di Marco AVANZI
Il tema dei controlli dell’Organismo di Vigilanza ex D. Lgs. 231 è sicuramente uno degli aspetti dell’intera disciplina in materia di responsabilità amministrativa degli enti più vicino alla pratica e alla realtà aziendale di tutti i giorni. All’interno della norma viene sinteticamente previsto l’obbligo di vigilanza sul funzionamento e sull’osservanza del modello.
È quindi un aspetto da comprendere: quali siano le tipologie e le modalità di controllo per garantire che questi due aspetti siano correttamente vigilati?
Ulteriore quesito: con il concetto “Modello” a che cosa ci si riferisce nella pratica? Ad un insieme di linee guida o a qualcosa di più ampio?
Chiarendo subito quest’ultimo, il “Modello” (MOG) non ha nulla a che vedere con il documento di sintesi redatto da un’azienda al fine di aggregare la principali informazioni sulle misure in essere in un’organizzazione per prevenire reati.
Utilizzando l’elenco di caratteristiche che deve avere il MOG indicate dal D. lgs 231 il concetto di “Modello” va inteso come un insieme continuo e sistematico di attività di analisi, valutazione e gestione dei rischi presenti all’interno di un’ente, strumentali a creare un’organizzazione di mezzi organizzativi, decisionali e di gestione economica tali da prevenire eventi correlati alla commissione di reati. Dimentichiamoci quindi che sia sufficiente un documento e una serie di procedure per poter sostenere di aver implementato un MOG.
Conseguenze logica di ciò è che il controllo sul MOG deve considerare in modo integrale l’organizzazione nel suo complesso senza limitazioni di sorta.
In relazione al “controllo”, la norma definisce il perimetro di questa attività di controllo prevedendo che l’Ente non risponda se prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e curare il loro aggiornamento è stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo e che non si sia verificata omessa o insufficiente vigilanza da parte dell’organismo.”
Due gli aspetti:
- l’ambito del controllo: il funzionamento e l’osservanza del MOG;
- la qualità del controllo: che non vi sia omessa o insufficiente vigilanza.
Questi aspetti sicuramente chiari nella norma, non vedono un seguito quando si passa a ragionare di quali siano le tipologie e metodologie di controllo nella pratica.
Questi due ultimi profili meritano una riflessione in quanto la prova dell’efficienza del modello verrà ricercata, principalmente, nelle tipologie di controlli e nelle attività svolte per la verifica del rispetto e dell’efficienza/efficacia dei controlli. Le attività di controllo sul MOG appoggiano quindi sui concetti di:
a. “competenze”: il MOG prevedendo rischi tra loro diversi per modalità di manifestazione e valutazione, per essere efficacemente controllato necessita di competenze tecniche varie e adeguate ai singoli ambiti cui i reati presupposto si riferiscono;
b. “metodologie”: trattando di rischi diversi tra loro, l’OdV dovrà considerare approcci e tecniche ad hoc evitando di limitarsi ad un mero controllo formale delle attività poste in essere.
Emerge in primo luogo il tema delle competenze dell’OdV.
L’efficacia del modello organizzativo e lo svolgimento effettivo della vigilanza sono due temi più e più volte sottolineati dai tribunali, anche recentemente in relazione ad un noto fatto di cronaca relativo ad un disastro ferroviario, dove si evidenzia come l’assenza di rilievi, raccomandazioni e sanzioni da parte degli OdV siano elementi volti ad avvalorare la tesi della mancata attuazione efficace del MOG. In generale è chiaro il riferimento a specifiche competenze tecniche che devono avere i membri dell’OdV; basti pensare ai rischi sottesi ad un MOG e alla necessità, durante la fase dei controlli, di saper preliminarmente identificare potenziali criticità in materia di salute e sicurezza sul lavoro, ambiente e rifiuti, reati tributari, reati societari, rischi derivanti da utilizzi illeciti del sistema economico per finalità di riciclaggio di denaro, corporate governance, crimini informatici e via dicendo. Con ciò non si intende dire che l’OdV per dimensione e conoscenze debba coprire in modo esaustivo e completo tutte le materie che possono rilevare ai fini della valutazione dei rischi aziendali ma si vuole sottolineare come tra i soggetti componenti debba esservi, quantomeno, quell’ampio spettro di know how ed esperienza che permetta di programmare ed eseguire un assetto di controlli che consideri le specificità dei singoli rischi.
In seconda battuta emergono i controlli (e relative metodologie) su “funzionamento” ed “osservanza” del MOG. Con “funzionamento” possono essere ricompresi i temi relativi alla metodologia di costruzione del modello e la cura al necessario aggiornamento e alla operatività ordinaria del MOG in funzione della reale organizzazione societaria.
In relazione alla “metodologia” questa dovrà essere considerata al fine di verificare se il modello rispecchi esattamente la realtà aziendale dovendo scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale.
Utilizzando la struttura logica di alcune pronunce in tema di controlli, questi dovranno essere diretti a verificare in primo luogo:
- l’aspetto strutturale e contenutistico: ossia se il MOG sia l’esito di una corretta analisi del rischio;
- l’aspetto di dettaglio delle misure: ossia una volta mappati i processi e i rischi se le misure presenti siano effettivamente focalizzate sui rischi ritenuti rilevanti;
- l’aspetto di efficienza: in termini di concreto funzionamento ed integrazione delle misure adottate con il sistema dei controlli interni presente in azienda.
A supporto di queste tipologie di controlli possono essere d’aiuto:
- le tecniche e linee guida in materia di Risk Management – ISO 31000;
- le indicazioni di cui al COSO Report;
- le norme tecniche in materia di Compliance System – ISO 19600.
La conoscenza e la presenza di modelli di gestione di rischi specifici permette una serie di controlli di adeguatezza per il tramite di controlli informativi incrociati.
Molto utile al fine di verificare lo stato dell’aggiornamento dell’assessment è per esempio l’incrocio delle valutazioni di analisi e di valutazione del rischio svolte su specifici temi (H&S, Health & Safety – GDPR – HACCP, Hazard Analysis and Critical Control Points). Da questi documenti emergono molto spesso in modo molto dettagliato caratteristiche di processo ed evidenza di rischi che potrebbero non essere stati considerati all’interno dell’assessment 231. Ecco che una visione comparata e aggregata delle valutazioni di risk management fatte all’interno dell’azienda può rilevare al fine di mantenere quell’aggiornamento del MOG acquisendo informazioni da attività valutative di settore.
Ciò è assolutamente utile anche per comprendere l’efficienza e la qualità di flussi di comunicazione. Dato che le principali norme risk based operano su logiche, non identiche, ma similari, partendo da un’analisi e successiva valutazione del rischio per pianificare attività di mitigation, i flussi informativi che vengono a crearsi all’interno di questi processi permettono una visione in termini di efficienza dei flussi di comunicazione anche verso l’OdV. Efficace può essere una periodica valutazione comparata dei report e relazioni rilasciate dalle strutture interne incaricate di monitorare singole risk lines, come ad esempio:
- relazioni di corporate governance e verifiche del Collegio Sindacale e dei Revisori dei conti;
- rischi informatici e in materia di Data Protection;
- report e sopralluoghi del servizio di prevenzione in materia di salute e sicurezza sul lavoro e di monitoraggio HACCP;
- relazioni dell’internal audit.
L’analisi delle singole informazioni veicolate in queste modalità, coordinate e interpretate in modo ampio e trasversale, permette all’OdV di avere un’ampia visione dei flussi di comunicazione, (anche verso se stesso) e delle possibili evidenze di rischio (con impatto 231) che non sono state considerate o che necessitano di impulso di controllo più approfondito.
Queste attività di comprensione dell’organizzazione e di analisi tecnica delle risultanze di controlli svolti da specifici settori aziendali permette di affrontare il successivo step:
- quello del rispetto/osservanza del MOG e della ponderazione delle deviazioni per decidere in merito ad eventuali controlli ad hoc o al richiamo ad un aggiornamento del MOG stesso.
La conoscenza metodologica e la mole informativa sopra descritta che porta l’OdV ad eseguire un giudizio di corrispondenza tra la realtà organizzativa e la realtà analitica frutto dell‘assessment svolto dall’organizzazione, permette di comprendere ove le deviazioni rilevate, o supposte, siano meritevoli di approfondimento. E come conseguenza di quella prima fase è possibile quindi definire quei processi/rischi che sebbene monitorati da strutture interne non abbiano considerato determinati aspetti o non conformità che sebbene valutati di scarsa rilevanza settoriale possono avere conseguenze in termini 231 ove correlati.
Per identificare quali controlli svolgere e con quali modalità eseguirli anche qui vengono in evidenza specifici aspetti che l’OdV dovrà considerare, ad esempio i report di audit già svolti al fine di poter comprendere eventuali aspetti non considerati durante attività di controllo e analisi.
I controlli di processo che si svolgeranno dovranno avere caratteristiche di periodicità, continuità e pianificazione. La programmazione preliminare dei controlli dovrà considerare, sulla base delle informazioni sopra acquisite:
- quali processi e rischi sono oggetto di maggiori e minori controlli onde evitare il rischio di avere processi eccessivamente monitorati e processi totalmente privi di controllo;
- quali processi e rischi sono potenzialmente più impattati da cambi aziendali, nuove iniziative o progetti industriali.
Da non dimenticare è la conoscenza da parte dell’OdV dello scenario esterno. La conoscenza completa dell’organizzazione interna non è sufficiente, in termini di efficienza dei controlli, per poter implementare un assetto organizzato ed efficace delle verifiche. Andrà sempre considerato lo scenario esterno e il mercato di riferimento in quanto fonte di informazioni sui possibili rischi futuri o sui rischi non ancora considerati all’interno dell’azienda.
In conclusione i controlli di funzionamento ed osservanza del MOG non possono basarsi unicamente su una lettura “documentale” dei fatti aziendali. Se così fosse verrebbe meno il ruolo preventivo tipico di un MOG. La funzione dell’OdV si connota invece per la sua funzione duplice tra l’assurance continuativa di un modello di gestione del rischio aziendale, e un controllo concreto di aree identificabili come maggiormente vulnerabili o di fatti specifici potenzialmente integranti violazioni di norme.
Intervento del Dott. Marco AVANZI, Compliance & Data Protection Manager, OdV Member ℅ ALDI S.r.l.