di Francesco Domenico ATTISANO
Lo scorso mese sono state pubblicate le nuove Linee guida 231 di Confindustria. Si aspettavano da tempo, visto che l’ultima revisione/ aggiornamento era avvenuta nel lontano 2014.
In sette anni è cambiato il panorama sanitario-sociale-economico mondiale. In Italia e, in generale in tutti i paesi, il contesto normativo-regolamentare è stato modificato sensibilmente.
Leggendo l’introduzione delle LG 231 è subito chiara la finalità: “offrire alle imprese, che abbiano scelto di adottare un modello di organizzazione e gestione, una serie di indicazioni e misure, essenzialmente tratte dalla pratica aziendale, ritenute in astratto idonee a rispondere alle esigenze delineate dal decreto 231”. Ancora, il documento: “mira a orientare le imprese nella realizzazione dei modelli…”
…“Pertanto, fermo restando il ruolo chiave delle Linee Guida sul piano della idoneità astratta del modello che sia conforme ad esse, il giudizio circa la concreta implementazione ed efficace attuazione del modello stesso nella quotidiana attività dell’impresa è rimesso alla libera valutazione del giudice… Quest’ultimo compie un giudizio sulla conformità e adeguatezza del modello rispetto allo scopo di prevenzione dei reati da esso perseguito”. Sul tema è bene rammentare che nel corso degli ultimi anni il legislatore ha introdotto molteplici fattispecie di reato (attualmente i cd reati presupposto 231 sono circa 150), inducendo le organizzazioni a modificare e aggiornare i propri modelli.
Posto quanto sopra, nella presente pubblicazione, tralasciando le tematiche, più di carattere legale (tra cui la tassatività dell’elenco dei reati presupposto, l’interesse e vantaggio, le sanzioni interdittive) e senza alcuna pretesa di esaustività, si pongono esclusivamente delle riflessioni, passatemi il termine “aziendalistiche”, correlate al sistema e alla struttura del modello, nonché sulle nuove tematiche messe in evidenza dalle Linee Guida di Confindustria.
Si ritiene che un elemento innovativo del paper di Confindustria è l’esplicitazione dell’importanza di una gestione dei rischi integrata, con una compliance a 360° (vedasi paragrafo 3.1 Sistema integrato di gestione dei rischi).
Dall’analisi del documento, invero, emerge chiaramente l’esigenza di un sistema di compliance integrato, che potrebbe consentire la razionalizzazione dei processi e delle attività (in termini di risorse economiche, umane, tecnologiche), l’efficientamento delle attività di compliance, nonché l’ottimizzazione dei flussi informativi e delle relazioni tra i vari attori del controllo e di gestione dei rischi della singola organizzazione (vedasi ad esempio: la funzione Compliance, l’Internal Audit, il Dirigente Preposto, il Responsabile della Privacy, il Responsabile della Sicurezza, il Collegio sindacale, l’Organismo di Vigilanza). Per fare ciò, come riportato nelle linee guida, sarebbe auspicabile l’esecuzione di risk assessment congiunti, e la manutenzione/ review periodica dei programmi di compliance in maniera completa e coordinata. A conferma di un auspicato approccio integrato, il paper prevede anche un nuovo paragrafo, intitolato: “Sistemi di controllo ai fini della compliance fiscale”, dedicato alla possibile interazione tra il Modello 231, chiamato ora a prevedere specifici protocolli per la prevenzione dei reati tributari, e ad altri strumenti di controllo.
Le nuove linee guida di Confindustria, peraltro, quando trattano della metodologia di controllo interno e nell’individuazione dei modelli di risk management, rimandano ai framework COSO Internal Control Framework e al COSO Enterprise Risk Management (del 2004 ma ora anche a quello del 2017, il famoso ERM Integrating with strategy and performance). Quest’ultimo, tuttavia, definisce il rischio come: “la possibilità che si verifichino eventi che incidano sul raggiungimento degli obiettivi strategici e di business”.
A parere di chi scrive, probabilmente, un’occasione persa delle nuove LG 231 è la trattazione degli eventi rischiosi solo nell’accezione “negativa”, come se esistessero solo le minacce. Sul tema bisogna essere chiari, i rischi sono eventi aleatori, sia negativi ma anche positivi…in pratica la parte preponderante ai fini del D.Lgs 231/01 sono indubbiamente le minacce del verificarsi di un illecito, ma esiste anche una quota di positività. In tal senso, bisognerebbe ragionare sull’opportunità di miglioramento, crescita, benessere, per l’organizzazione, ed anche, in ultimo per la collettività (in ottica sostenibile).
Ebbene sì, va sfatato ogni dubbio sul fatto che: il rischio è pienamente integrato nel processo di pianificazione strategica e nel contesto della performance di un’organizzazione. Piuttosto che come tematica separata, la gestione del rischio va permeata all’interno dell’azienda, per anticipare meglio il rischio, in modo che quest’ultimo possa essere precorso, con la consapevolezza che il cambiamento può creare anche opportunità, non semplicemente potenziali illeciti 231, sanzioni o addirittura crisi e fallimenti.
Ragionando in tal modo, effettivamente il D.Lgs 231 non si configura solo come un mero soddisfacimento normativo. Inoltre, il correlato modello di organizzazione gestione e controllo, non va visto come un ulteriore documento o manuale organizzativo fine a sé stesso come bollino dell’ente, da presentare come esimente della responsabilità amministrativa in sede penale.
In tale direttrice, le stesse nuove linee guida, peraltro, lo affermano: “Il modello non deve rappresentare un adempimento burocratico, una mera apparenza di organizzazione. Esso deve vivere nell’impresa, aderire alle caratteristiche della sua organizzazione, evolversi e cambiare con essa”.
Per valutare, implementare ovvero aggiornare modelli ex D.Lgs 231/01, quindi, bisogna essere consapevoli di ciò che si è e di cosa (in termini di competenze e padronanza) si può fare per la singola organizzazione.
Riflettere e sviluppare un sistema di compliance integrato, richiede la conoscenza dell’organizzazione, una sua misurazione, analisi e valutazione, proprio per ritagliare e cucire addosso all’Ente un modello 231 sartoriale.
Ancora oggi, invece, molte organizzazioni sono erroneamente convinte che il solo fatto di aver definito un Modello 231 adeguato sia sufficiente come esimente, invece è fondamentale applicarlo, avendo una visione di medio – lungo periodo. Non bisogna vedere in maniera miope i costi di breve periodo necessari per l’implementazione del modello o per il suo aggiornamento. Invero, risulta necessario comprendere che i modelli di organizzazione, gestione e controllo sono un investimento e un’opportunità per tutti gli enti, anche di piccole dimensioni.
Governare, organizzare, programmare e controllare sono processi ineluttabili per raggiungere gli obiettivi aziendali e le correlate performance. Per far ciò è necessario adeguare anche le strutture organizzative degli enti.
Su questo punto le Linee guida a più riprese e specificatamente quando trattano dell’Organismo di Vigilanza (seconda componente fondamentale – esimente della responsabilità amm.va) sono chiare. Ad esempio, con riferimento al requisito dell’autonomia dell’OdV, viene rilevata l’importanza della dotazione di un budget annuale, a supporto delle attività tecniche di verifica necessarie per lo svolgimento dei compiti previsti dal D.Lgs 231/01. Inoltre, viene confermata e maggiormente motivata la compatibilità tra il ruolo di Internal Audit e le funzioni di OdV. In particolare, le LG 231 chiariscono come la funzione di IA – se ben posizionata e dotata di risorse adeguate – sia idonea a fungere da Organismo di vigilanza. Ancora, viene espressamente riportato che: “nei casi in cui si richiedano a questa funzione attività che necessitano di specializzazioni non presenti al suo interno, nulla osta a che essa si avvalga di consulenti esterni ai quali delegare i relativi ambiti di indagine”. In tal modo, le organizzazioni possono evitare di sostenere ulteriori costi fissi con l’istituzione di nuove strutture, molto spesso carenti dal punto di vista del dimensionamento qualitativo oltre che quantitativo, oltre al rischio di sovrapposizioni e/o confusioni di ruoli e responsabilità.
Altro aspetto che viene messo in evidenza, benché con poche righe, è l’importanza dei flussi informativi tra l’OdV 231 e il Collegio Sindacale, nonché con la funzione Internal Audit. Su tale argomento, si ritiene, che sarebbe stato auspicabile un maggior approfondimento o quantomeno un chiaro rinvio al framework del 3Lines Model e quindi delle linee di controllo e gestione dei rischi (pubblicato nella sua ultima versione nel 2020). In ogni caso, risulta fondamentale la condivisione delle informazioni ed una reale collaborazione, nel rispetto dei ruoli, tra l’Organismo di Vigilanza e i vari attori del controllo; compreso il management operativo, essendo quest’ultimo l’owner sia dei processi di business dell’organizzazione, ma anche dei controlli di primo livello.
Ovviamente, senza l’accrescimento della cultura del rischio, in termini di consapevolezza e padronanza, non è possibile una reale implementazione di un sistema di risk management 231. La cultura del rischio, inteso in senso lato, è la base per sorreggere valori etici, di integrità, trasparenza e accountability condivisi all’interno dell’organizzazione.
In questa prospettiva, come espresso dalle LG 231: “affinché al modello sia riconosciuta efficacia esimente” l’impresa deve adottare una seria e concreta opera di implementazione delle iniziative di prevenzione e controllo, su misura per il proprio contesto organizzativo.
In conclusione, bisogna velocizzare i processi decisionali, garantendo ragionevolmente la massima conformità e trasparenza a tutto tondo, attraverso la razionalizzazione e l’efficientamento dei controlli interni, in ottica integrata, sistemica e unica, oltre che economica… Altrimenti i modelli 231 continueranno ad essere visti come un mero adempimento burocratico.
———————————————–
I temi delle “Comunicazioni delle informazioni di carattere non finanziario” e del “Whistleblowing”, trattate nelle nuove LG 231 di Confindustria, sono argomenti alquanto delicati, di indubbia importanza e allo stesso tempo oggetto di attenzione e interesse sia per il settore privato che per il settore pubblico, pertanto saranno oggetto di trattazione di una prossima pubblicazione ad hoc.
Per approfondimenti, consultare i seguenti link e/o riferimenti: