Sistema di controllo interno e prevenzione dell'illecito dell'ente (IV)

  • Stampa
Dettagli
Pubblicato Venerdì, 14 Gennaio 2005 00:00
Scritto da admin

..

PARTE QUARTA
L'organismo di vigilanza 

Come si è visto, l'art. 6 del D. Lgs. n. 231/2001 prevede che l'ente possa essere esonerato dalla responsabilità conseguente alla commissione dei reati indicati se l'organo dirigente ha, fra l'altro:

a)      adottato modelli di organizzazione, gestione e controllo idonei a prevenire i reati considerati;

b)      affidato il compito di vigilare sul funzionamento e l'osservanza del modello e di curarne l'aggiornamento ad un organismo dell'ente dotato di autonomi poteri di iniziativa e controllo.

Nel dettaglio, le attività che l'Organismo è chiamato ad assolvere, anche sulla base delle indicazioni contenute gli artt. 6 e 7 del D. Lgs. n. 231/2001, possono così schematizzarsi:

·        vigilanza sull'effettività del modello, che si sostanzia nella verifica della coerenza tra i comportamenti concreti ed il modello istituito;

·        disamina in merito all'adeguatezza del modello, ossia della sua reale (e non meramente formale) capacità di prevenire, in linea di massima, i comportamenti non voluti;

·        analisi circa il mantenimento nel tempo dei requisiti di solidità e funzionalità del modello;

·        cura del necessario aggiornamento in senso dinamico del modello, nell'ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti.

Quest'ultimo adempimento, di norma, si realizza in due momenti distinti ed integrati:

-          presentazione di proposte di adeguamento del modello verso gli organi/funzioni aziendali in grado di dare loro concreta attuazione nel tessuto aziendale. A seconda della tipologia e della portata degli interventi, le proposte saranno dirette verso le funzioni di Personale ed Organizzazione, Amministrazione, ecc., o, in taluni casi di particolare rilevanza, verso il Consiglio di Amministrazione;

-         verifica dell'attuazione e dell'effettiva funzionalità delle soluzioni proposte.

Le principali caratteristiche dell'Organismo sono:

  • autonomia ed indipendenza: queste qualità si ottengono con l'inserimento dell'Organismo in esame come unità di staff in una posizione gerarchica la più elevata possibile, ad esempio prevedendo il "riporto" al massimo Vertice operativo aziendale - es. il Presidente operativo o l'Amministratore Delegato - ma anche al Comitato per il controllo interno di cui si è detto (se esistente) (26), al Consiglio di Amministrazione nel suo complesso ed al Collegio sindacale. A questa collocazione deve accompagnarsi, inoltre, la non attribuzione di compiti operativi che - rendendolo partecipe di decisioni ed attività operative - ne minerebbero l'obiettività di giudizio nel momento delle verifiche sui comportamenti e sul Modello (27).
  • professionalità: questo connotato si riferisce al bagaglio di strumenti e tecniche che l'Organismo deve possedere per poter svolgere efficacemente l'attività assegnata. Si tratta di tecniche specialistiche proprie di chi svolge attività "ispettiva", ma anche consulenziale.

È evidente il riferimento - a titolo esemplificativo - al campionamento statistico; alle tecniche di analisi e valutazione dei rischi; alle misure per il loro contenimento (procedure autorizzative; meccanismi di contrapposizione di compiti; ecc.); al flow-charting di procedure e processi per l'individuazione dei punti di debolezza; alle tecniche di intervista e di elaborazione di questionari; ad elementi di psicologia; alle metodologie per l'individuazione di frodi; ecc. Si tratta di tecniche che possono essere utilizzate a posteriori, per accertare come si sia potuto verificare un reato delle specie in esame e chi lo abbia commesso (approccio ispettivo); oppure in via preventiva, per adottare - all'atto del disegno del Modello e delle successive modifiche - le misure più idonee a prevenire, con ragionevole certezza, la commissione dei reati medesimi (approccio di tipo consulenziale); o, ancora, correntemente per verificare che i comportamenti quotidiani rispettino effettivamente quelli codificati.

  • continuità di azione: per poter dare la garanzia di efficace e costante attuazione di un modello così articolato e complesso quale é quello delineato, soprattutto nelle aziende di grandi e medie dimensioni si rende necessaria la presenza di una struttura interna dedicata esclusivamente ed a tempo pieno all'attività di vigilanza sul Modello priva, come detto, di mansioni operative che possano portarla ad assumere decisioni con effetti economico-finanziari.

Sotto il profilo della professionalità il collegio sindacale sembra ben attrezzato per adempiere efficacemente al ruolo di vigilanza sul Modello. Per contro, appare più arduo riscontrarvi i caratteri di struttura interna e di continuità di azione che il legislatore ha inteso attribuire all'Organismo. Va, infine, tenuto presente che in molte realtà societarie di minore dimensione quest'organo non è obbligatorio.

Soprattutto negli enti di dimensioni medio-grandi, quotati e non si va infatti sempre più diffondendo l'istituzione della funzione di Internal Auditing (o Revisione Interna) (28).

La funzione in esame viene sempre più spesso collocata, nell'organigramma, alle dirette dipendenze del Vertice esecutivo aziendale (il Presidente esecutivo o l'Amministratore Delegato o figure analoghe) giacché deve operare - come chiarisce il Co.S.o. Report - in supporto ad esso ed a tutto campo sul monitoraggio del Sistema di Controllo Interno che ha, tra i suoi obiettivi, anche quello di assicurare l'efficienza e l'efficacia non solo dei controlli ma anche delle attività operative aziendali (29).

In definitiva a questa funzione già oggi viene attribuito - oltre al compito di effettuare indagini di carattere ispettivo - anche quello di verificare l'esistenza ed il buon funzionamento dei controlli atti ad evitare il rischio di infrazioni alle leggi in generale, tra cui, ad esempio, quelle sulla sicurezza, sulla protezione dell'ambiente ed in materia di privacy.

Queste ulteriori considerazioni consentono di meglio comprendere come la funzione di Internal Auditing - se ben posizionata e dotata di risorse adeguate - sia idonea a fungere da Organismo ex D. Lgs. n. 231/2001 (30).

Tuttavia, si deve considerare che, in molte compagini societarie, anche di dimensioni assai rilevanti, non è attualmente prevista la funzione dell'Internal Auditing.
Si pone, quindi, il problema di far sì che dette società possano adempiere al dettato legislativo, ricorrendo ad altri strumenti, ove non vi siano al proprio interno le professionalità idonee al materiale assolvimento dei compiti previsti nell'art. 6 del D. Lgs. n. 231/2001 (31).
Il modello organizzativo dovrebbe inoltre comprendere:
- la garanzia assoluta di riservatezza relativamente al personale che decida di inoltrare le proprie segnalazioni;
  - un canale che consenta la possibilità di inoltrare le segnalazioni al di fuori della propria linea manageriale;
  - sanzioni nei confronti di chi propali dichiarazioni false o tendenziose;
  - un'indicazione del modo corretto con cui, quando indispensabile, sia possibile inoltrare eventuali segnalazioni anche al di fuori dell'organizzazione (32).
Quanto all'aggiornamento del modello, come pure per la predisposizione iniziale dello stesso, valgono considerazioni differenti. Tale compito, infatti, può essere svolto anche con il concorso della funzione Internal Auditing, nella sua veste consultiva, e con la collaborazione di altre funzioni di staff (affari legali, organizzazione, ecc.). 
La responsabilità dell'approvazione ufficiale del modello, come pure dell'autorizzazione alle sue successive modifiche (quindi dell'aggiornamento), dovrà essere però di competenza del massimo livello decisionale dell'ente, considerata la struttura di governance operante (a seconda dei casi, Amministratore Unico o Consiglio di Amministrazione).

(Maurizio Arena)

NOTE

(26)Invero, l'art. 2409-octiesdecies ("Comitato per il controllo sulla gestione") prevede che "salvo diversa disposizione dello statuto, la determinazione del numero e la nomina dei componenti del comitato per il controllo sulla gestione spetta al consiglio di amministrazione. (...). Il comitato è composto da amministratori in possesso dei requisiti di onorabilità e professionalità stabiliti dallo statuto e dei requisiti di indipendenza di cui all'articolo 2409-septiesdecies, che non siano membri del comitato esecutivo ed ai quali non siano attribuite deleghe o particolari cariche". Tale Comitato potrebbe, in questa prospettiva futura, divenire il referente istituzionale privilegiato per l'organismo interno di controllo, così come già previsto per le società quotate.
(27)Resta, comunque, il dubbio di un'autonomia solo apparente in quanto, seppur in seconda battuta, la supervisione finale sarebbe affidata ai vertici dell'impresa: DE MAGLIE, op. cit., p. 338
(28) Si consideri in particolare il D. Lgs. n. 58/1998 (T.U.I.F.) che, all'art. 150, prevede la figura di "colui che è preposto ai controlli interni"; le istruzioni di vigilanza per le banche della Banca d'Italia, pubblicate sulla G.U. n. 245 del 20 ottobre 1998; i regolamenti emessi nei confronti degli intermediari autorizzati, delle società di gestione del risparmio e delle SICAV da Banca d'Italia e Consob, che obbligano questi soggetti all'istituzione di "un'apposita funzione di Controllo Interno", da assegnare "ad apposito responsabile svincolato da rapporti gerarchici rispetto ai responsabili dei settori di attività sottoposti al controllo".
(29)I contenuti della delega all'organismo interno di vigilanza debbano essere sicuramente deliberati dal Consiglio di Amministrazione, al quale questa funzione deve altrettanto sicuramente riferire.  Questo non implica necessariamente una dipendenza gerarchica diretta fra organo interno e Consiglio di Amministrazione. L'organo può trovare collocazione anche nell'ambito della struttura operativa, alle dipendenze dei soggetti in posizione apicale (Amministratore Delegato o Direttore Generale); ciò che è rilevante è che sia attivo un efficace e sistematico canale di comunicazione fra chi è incaricato di questo compito ed il consiglio di amministrazione nel suo insieme (o, al più, un suo sottocomitato), in modo da garantire un sufficiente grado di indipendenza (Position Paper dell'Associazione Italiana degli Internal Auditors, n. 4, ottobre 2001, reperibile sul sito http://www.aiiaweb.it/).
(30)E' diffusa la tesi che ritiene auspicabile la collocazione della funzione Compliance nell'Internal Auditing. Cfr. Position paper AIIA, cit., in parte qua:
"Come si è avuto modo di notare, la funzione di Compliance può essere considerata vicina, e sufficientemente affine, a quella dell'Internal Auditing. Per quanto sopra espresso si potrebbe anzi sostenere che, proprio in considerazione della missione complessiva dell'Internal Auditing, detta funzione di Compliance sia parte integrante della funzione stessa. L'unità Compliance potrebbe pertanto nascere all'interno dell'Internal Auditing, con qualche eventuale, opportuno, innesto, che ne rafforzi le competenze in materia legale, diventando, così, una articolazione nuova, una sottounità, all'interno di una funzione di Internal Auditing potenziata. ... L'istituzione di una funzione di Internal Auditing, con la previsione di un ufficio specializzato in materia normativa, consentirebbe di razionalizzare i costi organizzativo-gestionali (direzionali, di formazione, etc.), di unificare le metodiche di vigilanza, di favorire un'osmosi professionale reale, con l'inclusione nella funzione Internal Auditing di competenze legali sofisticate. Ciò favorirebbe una revisione più equilibrata dei processi aziendali, con la considerazione di tutte le criticità, incluse quelle giuridico-normative. ... La Legal Compliance si trova, in sostanza, ad essere ricompresa nella più generale attività di Internal Auditing. ... Sussiste, inoltre, un ulteriore motivo a favore dell'attribuzione all'Internal Auditing del compito di compliance. L'attività di controllo infatti non deve essere solo prevista secondo modalità formali, ma essere anche efficacemente attuata. Ma quali criteri potrà seguire un giudice (penale) per stabilire se l'attività di vigilanza è stata condotta efficacemente, e che pertanto l'accadimento della fattispecie di reato si configuri caratterizzato da una probabilità trascurabile?  Richiamando quanto esposto in altra parte del documento, la società deve dimostrare di avere impostato un sistema di controllo robusto ed affidabile, ancorché in grado di fornire "solo" una "ragionevole garanzia" e non garanzie assolute. È evidente che svolgere un'attività di controllo in linea con un corpus normativo e metodologico consolidato e riconosciuto internazionalmente, quale è il framework dell'Institute of Internal Auditors, costituisce un oggettivo elemento di valutazione sull'efficacia attuativa del controllo". 

(31)In talune ipotesi, seguendo l'esperienza statunitense si potrebbe istituire una funzione di Compliance separata. La figura del Compliance Officer  si caratterizza per la conoscenza accurata del settore di riferimento e delle leggi che lo disciplinano, come pure per la specializzazione in materia di controlli interni e modalità di verifica dei medesimi. L'Officer deve riferire in merito all'attività svolta al Vertice Esecutivo e all'Audit Committee.

(32)È buona prassi che il management specifichi formalmente e in modo esauriente i percorsi che il personale può seguire per inoltrare internamente le proprie segnalazioni e che siano introdotte solide procedure che assicurino che le segnalazioni inoltrate vengano pienamente prese in considerazione.