Basic HTML Version
22
NUMERO 205 - GENNAIO / FEBBRAIO 2012
IL COMMERCIALISTA VENETO
organizzativo, “
compliance
di primo livello”.
La metodologia di riferimento (concettuale) per la
compliance
di primo livello è quella che presuppone,
nell’ordine, un’analisi dei processi aziendali, un’iden-
tificazione dei rischi (rischi che avranno diversi ambiti
di inerenza: rischio protezione dati, rischio sicurezza-
lavoro, rischio ambientale), un’analisi dei meccanismi
di controllo (sul rischio) già esistenti, una valutazione
del “rischio residuo” e, infine, un giudizio
sull’accettabilità o meno di tale livello di rischio
residuale. Laddove quest’ultimo debba essere (ulte-
riormente) contenuto, si procederà ad un rafforzamento
del sistema di controllo. Tale approccio metodologico
è denominato
risk management
ed è fondato sulla co-
siddetta analisi
as is – to be
.
I sistemi di
compliance
di primo livello sono, pertan-
to, sistemi di gestione del rischio connesso alla pre-
senza, nell’ambito dell’organizzazione aziendale, di
taluni aspetti ritenuti degni di tutela da parte del legi-
slatore (protezione dati personali, salute e sicurezza
nei luoghi di lavoro, tutela ambientale).
Un aiuto concreto alla realizzazione della
compliance
di primo livello tramite un approccio sistemico ed
integrato può certamente derivare alle aziende dall’ado-
zione di sistemi di certificazione
standard
di rilievo
nazionale od internazionale. Ciò che tuttavia non può
essere trascurato è che in fase di implementazione di
tali sistemi (e di formazione degli operatori che li ap-
plicheranno) si dovrà sempre portare ad evidenza, ove
possibile, la distinzione concettuale tra aspetti di
adeguamento normativo in senso stretto e procedure o
routine
agevolative di natura puramente organizzativa.
I primi garantiscono certamente la realizzazione della
compliance
(di primo livello) e sono indispensabili, i
secondi, per l’appunto, la agevolano: nella pratica,
spesso - e soprattutto quando esiste una reale (e, pa-
radossalmente, virtuosa!) applicazione delle procedu-
re di certificazione - gli operatori aziendali tendono a
perdere di vista tale distinzione, finendo, talvolta, per
dare priorità ai secondi e tralasciando, ad esempio, un
certo necessario formalismo richiesto dai primi
15
.
7) La compliance di “secondo livello”:
il Modello ex D. Lgs. n. 231/2001
Dalle considerazioni sopra svolte emergono alcune
chiare indicazioni applicative idonee ad orientare la
progettazione di un Modello Organizzativo ex D.Lgs.
n. 231/2001, oltre a qualificare da subito lo stesso
come connesso alla realizzazione di una sorta di
“
compliance
di secondo livello”.
La corretta realizzazione della
compliance
di primo li-
vello, implementata al meglio attraverso la gestione di
“sistemi” (di gestione del rischio), consente, anzitutto,
al Modello Organizzativo di ancorarsi saldamente alla
stessa, giovandosi di meccanismi di controllo e proce-
dure già in essere che siano altresì idonei a prevenire i
reati presupposto di cui al D.Lgs. n. 231/2001.
In pratica il Sistema 231 si “innesterà” sui singoli “sot-
to-sistemi” di
compliance
di primo livello, introdu-
cendo proprie peculiarità (strutturali e di processo),
enfatizzando alcuni aspetti già presenti negli stessi,
utilizzando a proprio favore alcuni elementi costitui-
tivi degli stessi.
Muovendo dal primo aspetto evidenziato - e come già
sottolineato in materia di salute e sicurezza sul lavoro
- ciò che in modo peculiare (e strutturale) caratterizza
il Sistema 231 rispetto agli altri sotto-sistemi è, anzi-
tutto, la presenza dei seguenti elementi:
a)
definizione delle modalità di gestione delle ri-
sorse finanziarie idonee ad impedire la commissione
dei reati presupposto;
b)
nomina di un Organismo di Vigilanza;
c)
definizione di flussi informativi (idonei) verso
l’Organismo di Vigilanza.
Tale presenza impone che i sotto-sistemi debbano es-
sere modificati (integrati), anzitutto, tenendo conto
dei suddetti elementi (es. i sotto-sistemi dovranno
dotarsi di un idoneo flusso informativo nei confronti
dell’Organismo di Vigilanza e favorirne le attività di
controllo).
Con riferimento alla necessità per il Sistema 231 di
“enfatizzare” taluni aspetti che di fatto già caratteriz-
zano i sotto-sistemi di primo livello è evidente che
particolare attenzione dovrà essere posta a due profili
(sempre nella peculiare ottica di prevenzione dei reati-
presupposto):
a)
l’obbligo di vigilanza da parte dell’alta dire-
zione, obbligo che è parte integrante di ciascun sotto-
sistema, da esercitare in una logica “prevenzionistica”;
b)
la rilevanza dei protocolli diretti a program-
mare la formazione e l’attuazione delle decisioni del-
l’ente, ossia l’importanza di regolare e codificare i
“processi decisionali” aziendali (a tutti i livelli, “dal
vertice alla base”)
16
.
Né può essere trascurato il collegamento concettuale
tra i citati punti a) e b) che, di fatto, risultano comple-
mentari in una logica di corretta applicazione del mecca-
nismo di delega “verso il basso” da parte dell’alta dire-
zione aziendale, il quale, per essere idoneo, efficace ed
efficiente, sia sotto il profilo organizzativo che giuridi-
co, deve necessariamente essere accompagnato da si-
stemi di controllo sull’operato dei delegati (vigilanza).
Ciò che caratterizza il Sistema 231, quindi, è la proget-
tazione di un sorta di sovra-sistema che, con locuzio-
ne approssimativa, potremmo definire “un secondo
apparato di
governance
dei rischi”
17
, la cui finalità è
quella, anzitutto, di garantire il funzionamento dei
meccanismi di prevenzione già presenti nei singoli sot-
to-sistemi, orientandoli alle proprie, specifiche, finali-
tà (prevenzione reati-rilevanti).
In tal senso, sotto il profilo applicativo, sarà naturale
per il Sistema 231 “sfruttare” tutte le procedure
aziendali già in essere, appartenenti ai sotto-sistemi, e
già idonee ad essere considerate dei meccanismi di pre-
venzione contro i reati presupposto: misure di sicurez-
za informatica, statistiche prodotte in materia di sicu-
rezza sul lavoro (es. infortuni, malattie), statistiche (es.
incidenti, emissioni) e attività di monitoraggio relative
alla tutela dell’ambiente (es. selezione di fornitori spe-
cializzati per smaltimento e trasporto rifiuti).
Quanto più la
compliance
di primo livello sarà gestita
in una logica sistemica, tanto più agevole sarà la corre-
lazione con il sovrastante Sistema 231 ma ciò non
toglie che, anche in assenza di sotto-sistemi struttura-
ti, il Modello Organizzativo possa attingere “a piene
mani” dalle procedure aziendali già esistenti.
Non solo. Poiché nelle realtà aziendali meno struttura-
te, spesso accade che, pure in assenza di procedure
codificate, di fatto, vengano comunque quotidianamen-
te applicate in modo efficace ed efficiente specifiche
routine
(consuetudini organizzative) da parte degli
operatori, a tutti i livelli dell’organizzazione, l’intro-
duzione di un Sistema 231 potrebbe comunque fare
riferimento a tale
know-how
implicito, incentivando-
ne la codificazione (procedure, mansionari, ecc.) e la
spersonalizzazione
18
.
8) Conclusioni
Alla luce di quanto esposto, ciò che si intende
evidenziare è che non necessariamente il processo di
compliance
al D.Lgs. n. 231/2001 si rivela più gravoso
per aziende di medio-piccole dimensioni rispetto ad
Una
compliance
di secondo livello
SEGUE DA PAGINA 21
BIBLIOGRAFIA
CONFINDUSTRIA (2008),
Linee guida per la co-
struzione dei modelli di organizzazione, gestione e
controllo ex D.Lgs. 231/2001
PRICEWATERHOUSE COOPERS (2006),
La ge-
stione del rischio aziendale,
Milano, Il Sole 24 Ore
PRICEWATERHOUSE COOPERS (2006),
Il siste-
ma di controllo interno,
Milano, Il Sole 24 Ore
BIANCHI G. (2010),
Amministratori e sindaci - Gli
adempimenti e le responsabilità,
Torino
,
UTET
VITALI L. (2009),
Modelli organizzativi e sicurezza
sul lavoro: proposte pratiche per la redazione di
compliance programs orientati alla prevenzione dei
reati ex art. 25 septies D.Lgs. n. 231/2001,
La respon-
sabilità amministrativa delle società e degli enti, n. 2/
2009, Torino, PLENUM.
BISACCI M.C.,
Art. 25 septies, in:
PRESUTTI A.,
BERNASCONI A., FIORIO C. (2008),
La responsa-
bilità degli enti - Commento articolo per articolo al
D.Lgs. 8 giugno 2001, n. 231,
Padova, CEDAM
SANTORIELLO C. (2008),
Violazioni delle norme
antinfortunistiche e reati commessi nell’interesse o a
vantaggio della società,
La responsabilità amministra-
tiva delle società e degli enti, n. 1/2008, Torino,
PLENUM.
MASìA V. (2008),
Infortuni sul lavoro e responsabi-
lità d’impresa: colpa di organizzazione e organizza-
zione della colpa, anche alla luce del D.Lgs. 9 aprile
2008, n. 81,
La responsabilità amministrativa delle
società e degli enti, n. 3/2008, Torino, PLENUM.
Tribunale di Trani (sezione distaccata di Molfetta) -
26 ottobre 2009 (www.rivista231.it).
15
Valga per tutti l’esempio di quelle realtà aziendali che gestiscono tutte o la maggior parte delle attività connesse alle procedure di certificazione tramite il sistema informatico,
ma poi tralasciano una corretta archiviazione documentale cartacea di tutte le comunicazioni a valenza giuridica effettuate dall’azienda nei confronti, ad esempio, della Pubblica
Amministrazione.
16
Come può rilevare la codificazione della corretta procedura di formazione del bilancio d’esercizio o del budget, altrettanta importanza dovrebbero avere le procedure
di formazione e condivisione di altri documenti importanti quali, ad esempio, il Documento di Valutazione dei Rischi (salute e sicurezza sul lavoro).
17
In tal senso, con riferimento al tema della salute e sicurezza, Bisacci M.C. (si veda bibliografia in calce). L’autrice, tuttavia, dopo aver dato questa interessante definizione,
finisce per ravvisare in questo “secondo livello” la possibile causa di un appesantimento del sistema complessivo, con duplicazioni di protocolli e programmi.
18
Spezzando il legame tra “saper fare” e singoli soggetti persone fisiche (che in qualsiasi momento potrebbero abbandonare l’azienda, portando con sé il proprio bagaglio di
conoscenze).
altre maggiormente strutturate.
Anzitutto perché, comunque e “per definizione”, il
Modello Organizzativo dovrà essere progettato te-
nendo conto dell’attività svolta, nonché della dimen-
sione e della articolazione organizzativa aziendale: in
caso contrario non avrebbe quelle caratteristiche di
specificità che consentirebbero di ritenerlo idoneo ed
efficacemente attuato.
In secondo luogo perché molto dipende
dall’impostazione organizzativa che caratterizza
l’azienda, in relazione alla “chiarezza” del suo sistema
di deleghe, alla efficacia ed efficienza nella gestione dei
processi decisionali ed operativi, al livello di sviluppo
raggiunto dai sotto-sistemi (protezione dati personali,
salute e sicurezza sul lavoro, tutela ambientale): sem-
pre tenuto conto dell’attività svolta e delle specifiche
caratteristiche organizzative, non necessariamente le
aziende di minori dimensioni si trovano a “partire
svantaggiate” rispetto alle sorelle maggiori.
Immediato, invece, per le imprese di dimensione più
contenuta, è il generale miglioramento di natura
organizzativa indotto dall’adozione del Modello
Organizzativo, a maggior ragione laddove
l’implementazione dello stesso non venga limitata solo
alla prevenzione di alcune categorie di reato (es. reati
connessi alla sicurezza sul lavoro e/o reati ambientali)
ma si estenda a tutte le categorie di reato-rilevante che
siano “significative” per una realtà aziendale a voca-
zione produttiva e/o commerciale. In tali casi, infatti,
la
compliance
al D.Lgs. n. 231/2001 può indurre ad un
serio ripensamento dei processi aziendali in termini di
maggiore integrazione, può agevolare la
formalizzazione e l’effettività del sistema di deleghe,
può attivare una revisione ed un perfezionamento dei
sotto-sistemi di primo livello, può stimolare un vir-
tuoso processo di codificazione del
know-how
(che,
diversamente, cederebbe il passo a sempre nuove prio-
rità connesse al
business
).
Più vantaggi che svantaggi per le cosiddette “PMI” nel
percorso di adeguamento al D.Lgs. n. 231/2001? Pro-
babilmente sì, purchè se ne rispettino le specificità e
se ne valorizzino i tratti organizzativi a reale “valore
aggiunto”. Aspetti, questi ultimi, di cui le stesse azien-
de, talvolta, non hanno piena consapevolezza.