Quando il Modello Organizzativo adottato ex D.Lgs. n. 231/2001 può ritenersi strutturato efficacemente?
Abbiamo già avuto modo di trattare l’argomento in alcuni nostri articoli (QUI → e QUI →).
Ma una recente sentenza del Tribunale di Milano ci ha offerto lo spunto per tornare sul tema e proporre un’analisi dettagliata dei requisiti che il Modello Organizzativo e di Gestione deve possedere per essere efficace.
I Modelli di organizzazione dell’ente
Innanzitutto, occorre precisare cosa sia un Modello Organizzativo e di Gestione (MOG).
A tal fine, deve richiamarsi l’art. 6 del D.Lgs. n. 231/2001, che ha introdotto nel nostro ordinamento i modelli di organizzazione e di gestione; ed ha previsto che tali strumenti debbano essere idonei a prevenire una serie di reati.
I MOG sono quindi strumenti finalizzati ad esimere un ente (sia esso un’Associazione che una Società) dalle responsabilità penali nel caso in cui venga commesso un reato nell’ambito della sua attività.
Sempre l’art. 6 ha elencato le esigenze alle quali devono rispondere i Modelli:
a) individuare le attività nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
L’efficace attuazione del modello
Volta che l’ente ha redatto il proprio Modello Organizzativo e di Gestione e lo ha adottato, deve darvi attuazione.
L’art. 7 del D.Lgs n. 231/2001 ha stabilito infatti che non sia sufficiente l’adozione del Modello, ma che sia necessario darvi efficace attuazione tramite:
a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività;
b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Pertanto, per essere efficacie, il MOG deve essere periodicamente verificato ed aggiornato nonchè prevedere ed irrogare idonee sanzioni.
La sentenza del Tribunale di Milano
Recentemente, il Tribunale di Milano ha avuto modo di delineare “quello che dovrebbe essere il contenuto di un modello 231 efficacemente strutturato” nei termini che seguono.
La responsabilità collettiva dell’ente è da individuarsi nella “colpa di organizzazione“: ossia nelle decisioni organizzative complesse, assunte all’interno di un processo che ha visto compartecipi una pluralità di soggetti, non sempre individuabili singolarmente.
Il D.Lgs. n. 231/2001 ha previsto che chi è collocato al vertice della gerarchia sia tenuto a garantire che “il sistema funzioni“: ossia a creare (e mantenere) le condizioni che assicurino l’osservanza dei modelli predisposti.
Pertanto, dovrà innanzitutto far adottare all’ente un modello organizzativo, il quale dovrà consentire un’adeguata protezione ai beni giuridici tutelati dalle norme penali.
In secondo luogo, dovrà individuare, all’interno dell’organizzazione, le funzioni in concreto esercitate, che possano costituire la pluralità di garanti dell’adempimento degli obblighi previsti nel modello di organizzazione.
La descritta bipartizione del dovere di auto-organizzazione dell’ente trova nel Modello la sua traduzione formale e sostanziale nella suddivisione del Modello in due parti:
- la Parte Generale, rivolta ad individuare la fisionomia strutturale del Modello
- la Parte Speciale, indirizzata sia ad individuare le attività maggiormente esposte al rischio reato sia a formalizzare il contenuto delle cautele volte a prevenire il rischio reato attraverso singoli protocolli operativi.
La Parte Generale del Modello
La Parte Generale del Modello descrive la configurazione giuridica societaria ed i correlati organi di amministrazione e di controllo che la compongono.
Inoltre, descrive le eventuali modificazioni intercorse nel tempo.
E deve contenere al suo interno:
- il codice etico, che costituisce la tavola dei valori ai quali la società si ispira
- le linee dell’attività di informazione e di formazione del Modello e dei protocolli di prevenzione
- le modalità discoperta delle violazioni del Modello
- il sistema disciplinare
- l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza (OdV).
Il Codice Etico
Il Codice etico e di condotta stabilisce i valori, i principi e i comportamenti che l’ente si impegna a rispettare nei confronti dei propri dipendenti, dei clienti, degli azionisti, dei fornitori e dell’ambiente.
Nel Codice etico devono essere altresì fissati i principi fondamentali di riferimento nella prevenzione degli illeciti.
Esso deve contemplare:
- una introduzione che faccia riferimento alla legislazione, alle linee guida elaborate dall’Associazione di categoria e ad eventuali codici deontologici
- l’indicazione dei destinatari del Codice e le modalità di informazione e formazione sui contenuti dello stesso
- i principi etici di riferimento
- i principi e le norme di comportamento
- le sanzioni disciplinari conseguenti alla violazione delle disposizioni del Codice.
Informazione e formazione
Un modello idoneo ed efficace, oltre a prevedere una puntuale configurazione degli assetti interni e dei relativi meccanismi di controllo endoaziendali, deve essere accompagnato da un’intensa attività di informazione e formazione del personale.
Informazione e formazione sono attuate sia attraverso la diffusione e la comunicazione a tutto il personale del Modello e del Codice etico, sia attraverso delle qualificate iniziative di formazione finalizzate a divulgare ed implementare la comprensione delle procedure e delle regole comportamentali adottate.
Tali iniziative non devono risolversi in attività formative impartite occasionalmente, ma devono piuttosto ispirarsi ai criteri di continuità e di intensità.
Il sistema disciplinare
Un modello idoneo ed efficace necessità della predisposizione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nei protocolli operativi.
Il sistema deve prevedere i seguenti contenuti essenziali:
- i soggetti destinatari delle sanzioni disciplinari
- l’apparato sanzionatorio diversamente articolato a seconda del ruolo dei destinatari
- i criteri di commisurazione della sanzione
- le condotte rilevanti, distinguendo tra mere violazioni formali e violazioni che ,invece, possono avere conseguenze pregiudizievoli per l’ente
- il procedimento di irrogazione delle sanzioni con la specificazione del titolare dell’azione disciplinare, delle garanzie a tutela dell’accusato e della funzione competente ad applicare la sanzione stessa.
La predisposizione di un rigoroso apparato sanzionatorio deve essere affiancata da un adeguato sistema di rilevamento delle violazioni.
L’Organismo di Vigilanza (OdV)
Nella parte generale del modello è altresì disciplinato l’Organismo di Vigilanza (OdV), che riveste un ruolo di primo piano nell’assetto normativo del D.Lgs. n. 231/2001.
La funzione del modello, espressione di un insieme articolato e proceduralizzato di cautele preventive, rischia di essere vanificata senza la presenza di un organismo incaricato di vigilare sul funzionamento e l’osservanza del Modello stesso; oltrechè di curarne l’aggiornamento.
L’OdV, pur venendo generalmente nominato dai vertici dell’ente, deve necessariamente possedere le seguenti caratteristiche:
- autonomia
- effettivi ed incisivi poteri di ispezione e di vigilanza
- funzione di controllo proattiva e preventiva di possibili violazioni
- professionalità e competenza in tema di controllo di legalità tecnico contabile, direzionale e strategico
- continuità d’azione
- interazione con gli organismi amministrativi e di controllo dell’a società’ente
- programmazione dell’attività di controllo ed ispezione
- potere di spesa
- regolamento di funzionamento.
Sul piano funzionale, l’OdV è uno strumento di controllo pervasivo sull’effettività e sull’adeguatezza del Modello di prevenzione del rischio-reato.
Tale obiettivo viene perseguito sinergicamente tramite:
- l’espletamento di attività informative e di controllo
- i poteri propositivi e di accertamento disciplinare.
Con riguardo al primo profilo, gioca un ruolo decisivo il piano delle informazioni e delle comunicazioni verso l’OdV. Al fine di garantire un’adeguata attività informativa, l’Organismo dovrà inoltrare report periodici sull’attività svolta e trasmettere con tempestività tutte le segnalazioni riguardanti eventuali violazioni del Modello.
Quanto alle attività propulsive e disciplinari, spicca il ruolo dell’Organismo in ordine alle attività di informazione e formazione sui contenuti del Modello e del Codice etico.
Rispetto a tali attività, l’Organismo è chiamato ad esprimere una valutazione in termini di adeguatezza, continuità ed intensità; oltre a dimostrarsi costante nell’attività di monitoraggio e di accertamento delle infrazioni.
La Parte Speciale del Modello
La Parte Speciale del Modello contempla nello specifico:
- la descrizione della struttura dei reati presupposto
- la mappatura delle attività a rischio reato (c.d. risk assessment)
- i principi generali di comportamento e i contenuti essenziali delle cautele ravvisate nei protocolli operativi
- la rubrica dei protocolli operativi, allegati al Modello stesso, che integrano il volto procedimentale e sostanziale della cautela orientata a ridurre il rischio-reato.
I protocolli di prevenzione del rischio-reato
I protocolli di prevenzione del rischio-reato operano sia sul piano dei criteri di imputazione soggettivi del reato all’ente, sia su quello delle conseguenze sanzionatone derivanti dalla condotta illecita.
Da un lato, assolvono ad una funzione preventiva, dal momento che, se adottati ex ante, consentono all’ente di esimersi da qualsiasi responsabilità.
Dall’altro lato, agiscono sul versante della riparazione dell’offesa, in quanto, se adottati ex post, riducono considerevolmente l’entità delle misure afflittive comminate a carico dell’ente.
La mappatura del rischio (c.d. risk assessment)
La configurazione delle attività a rischio-reato, denominata anche “mappatura del rischio” (o risk assessment), consiste in una fase cognitivo-rappresentativa funzionale alla percezione del rischio-reato ed alla valutazione del suo grado di intensità.
L’ente collettivo è chiamato a fare una ricognizione dei fattori di rischio, il che risulta un’attività sicuramente complicata dal momento che ancora una volta si richiede un efficace metodo organizzativo di rilevamento e di valutazione.
La mappatura del rischio, pertanto, dovrà snodarsi attraverso un procedimento contraddistinto da:
- individuazione delle aree potenzialmente a rischio-reato con particolare riguardo alle aree c.d. strumentali, ovvero quelle che gestiscono strumenti finanziari, destinati a supportare la commissione dei reati stessi
- rilevazione dei processi sensibili dai quali potrebbero derivare le ipotesi di reato perseguibili, il che significa selezionare le attività al cui espletamento è connesso il rischio di commissione di reati, indicando le direzioni ed i ruoli aziendali coinvolti
- rilevazione e valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere, allo scopo di reperire i punti di criticità rispetto alla prevenzione del rischio-reato
- descrizione delle possibili modalità di commissione dei reati, allo scopo di forgiare le indispensabili cautele preventive.
L’organigramma aziendale
Di particolare importanza è l’attenta analisi dell’evoluzione dell’organigramma aziendale.
L’ente deve, al riguardo, appurare diacronicamente gli eventuali mutamenti organizzativi intervenuti nel tessuto organizzativo, allo scopo di verificare se siano stati indotti da disfunzioni operative o da violazioni comportamentali, che hanno reso un pregiudizio, anche solo potenziale.
Si tratta di verificare l’adeguatezza nel tempo del protocollo e la sua idoneità a conformarsi ai mutamenti strutturali avvenuti all’interno della società.
I protocolli di comportamento
Il contenuto sicuramente più significativo del Modello è rappresentato dai protocolli di comportamento, che integrano il secondo fondamentale contenuto del dovere di organizzazione che grava sugli enti.
I protocolli hanno come obiettivo strategico quello della “cautela”, cioè l’apprestamento di misure idonee a ridurre continuativamente e ragionevolmente il rischio-reato.
Lo strumento per conseguire detto obiettivo è la predisposizione di un processo, di un sistema operativo che deve essere caratterizzato da ‘cautele’ puntuali, concrete ed orientate sul rischio da contenere.
Alla determinatezza, si deve affiancare anche l’efficace attuazione nel senso che lo strumento di prevenzione non deve risolversi in un mero supporto cartaceo, che sarebbe sicuramente poco efficace sul piano applicativo.
Uno dei principi fondamentali, che deve ispirare il contenuto e l’operatività dei protocolli è quello della “segregazione delle funzioni“.
In base a tale principio, i soggetti che intervengono in una fase non possono svolgere alcun ruolo nelle altre fasi del processo decisionale.
Ciò risponde all’esigenza di evitare che il processo o una parte rilevante di esso resti nelle mani di un’unica funzione; con il rischio di ingenerare conflitti di interesse, capaci di accentuare il rischio-reato.
Il contenuto dei protocolli di comportamento
Il contenuto dei protocolli di comportamento richiede:
- l’indicazione di un responsabile del processo a rischio-reato, il cui compito principale è quello di assicurare che il sistema operativo sia adeguato ed efficace rispetto al fi ne che intende perseguire
- la regolamentazione del processo, ovvero l’individuazione dei soggetti che hanno il presidio di una specifica funzione, e ciò in osservanza del predetto principio di segregazione delle funzioni
- la specificità e la dinamicità del protocollo, laddove il primo requisito evoca la sua aderenza sostanziale rispetto al rischio da contenere, mentre il secondo presupposto attiene alla capacità del modello di adeguarsi ai mutamenti organizzativi che avvengono nella compagine sociale
- la garanzia di completezza dei flussi informativi, che rivestono un ruolo assolutamente centrale sul versante dell’effettività della cautela
- un efficace monitoraggio e controllo di linea, ovvero quelli esercitati dal personale e dal management esecutivo come parte integrante della propria attività gestionale e decisionale, il che presuppone, non solo la necessaria distinzione di ruoli tra controllore e controllato, ma anche la necessità di evitare possibili condizionamenti impropri che possono verificarsi ogniqualvolta il controllo è esercitato da soggetti che condividono con i controllati la medesima prospettiva retributiva, sia in termini di incentivazione che di disincentivazione.
Se desiderate approfondire il tema, potete leggere il testo integrale della sentenza del Tribunale di Milano QUI →
Per la relativa consulenza nell’ambito degli argomenti trattati in questo articolo o per la proposizione del ricorso avverso il verbale di contestazione, potete contattare l’avv. Andrea Spreafico.