1. In generale

I “modelli di organizzazione, gestione e controllo” di cui agli artt 6 e 7 del d.lg. 231/2001 costituiscono, come più volte detto, parte integrante del più ampio sistema di controllo interno dell’ente, essendo adottati ed attuati al fine di prevenire il rischio di commissione di reati all’interno dell’organizzazione.

Si tratta, quindi, di un’insieme di misure e procedure volte a garantire – con ragionevole sicurezza – l’obiettivo dell’osservanza della normativa applicabile (id est: a garantire che sia ridotto al minimo il rischio di violazione della normativa rilevante).

Il Disciplinare “API 231” (1) definisce i modelli “elementi qualificanti del sistema di gestione della

responsabilità amministrativa”.

Tale ultimo sistema – che potrebbe meglio definirsi “Sistema di gestione del rischio di commissione di reati” – è espressione di un approccio organizzativo compliance oriented, trattandosi di un insieme di misure e procedure per tenere sotto controllo un’organizzazione con riferimento ai rischi di commissione di reati.

Il Sistema di Gestione della Qualità (S.G.Q.) è un “sistema per tenere sotto controllo un’organizzazione con riferimento alla qualità (approccio organizzativo quality oriented)”.

La differenza funzionale tra i due sistemi è netta.

Il S.G.Q. serve a massimizzare la qualità aziendale, al fine di soddisfare al massimo grado il cliente; il sistema dei Modelli serve ad evitare l’irrogazione di sanzioni all’ente.

In modo più preciso: il S.G.Q. non serve a prevenire rischi, a differenza del sistema dei Modelli, che ha proprio questa peculiare funzione.

Va inoltre rilevato che la normativa sulla qualità (c.d. Vision 2000) è applicabile ad organizzazioni di qualsiasi natura, indipendentemente dal tipo e dalle dimensioni, nonché a prescindere dal fatto che l’attività di un’organizzazione sia finalizzata alla realizzazione di prodotti ovvero alla prestazione di servizi.

Il sistema dei modelli incontra invece, come è noto, alcune limitazioni, non assumendo rilievo per gli enti non assoggettati al d.lg. 231 (principalmente: Stato, enti pubblici territoriali, partiti politici e sindacati).

I due sistemi vantano, d’altro canto, alcuni importanti punti in comune.

Entrambi si fondano su un “approccio per processi” (2), sul ruolo fondamentale dell’Alta direzione e sul coinvolgimento del personale.

In entrambi i sistemi, nell’ambito dell’approccio per processi, si individuano le procedure che l’organizzazione deve mettere in atto.

Si ribadisce: nel sistema dei Modelli per limitare il rischio di reati, nel S.G.Q. per massimizzare la qualità organizzativa.

L’adozione di un S.G.Q. è una scelta strategica che compete al vertice dell’organizzazione; ciò vale anche per il sistema dei Modelli, ma al fine di evitare responsabilità sanzionatorie.

Il principale compito dell’alta direzione è quello di promuovere la “politica della qualità”, in un caso, e la “cultura del controllo interno”, nell’altro (3); assicurando, in primis, un adeguato scambio di informazioni tra i vari livelli dell’organizzazione.

L’Alta direzione deve designare un suo membro preposto che garantisca che il S.G.Q. sia attuato conformemente alla normativa e si assuma la responsabilità di implementare il sistema stesso; che predisponga rapporti periodici per il riesame della direzione; che promuova riunioni e diffonda documenti utili alla politica della qualità.

Tutti compiti analoghi a quelli che deve svolgere l’organismo di vigilanza – in relazione, precisamente, all’attuazione effettiva del Modello - nel sistema delineato dal d.lg. 231.

 

2. Uno sguardo al Sistema di gestione della qualità

L’approccio per processi del S.G.Q. comprende sia i processi necessari alla realizzazione del prodotto/erogazione del servizio, sia quelli utili per un’efficace attuazione del sistema stesso, quali:

<![if !supportLists]>-         <![endif]>il processo delle verifiche ispettive interne;

<![if !supportLists]>-         <![endif]>il processo di riesame della direzione;

<![if !supportLists]>-         <![endif]>il processo di analisi dei dati;

<![if !supportLists]>-         <![endif]>il processo di gestione delle risorse;

L’attività da compiere può essere così schematizzata:

<![if !supportLists]>1.      <![endif]>Identificazione dei processi;

<![if !supportLists]>2.      <![endif]>individuazione delle sequenze e delle interazioni tra i processi;

<![if !supportLists]>3.      <![endif]>pianificazione e documentazione dei processi;

<![if !supportLists]>4.      <![endif]>monitoraggio dei processi (4);

<![if !supportLists]>5.      <![endif]>miglioramento continuo dell’efficacia dei processi

Nella realizzazione del S.G.Q., è necessario che l’organizzazione si doti di un’apposita documentazione i cui contenuti sono specificati direttamente dalla normativa:
       -     le dichiarazioni di politica e di obiettivi;

<![if !supportLists]>-         <![endif]>il manuale della qualità;

<![if !supportLists]>-         <![endif]>le c.d. procedure documentate (in particolare: controllo dei documenti, verifiche ispettive interne, azioni correttive, azioni preventive)

Il Manuale della qualità è di rilievo centrale e deve indicare, in particolare:

<![if !supportLists]>1.      <![endif]>scopo e campo di applicazione del S.G.Q. da certificare;

<![if !supportLists]>2.      <![endif]>descrizione dettagliata della struttura dell’organizzazione;

<![if !supportLists]>3.      <![endif]>elementi di base della politica per la qualità;

<![if !supportLists]>4.      <![endif]>descrizione delle risorse utilizzate dall’organizzazione e dei procedimenti in atto;

<![if !supportLists]>5.      <![endif]>illustrazione dei processi che rientrano nel contesto del S.G.Q.

Una volta redatto deve essere approvato dall’alta direzione e tenuto sotto controllo dal soggetto a ciò designato. In particolare, la direzione deve stabilire riesami periodici.

Tra gli input del riesame rientrano:

1. le risultanze degli audit interni;
2. i dati di ritorno (dai clienti);
3. i dati derivanti dal monitoraggio;
4. le azioni correttive e preventive attuate;
5. le eventuali novità legislative, nel mercato ecc.

E’ opportuno rilevare che, in caso di outsourcingdi prestazioni lavorative, l’organizzazione deve dimostrare di esercitare un sufficiente controllo per assicurarsi che tali processi siano eseguiti conformemente alla normativa.

In particolare tale controllo può comprendere:

<![if !supportLists]>-         <![endif]>la preparazione di specifiche dei processi appaltati;

<![if !supportLists]>-         <![endif]>la previsione della necessità di procedere alla validazione dei processi;

<![if !supportLists]>-         <![endif]>la specificazione delle caratteristiche professionali del personale esterno;

<![if !supportLists]>-         <![endif]>la richiesta che la controparte adotti un SGQ;

<![if !supportLists]>-         <![endif]>l’effettuazione di ispezioni in corso d’opera;

<![if !supportLists]>-         <![endif]>un controllo di conformità del prodotto/servizio ricevuto

 

3. I “Modelli di organizzazione, gestione e controllo”

Il d.lg. 231 richiede due fasi principali che devono condurre alla realizzazione del Modello:

<![if !supportLists]>a)                  <![endif]>l’identificazione dei rischi, vale a dire

<![if !supportLists]>-         <![endif]>in quali aree o settori di attività si possono verificare fatti criminosi;

<![if !supportLists]>-         <![endif]>quali connotazioni fattuali possono assumere i fatti criminosi in quelle aree

<![if !supportLists]>b)                 <![endif]>la progettazione e la realizzazione del sistema di controllo di questi rischi (i “protocolli per la programmazione della formazione ed attuazione delle decisioni dell’ente” di cui parla l’art 6).

La progettazione del sistema di controllo presuppone la valutazione del sistema di controllo eventualmente già esistente all’interno dell’ente ed implica il suo adeguamento nell’ipotesi in cui non si rivelasse idoneo – sulla carta o nella sua attuazione - a contrastare efficacemente (id est, come si vedrà: a ridurre ad un livello accettabile), i rischi identificati (la c.d. gap analisys).

Il fine ultimo di un sistema di gestione del rischio efficace è quello di ridurre il rischio di commissione di reati, essendo impossibile costruire un sistema “onnipotente”, che elimini completamente la possibilità che una persona fisica violi la legge penale (5).

La riduzione del rischio che si verifichi un evento criminoso comporta l’intervento su due ambiti ben precisi:

<![if !supportLists]>-         <![endif]>la riduzione delle probabilità di accadimento dell’evento e

<![if !supportLists]>-         <![endif]>la riduzione dell’impatto dannoso, in senso lato, dell’evento criminoso stesso, nell’ipotesi della sua verificazione nonostante le misure precauzionali adottate (6).

L’impatto dannoso del reato è rappresentato, in via principale, dalle sanzioni potenzialmente irrogabili all’ente.

Dalla coessenziale natura “ripetitiva” del rischio de quo, deriva la necessità che un sistema di gestione del rischio non possa ridursi ad un’attività svolta una tantum, dovendo invece tradursi in un “processo” continuo (o comunque periodico), da reiterare con particolare attenzione in alcuni momenti di rilievo per l’attività dell’ente (si pensi alle numerose vicende modificative che possono verificarsi) (7).

In concreto è ragionevole affermare che le società eserciteranno quel tanto di controllo per il quale il beneficio prevedibile sia superiore ai costi di sorveglianza: il modello, per essere efficiente, deve far sì che il valore della diminuzione dei rischi di commissione di reati sia superiore a quello della sua messa in opera (8).

Si deve tuttavia tener conto anche degli effetti indiretti del coinvolgimento dell’ente nel procedimento penale: potrebbero esistere danni d’immagine a forte contenuto economico, quali l’inserimento in una black list commerciale, oppure si possono instaurare azioni di terzi danneggiati, si possono perdere opportunità commerciali esistenti, oppure manager di valore ecc. (9)

Tuttavia, come è stato bene evidenziato, la logica economica sottesa alla valutazione del rapporto costi/benefici, non può essere un riferimento utilizzabile in via esclusiva.

Deve invece aversi riguardo al generale principio dell’esigibilità del comportamento richiesto alla società, ancorché spesso sia difficile individuarne in concreto il limite.

L’esigibilità va intesa, in questa sede, in termini fattuali, vale a dire come “possibilità oggettiva” (10).

Sembra conclusione rispettosa di queste premesse quella che ritiene necessario e sufficiente che il sistema di controllo preventivo, ai sensi e per gli effetti del D. Lg. n. 231/2001, sia strutturato in modo tale da non poter essere aggirato se non intenzionalmente (11).

Più precisamente ancora, ed in relazione al requisito dell’”elusione fraudolenta” del modello (12),

l’intenzionalità della persona fisica che delinque deve estrinsecarsi in modalità fraudolente, quindi con artifizi e raggiri.

Il soggetto agente, in altri termini, deve volere il reato e deve sapere che, per commetterlo, deve violare le procedure interne di controllo.

Pertanto, il sistema di controllo preventivo deve essere innanzitutto in grado di escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta illecita adducendo l’ignoranza delle direttive etico-organizzative dell’azienda.

Il primo obiettivo per la costruzione di un modello organizzativo è la procedimentalizzazione delle attività che comportano un rischio di reato, al fine di evitarne la commissione.

Ovviamente il novero delle misure che l’agente dovrà “forzare”, dipenderà dalle specifiche attività dell’ente considerate a rischio ed ai singoli reati ipoteticamente collegabili alle stesse.

Dovranno essere innanzitutto inventariati gli ambiti aziendali di attività, con revisione periodica della realtà aziendale, al fine di individuare le aree che risultano interessate dalle potenziali casistiche di reato.

Nell'ambito di questo procedimento, è opportuno identificare i soggetti interessati dall'attività di monitoraggio (13), tra i quali potrebbero rientrare anche coloro che siano legati all'impresa da meri

rapporti di parasubordinazione (ad esempio gli agenti), o da altri rapporti di collaborazione (i partnerscommerciali, nonché i dipendenti ed i collaboratori di questi ultimi).

Nel medesimo contesto è altresì opportuno porre in essere esercizi di due diligence tutte le volte in cui, in sede di valutazione del rischio, siano stati rilevati “indicatori di sospetto” (14) (ad esempio: conduzione di trattative in territori con alto tasso di corruzione, procedure particolarmente complesse, presenza di nuovo personale sconosciuto all’ente) afferenti ad una particolare operazione commerciale.

Il passo successivo consiste nell’analisi dei rischi potenziali, la quale deve aver riguardo alle possibili modalità attuative dei reati nelle diverse aree aziendali (già individuate).

L’analisi, propedeutica ad una corretta progettazione delle misure preventive, deve sfociare in una rappresentazione esaustiva di come le fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda.

A questo proposito è utile tenere conto sia della storia dell’ente, cioè delle sue vicende passate, che delle caratteristiche degli altri soggetti operanti nel medesimo settore ed, in particolare, degli eventuali illeciti da questi commessi nello stesso ramo di attività (15).

Le attività precedentemente descritte si completano, necessariamente, con una valutazione del sistema di controlli preventivi eventualmente esistente e con il suo adeguamento quando ciò si riveli necessario, o con una sua costruzione ex novo quando l’ente ne sia sprovvisto.

I modelli possono rifarsi alle linee guida delle associazioni di categoria (16), senza che, tuttavia, da

questa conformità possano derivare sicure conseguenze scriminanti.

 

4. Il riferimento del Modello ex d.lg. 231: le linee guida delle Associazione di categoria

I modelli di organizzazione, gestione e controllo possono essere adottati sulla base di “codici di comportamento” redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, puo' formulare, entro trenta giorni, osservazioni sulla idoneita' dei modelli a prevenire i reati (art 6 comma 3).

Il regolamento di esecuzione del d.lg. 231 (D.M. 201 del 2003) chiarisce innanzitutto che vanno sottoposte al Ministero le linee-guida, e non i singoli modelli, per ovvie esigenze pratiche (peraltro il termine di trenta giorni sembra comunque breve).

Il Ministero valuterà il codice in relazione ai criteri di cui all’art 6 comma 2, i quali, tuttavia, si riferiscono ai singoli modelli e non alle linee-guida generali.

I criteri attengono all’individuazione delle attivita' nel cui ambito possono essere commessi reati; alla  previsione di specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire; all’individuazione di modalita' di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; alla previsione di obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei modelli; all’introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.

Di rilievo la previsione secondo cui i codici di comportamento devono contenere “indicazioni specifiche (e concrete) di settore per l'adozione e per l'attuazione dei modelli di organizzazione e di gestione” previsti dal medesimo articolo 6.

Qualche osservazione sulla procedura che coinvolge il Ministero.

Si è parlato di una sorta di “controllo pubblico sull’adeguatezza” del modello (17) o di “approvazione” del modello stesso (18).

Nell’ipotesi di coinvolgimento di un ente nel procedimento penale, il magistrato dovrà valutare:

<![if !supportLists]>a)                  <![endif]>se il Modello esiste;

<![if !supportLists]>b)                 <![endif]>se è adeguato “sulla carta”;

<![if !supportLists]>c)                  <![endif]>se è effettivamente attuato dall’ente.

Nel giudizio di adeguatezza rientra la valutazione della conformità del Modello alle linee guida di categoria.

In questa operazione le linee guida possono essere oggetto di esame giurisdizionale.

Tuttavia la questione va considerata in termini ragionevoli: posto che si tratta di documenti che enunciano linee di condotta, ben difficilmente se ne potrà affermare l’inadeguatezza in astratto.

Si tratta di indicazioni rispondenti alla best practice in materia: il nodo cruciale è, piuttosto, se il singolo modello abbia specificato le indicazioni generali in relazione alla peculiare realtà aziendale e, in secondo luogo e soprattutto, se il singolo modello sia stato effettivamente attuato.

In definitiva: l’efficacia che spiegano le linee guida dopo l’”approvazione ministeriale” non è affatto quella esimente di cui all’art 6.

Ancora, e con riferimento all’argomento in esame: il sindacato del giudice sulla conformità del modello alle linee-guida: in teoria il modello potrebbe essere ritenuto inidoneo, già sulla carta, in quanto, ad esempio, non rispetti il contenuto minimo delle linee-guida di riferimento.

Ecco perché il prossimo passo delle società che adottano un Modello potrebbe essere quello di ottenere la certificazione di conformità del proprio modello alle linee-guida generali, specie se queste hanno ottenuto il placet ministeriale.

In questo modo si offrirebbe alla valutazione del magistrato una documentazione dalla quale possa evincersi l’adeguatezza – sempre in linea teorica, s’intende – “a cascata”, dal modello generale a quello della singola società.

Last but not least: il sindacato del magistrato sul singolo modello organizzativo.

E’ opinione comune che se il singolo modello si sia conformato a linee-guida che hanno avuto, in ipotesi, il placet ministeriale, lo stesso può essere ritenuto adeguato fino a prova contraria: quindi si afferma un’incidenza sul piano probatorio della procedura in questione (di fatto piuttosto flebile, in relazione alla prova diabolica richiesta per l’esimente).

In generale si può dire, comunque, che un modello può rivelarsi astrattamente idoneo anche se non si rifà ad alcun codice di comportamento o se, in ipotesi, si pone addirittura in contrasto con le linee-guida di riferimento (ad esempio perché, in modo motivato, ritiene con sufficienti le prescrizioni minime: difformità in melius).

Secondo autorevole dottrina (19), da un lato l’adeguamento alle linee-guida di categoria avrà un diverso peso sull’accertamento giudiziale; dall’altro non va sottovalutato il rischio di standardizzazione routinaria, e quindi sostanzialmente elusiva, di questo modus procedendi.

Va rilevato che le principali linee guida fino ad oggi emanate non sono costruite sulla falsariga della normativa ISO.

Tuttavia ci sono alcuni esempi che muovono in questa direzione.

Va ricordato che deve trattarsi di normative/disciplinari ecc. provenienti da associazioni “rappresentative di categoria” (che abbiano giustificato tale rappresentatività al Ministero in sede di procedura di controllo).

Si ribadisce che l’azienda che ottenga la certificazione di conformità del proprio modello ad un codice di riferimento (approvato dal Ministero), potrà, verosimilmente, ottenere una valutazione positiva del giudice penale sull’adeguatezza in astratto – vale a dire “sulla carta” – del modello.

Ciò non implica affatto l’efficacia esimente ex art 6, la quale dipende, in definitiva, dall’effettiva attuazione del modello.

 

5. Il Disciplinare “API 231”

Si tratta di un “Disciplinare per la realizzazione di Sistemi di Gestione per prevenire i reati cui consegue la Responsabilità Amministrativa degli enti collettivi (SGRA)”, emesso il 7 ottobre 2002 (20).

L’elaborato specifica i requisiti di un sistema di organizzazione, gestione e controllo aziendale idoneo a preservare gli enti collettivi dalla responsabilità amministrativa conseguente a reato, con riferimento alle norme UNI EN ISO 9000:2000; UNI EN ISO 9001:2000; UNI EN ISO 14001:1996.

I requisiti del disciplinare sono di carattere generale e predisposti per essere applicati a tutte le organizzazioni destinatarie della responsabilità amministrativa conseguente a reato; non si applica a tutte quelle organizzazioni prive di una struttura organizzativa e gestionale sufficientemente articolata, ovverosia nelle quali non sia possibile distinguere i soggetti esercenti le attività decisionali, finanziarie e di rappresentanza dall'organizzazione stessa.

La conformità del modello al disciplinare può essere certificata dal R.I.N.A. (Registro Navale Italiano) che ha predisposto un apposito documento (21).

Lo schema si applica a tutte le organizzazioni soggette al D.Lgs 231/2001 e successive modifiche.

Qualora fossero pubblicate nuove revisioni del summenzionato disciplinare il R.I.N.A. lo comunicherà alle Organizzazioni Certificate ed in corso di certificazione ed esse saranno immediatamente applicabili e dovranno essere recepite dalle Organizzazioni stesse entro la successiva visita pianificata; nel caso la stessa venisse a cadere in una data particolarmente ravvicinata sarà possibile da parte del R.I.N.A., su istanza motivata dell’Organizzazione, concedere una proroga non superiore a tre mesi della visita ispettiva.

Nel caso di estensione dell’applicabilità del summenzionato disciplinare ad altri reati, conseguente ad una integrazione del D.Lg. 231/2001 (anche in ordine a quanto previsto dalla L. 300/2000), il R.I.N.A. provvederà a comunicare alle organizzazioni certificate e certificande le modalità ed i tempi di applicazione della stessa.

Nell’ambito dell’applicazione dello Schema particolare di certificazione, il R.I.N.A. non fornisce alle Organizzazioni servizi di consulenza per l’impostazione del sistema di gestione né per la redazione di altri documenti, ad esso relativi.

 

6. Il Disciplinare dell’Associazione Nazionale delle Imprese di Trasporto

Si riferisce alle linee guida elaborate dalla medesima Associazione ai sensi dell’art 6 d.lg. 231.

E’ predisposto secondo lo schema della normativa UNI EN ISO 9001:2000 e tende, nei limiti consentiti dalla diversa materia di cui si tratta, a mantenere la stessa struttura e gli stessi contenuti.

Questa scelta è dettata da un triplice ordine di motivi:

<![if !supportLists]>-         <![endif]>offrire agli enti certificatori un riferimento metodologico collaudato  e consolidato, con precisi standard di riferimento

<![if !supportLists]>-         <![endif]>rendere compatibile l’approccio tra certificazione di qualità e certificazione di aderenza al disciplinare, per tutte le imprese che avessero già intrapreso percorsi certificativi UNI ISO

<![if !supportLists]>-         <![endif]>facilitare l’evoluzione verso modelli che si riferiscano alla normativa UNI ISO per quelle imprese che non avessero ancora intrapreso questa strada

 

7. Il Disciplinare “SGPR03”

Va pure menzionato il Disciplinare in questione (26 settembre 2003), elaborato da PLENUM CONSULTING GROUP, come modello di riferimento per la realizzazione di Sistemi di Gestione per la Prevenzione dei Reati ai sensi del decreto legislativo 231.

Il disciplinare è stato redatto tenendo in considerazione la potenziale integrazione del Sistema di Gestione per la Prevenzione dei Reati con altri sistemi specifici di gestione, come quelli relativi alla Qualità, all’Ambiente, alla Sicurezza e Salute sui luoghi di Lavoro o alla Gestione dei rischi.

In particolare, esso tende a mantenere la struttura e i contenuti della norma UNI EN ISO 9001:2000, permettendo a tutti gli enti che abbiano già intrapreso l’applicazione dei più comuni sistemi di gestione, quali ad esempio la serie ISO 9000 (Qualità), ISO 14000 (Ambiente) e OHSAS 18001 (Sicurezza Salute sui luoghi di Lavoro), di renderne compatibili i sistemi di gestione stessi.

Il disciplinare si propone inoltre di facilitare gli organismi di certificazione, proponendo una metodologia conosciuta a livello internazionale, con precisi standard di riferimento. Infine, l’ente potrà successivamente adottare altri sistemi di gestione in un’ottica di integrazione della gestione delle problematiche relative alla tutela Ambiente, Salute e Sicurezza sui luoghi di Lavoro, anche alla luce di eventuali modifiche normative.

Anche in questo caso la conformità del modello al disciplinare può essere certificata dal R.I.N.A.

 

8. Il sistema di gestione della qualità quale “aiuto operativo” per la redazione e l’attuazione del Modello

Secondo il Codice di comportamento dell’ Associazione Nazionale Costruttori Edili, gli enti dotati di sistema di qualità certificato secondo le norme UNI EN ISO 9000 (Vision 2000) da un organismo di certificazione abilitato, non sono tenuti a redigere ex novo il “sistema di controllo preventivo dei reati articolato in specifici protocolli” (22), soltanto se il sistema certificato comprende tutti i processi organizzativi riferiti alle attività indicate nel documento di individuazione delle attività e dei fattori di rischio.

Se il sistema certificato comprende, invece, solo alcuni dei processi organizzativi interessati o delle attività a rischio, l’ente provvede a redigere i protocolli mancanti ovvero ad integrare il sistema di qualità.

A titolo di esempio, si consideri pure il Modello della SMAT s.p.a. (Società Metropolitana Acque Torino) (23) che al paragrafo 2.4 (La certificazione di qualità) testualmente afferma:

“Il sistema di gestione per la qualità prevede al suo interno le attività di controllo necessarie a verificare la conformità agli standard ISO 9001: 2000 «sistemi di gestione per la qualità». Pertanto il sistema di gestione per la qualità adottato da SMAT S.p.A. costituisce un supporto di rilievo al fine dell’affidabilità del sistema di controllo interno nell’ambito di specifici processi societari.

 

9. Il futuro: un vero standard internazionale in ambito ISO

L’associazione statunitense “Ethics Officer Association” (EOA) ha di recente promosso un’iniziativa volta allo sviluppo di linee-guida standard internazionali per un sistema di gestione dell’etica societaria, attraverso le normative ISO (24).

L’obiettivo di questo futuro standard è quello di rendere maggiormente effettivi i programmi di gestione della condotta negli affari al fine di migliorare i risultati dell’attività: lo standard dovrebbe essere un mezzo, adatto a società di ogni grandezza, di ogni settore di attività e di ogni Stato, per integrare valori etici nelle operazioni. Dovrebbe pure permettere alle società di misurare l’effettività dei loro programmi (25).

L’esistenza di questo standard permetterà alle società di scegliere un metodo per dimostrare all’esterno la conformità ad esso dei propri programmi. Le opzioni allo studio sono almeno tre:

1. L’autocertificazione di conformità allo standard.
2. In sede contrattuale, se una società vuole concludere l’affare con un cliente o un fornitore il riferimento allo standard ISO potrebbe essere inserito nel contratto.
3. Infine, si potrebbe pensare ad una certificazione esterna da parte di un ente indipendente e specializzato. La società potrebbe utilizzare la certificazione nei rapporti commerciali per asseverarsi quale organizzazione etica e responsabile in cui riporre fiducia.

Lo standard dovrà prendere in considerazione le seguenti componenti: coinvolgimento del management; preposizione di soggetto di vertice come ethics/compliance officer; adozione di codici etici e di condotta; formazione sulle policies, sulle procedure, e sulla normativa applicabile; comunicazione completa e diffusa su tutti gli aspetti del programma; adozione di “help lines” aziendali; valutazione del rischio; monitoraggio e auditing; investigazioni in caso di denunciate condotte irregolari; azioni preventive e di reazione; misure disciplinari; regolare reporting al senior management e al CDA; valutazione dell’effettività; diffusione delle best practices; continuo miglioramento.

Per la realizzazione di un simile standard potrebbe rappresentare un valido supporto la recente “Guida 72” dell’ISO, la quale specifica gli elementi comuni ai sistemi di gestione sviluppati in ambito ISO:

<![if !supportLists]>-         <![endif]>policy aziendale (dimostrazione del coinvolgimento dell’Alta direzione e principi di condotta);

<![if !supportLists]>-         <![endif]>pianificazione (identificazione dei bisogni, degli obiettivi; chiarificazione della struttura organizzativa; responsabilità interne);

<![if !supportLists]>-         <![endif]>implementazione (misure di controllo; documentazione, comunicazione, coinvolgimento e formazione del personale);

<![if !supportLists]>-         <![endif]>valutazione dell’efficacia (monitoraggio, gestione delle non conformità, audit)

<![if !supportLists]>-         <![endif]>miglioramento continuo (azioni correttive e preventive)

<![if !supportLists]>-         <![endif]>revisione da parte del management

 

(Maurizio Arena)

 

NOTE

<![if !supportLists]>1.      <![endif]>Associazione Piccole e Medie Imprese di Milano e provincia, aderente a Confai

<![if !supportLists]>2.      <![endif]>Per “processo” si intende l’insieme di attività correlate o interagenti che trasformino elementi in entrata in elementi in uscita; il processo si distingue dalle “procedure”, intese come modo specifico con cui svolgere un’attività.

<![if !supportLists]>3.      <![endif]>L’adozione di un S.G.Q. e quella di un Modello sono facoltative. Si può adottare il primo anche senza voler ottenere la certificazione; le componenti etiche del secondo rispondono ad un’esigenza più ampia rispetto a quella di evitare l’irrogazione delle sanzioni, mirando ad “imporre” elevati standard di deontologia aziendale.

<![if !supportLists]>4.      <![endif]>Per il monitoraggio delle procedure esistono regole operative standard per il S.G.Q., mentre per i Modelli sarà l’organismo di vigilanza ad autorganizzarsi (anche se si può usufruire della consolidata esperienza internazionale sull’internal auditing).

<![if !supportLists]>5.      <![endif]>I c.d. limiti intrinseci del sistema di controllo interno sono evidenziati dal noto CO.S.O. Report, 1992, che, tra le cause, menziona in particolare “le deroghe del management” (intese come condotte che non rispettano le politiche e le normative di controllo per scopi illeciti, per trarne vantaggio o dissimulare la non conformità agli obblighi di legge) e “la collusione tra due o più persone” (per commettere o occultare un atto soggetto a controllo). Il sistema di controllo deve allora mirare ai suoi obiettivi in termini di “ragionevole sicurezza” e non di “certezza”.

<![if !supportLists]>6.      <![endif]>Le linee-guida di Federalimentare del 10 luglio 2002, reperibili sul sito www.confindustria.it, correttamente, prendono in considerazione anche la possibilità di trasferire la perdita a terzi (rivalsa nei confronti dei responsabili del reato; fideiussione a garanzia del pagamento di eventuali sanzioni, nei casi di cessioni o acquisizioni di azienda).

<![if !supportLists]>7.      <![endif]>CAPOLUPO, Profili soggettivi della responsabilità amministrativa dell’ente, in Consulenza, 32/2001, p. 40, rileva che l’art. 6 si riferisce a modelli di organizzazione e gestione: ciò significa che il legislatore ha inteso sottolineare il carattere dinamico del modello organizzativo; mentre,  infatti, l’organizzazione è fondamentalmente legata al “come” dello svolgimento dell’attività sotto il profilo dei soggetti, delle modalità, della documentazione e della relativa controllabilità di tali ‘fattori’, la gestione attiene alla fase attuativa e quindi dinamica delle attività.

<![if !supportLists]>8.      <![endif]>Secondo DE NICOLA, Le imprese in manette: test di trasparenza, in Il Sole 24Ore, 12 febbraio 2002, p. 29, il D.lg. vuole salvaguardare l’efficienza del mercato, evitando che attraverso trucchi contabili o tangenti si distorca la concorrenza. Le imprese sono i soggetti meglio in grado di prevenire la commissione di tali delitti e la teoria economica insegna che è efficiente dare la responsabilità a chi è meglio in grado di prevenire danni. Il giudice, insomma, non dovrà pretendere che le imprese istituiscano una specie di direzione antimafia aziendale, con verifiche pervasive e costose. Anche qui un principio di efficienza e ragionevolezza si impone. Il sistema normativo deve, a sua volta, stabilire delle sanzioni per le quali i costi sociali e di sorveglianza siano inferiori ai vantaggi in termini di riduzione del crimine.

<![if !supportLists]>9.      <![endif]>FORTUNATO, in Davies, Il sistema di controllo interno, Milano, 2002, p. 277

<![if !supportLists]>10.  <![endif]>Cfr. la giurisprudenza in materia di rimprovero penale per omesso impedimento dell’evento: si richiedono la “conoscenza o riconoscibilità della situazione di pericolo”, la “conoscenza o riconoscibilità dell’azione doverosa”, la “conoscenza o riconoscibilità dei mezzi necessari al raggiungimento del fine” e, appunto, la “possibilità oggettiva di agire” (Cass., sez I, 16 ottobre 1992, Ferri)

<![if !supportLists]>11.  <![endif]>Linee-guida Confindustria, reperibili sul sito www.confindustria.it 

<![if !supportLists]>12.  <![endif]>Che costituisce uno degli elementi che l’ente deve provare per andare esente da responsabilità

<![if !supportLists]>13.  <![endif]>Secondo la Circolare Assonime, n. 68 del 19 novembre 2002, per “soggetti sottoposti all’altrui direzione e vigilanza”, ex art 5, si intendono solo quelli che possono concretamente commettere un reato rilevante ai sensi del d.lg. 231. Diversamente opinando, la responsabilità sarebbe troppo ampia, potendo determinare il coinvolgimento della società anche la condotta dell’ufficio preposto allo smistamento della posta. Tale interpretazione “restrittiva”, rispetto al tenore testuale dell’art 5 d.lg. n. 231, rileva – con tutta evidenza – anche ai fini del contenuto del modello, il quale potrà appunto non riguardare i soggetti che, in ragione delle mansioni svolte, non possono, di fatto, impegnare l’ente.

<![if !supportLists]>14.  <![endif]>FORTUNATO, op. cit., p. 274, parla di “segnali premonitori”, i quali possono essere così descritti:

<![if !supportLists]>-         <![endif]>di carattere specifico-operazionale, attinente una specifica operazione, come, per esempio, il reclamo di una controparte, una segnalazione interna, un prezzo apparentemente non a condizione di mercato, un’autorizzazione assente od inusuale, la realizzazione di una perdita, ecc.;

<![if !supportLists]>-         <![endif]>di carattere specifico-funzionale, attinente il funzionamento di un’unità organizzativa, come, per esempio, la presenza di saldi contabili non riconciliati o poste sospese, l’eccessiva complessità delle operazioni condotte oppure la presenza di elementi contrastanti sulla loro natura economica, andamento anomalo o contraddittorio di voci contabili, elevato turn over o anomalie di comportamento del personale in una specifica funzione, ecc.;

<![if !supportLists]>-         <![endif]>di carattere generale-strutturale, attinente una unità di business o l’impresa nel suo complesso, come, per esempio, transazioni con parti correlate o con controparti non trasparenti, stile di direzione autocratico, atteggiamento aggressivo nel raggiungimento dei risultati, eccessiva segretezza sulle operazioni od opacità dei termini di scambio delle operazioni condotte, ecc.

<![if !supportLists]>15.  <![endif]>Sul punto è opportuno segnalare la necessità di tutelare la segretezza della documentazione e dell’attività che ha portato all’elaborazione del modello. Il modello deriva dall’esame della storia della società: dalla relativa ricostruzione possono emergere atti e situazioni illecite, utili pro futuro, ma da non rivelare all’esterno.

<![if !supportLists]>16.  <![endif]>Cfr. art 6 comma 3 e D.M. 201/2003

<![if !supportLists]>17.  <![endif]>PELLISSERO - FIDELBO, La nuova responsabilità amministrativa delle persone giuridiche (d.lg. 8 giugno 2001 n. 231), in Legisl. pen., 3/2002, p. 583

<![if !supportLists]>18.  <![endif]>SFAMENI, La responsabilità delle persone giuridiche: fattispecie e disciplina dei modelli di organizzazione, gestione e controllo, in AA.VV., Il nuovo diritto penale delle società, Milano, 2002, p. 102

<![if !supportLists]>19.  <![endif]>PALIERO, Il d.lg. 8 giugno 2001 n. 231: da ora in poi, societas delinquere (et puniri) potest, in Corr. Giur., 7/2001, p. 848

<![if !supportLists]>20.  <![endif]>Reperibile sul sito www.apimilano.it

<![if !supportLists]>21.  <![endif]>Reperibile sul sito www.rina.org

<![if !supportLists]>22.  <![endif]>I protocolli menzionati contengono la descrizione di:

- procedure interne per l’assunzione e l’attuazione delle decisioni di gestione, con l’indicazione delle modalità relative e dei soggetti titolari delle funzioni, competenze e responsabilità;

-  modalità di documentazione, e di conservazione, degli atti delle procedure, in modo da assicurare trasparenza e verificabilità delle stesse;

-  modalità di controllo dei processi della conformità tra le procedure previste e la loro attuazione e documentazione.

Devono sempre essere assicurate la separazione e l’indipendenza gerarchica tra coloro che elaborano la decisione, coloro che la attuano e chi è tenuto a svolgere i controlli.

<![if !supportLists]>23.  <![endif]>www.smatorino.it

<![if !supportLists]>24.  <![endif]>Un simile standard sarebbe idoneo a ricomprendere le misure e le disposizioni organizzative oggi richieste in tema di “corporate social responsibility”: cfr. Essrig, International management system for business conduct, reperibile sul sito dell’EOA (www.eoa.org)

<![if !supportLists]>25.  <![endif]>La tematica in esame è affrontata anche da MUSKIN, Interorganizational ethics: standard of behavior, reperibile sul sito www.oecd.org/daf/nocorruptionweb, il quale propone la realizzazione di standard internazionali in materia di etica societaria, analogamente alla normativa ISO 9000 (qualità) e ISO 14000 (ambiente).