Principi di OrganizzazioneModelli di organizzazione ex D.Lgs 231/2001
Il Decreto Legislativo 8 giugno 2001, n. 231 ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito.
L’ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli enti e, in definitiva, gli interessi economici dei soci, i quali,
Principi di Organizzazione
Modelli di organizzazione ex D.Lgs 231/2001
Il Decreto Legislativo 8 giugno 2001, n. 231 ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito.
L’ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli enti e, in definitiva, gli interessi economici dei soci, i quali, fino all’entrata in vigore della legge in esame, non pativano conseguenze dalla realizzazione di reati commessi, con vantaggio della società, da amministratori e/o dipendenti. Il principio di personalità della responsabilità penale li lasciava, infatti, indenni da conseguenze sanzionatorie, diverse dall’eventuale risarcimento del danno, se ed in quanto esistente.
L’innovazione normativa, perciò, è di non poco momento, in quanto né l’ente, né i soci delle società o associazioni possono dirsi estranei al procedimento penale per reati commessi a vantaggio o nell’interesse dell’ente. Ciò, ovviamente, determina un interesse di quei soggetti (soci, associati, ecc.) che partecipano alle vicende patrimoniali dell’ente, al controllo della regolarità e della legalità dell’operato sociale.
Principi di Organizzazione
È opportuno ricordare che questa nuova responsabilità sorge soltanto in occasione della realizzazione di determinati tipi di reati da parte di soggetti legati a vario titolo alla società o all’ente e solo nelle ipotesi che la condotta illecita sia stata realizzata nell’interesse o a vantaggio di tali società e enti.
Dunque, non soltanto allorché il comportamento illecito abbia determinato un vantaggio, patrimoniale o meno, per l’ente, ma anche nell’ipotesi in cui, pur in assenza di tale concreto risultato, il fatto-reato trovi ragione nell’interesse dell’ente.
Principi di Organizzazione
La normativa si applica solo per una certa tipologia di reati:
- Art. 316-bis c.p. – malversazione a danno dello Stato
- Art. 316-ter c.p. – indebita percezione di erogazioni a danno dello stato
- Art. 640 c.p. – truffa in danno dello stato o di altro ente pubblico
- Art. 640- bis c.p. – truffa aggravata per il conseguimento di erogazioni pubbliche
- Art. 640-ter c.p. – frode informatica
- Art. 317 c.p. – concussione
- Art. 318 c.p. – corruzione per un atto di ufficio
- Art. 319 c.p. – corruzione per un atto contrario ai doveri d’ufficio
- Art. 319-ter c.p. – corruzione in atti giudiziari
- Art. 321 c.p. – pene per il corruttore
- Art. 322 c.p. – istigazione alla corruzione
- Art. 453 c.p. – falsificazione di monete e spendita di monete false
- Art. 454 c.p. – alterazione di monete
- Art. 455 c.p. – spendita di monete falsificate
- Art. 457 c.p. – spendita di monete falsificate ricevute in buona fede
- Art. 459 c.p. – falsificazione di valori bollati
- Art. 460 c.p. – falsificazione di carta filigranata
- Art. 461 c.p. – fabbricazione di carta filigranata
- Art. 464 c.p. – uso di valori bollati contraffatti
Principi di Organizzazione
La normativa si applica solo per una certa tipologia di reati: - segue
- Art. 2621 c.c. – false comunicazioni sociali
- Art. 2622 c.c. – false comunicazioni sociali in danno ai soci e ai creditori
- Art. 2623 c.c. – falso in prospetto
- Art. 2624 c.c. – falsità nelle comunicazioni con società di revisione
- Art. 2625 c.c. – impedito controllo
- Art. 2626 c.c. – indebita restituzione di conferimenti
- Art. 2627 c.c. – illegale ripartizione degli utili e delle riserve
- Art. 2628 c.c. - illecite operazioni su azioni e quote
- Art. 2629 c.c. – operazioni in pregiudizio ai creditori
- Art. 2632 c.c. – formazione fittizia del capitale
- Art. 2633 c.c. – indebita ripartizione dei beni sociali da parte dei liquidatori
- Art. 2636 c.c. – illecita influenza dell’assemblea
- Art. 2637 c.c. – Aggiotaggio
Art. 2638 c.c. – ostacolo all’esercizio delle funzioni delle autorità di vigilanza
Principi di Organizzazione
Sotto il profilo dei soggetti destinatari, la legge indica “gli enti forniti di personalità giuridica, le società fornite di personalità giuridica e le società e le associazioni anche prive di personalità giuridica” .
Il quadro descrittivo è completato dall’indicazione, a carattere negativo, dei soggetti a cui non si applica la legge, vale a dire “lo Stato, gli enti pubblici territoriali nonché gli enti che svolgono funzioni di rilievo costituzionale”
La platea dei destinatari è molto ampia e non sempre certa la linea di confine. Certamente sono ricomprese:
- società di diritto privato che esercitino un pubblico servizio (in base a concessione, ecc.);
- enti pubblici economici
Principi di Organizzazione
La legge prevede un “esonero” da responsabilità dell’ente se si dimostra, in sede di procedimento penale per uno dei reati considerati, di aver adottato ed efficacemente attuato modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione degli illeciti penali considerati.
Il sistema prevede l’istituzione di un organo di controllo interno all’ente con il compito di vigilare sull’efficacia reale del modello. La norma stabilisce, infine, che le associazioni di categoria possono disegnare i codici di comportamento, sulla base dei quali andranno elaborati i singoli modelli organizzativi, da comunicare al Ministero della Giustizia, che ha trenta giorni di tempo per formulare le proprie osservazioni.
l’ “esonero” dalle responsabilità dell’ente passa attraverso il giudizio d’idoneità del sistema interno di organizzazione e controlli, che il giudice penale è chiamato a formulare in occasione del procedimento penale
La norma prevede l’adozione del modello di organizzazione, gestione e controllo in termini di facoltatività e non di obbligatorietà. La mancata adozione non è soggetta, perciò, ad alcuna sanzione, ma espone l’ente alla responsabilità per gli illeciti realizzati da amministratori e dipendenti. Come già detto, l’applicazione delle sanzioni agli enti incide direttamente sugli interessi economici dei soci. Legittimamente i soci potrebbero esperire azione di responsabilità nei confronti degli amministratori inerti che, non avendo adottato il model...
Principi di Organizzazione
Caratteristiche essenziali per la costruzione di un modello di organizzazione, gestione e controllo.
La norma si riferisce in pratica ad un tipico sistema di gestione dei rischi (risk management) che passa attraverso due fasi:
a) identificazione dei rischi: ossia l’analisi del contesto aziendale per evidenziare dove (in quale area/settore di attività) e secondo quali modalità si possono verificare eventi pregiudizievoli e fraudolenti;
b) progettazione del sistema di controllo (c.d. protocolli per la programmazione della formazione ed attuazione delle decisioni dell’ente): ossia la valutazione del sistema esistente all’interno dell’ente ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati. Sotto il profilo concettuale, ridurre un rischio comporta di dover intervenire (congiuntamente o disgiuntamente) su due fattori determinanti:
1) la probabilità di accadimento dell’evento e
2) l’impatto dell’evento stesso.
Per operare efficacemente il sistema non può ridursi ad una analisi una tantum bensì deve trattarsi di un processo continuo
Principi di Organizzazione
Principi di Organizzazione - segue
La definizione di “Rischio accettabile”
Un concetto assolutamente cruciale nella costruzione di un sistema di controllo preventivo è quello di rischio accettabile.
Nella progettazione di sistemi di controllo a tutela dei rischi di business, definire il rischio accettabile è un’operazione relativamente semplice, almeno dal punto di vista concettuale. Il rischio è ritenuto accettabile quando i controlli aggiuntivi “costano” più della risorsa da proteggere (ad esempio: le comuni automobili sono dotate di antifurto e non anche di un vigilante armato).
Nel caso del D. Lgs. n. 231/2001 la logica economica dei costi non può però essere un riferimento utilizzabile in via esclusiva. Comunque è invocabile, il generale principio del diritto penale, sintetizzato dal brocardo latino ad impossibilia nemo tenetur, (nessuno è tenuto a fare cose impossibili); esso rappresenta un criterio di riferimento ineliminabile anche se, spesso, appare difficile individuarne in concreto il limite.
La soglia concettuale di accettabilità sta nel seguente assunto:
sistema di prevenzione tale da non poter essere aggirato se non
FRAUDOLENTEMENTE
Principi di Organizzazione - segue
Occorre una “elusione fraudolenta” del modello organizzativo quale esimente ai fini dell’esclusione della responsabilità penale dell’ Ente. l’agente non solo dovrà “volere” l’evento reato (ad esempio corrompere un pubblico funzionario), ma potrà attuare il suo proposito criminoso soltanto aggirando fraudolentemente (ad esempio attraverso artifizi e/o raggiri) le indicazioni dell’ente. L’agente se vuol delinquere sarà costretto a “forzare” la struttura organizzativa, le procedure e i sistemi di controllo previsti e adottati dall’Ente.
I modelli che verranno quindi predisposti ed attuati a livello aziendale saranno il risultato dell’applicazione metodologica documentata, da parte di ogni singolo Ente, in funzione del proprio contesto operativo interno (struttura organizzativa, articolazione territoriale, dimensioni, ecc.) ed esterno (settore economico, area geografica), nonché dei singoli reati ipoteticamente collegabili alle specifiche attività dell’ente considerate a rischio.
Principi di Organizzazione - segue
Passi operativi da seguire:
1. Inventariazione degli ambiti aziendali di attività
Nell'ambito di questo procedimento di revisione dei processi/funzioni a rischio, è opportuno identificare, per le varie attività, funzioni e processi, i soggetti interessati dall'attività di monitoraggio, che in talune circostanze particolari ed eccezionali, potrebbero includere anche coloro che siano legati all'impresa da meri rapporti di parasubordinazione, quali ad esempio gli agenti, o da altri rapporti di collaborazione.
Occorre porre in essere esercizi di due diligence tutte le volte in cui in sede di valutazione del rischio siano stati rilevati “indicatori di sospetto” (ad esempio conduzione di trattative in territori con alto tasso di corruzione, procedure particolarmente complesse, presenza di nuovo personale sconosciuto all’ente) afferenti ad una particolare operazione commerciale.
Output : mappa delle aree aziendali a rischio.
Principi di Organizzazione - segue
2. Analisi dei rischi potenziali
L’analisi, propedeutica ad una corretta progettazione delle misure preventive, deve sfociare in una rappresentazione esaustiva di come le fattispecie fraudolente possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda.
A tal proposito è bene tener conto della storia dell’ente, cioè delle sue vicende passate, che delle caratteristiche degli altri soggetti operanti nel medesimo settore ed, in particolare, degli eventuali illeciti da questi commessi nello stesso ramo di attività.
Output : mappa documentata delle potenziali modalità attuative degli illeciti nelle aree a rischio individuate al punto precedente.
Principi di Organizzazione - segue
3. Valutazione/costruzione/adeguamento del sistema di controlli preventivi
I processi precedenti si completano con una valutazione del sistema di controlli preventivi eventualmente esistente e con il suo adeguamento quando ciò si riveli necessario, o con una sua costruzione quando l’ente ne sia sprovvisto.
Tutto questo per garantire che i rischi siano ridotti ad un livello accettabile.
Le componenti di controllo debbano comunque integrarsi in un sistema organico, nel quale occorre anche tener conto della dimensione dell’impresa e quindi non tutte necessariamente devono coesistere
Output: descrizione documentata del sistema dei controlli preventivi attivato, con dettaglio delle singole componenti del sistema, nonché degli adeguamenti eventualmente necessari.
Principi di Organizzazione - segue
Componenti (i protocolli) di un sistema di controllo preventivo
1. Codice Etico con specifico riferimento alle varie ipotesi fraudolente
L’adozione da parte dell’ Ente di principi etici in relazione a particolari comportamenti costituisce la base su cui impiantare il sistema di controllo preventivo
2. Sistema organizzativo
Impostare un Sistema organizzativo sufficientemente formalizzato e chiaro, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni. Nell’ambito del sistema organizzativo, attenzione andrà prestata ai sistemi premianti dei dipendenti capaci di indirizzare i dipendenti verso comportamenti virtuosi e verso l’efficiente conseguimento degli obiettivi aziendali.
Principi di Organizzazione - segue
3. Procedure manuali e informatiche (sistemi informativi)
I sistemi informativi devono essere tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo (quadrature; approfondimenti informativi su particolari soggetti quali agenti, consulenti, intermediari). Una particolare efficacia preventiva riveste lo strumento di controllo rappresentato dalla separazione di compiti fra coloro che svolgono fasi (attività) cruciali di un processo a rischio.
In questo campo, specifico interesse ricopre l’area della gestione finanziaria, dove il controllo procedurale si avvale di strumenti consolidati nella pratica amministrativa, fra cui abbinamento firme; riconciliazioni frequenti; supervisione; separazione di compiti con la già citata contrapposizione di funzioni, (ad esempio fra la funzione acquisti e la funzione finanziaria. Particolare attenzione deve essere riposta sui flussi finanziari non rientranti nei processi tipici aziendali, soprattutto se si tratta di ambiti non adeguatamente proceduralizzati e con caratteri di estemporaneità e discrezionalità. In ogni caso è necessario che siano sempre salvaguardati i principi di trasparenza, verificabilità, inerenza all’attività aziendale.
Principi di Organizzazione - segue
4. Poteri autorizzativi e di firma
I poteri di firma vanno assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese.
5. Sistema di controllo di gestione
Il Controllo di gestione deve essere in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare. Funzionale a questo è la definizione di opportuni indicatori per le singole tipologie di rischio rilevato (ad esempio accordi di intermediazione che prevedano pagamenti off-shore)
6. Comunicazione al personale e formazione
La comunicazione deve riguardare ovviamente il codice etico ma anche gli altri strumenti quali i poteri autorizzativi, le linee di dipendenza gerarchica, le procedure, i flussi di informazione e tutto quanto contribuisca a dare trasparenza nell’operare quotidiano. La comunicazione deve essere: capillare, efficace, autorevole (cioè emessa da un livello adeguato), chiara e dettagliata, periodicamente ripetuta. Accanto alla comunicazione, deve essere sviluppato un adeguato programma di formazione rivolto al personale delle aree a rischio
Principi di Organizzazione - segue
I principi di controllo
Tutto il sistema deve comunque rispettare i seguenti principi di controllo:
• Ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua”.
Per ogni operazione vi deve essere un adeguato supporto documentale su cui si possa procedere in ogni momento all’effettuazione di controlli che attestino le caratteristiche e le motivazioni dell’operazione ed individuino chi ha autorizzato, effettuato, registrato, verificato l’operazione stessa.
La salvaguardia di dati e procedure in ambito informatico può essere assicurata mediante l’adozione delle misure di sicurezza del sistema e degli archivi informatici attraverso la stesura, obbligatoria per legge, di un piano di sicurezza già previsto dal d. lgs n. 196/2003 (Codice in materia di protezione dei dati personali) per tutti i trattamenti di dati effettuati con strumenti elettronici. Occorre procedere all’adozione di misure di sicurezza tali da ridurre al minimo “i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.
Principi di Organizzazione - segue
Un punto di riferimento utile con riguardo alle misure di sicurezza adottabili nell’ambito di un Modello organizzativo è costituito dall’art. 34 del Codice della Privacy ex D.Lgs 196/2003, con particolare riferimento ai seguenti aspetti:
a) autenticazione informatica;
b) adozione di procedure di gestione delle credenziali di autenticazione;
c) utilizzazione di un sistema di autorizzazione;
d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;
e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici;
f) adozione di procedure per la custodia di copie di sicurezza, per il ripristino della disponibilità dei dati e dei sistemi;
g) tenuta di un aggiornato documento programmatico sulla sicurezza;
h) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati.
Principi di Organizzazione - segue
• Nessuno può gestire in autonomia un intero processo.
Il sistema deve garantire l’applicazione del principio di separazione di funzioni, per cui l’autorizzazione all’effettuazione di un’operazione, deve essere sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente o controlla l’operazione.
Inoltre, occorre che:
- a nessuno vengano attribuiti poteri illimitati;
- i poteri e le responsabilità siano chiaramente definiti e conosciuti all’interno dell’organizzazione;
- i poteri autorizzativi e di firma siano coerenti con le responsabilità organizzative assegnate.
• Documentazione dei controlli.
Il sistema di controllo deve documentare (eventualmente attraverso la redazione di verbali) l’effettuazione dei controlli, anche di supervisione.
Principi di Organizzazione - segue
Il codice Etico
L’adozione di principi etici rilevanti ai fini della prevenzione dei reati ex D. Lgs. 231/2001 costituisce un elemento essenziale del sistema di controllo preventivo. Tali principi possono essere inseriti in un codice etico. In termini generali i codici etici sono documenti ufficiali dell’ente che contengono l’insieme dei diritti, dei doveri e delle responsabilità dell’ente nei confronti dei “portatori d’interesse” (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario, ecc.).
Tali codici mirano a raccomandare, promuovere o vietare determinati comportamenti, al di là ed indipendentemente da quanto previsto a livello normativo, e possono prevedere sanzioni proporzionate alla gravità delle eventuali infrazioni commesse. I codici etici sono documenti voluti ed approvati dal massimo vertice dell’ente.
Comments