La costruzione e la disciplina dell’ODV

 

Struttura e composizione

Il d.lg. n. 231 non fornisce indicazioni circa la composizione dell’Organismo di vigilanza, il che  consente di optare – in astratto – sia per una composizione monosoggettiva che per una plurisoggettiva.

Ovviamente  la scelta tra l’una o l’altra soluzione deve tenere conto delle finalità perseguite dal decreto: deve trattarsi di un organismo che  assicuri l’effettività dei controlli in relazione alla dimensione ed alla complessità organizzativa dell’ente.

Le Associazioni di categoria ABI (Associazione bancaria italiana),  ASSTRA  (Associazione delle imprese di trasporto) e ASSIFACT (Associazione delle imprese di factoring) ritengono consigliabile la composizione collegiale; ASSOGESTIONI (Associazione delle società di gestione del risparmio) prevede un organo collegiale.

Afferma l’opportunità della forma collegiale per gli enti medio-grandi il Giudice per le indagini preliminari del Tribunale Roma, nell’ordinanza del 4 aprile 2003.

Per quanto riguarda il Comitato per il controllo interno, le società che ne siano dotate possono conferire a tale organo il ruolo di Organismo di vigilanza. Il Comitato, infatti, presenta una serie di caratteristiche che lo rendono idoneo a svolgere i compiti che il d.lg n. 231 attribuisce all’Odv.

In primo luogo, il Comitato per il controllo interno è dotato di autonomia ed indipendenza, in quanto deve essere composto, secondo le indicazioni del Codice di autodisciplina per le società quotate, da amministratori non esecutivi, la maggioranza dei quali indipendenti.

Inoltre, il Comitato per il controllo interno svolge un ruolo assimilabile a quello richiesto all’Odv. Il Comitato, infatti, presiede al sistema di controlli interni dell’impresa, assistendo il Consiglio di Amministrazione nella fissazione delle linee di indirizzo e nella verifica periodica della loro adeguatezza e del loro effettivo funzionamento, assicurandosi che i principali rischi aziendali siano identificati e gestiti in modo adeguato; valutando il piano di lavoro preparato dai preposti al controllo interno e ricevendo le relazioni periodiche degli stessi.

Il Comitato valuta, unitamente ai responsabili amministrativi della società ed ai revisori, l’adeguatezza dei principi contabili utilizzati e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato; valuta le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella lettera di suggerimenti; riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione del bilancio e della relazione semestrale, sull’attività svolta e sulla adeguatezza del sistema di controllo interno; svolge gli ulteriori compiti che gli vengono attribuiti dal consiglio di amministrazione, particolarmente in relazione ai rapporti con la società di revisione.

Nelle realtà aziendali che decidano di attribuire il ruolo di organismo di vigilanza al Comitato per il controllo interno, quest’ultimo potrà avvalersi anche dell’Internal Auditing per lo svolgimento delle attività di vigilanza.

Le società che ne siano provviste potranno, in alternativa, decidere di attribuire il ruolo di organismo di vigilanza alla funzione di Internal Auditing. Questa funzione è richiamata dal D. Lg. n. 58/1998 (TUF) che, all’art. 150, prevede la figura di “colui che è preposto ai controlli interni”; dalle istruzioni di vigilanza per le banche della Banca d’Italia, pubblicate sulla G.U. n. 245 del 20 ottobre 1998; dai regolamenti emessi nei confronti degli intermediari autorizzati delle società di gestione del risparmio e delle SICAV dalla Banca d’Italia e dalla Consob, che obbligano questi soggetti all’istituzione di “un’apposita funzione di Controllo Interno”, da assegnare ”ad apposito responsabile svincolato da rapporti gerarchici rispetto ai responsabili dei settori di attività sottoposti al controllo”.

Peraltro, avuto riguardo a quella parte di attività di tipo ispettivo che la vigilanza sul Modello comporta, deve essere stabilito anche un canale di comunicazione verso il Consiglio di Amministrazione o il Comitato per il controllo interno, ove esistente.

In definitiva a questa funzione già oggi viene attribuito - oltre al compito di effettuare indagini di carattere ispettivo - anche quello di verificare l’esistenza ed il buon funzionamento dei controlli atti ad evitare il rischio di infrazioni alle leggi in generale, tra cui, ad esempio, quelle sulla sicurezza, sulla protezione dell’ambiente ed in materia di privacy.

Queste considerazioni consentono di comprendere come la funzione di Internal Auditing - se ben posizionata e dotata di risorse adeguate - sia idonea a fungere da Organismo ex d.lg. n. 231. Peraltro, nei casi in cui si richiedano a questa funzione attività che necessitano di specializzazioni non presenti al suo interno, è consigliabile che essa si avvalga di consulenti esterni ai quali delegare circoscritti ambiti di indagine.

Sussiste, inoltre, un ulteriore motivo a favore dell’attribuzione all’Internal Auditing del compito di compliance. L’attività di controllo infatti non deve essere solo prevista secondo modalità formali, ma essere anche efficacemente attuata.

È evidente che svolgere un’attività di controllo in linea con un corpus normativo e metodologico consolidato e riconosciuto internazionalmente, quale è il framework dell’Institute of Internal Auditors, costituisce un oggettivo elemento di valutazione sull’efficacia attuativa del controllo.

Da ricordare, inoltre, che gli Standard per la Pratica Professionale dell’Internal Auditing prevedono periodiche verifiche di terze parti, mirate proprio a certificare l’aderenza operativa della funzione agli standard stessi.

Secondo l’ABI, nell'ipotesi in cui la banca decida di non creare una funzione ad hoc ed identificare l'organismo di controllo con l’internal auditing, come sopra riferito, detta funzione dovrebbe essere integrata nei poteri ed eventualmente nella composizione.

Quanto alla composizione ed ai relativi requisiti dei soggetti cui è affidata detta funzione, deve essere garantito che:

 

i)” l'internal audit non dipende, anche per tale specifica funzione, da alcun responsabile di aree operative;

ii) che deve essere dotato di personale qualitativamente e quantitativamente adeguato ai compiti da svolgere;

iii) che, ove la complessità operativa non consenta a detta funzione di svolgere adeguatamente le proprie funzioni, essa sia integrata con soggetti terzi (anche esterni alla banca stessa)”.

(Linee guida ABI, febbraio 2004, www.abi.it)

 

Infine, un’ulteriore alternativa per le imprese è rappresentata dalla istituzione di un organismo di vigilanza ad hoc, a composizione monosoggettiva o plurisoggettiva.

In entrambi i casi, fatta sempre salva la necessità che la funzione di vigilianza sia demandata ad un organo dell’ente, nulla osta a che detto organo possa avvalersi delle specifiche professionalità di consulenti esterni per l’esecuzione delle operazioni tecniche necessarie per lo svolgimento della funzione di controllo. I consulenti, tuttavia, dovranno sempre riferire i risultati del loro operato all’organismo di vigilanza.

Nel settore del risparmio gestito, ASSOGESTIONI ha optato per un organo collegiale – denominato “Giurì etico” –, nominato dall’assemblea dei soci, su proposta dell’organo dirigente, i cui membri devono possedere requisiti di onorabilità almeno pari a quelli previsti per gli esponenti aziendali delle SGR, ai sensi del D.M. Tesoro n. 468/1998.

L’ASSTRA ha precisato che nelle grandi imprese l’ODV (chiamato “Committee”) è collegiale e composto da un membro del CDA, da un sindaco, dal responsabile della funzione di internal auditing e dal  responsabile affari legali; il Presidente viene nominato tra soggetti esterni e deve essere dotato di specifica competenza.

Il Committe è supportato da un ufficio ad hoc (che potrebbe coincidere con l’I.A.), anche esterno all’ente e si dota di un proprio regolamento, che, ad esempio, dovrebbe vietare al membro sottoposto ad indagine di partecipare alle sedute del Committee stesso.

La tripartizione sopra riportata – comitato per il controllo interno/internal auditing/organismo ad hoc - è sostanzialmente condivisa da ABI, ASSONIME (Associazione delle società per azioni), ANIA (Associazione delle imprese assicurative), ASSIFACT, CONFSERVIZI (Confederazione Nazionale dei Servizi), ASSOSIM (Associazione delle società di intermediazione mobiliare).

 

Nomina dell’ODV

La soluzione organizzativa quasi unanimemente scelta è quella che prevede la nomina dell’ODV da parte dell’organo amministrativo.

Tuttavia il coinvolgimento dell’assemblea dei soci è da ritenersi opportuna.

Anche senza optare per la soluzione (astrattamente ottimale) della nomina dell’ODV – su proposta degli amministratori – da parte dell’assemblea, quantomeno è consigliabile tenere l’assemblea costantemente informata sull’adozione e sull’attuazione del Modello (in questo senso le linee guida ABI e ASSIFACT).

 

Risorse umane e finanziarie assegnate all’ODV

La dotazione in termini di personale dell’ufficio dell’ODV è essenziale per l’effettività del controllo.

La linee guida ASSTRA prevedono espressamente un ufficio di supporto all’ODV.

Oltre alle risorse umane, le linee guida si soffermano sulla necessità di un’adeguata dotazione finanziaria dell’organo di controllo (ASSTRA, CONFINDUSTRIA, ABI).

 

Requisiti soggettivi dell’ODV

Appare opportuno riportare nuovamente i passi salienti dell’ordinanza del G.I.P. del Tribunale di Milano, del 9 novembre 2004:

 

“In punto di autonomia dell’organo di vigilanza il modello si limita a rinviare ai “curricula dei singoli componenti dell’organo”. Il modello non prevede che, necessariamente, i componenti dell’organo di vigilanza debbano possedere capacità specifiche in tema di attività ispettiva e consulenziale. Ci si riferisce al campionamento statistico; alle tecniche di analisi e valutazione dei rischi; alle tecniche di intervista e di elaborazione di questionari, alle metodologie per l’individuazione delle frodi.”

(Trib. Milano, 9.11.2004)

 

Nel testo del Modello devono essere specificati i requisiti di nomina (ad esempio: assenza di conflitti di interesse, assenza di parentela con il vertice, assenza di mansioni operative ecc.), di revoca/sostituzione (che può essere effettuata solo dal CDA, per motivi prestabiliti), di decadenza, di durata in carica e rinnovo dell’ODV.

Sempre secondo il Tribunale di Milano

 

“Se l’organo di vigilanza deve, pur se organo interno alla società, essere indipendente ed in grado di controllare non solo i dipendenti, ma anche i direttori e gli amministratori dell’ente, appare veramente eccessivo pretendere, perché operi la causa di ineleggibilità, che nei confronti del soggetto che si vorrebbe nominare sia stata emessa una sentenza di condanna e che la sentenza sia diventata irrevocabile: potrebbe cioè nominarsi quale membro dell’organo di vigilanza un soggetto condannato – seppure con sentenza non irrevocabile - per corruzione, per truffa aggravata ai danni di ente pubblico, per frode fiscale ovvero un soggetto nei confronti del quale sia stata emessa sentenza di patteggiamento divenuta irrevocabile ad esempio per gravi fatti corruttivi.”

(Trib. Milano, 9.11.2004)

 

E’ opportuno, infine, escludere qualsiasi possibilità di remunerazione variabile, cioè collegata ai risultati dell’impresa: in caso contrario, in linea teorica, il controllo potrebbe essere meno rigoroso. In particolare va esclusa la retribuzione dell’ODV con stock options.

 

L’esercizio delle funzioni dell’ODV

E’ fortemente raccomandabile l’adozione di un regolamento dell’ODV, da esso stesso redatto e formalizzato dal CDA (ASSIFACT, ASSTRA, CONFINDUSTRIA, ABI).

Tale regolamento andrebbe allegato al Modello.

Nel regolamento sarebbe opportuno stabilire che tutte le informazioni/segnalazioni provenienti dal personale devono essere debitamente conservate (per un periodo di tempo predefinito): al database cartaceo o informatico ha accesso solo l’ODV (altri soggetti solo con la sua autorizzazione).

Le informazioni/segnalazioni vanno comunque trattate nel rispetto della legge sulla tutela della privacy, con le prescritte misure di sicurezza.

Andrebbe specificato che l’obbligo di trasmettere informazioni rilevanti è sanzionato: si tratta peraltro di una specifica “richiesta” contenuta nell’ordinanza del Tribunale di Milano.

Andrebbe sancito espressamente che all’ODV debbono essere comunicate le deleghe aziendali e tutte le relative modifiche.

 

La segnalazione di violazioni

Il modello organizzativo dovrebbe comprendere:

- la garanzia assoluta di riservatezza relativamente al personale che decida di inoltrare le proprie segnalazioni;

  - un canale dedicato che consenta la possibilità di inoltrare le segnalazioni al di fuori della c.d. linea gerarchica;

  - sanzioni nei confronti di chi effettui segnalazioni calunniose.

Occorre insomma essere preparati a gestire i c.d. rumors interni, realizzando quel sistema di reporting di fatti e comportamenti critici all’Organismo preposto alla vigilanza sul Modello.

Dovrebbe inoltre essere esplicitato l’impegno specifico ad assicurare che chiunque effettuerà segnalazioni non subirà ripercussioni negative sulla propria posizione lavorativa. Si dovrebbe poi assicurare che tutte le segnalazioni verranno esaminate attentamente ed in modo esauriente e che ad esse faranno seguito azioni opportune.

Qualora si decidesse di non procedere ad una indagine, dovranno esserne riferiti e documentati i motivi.

E’ consigliabile chiarire le modalità di inoltro della segnalazione ai competenti organi societari nell’ipotesi in cui l’oggetto della segnalazione sia l’ODV stesso.

Va aggiunto espressamente che l’ODV – e i componenti del suo ufficio - si obbligano a non rivelare all’esterno alcuna informazione che abbiano appreso nell’esercizio delle proprie funzioni (Assifact).

I Modelli esaminati dal Tribunale Milano, nella più volte citata ordinanza erano lacunosi sotto questi profili:

 

“Non è previsto e disciplinato un obbligo per i dipendenti, i direttori, gli amministratori della società di riferire all’organismo di vigilanza notizie rilevanti e relative alla vita dell’ente, a violazioni del modello o alla consumazione di reati.

Non viene fornita alcuna concreta indicazione sulle modalità attraverso le quali coloro che vengano a conoscenza di comportamenti illeciti possano riferire all’organo di vigilanza: i “canali di informazione” cui si riferisce il modello organizzativo per la loro grande rilevanza dovrebbero, invece, essere resi noti – anche tramite la diffusione del modello stesso - ai dipendenti delle società.”

(Trib. Milano, 9.11.2004)

 

Secondo il Tribunale di Milano, il Modello deve prevedere sistematiche procedure di ricerca ed identificazione dei rischi quando sussistano circostanze particolari (es. emersione di precedenti violazioni, elevato turn-over del personale) e controlli, anche a sorpresa, oltre che periodici nei confronti delle attività aziendali sensibili.

 

La formazione del personale

Anche in ordine alla formazione - il cui compito è quello di assicurare una adeguata conoscenza, comprensione ed applicazione del modello da parte dei dipendenti e dei dirigenti - è consigliabile seguire le indicazioni del Tribunale Milano:

 

 “Il Modello deve differenziare tra formazione rivolta ai dipendenti nella loro generalità, ai dipendenti che operino in specifiche aree di rischio, all’organo di vigilanza ed ai preposti al controllo interno”. (…)

“Il Modello deve prevedere il contenuto dei corsi di formazione, la loro frequenza, l’obbligatorietà della partecipazione ai corsi, controlli di frequenza e di qualità sul contenuto dei programmi”.

(Trib. Milano, 9.11. 2004)

 

Numerosi Modelli aziendali prevedono la realizzazione di uno spazio dedicato al d.lg. n. 231 nell’intranet aziendale; il sistema potrebbe prevedere, anche o in alternativa, una newsletter periodica.

 

La modifica del Modello

Secondo il G.I.P. del Tribunale di Roma (ordinanza 4 aprile 2004), sarebbe opportuno inserire una previsione in deroga all’art 2388 c.c., che preveda una maggioranza qualificata (“particolarmente significativa”) del consiglio di amministrazione in caso di modifiche del Modello, così da garantire la stabilità e l’effettività del Modello stesso.

 

La procedura sanzionatoria

Per quanto concerne il sistema disciplinare il Tribunale di Milano ha ritenuto carenti i Modelli esaminati in quanto

 

“non è espressamente prevista la comminazione di sanzione disciplinare nei confronti degli amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia – non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei casi più gravi, perpetrazione di reati.”

(Trib. Milano, 9.11.2004)

 

Ad avviso di chi scrive, se, in casi eccezionali, l’intero consiglio di amministrazione fosse coinvolto e l’intero collegio sindacale fosse compromesso, dovrebbe prevedersi la denuncia all’Autorità Giudiziaria (misura peraltro raccomandata dall’OCSE, nelle Guidelines per le multinazionali e nei Principles of corporate governance).

Come si è detto, secondo il Tribunale di Milano, la sentenza di condanna (o di patteggiamento), anche non irrevocabile, per taluno dei reati previsti dal d.lg. n.231 deve costituire causa di ineleggibilità e di decadenza.

Alcuni Modelli prevedono, per soddisfare questa esigenza, la sospensione prima del giudicato; lo stesso dicasi per le linee guida Assogestioni.

 

(Maurizio Arena)