Modello organizzativo a fini 231/01: organizzazione, efficienza e informatica

Evitate un approccio “penalistico” senza una visione organizzativa.

Il Decreto Legislativo 231/01 (di seguito anche solo il Decreto) disciplina la responsabilità diretta delle aziende e degli enti, in aggiunta a quella delle persone fisiche che hanno materialmente commesso il reato. La lista dei reati è tuttora in continuo aggiornamento. I principali sono: a) reati di natura colposa, omicidio e lesioni gravi o gravissime, connessi alla tutela della salute e sicurezza sui luoghi di lavoro; b) reati societari (es. falso in bilancio, false comunicazioni sociali, etc.); c) reati di ricettazione, riciclaggio, auto-riciclaggio e impiego di denaro, beni o utilità di provenienza illecita; d) delitti informatici; e) delitti contro l’industria e il commercio. f) reati ambientali, g) abusi di mercato, h) induzione a rendere dichiarazioni mendaci.

L’adozione di un modello a fini 231/01 non è obbligatoria per le aziende, ma la mancata adozione sottopone l’azienda, nel caso in cui uno dei reati previsti dal decreto sia commesso, al rischio di pesantissime sanzioni (previste dall’art. 9 del Decreto ed in particolare: a) sanzione pecuniaria; b) sanzioni interdittive; c) confisca; d) pubblicazione della sentenza). In alcuni casi l’adozione di un modello 231/01 diventa un prerequisito necessario per la partecipazione a bandi di gara pubblici. Ancora il modello 231 è uno dei criteri per l’ottenimento o miglioramento del rating di legalità. Infine l’adozione intelligente di un modello 231/01 comporta un sicuro miglioramento dell’organizzazione aziendale.

La normativa 231 si applica dunque a tutte le aziende! Ovviamente non tutti gli enti sono esposti al medesimo rischio di incorrere in un reato 231. È importante per ogni azienda analizzare attentamente (cosiddetto “risk assessment”) il perimetro di applicabilità, ovvero verificare l’attinenza rispetto alle attività svolte dalla Società di ogni singola fattispecie di reato. Tale attività è di fondamentale importanza in quanto permette di concentrare gli sforzi, anche economici, nella prevenzione della commissione di quei reati “potenzialmente” verificabili nella realtà aziendale in questione.

E cosa deve fare un’azienda per risultare conforme al D.Lgs. 231/2001? Deve dimostrare che ha messo in atto un’organizzazione (dei controlli, delle procedure) al fine di ridurre al minimo il rischio (che va misurato) di incorrere in un reato 231. La predisposizione di un Modello Organizzativo che riepiloghi tutte le misure preventive nell’ipotesi di contestazione di un reato si traduce in un importante strumento difensivo. Ma “lasciamo la parola” alla norma ed in particolare all’art. 6, comma 2 del Decreto:

“In relazione all’estensione dei poteri delegati e al rischio  di commissione dei reati, i modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze:
a)  individuare  le  attività  nel  cui  ambito  possono  essere commessi reati;
b)  prevedere  specifici  protocolli  diretti  a  programmare  la formazione e l’attuazione delle decisioni dell’ente in  relazione  ai reati da prevenire;
c) individuare modalità di gestione  delle  risorse  finanziarie idonee ad impedire la commissione dei reati;
d)   prevedere   obblighi   di   informazione    nei    confronti dell’organismo deputato a vigilare sul funzionamento  e  l’osservanza dei modelli;
e) introdurre un sistema  disciplinare  idoneo  a  sanzionare  il mancato rispetto delle misure indicate nel modello. “

E ancora l’art. 7, comma 3

“Il modello prevede, in relazione alla natura e alla dimensione dell’organizzazione  nonché  al  tipo  di  attività  svolta, misure idonee  a  garantire lo svolgimento dell’attività nel rispetto della legge  e  a  scoprire  ed  eliminare  tempestivamente  situazioni  di rischio.”

Il Modello di organizzazione, gestione e controllo è il sistema organizzativo dell’azienda o dell’ente in genere, che mira a impedire o contrastare la commissione dei reati sanzionati dalla 231 da parte degli amministratori o dipendenti. In quanto sistema esso si articola in diverse componenti, tra cui a titolo di esempio: linee guida, principi, procure, deleghe, processi, procedure, istruzioni, software, standard, programmi di formazione, clausole, organi, piani, report, check list, metodi, sanzioni, internal auditing, etc.
Alcune componenti del Modello 231 sono caratteristiche (ad esempio Organismo di Vigilanza, identificazione e valutazione attività c.d. sensibili in quanto a rischio-reato, codifica degli obblighi informativi in favore dell’Organismo di Vigilanza, etc.), altre non caratteristiche ed, eventualmente, esistenti in azienda indipendentemente dai requisiti 231 (ad esempio procedure, sistema disciplinare, internal auditing, etc.).

È assolutamente necessario che il Modello sia documentato e formalmente adottato dalla società o ente in genere attraverso un atto formale del massimo organo (nel sistema tradizionale il Consiglio di Amministrazione). Infine è necessario che il Modello sia concretamente in esercizio (assicurando ad esempio l’effettiva operatività di una procedura), verificato e aggiornato periodicamente.

Ancora il Decreto prevede che la Società si doti di un organismo di controllo, ma di nuovo “lasciamo la parola” al Decreto stesso dove all’articolo 6, comma 1 afferma che l’ente non risponde dei reati “se prova che: a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l’osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo; ”

Cosa fare dunque?

L’ente deve innanzitutto effettuare una valutazione di efficacia ed efficienza: pensare di adottare un modello ai fini 231/01 solo “sulla carta” è una scelta totalmente insensata (non servirebbe a nulla). Un’azienda che intenda percorrere questa strada deve quindi sapere che un modello 231 ha un costo non solo di impianto, ma anche nel continuo (almeno il costo per la remunerazione dell’organismo di vigilanza e i costi aggiuntivi diretti o indiretti che i presidi organizzativi aggiuntivi previsti dal modello comporteranno). Naturalmente questi non vanno intesi come costi inutili, ma come costi “sostenuti a fini assicurativi” o più probabilmente dei risparmi (ahimè difficilmente valutabili … se ho prevenuto il verificarsi di un incidente nel posto di lavoro come potrò accorgermene?). Se poi avremmo adottato un modello organizzativo complessivo più efficiente (in genere) del precedente, forse il modello potrà diventare un risparmio.

Venendo all’organismo di vigilanza è evidente che un’azienda di piccole dimensioni senza particolari rischi significativi in termini di sicurezza sul posto di lavoro, non possa (ragionevolmente) permettersi una pluralità di controllori coinvolti nell’organismo pena la lievitazione notevole dei costi (sconsigliamo quindi il luminare del diritto senza competenze organizzative). A giudizio di chi scrive riveste particolare importanza la scelta di privilegiare la scelta di professionisti in possesso anche di competenze organizzative e metodologie di misurazione dei rischi e di controllo (risk manager, internal auditor, etc. ) in grado di poter pensare delle soluzioni organizzative efficienti ed efficaci. È infatti di tutta evidenza come solo la reale applicazione del modello sia l’unico elemento che consente l’esclusione delle sanzioni (vedi art. 6, comma 1 precedentemente citato); diversamente ogni sforzo organizzativo ed economico sarà, per definizione, stato intrapreso inutilmente. In tal senso riteniamo che una gestione informatizzata dei processi e dei programmi di conformità alla 231 sia un prerequisito per la reale applicazione del modello. Suggeriamo quindi di diffidare da approcci esclusivamente “penalistici” (obiettivo primario di un modello organizzativo “ragionevole” deve essere la prevenzione dei reati non l’avere dei presidi che nel malaugurato caso di un procedimento penale meglio consentano di difendere l’azienda) che porteranno nel migliore dei casi alla sola produzione di protocolli organizzativi totalmente disapplicati in quando avulsi dalla realtà aziendale (e quindi inutili per definizione per le finalità del modello).

In aziende di dimensioni più significative si potrà valutare di affiancare o inserire nell’organismo professionalità, conoscenze e competenze necessarie per completare le competenze dell’organismo (ad esempio, un avvocato penalista, potrebbe essere importante per pensare essere dei presidi utili per un’eventuale difesa in sede penale, un esperto in sicurezza e ambiente, esperti del settore di appartenenza, etc.): permetteteci di dire che non è un requisito imprescindibile.