09/03/2010 - È indispensabile un nuovo approccio al decreto legislativo sulla responsabilità amministrativa di enti e società, che non va più visto come onere ma come opportunità per passare a un vero sistema di controllo interno integrato. A più di otto anni dall'introduzione nel nostro ordinamento di una forma di responsabilità amministrativa delle società e degli enti per gli illeciti penali commessi dai propri amministratori e dipendenti nell'interesse delle stesse, si impone sul tema una riflessione più ampia e matura. In effetti, la necessità di creare modelli organizzativi per evitare l'applicazione di sanzioni in relazione a comportamenti illeciti sempre più comuni (quali i reati connessi con la sicurezza del lavoro) è stata interpretata dalle imprese e dagli enti interessati solo in modo negativo quale ulteriore adempimento generatore di costi e responsabilità di cui se ne poteva fare certamente a meno. Questo modo di interpretare la normativa ha portato le stesse a creare modelli organizzativi "di facciata" senza vedere in questi alcuna utilità diretta sul piano gestionale e strategico. La giurisprudenza, con sanzioni gravi, ha punito questo tipo di approccio disattendendo il modello, in quanto non creato a misura sull'impresa, ma copiato da un prototipo soggettivamente inefficace. Un nuovo approccio si impone. È giunta, dunque, l'ora di vedere gli obblighi che scaturiscono dal Dlgs 231/2001 in un'ottica nuova. I modelli organizzativi devono essere creati quale fondamento per un sistema integrato di controlli che consentano di gestire in modo efficiente e puntuale qualsiasi forma di rischio, offrendo all'imprenditore, ai soci e alla governance aziendale un vero e proprio sistema capace di monitorare l'attività dell'impresa. Il sistema deve essere in grado di rispondere a più livelli alle diverse esigenze informative espresse da coloro che operano all'interno dell'impresa stessa e dal mercato che con essa interagisce. In effetti, vari fattori inducono a questa riflessione più ampia e matura:- l'elaborazione della dottrina e la giurisprudenza che, soprattutto negli ultimi anni, si è formata; - la realtà economica che per effetto di una serie di scandali societari ha determinato un più frequente ricorso a tale normativa nonché maggiore consapevolezza e familiarità con la stessa da parte degli operatori economici e dei magistrati;- infine, il fatto che il novero dei reati originariamente presupposti per la responsabilità delle società e degli enti si sia ampliato a dismisura. E tale continuo ampliamento, che non sempre ha seguito un filone logico e razionale, ha introdotto connotati la cui portata e vastità vanno attentamente delineate e approfondite. Prendiamo, ad esempio, le rilevantissime modifiche apportate nel 2007 e nel 2008: dai reati di riciclaggio (Dlgs 231/2007, modificato di recente e pubblicato in questa Guida a pag. 36), ai reati previsti in materia di sicurezza sul lavoro (Dlgs 81/2008), ai delitti informatici e al trattamento illecito di dati. Violazioni in tema di sicurezza lavoro e non solo. La prima e più evidente considerazione è quella relativa all'introduzione dei reati commessi in violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro: si tratta di reati "colposi", in cui cioè non è ravvisabile la volontà delle conseguenze del comportamento illecito bensì solo della condotta tenuta dal rappresentante aziendale. Rispetto al nucleo originario dei reati previsti, sostanzialmente incardinato sulla corruzione e concussione, l'estensione dell'ambito applicativo è enorme e indiscriminato, in pratica tocca ogni impresa e di qualsiasi dimensione. Ma anche considerando gli altri esempi citati (riciclaggio e delitti informatici e trattamento dati), ci si rende intuitivamente conto di come tali nuove fattispecie siano pervasive delle attività e dell'organizzazione di tutte le imprese. Oltre a questo, profilo che potremmo ritenere quantitativo, ne va sottolineato un altro di tipo qualitativo e cioè che contesti quali la sicurezza sul lavoro, la circolazione del denaro e degli altri mezzi di pagamento, l'utilizzo di sistemi informatici per il trattamento di dati eccetera, presuppongono anch'essi uno specifico sistema di gestione all'interno dell'organizzazione dell'ente: in altre parole, un modello organizzativo sostanzialmente della stessa natura di quello che il Dlgs 231/2001 richiede affinché sia riconosciuta alla società o all'ente un'esimente giuridica dalla propria diretta responsabilità (come noto, per mezzo di tale modello organizzativo si documenta e si verifica la capacità della società o dell'ente di dotarsi di strutture e di una organizzazione efficaci a prevenire la realizzazione dei reati previsti, fondate su principi e regole di condotta, politiche di gestione dei processi aziendali, procedure che regolano i flussi e le relazioni interfunzionali, meccanismi di controllo e apparati sanzionatori adeguati). Ne discende che l'attuale assetto del Dlgs 231/2001 risulta non solo enormemente ampliato ma anche valorizzato in termini di interesse per l'impresa, poiché viene a costituire de facto un "sistema dei sistemi" o, per meglio dire, un modello di organizzazione e gestione che si eleva sugli altri specifici "modelli" di gestione nei confronti dei quali costituisce uno strumento di controllo e di supervisione e, pertanto, ne assicura la "integrazione" nell'ambito dell'organizzazione aziendale complessiva. In sintesi, esso rappresenta lo strumento che può aiutare l'azienda a ottimizzare i suoi sforzi organizzativi e gestionali fino a ottenere un sistema di controllo interno integrato, proponendosi quale collante naturale che può consentire di contemperare in modo efficiente le sempre più forti esigenze di corporate governance e di risk management da una parte e di ottimizzazione - sia in termini di efficacia che di costi - dei tradizionali sistemi di controllo interno e di compliance dall'altra. Quindi questo modello di riferimento, paradossalmente, nella misura in cui contribuisce a ottimizzare gli sforzi e i costi dell'impresa diviene un "sistema" potenzialmente molto efficace per migliorare la capacità di gestire i rischi e di conseguire i propri obiettivi strategici: anche per quelle imprese di più modeste dimensioni in cui questa "competenza" dell'organizzazione viene troppo spesso sacrificata all'esigenza di salvaguardare il risultato economico e finanziario, quasi come se quest'ultimo sia l'unico elemento reale su cui fondare la strategia di sopravvivenza o di sviluppo dell'impresa. Integrazione tra corporate governance, risk management e controllo interno Una buona governance si fonda su un sistema di controllo interno inteso come "l'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell'impresa sana, corretta e coerente con gli obiettivi prefissati" (Codice autodisciplina Borsa italiana). Esso costituisce, evidentemente, la trama su cui tutti i soggetti e le funzioni aziendali contribuiscono alla gestione dell'impresa in coerenza con l'obiettivo di conferire il massimo valore sostenibile a ogni attività dell'organizzazione. In tale contesto, tuttavia, il Legislatore, ampliando per motivi spesso contingenti le fattispecie e il numero dei soggetti responsabilizzati di controlli di varia natura all'interno dell'impresa, ha indirettamente frazionato le responsabilità e generato una certa proliferazione di modelli di valutazione e gestione tra di loro non integrati e potenzialmente conflittuali e non economici (oltre ai provvedimenti già citati, si pensi alla legge 262/2005 sulla tutela del risparmio, alle molteplici disposizioni del settore finanziario e assicurativo e alle cosiddette "autoregolamentazioni" quali quella della Borsa italiana). Infatti, la realizzazione di un effettivo sistema di governance aziendale deve tener conto delle azioni e delle valutazioni espresse da tutti i soggetti coinvolti sia nel controllo che nel risk management e deve, pertanto, garantire il presidio dei rischi aziendali sulla base di un sistema di controllo interno unico e univoco e tale da assicurare al suo interno efficacia ed economicità. In pratica, un sistema di controllo interno "integrato", in cui, sul presupposto dei limiti di tollerabilità e accettabilità del rischio, siano correttamente formulati gli obiettivi di controllo, quali gli obiettivi aziendali di business e di governance rilevanti, le fonti di rischio eccetera, sia assicurata l'adeguatezza dei controlli (cioè l'efficacia, determinata dalle caratteristiche intrinseche del processo e dal funzionamento del controllo e l'economicità, determinata dai fattori del danno potenziale e del costo del controllo).Il modello "Erm" Il sistema di controllo interno è, altresì, parte integrante del modello di riferimento internazionale per la gestione del rischio aziendale che è noto come "Erm", cioè l'acronimo della definizione inglese di Enterprise risk management. Esso trae origine dagli studi avviati negli Stati Uniti, sull'onda degli scandali economici e finanziari degli anni Ottanta e degli inizi degli anni Novanta, dal settore privato e dalle associazioni professionali più prestigiose d'America che diedero vita a una commissione di studio, la Treadway Commission: il risultato fu la pubblicazione nel 1992 del volume Internal Control - Integrated Framework, noto come Coso Report (Committee of Sponsoring Organizations of the Treadway Commission). A tale fondamentale pubblicazione hanno poi fatto seguito nel 2004 il rapporto Enterprise Risk Management - Integrated Framework e nel 2006 il rapporto Internal Control over Financial Reporting - Guidance for Smaller Public Companies, in coerenza con l'evoluzione normativa, regolamentare e dottrinale nel frattempo intervenuta. Sulla base di queste linee guida di riferimento, il modello di gestione del rischio aziendale viene definito come "un processo, posto in essere dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l'organizzazione; progettato per individuare eventi potenziali che possono influire sull'attività aziendale, per gestire il rischio entro i limiti del "rischio accettabile" e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali". Il modello Erm è, dunque, finalizzato al conseguimento degli obiettivi aziendali ricompresi nelle seguenti categorie: strategici, operativi, di reporting e di conformità e presuppone che ogni componente dell'organizzazione aziendale ne abbia una certa responsabilità, fino all'amministratore delegato che ne ha la responsabilità ultima e ne assume la paternità, laddove il consiglio di amministrazione assolva alla sua generale supervisione e contribuisce alla determinazione del livello di "rischio accettabile". Anche in tale contesto internazionale di riferimento, dunque, appare evidente come la gestione del rischio debba intendersi non rispetto a una singola categoria ma, viceversa, in modalità integrata e cioè comprensiva di ogni tipologia di rischio capace di incidere negativamente su ciascun processo:- rischio strategico (quote di mercato, allocazione delle risorse, struttura organizzativa eccetera); - rischio gestionale (frodi interne ed esterne, logistica e distribuzione, soddisfazione del cliente, gestione acquisti eccetera);- rischio finanziario (gestione fiscale, flussi monetari, autorizzazioni, pagamenti, gestione investimenti eccetera); - rischio di mancata conformità (compliance). È un processo strategico di natura integrata attuato nei singoli processi aziendali ed è la base di processi decisionali realmente informati affinché soggetti e funzioni aziendali possano guidare la società non solo nel rispetto degli obiettivi di business ma anche in modo coerente con le aspettative di tutti gli stakeholder, in modo da sostanziare un modello di governo societario adeguato, moderno e dinamico. Sembra a questo punto agevole richiamare l'attenzione sul fatto che oggigiorno la disciplina racchiusa nel Dlgs 231/2001, stante la sua pervasività in tutti i processi aziendali, inclusi per richiamo quelli che altre discipline normative già regolano in termini di modelli o di sistemi di organizzazione e gestione (come la sicurezza del lavoro, la gestione finanziaria, il trattamento informatico dei dati eccetera), ha assunto de facto la valenza di una matrice di impostazione, progettazione, redazione e revisione di un "super modello" attraverso cui l'alta direzione dell'azienda può ottenere riscontri particolarmente dettagliati su efficacia ed efficienza dell'organizzazione e dei sistemi di gestione aziendali e sugli interventi migliorativi realizzabili in una visione integrata. Il modello così costruito, nell'ottica cioè della matrice integrata per il governo aziendale, diventa: - un corpus non più limitato alle sole finalità di prevenzione dei reati di cui al Dlgs 231/2001;- uno strumento di integrazione e ottimizzazione dei diversi sistemi interni all'azienda e di attuazione di specifici interventi di miglioramento su singoli processi, funzioni o aree;- un monitor di controllo di tutti i sistemi aziendali attuabile e fruibile con strumenti informatizzati.Il modello 231: un'opportunità, non solo un onere. È opportuno a questo punto approfondire le ragioni di fondo e le caratteristiche che rendono il modello di prevenzione della responsabilità delle società e degli enti uno strumento idoneo per il governo dell'impresa. Destinatari. Il novero dei destinatari della normativa è particolarmente vasto includendo enti, società, società partecipate da enti pubblici anche territoriali, cooperative ma anche fondazioni, consorzi e associazioni non riconosciute. Essa si applica, inoltre, non solo alle singole organizzazioni ma anche alle holding, sia nella classica accezione che nei casi in cui sia individuabile un raccordo tra diversi soggetti, come ad esempio nel caso delle partecipazioni incrociate. La normativa trova applicazione altresì nei casi di partecipazione ad Ati (associazioni temporanee di imprese) o joint venture. Fattispecie di reato. Particolarmente ampio, come già sottolineato, è il ventaglio dei reati, la cui commissione determina l'avvio delle indagini preliminari nei confronti del soggetto collettivo: delitti contro la pubblica amministrazione, reati societari, abusi di mercato, delitti di riciclaggio, omicidio e lesioni colpose per violazione della normativa antinfortunistica, delitti contro la personalità individuale, reati transazionali, delitti informatici e altri, per un totale di circa 90 fattispecie incriminatici. Di qui a breve, peraltro, ulteriori reati verranno inseriti, come ad esempio quelli ambientali. Sanzioni. Sono previste sanzioni, quali quelle interdittive (l'interdizione dall'esercizio dell'attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l'esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni o servizi), che hanno lo scopo di incidere concretamente sullo svolgimento operativo dell'impresa e che sono applicabili anche nel corso delle indagini preliminari quali misure cautelari. Tali sanzioni interdittive sono considerate efficaci, come si legge nella stessa relazione al provvedimento, in quanto "possiedono in misura superiore la forza di distogliere le società... da preoccupanti atteggiamenti di disorganizzazione operativa". Ciononostante, la visione operativa della normativa è rimasta finora circoscritta alla natura esimente del modello ciò determinando un approccio degli organi di vertice delle società e degli enti al Dlgs 231/2001 quale ulteriore onere: in pratica, l'approccio delle imprese è stato troppo orientato alla semplice realizzazione di un adempimento e in tale ottica si è assistiti esclusivamente a progettazioni e applicazioni del decreto legislativo con modalità basic non finalizzate ad apportare alcun beneficio tangibile all'impresa. La nuova visione del modello 231 ha come scopo non solo quello di "non ingessare" l'impresa ma, soprattutto, quello di produrre alta innovazione, grazie alla revisione dell'intera struttura aziendale, con prioritaria ricaduta in termini di miglioramento dei sistemi organizzativi e di governance in generale. Le imprese con sistemi di governance non adeguati, infatti, sono soggette a maggiore rischi e minore redditività e questo è tanto più rilevante proprio in questo complesso e difficile periodo economico. Perché il modello 231 è funzionale alla revisione dell'organizzazione aziendale Il punto di partenza è rappresentato da un dato ineludibile: la responsabilità penale dei soggetti collettivi ha come suo centro vitale l'organizzazione dell'ente nel suo complesso; infatti, il dato comune è il difetto di organizzazione attraverso il quale si manifesta la condotta criminosa e il controllo dell'autorità giudiziaria circa la colpevolezza del soggetto collettivo è svolto proprio rispetto alle modalità organizzative di quest'ultimo. Tale dato emerge fin dai primi atti ufficiali sul decreto legislativo; già nella relazione di accompagnamento al decreto si evidenziava: "Più in generale... va ricordato che la responsabilità degli enti presuppone la mancata adozione dei modelli di prevenzione, sì che... il giudice non potrà comunque fare a meno di calarsi, con l'ausilio di consulenti, nella realtà dell'impresa, dove potrà attingere anche le informazioni relative allo stato di solidità economica, finanziaria e patrimoniale dell'ente". Questa visione alternativa e non basic del Dlgs 231/2001 può produrre per il soggetto collettivo non un semplice modello di prevenzione ma un valore che si sostanzia in: - ripensamento e miglioramento dell'organizzazione aziendale; - razionalizzazione e unificazione delle strutture di controllo esistenti; - stimolo a una governance funzionale complessiva.Non va tralasciato, inoltre, l'aspetto ulteriore di utilizzare il modello 231 quale strumento di prevenzione delle frodi interne e delle infedeltà nella gestione d'impresa e quale progetto di protezione dalle perdite economiche e di reputazione del soggetto collettivo. Infatti, un'applicazione di notevole rilevanza del Dlgs 231/2001 è configurabile nei settori del contrasto alle situazioni di infedeltà poste in essere dai soggetti apicali nella gestione dell'impresa e alle frodi commesse dai dipendenti a loro esclusivo vantaggio con conseguenti danni al patrimonio e all'immagine del soggetto collettivo (si pensi, in generale, ai reati da cui si origina un illecito arricchimento per l'apicale o il subordinato autore del fatto criminoso come appropriazioni indebite, truffe, corruzioni, furti commessi nello svolgimento dell'attività lavorativa ma anche rispetto ai reati societari). In tal senso, la predisposizione di un sistema di controllo su frodi e infedeltà interne consente alla proprietà del soggetto collettivo di avere un quadro effettivo circa l'affidabilità dei componenti la struttura organizzativa: è provato che la predisposizione di controlli oculati su tali tematiche determina la scoperta di infedeltà e frodi prima non riscontrate e ciò determina il consolidamento di comportamenti aziendali trasparenti, documentati e controllabili. È ben noto, infatti, quanto possa essere rilevante l'impatto delle infedeltà interne sul business, soprattutto se si pensa alla realizzazione di reati riguardanti la proprietà intellettuale, lo spionaggio industriale, l'abuso di licenze o brevetti, le cosiddette "frodi contabili" come le infedeltà patrimoniali ex articolo 2634 del Codice civile. Di qui a poco, infine, verrà introdotto nel sistema del Codice penale e del Dlgs 231/2001 il reato di corruzione privata previsto nella legge comunitaria 2008. Nella stesura del modello, peraltro, è possibile individuare anche altre tipologie di reati oltre a quelle previste dalla normativa per le quali la proprietà dell'impresa abbia un interesse a evitarne la verificazione (si pensi, ad esempio, a una industria del settore agroalimentare che decida di espandere il modello anche alle fattispecie in tema di contraffazione e sofisticazione di sostanze alimentari); così come sarà possibile abbinare, ad esempio, ai protocolli di controllo 231 relativi alla prevenzione dei delitti informatici anche quelli amministrativi che prevedano la corretta gestione interna del database di documenti informatizzati aventi natura riservata, così da evitarne la visione a un competitor, con una ovvia ricaduta in termini di procedure di controllo e conseguente rafforzamento dell'immagine del soggetto collettivo. Conclusioni Appare, quindi, evidente come sia possibile predisporre, con la struttura del modello 231, una rete di protezione intorno al soggetto collettivo anche rispetto a potenziali perdite in termini di reputazione dell'organizzazione, con un sistema che produrrebbe anche un risparmio di costi di gestione e risorse umane impiegate nei diversi controlli sulla gestione già attuati e esistenti in azienda. Tutto questo produce per l'impresa vantaggi effettivi che, pur rispettando gli obblighi di legge, superano di gran lunga lo scopo stesso del Dlgs 231/2001, fornendo agli attori che operano nell'impresa o al di fuori di essa uno strumento valido addirittura per combattere le frodi commerciali, per ottenere informazioni utili e corrette sulla gestione dell'impresa, ma soprattutto per mantenere, anche in organizzazioni complesse, un controllo efficace su tutti quegli elementi che sono potenzialmente portatori di rischi. Quanto detto impone, però, che chi vuole raggiungere tutti gli obiettivi descritti deve avere un approccio rispetto agli obblighi imposti dal Dlgs 231/2001 del tutto diverso da quello finora generalmente adottato: è necessario progettare modelli organizzativi tagliati su misura sull'impresa, integrandoli con gli altri strumenti di controllo esistenti; bisogna avere una visione prospettica della struttura, senza cercare di realizzare interventi troppo invasivi, ma applicando in modo scalabile e coinvolgente misure di adeguamento delle strutture interne interessate.

Segnala questa news ad un amico

Questa news è stata letta 1151 volte.