Il documento CNDCEC sul Modello 231
di Redazione Scarica in PDFIl nuovo documento “Principi di redazione dei Modelli di organizzazione, gestione e controllo ex D.lgs. 231/2001” elaborato dal Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili (CNDCEC), in collaborazione con la Fondazione Nazionale dei Commercialisti e reso noto lo scorso 7 luglio, nasce dall’esigenza di offrire una risposta a coloro che sono impegnati in questa materia quali consulenti esterni incaricati di redigere il Modello organizzativo oppure chiamati in sede giudiziaria a valutarne l’idoneità e la concreta attuazione.
Sebbene, infatti siano già trascorsi ben quindici anni dall’entrata in vigore del D.Lgs. 231/2001 sulla Responsabilità amministrativa degli enti, il medesimo ancora oggi “continua a rappresentare un tema di estrema attualità, attese le numerose modifiche eseguite dal catalogo degli illeciti che ne determinano l’insorgere” nonché il progressivo ampliamento dei soggetti destinatari della normativa che oggi si indirizza anche agli enti pubblici economici, società miste a partecipazione pubblica, enti del “terzo settore”, studi professionali, eccetera.
Il documento in esame è suddiviso in due parti. Nella prima sezione vengono enunciati i principi generali di redazione del Modello utili per individuare gli obiettivi che devono essere perseguiti e l’ambito operativo entro il quale il consulente dovrà muoversi, oltre che per determinare l’ampiezza dei controlli che dovranno essere predisposti.
Viene evidenziato, innanzitutto come, in fase di predisposizione del Modello organizzativo, ci si debba ispirare al principio di specificità. Ciò comporta che nell’attività di analisi e dei presidi adottati per la gestione dei rischi non solo si dovrà fare riferimento alle best practices e agli orientamenti dottrinali e giurisprudenziali espressi in materia, ma si dovrà necessariamente tener conto anche delle peculiarità dell’Ente e delle specifiche caratteristiche strutturali presenti.
Il Modello 231 andrà “customizzato” alla realtà aziendale e dovrà pertanto, ai sensi dell’articolo 6 del D.Lgs. 231/2001, “prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevedere”.
Strettamente collegato al principio di specificità, anche per alcuni Autori più “circoscritto”, è il principio di adeguatezza con il quale viene sottolineata l’esigenza a che il Modello risulti essere concretamente capace di prevenire i comportamenti non dovuti.
Richiamando lo stesso articolo 6 del citato Decreto, si ribadisce che il Modello debba essere dotato dei requisiti di idoneità ed efficacia. A tale scopo, esso dovrà presentare una “mappa” dettagliata dei processi e delle singole attività aziendali esposte maggiormente ai rischi legati alla commissione dei reati compresi nel catalogo 231, definire i meccanismi preventivi di controllo, assicurando anche un’accurata gestione dei flussi informativi da e verso l’Organismo di Vigilanza, nonché elaborare un sistema disciplinare in grado di sanzionare le condotte non conformi alle prescrizioni dettate dal Modello. Il controllo sulla sua efficace attuazione dovrà presupporre una verifica periodica costante diretta a rilevare le ipotesi di violazione delle procedure e dei protocolli predisposti, oltre che prevedere i controlli opportuni ogniqualvolta intervengano mutamenti nella struttura organizzativa dell’Ente.
Il sistema realizzato deve essere anche conforme al principio di efficienza, ossia la metodologia seguita dovrà condurre l’Ente verso procedure e obblighi meno gravosi per il medesimo. Sarà necessario, altresì, che il Modello si dimostri in grado di adattarsi alle diverse esigenze che possano riscontrarsi nel corso delle attività (principio di flessibilità).
I protocolli e le procedure che si intendono adottare dovranno essere concretamente attuabili (principio di attuabilità) in relazione alla struttura e alle caratteristiche dell’Ente, in quanto un Modello che non possa essere messo in atto per l’eccessiva complessità comprometterebbe l’esplicazione della sua naturale funzione di esimente.
Si afferma che per garantirne l’effettiva attuazione sarà utile che alla sua realizzazione partecipino tutte le funzioni aziendali mediante la trasmissione delle specifiche informazioni che le medesime possono fornire in relazione al ruolo specifico svolto (principio di condivisione).
Tuttavia, pur essendo frutto di un processo organizzativo condiviso, è necessario che le attività correlate alla redazione così come la stesura stessa dell’elaborato vengano concretamente affidate a un gruppo di lavoro composto da soggetti ai quali sia riconosciuto un certo grado di indipendenza e di imparzialità, tali cioè da non subire eventuali pressioni interne (principi di neutralità ed imparzialità).
Il Modello deve mostrare una coerenza tra i protocolli in esso previsti e i principi di comportamento enunciati nel Codice Etico, nonché con i presidi organizzativi e con la documentazione predisposta. Il principio di coerenza impone che le prescrizioni dettate dal Modello siano in linea con le strategiche e le decisioni dell’Ente, che quest’ultime non siano in contrasto con gli obiettivi perseguiti nel sistema di gestione dei rischi 231 e che in sede di verifica siano tempestivamente rilevati eventuali scostamenti tra i risultati ottenuti e quelli attesi.
Infine, nulla si dice in merito alla forma che esso debba assumere ritenendo che “la forma debba essere la logica conseguenza dell’efficacia del Modello” (prevalenza della sostanza sulla forma). Viene posta attenzione alla capacità del documento di perseguire gli obiettivi per i quali viene realizzato ossia di predisposizione di un sistema di gestione dei rischi legati alla commissione dei reati 231. È necessario, inoltre, che non si riferisca alla singola unità organizzativa ma che faccia riferimento all’intera struttura aziendale nel suo complesso (principio di unità) e che a garantirne l’effettiva osservanza da parte di tutti gli interlocutori della Società vi sia un organo indipendente (OdV) addetto specificatamente allo svolgimento della prevista attività di vigilanza.
La SECONDA SEZIONE del documento si sofferma nel dettaglio ad analizzare le singole fasi e le principali attività propedeutiche alla redazione del Modello organizzativo.
Ai fini dell’implementazione del Modello, il CNDCEC evidenzia innanzitutto che è necessario effettuare un check up aziendale per acquisire una compiuta conoscenza della struttura organizzativa e del core business tipico dell’ente. La raccolta e la successiva analisi dei dati riguardanti la Società consentono altresì di compiere una prima individuazione delle c.d. attività “sensibili”, maggiormente esposte ai rischi legati alla commissione dei reati presupposto dal D.Lgs. 231/2001.
Ulteriori informazioni possono essere reperite anche attraverso la somministrazione di questionari e di interviste alle funzioni aziendali, considerate più rilevanti rispetto ad altre, in relazione al grado di responsabilità ed agli specifici compiti ad esse attribuiti.
Terminata la fase di check up, si prosegue con l’analisi dei presidi di controllo interno adottati e contestualmente con la valutazione del grado di rischio presente in ciascun processo/attività sensibile. Sul punto, il CNDCEC pone l’accento sull’opportunità di condurre l’analisi facendosi guidare dai principi dettati dal C.o.S.O Report che suggerisce di analizzare gli elementi aziendali inquadrandoli in cinque distinte componenti:
- ambiente di controllo (control enviroment);
- valutazione del rischio (risk assessment);
- attività di controllo (control activities);
- informazione e comunicazione (information & communication);
- monitoraggio continuo (monitoring).
Tuttavia, in “ottica 231” è essenziale integrare l’analisi svolta secondo le modalità indicate dal C.o.S.O. Reportcon l’identificazione delle singole fattispecie di reato-presupposto che si possono verificare durante lo svolgimento di ciascuna attività sensibile. Il CNDCEC afferma che l’attività di risk assessment, ai fini del Decreto 231 “si estrinseca nell’analizzare la probabilità che l’evento o il comportamento che si cerca di evitare possono verificarsi all’interno dell’Ente/organizzazione, con specifico riferimento alle modalità di commissione dei reati presupposto”.
Diventa fondamentale quindi individuare il livello di rischio a cui è esposta l’organizzazione nelle sue articolazioni, a partire dalla valutazione del potenziale rischio inerente a ciascuna attività, proseguendo con la disamina del grado di probabilità che l’evento illecito possa avverarsi (tenendo altresì conto dei presidi di controllo già adottati dall’Ente) e delle eventuali conseguenze che possono scaturire dalla verificazione dello stesso.
Nel definire i protocolli preventivi e le eventuali azioni di contrasto finalizzati a ridurre/eliminare i fattori di rischio presenti, è necessario stabilire a priori una soglia di accettabilità del rischio che ponga “un limite al numero e all’intensità dei meccanismi preventivi delle misure di prevenzione da introdurre per evitare la commissione dei reati considerati che altrimenti sarebbero virtualmente infiniti”.
Per individuare tale soglia non è sufficiente far riferimento al solo parametro puramente aziendalistico secondo cui il rischio diventa accettabile qualora “i controlli aggiuntivi costano più della risorsa da proteggere”, ma sarà necessario predisporre un sistema di protocolli e meccanismi di controllo interno tale da ridurre il grado di probabilità di commissione dei reati-presupposto sino al limite secondo cui questi ultimi possono verificarsi solo in caso di elusione fraudolenta dei presidi di prevenzione applicati.
Il CNDCEC non manca, inoltre, di sottolineare che il Modello deve integrarsi con gli altri sistemi di gestione dei rischi presenti nell’Ente quale quello previsto in materia antinfortunistica ai sensi del D.Lgs. 81/2008, seppur non può essere considerato in alcun modo sostitutivo del Modello stesso, viste le diverse finalità a cui sono indirizzati i singoli sistemi.
A tal proposito, nel documento viene ribadito l’orientamento già espresso dalla giurisprudenza (Trib. Trani 26.10.2009) secondo cui i Documenti di Valutazione dei rischi ex articoli 26 (DUVRI) e 28 (DVR) del D.Lgs. 81/2008 non sono equiparabili al Modello 231 e non sono idonei ad assicurare l’efficacia esimente stabilita negli articoli 6 e 7 del D.Lgs. 231/2001. Si afferma che “in definitiva rispetto alle prescrizioni del D.Lgs. 81/08 e alle procedure certificate da sistemi quali OHSAS 18001, attraverso l’adozione del Modello l’analisi dei rischi si amplia spostandosi dal solo ciclo produttivo all’intero processo decisionale finalizzato alla prevenzione, individuando altresì le procedure gestionali e finanziarie per mitigare ed attutire i rischi”.
Infine, non è sufficiente che l’Ente adotti un Modello, ma deve necessariamente garantire anche la sua concreta attuazione, pianificando l’attività di formazione rivolta al personale impiegato nell’ente, che dovrà essere personalizzata e differenziata a seconda dei diversi ruoli assunti dai soggetti destinatari e ciò al fine di assicurare una completa diffusione e conoscenza dei protocolli stabiliti nel Modello.
Da ultimo, secondo quanto sancito dall’articolo 6, comma 1, lett. b), il compito di vigilare sul funzionamento e sull’esatta attuazione del Modello, nonché di curarne l’aggiornamento in caso di sopravvenute modifiche normative o di intervenute variazioni della compagine sociale, deve essere affidato ad un apposto Organismo di Vigilanza (OdV).
È chiaro l’intento del CDNCEC di offrire ai professionisti coinvolti a vario titolo in materia 231, sia ai fini della concreta predisposizione del Modello, che in qualità di componenti dell’Organismo di Vigilanza, una sintesi dei principali aspetti elaborati sino ad oggi sulla tematica e di sopperire alla laconicità della disciplina dettata dal legislatore.
Articolo tratto da “Euroconferencenews“