Le recenti Linee guida redatte da Confindustria a supporto della redazione dei Modelli 231 sono state predisposte al fine di «orientare le imprese nella realizzazione dei modelli, non essendo proponibile la costruzione di casistiche decontestualizzate da applicare direttamente alle singole realtà operative». Tale inciso conferma la necessità, da parte delle aziende, di elaborare un modello organizzativo il più aderente possibile alla propria struttura, rifuggendo da documenti standardizzati che nessun ausilio potranno apportare nella corretta mappatura dei processi aziendali e conseguente individuazione di quell’ampia gamma di reati presupposto che, proprio tramite l’adozione di un modello adeguato, l’azienda si prefigge di filtrare al fine di beneficiare delle esimenti previste dalla norma.
Come noto, il Dlgs. n. 231/2001 prevede sanzioni per quegli enti che non si siano organizzati in maniera adeguata per evitare fenomeni criminosi al proprio interno nel caso in cui soggetti funzionalmente ad essi riferibili incorrano nei reati indicati dalla norma. Per garantire la compliance alla normativa, il Modello 231 deve intercettare i rischi più rilevanti per la struttura, attuando idonee strategie per prevenirli o ridurne il potenziale impatto. È quindi necessario effettuare una completa ed esaustiva mappatura delle attività nel cui ambito possono essere commessi i reati contemplati dalla norma, prevedendo di conseguenza specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire, che rappresentino, dunque, delle contromisure rispetto alle criticità e ai profili di rischio individuati. Affinché l’intera organizzazione conosca, assimili e rispetti le prescrizioni del Modello, ne va data diffusa e continua comunicazione all’interno dell’azienda, prevedendo in parallelo un sistema disciplinare in grado di sanzionare il mancato rispetto delle misure organizzative ivi previste. Non da ultimo, deve essere affidato il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del Modello ad un organismo di vigilanza che garantisca elevati livelli di professionalità, competenza e indipendenza.
Il Modello 231 deve intercettare i rischi più rilevanti per la struttura, attuando idonee strategie per prevenirli o ridurne il potenziale impatto
Considerando la complessità della costruzione e relativa implementazione di un efficace Modello 231, nel quale ruoli operativi si intersecano con funzioni di supervisione e vigilanza, è necessario che i soggetti apicali all’interno delle aziende forniscano il loro continuo e prezioso apporto in termini di segmentazione delle procedure, separazione dei ruoli e delle responsabilità all’interno delle proprie divisioni, monitoraggio delle attività svolte e dei comportamenti adottati, comunicazione tempestiva e trasparenza all’Odv e al Cda in caso di deviazioni rispetto al Modello. La giurisprudenza in materia ha più volte evidenziato come l’efficienza e l’efficacia di ogni Modello 231 dipendano dalla concreta e completa aderenza dello stesso alla società o all’ente in oggetto, nella tendenza che l’adozione alla disciplina venga perfezionata in tempi antecedenti a qualunque pendenza giudiziaria.
Fondamentale in tale contesto è in primis la mappatura dei rischi aziendali, finalizzata a verificare l’esistenza di eventuali punti di criticità nel contesto dei principali processi aziendali nei quali potrebbero annidarsi i rischi di commissione di uno dei reati presupposto contemplati dalla norma. Per ciascuno dei processi aziendali, i referenti apicali dovranno identificare sia le procedure che le attività di verifica in essere, oltre che gli eventuali gap esistenti rispetto a un ottimale sistema di controllo interno. Conseguentemente, per ogni fase dei processi analizzati va effettuata una valutazione dei rischi al fine di poter tarare in modo pertinente le azioni di controllo e monitoraggio, nonché le necessarie azioni correttive da parte del management aziendale, dietro impulso dell’Odv che dovrà segnalare al Cda le eventuali carenze procedurali riscontrate rispetto alle previsioni stabilite nel Modello. Il concetto di rischio deve essere analizzato e valutato in base a due assunti cardine, ovvero nella sua probabilità d’accadimento e nell’impatto conseguente. Ne deve quindi derivare una progettazione di sistemi atti ad intercettare i fattori di rischio e riassumerli in un concetto d’accettabilità intrinseca alla società o all’ente. A tale fine, è quindi basilare che gli apicali procedano ad una mappatura dei processi e valutazione dei rischi aderenti alle specifiche dinamiche e complessità aziendali.
Per ogni fase dei processi analizzati, va effettuata una valutazione dei rischi per tarare in modo pertinente le azioni di controllo e monitoraggio, nonché le necessarie azioni correttive da parte del management aziendale
La valutazione del rischio-reato va in particolare effettuata tenendo in considerazione sia il rischio inerente che quello residuale, in base alle singole aree di rischio, dove per inerente si intende il rischio quantificato nell’ipotesi di totale assenza di controlli all’interno dell’azienda e per residuale viene denotato il rischio calcolato in base all’esistenza dei controlli rilevati durante le attività di risk assessment. Una volta definite tali due variabili, il Modello viene solitamente redatto prevedendo una parte generale, che viene generalmente condivisa anche a favore di destinatari esterni rispetto all’impresa, ed una speciale che sarà rivolta esclusivamente alle risorse interne e che andrà declinata in base alle specifiche macro aree di attività/rischio individuate.
Le Linee guida di Confindustria hanno dedicato un interessante approfondimento al tema del sistema integrato di gestione dei rischi di compliance, evidenziando come tale assunto potrebbe consentire alle società di: razionalizzare le proprie attività in termini di risorse, persone e sistemi; migliorare l’efficacia ed efficienza delle attività di compliance; facilitare la condivisione delle informazioni attraverso una visione complessiva delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di conformità, ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti e idonee a impedire la commissione di molti dei reati espressamente previsti come fondanti la responsabilità degli enti.
Una volta predisposto e opportunamente diffuso in azienda, il Modello necessita di adeguata e costante implementazione. In tale ottica, gli apicali giocano un ruolo chiave nel predisporre le azioni necessarie ad un attento monitoraggio dell’implementazione del Modello, consentendo alle divisioni di riferimento di assimilarne gli assunti ed i concetti base, valutando il ricorso a specifiche sessioni di formazione, al fine anche di identificare e valutare nel tempo le eventuali incongruenze che rendono necessario un adeguamento del documento alle evoluzioni delle prassi aziendali. È responsabilità dei soggetti apicali anche il controllo della corretta implementazione del Modello da parte dei propri collaboratori, al fine di identificare eventuali deviazioni rispetto alle previsioni aziendali che debbano essere segnalate al management per le opportune sanzioni.
In occasione delle verifiche e dei controlli svolti dall’Odv, gli apicali sono poi direttamente coinvolti nei colloqui e nelle interviste volte a verificare la corretta implementazione delle procedure, fornendo opportuno riscontro documentale dei monitoraggi svolti ed eventuale evidenza delle anomalie o deviazioni riscontrate nel periodo oggetto di verifica.
