatici aziendali;
  • monitoraggio su tipologie di fatturazione che potrebbero contenere eventuali errori o anomalie.

Altri protocolli che si possono annoverare in questa sede sono:

  • protocollo sulla formale attribuzione di deleghe e poteri di utilizzazione della firma sociale;
  • protocollo sulla sicurezza di I.T. – Information Technology;
  • protocollo dei rapporti con la Pubblica Amministrazione;
  • protocollo sulla richiesta e gestione finanziamenti e benefici pubblici; -protocollo sulla gestione della privacy.

Quali misure possono essere implementate nel Modello 231 per gestire i processi aziendali nei quali (per le dimensioni dell’impresa) non è possibile garantire una segregazione delle funzioni?

La segregazione delle funzioni all’interno di un’impresa è uno strumento di Corporate Governance volto a creare un maggior coinvolgimento di soggetti aumentando le connesse responsabilità nella gestione dell’azienda, in modo tale che nessuno sia titolare di poteri illimitati e che ogni soggetto sia adeguatamente controllato.

Secondo il D.lgs. n. 231 del 2001 la segregazione delle funzioni deve essere correlata ad una separazione dei poteri all’interno dell’ente tale da distribuire le responsabilità e i doveri in capo a una pluralità di soggetti distinti.

Orbene, il D.lgs. n. 231 del 2001 è stato maggiormente rivolto a enti di grandi dimensioni, con una struttura organizzata e complessa, ma il nostro Paese è però caratterizzato da una prevalenza di imprese di piccole-medie dimensioni che hanno trovato non poche difficoltà nell’applicazione di sistemi fondati sulla diversificazione delle figure aziendali.

Ciò ha anche comportato una scarsa comprensione da parte del “piccolo imprenditore” della ratio del corpo normativo in esame che ha condotto le piccole realtà imprenditoriali a dotarsi di modelli meramente formali e, quindi, assolutamente inefficaci a prevenire il rischio di reati.

Al fine di individuare gli enti di piccole dimensioni si deve necessariamente far riferimento alla organizzazione interna, in quanto il Modello deve necessariamente essere adeguato alla complessità strutturale dell’ente. Senza dubbio saranno da considerare di piccole dimensioni gli enti dotati di una struttura con limitate deleghe di funzioni e senza pluralità di centri decisionali.

L’art. 6, comma quarto, del D.lgs. 231 del 2001 prevede a tal proposito in modo esplicito che, per gli enti di piccole dimensioni, la funzione dell’Organismo di Vigilanza possa essere svolta dall’organo di amministrazione.

È però opportuno rilevare come le modeste dimensioni aziendali non possono comunque legittimare un’applicazione meno rigorosa del D.Lgs. n. 231 del 2001. Ciò perché l’esperienza insegna che proprio nelle piccole società emerge una maggior attitudine alla commissione di condotte illecite, e ciò a causa della mancanza di preparazione e formazione professionale.

Tale constatazione induce a suggerire, laddove non è possibile adottare la segregazione delle funzioni, di mettere in atto misure di prevenzione più semplificate ma pur sempre idonee al fine di assicurare la trasparenza “interna” dell’impresa.

Sarà sempre opportuna una attività periodica di formazione per il personale, in modo tale da poter garantire la qualità delle competenze professionali e, qualora non sia possibile la rotazione del personale, dovranno essere assunte misure volte ad evitare che un determinato soggetto abbia il controllo esclusivo di tutti i processi. Nelle aree più esposte a rischio di illeciti, ad esempio, si potranno concertare sistemi di condivisione dei ruoli in modo che decisioni e valutazioni siano adottate da più soggetti.

Dunque, anche negli enti di piccole dimensioni dovranno essere individuate procedure che consentano di abbozzare un modello organizzativo grazie al quale il giudice penale potrà verificare se l’organizzazione dell’ente si è fatta parte diligente nel controllo dei comportamenti a rischio, mappandoli e dando indicazioni su come comportarsi.

Si suggerisce che le piccole realtà aziendali definiscano i processi di gestione dei flussi finanziari con una attenta ricostruzione delle modalità di pagamento, tracciabilità dei medesimi, indicazione dei conti bancari usati e limitazione del pronto cassa al minimo.

Non solo. Attraverso l’ art. 25 septies , nel novero dei reati di cui al D.Lgs. n. 231 del 2001, sono state comprese le fattispecie previste dagli artt. 589 e 590 c.p., commesse in violazione della normativa a tutela dell’igiene e della sicurezza sul lavoro, per cui anche negli enti di piccole dimensioni la stesura di protocolli potrà integrarsi con i contenuti del documento di valutazione del rischio. Il giudice penale, dunque, dovrà verificare se il Modello contiene i requisiti indicati nell’art. 30 D.Lgs. 81 del 2008 e se quanto prescritto sia stato efficacemente posto in essere.

Occorre inoltre segnalare che già attraverso il D.Lgs. 81 del 2008 è stata dedicata attenzione alla necessità di definire il ruolo dei dirigenti e preposti individuati in base alle mansioni effettivamente svolte, per cui anche nelle piccole realtà imprenditoriali è fondamentale adottare un minimo organigramma oltre ad una concreta attività di mappatura dei rischi, formazione professionale ed aggiornamento continuo.

Altri articoli

Richiedi subito una consulenza personalizzata