I cinque tipici “errori” dei Modelli 231

A qualche anno di distanza dall’entra in vigore del D.Lgs 231/2001, l’esperienza accumulata da società e professionisti come pure le prime importanti sentenze e interpretazioni giurisprudenziali sull’argomento consentono di fare il punto su quelli che possono definirsi i più tipici “errori” di impostazione e redazione dei Modelli di gestione, organizzazione e controllo previsti dalla normativa.

Come è noto, tra gli elementi che la normativa prevede essere fondamentali ai fini dell’esenzione della responsabilità amministrativa di un ente si annovera il requisito della efficace adozione di “modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi” (art. 6, co.1. lett. a). Al proposito è unanimemente accettato che il termine “modelli” si riferisca ai sistemi di controllo interno che, in quanto tali, devono essere conformi al framework rappresentato dagli standard emanati dal C.o.S.O., Committe of Sponsoring Organizations, nel 1992 (Internal Control Integrated Framework) e nel 2004 (Enterprise Risk Management Framework). Tali standard sono dunque una pietra angolare per tutti i professionisti che si occupano di tale tema, ivi compresi revisori, internal auditor, compliance officer, preposti al controllo interno, dirigenti ai sensi della legge 262/2005 ecc.

**************** KIT CONSULENTE 231 ***********
Tutti gli strumenti per realizzare la consulenza in ambito D.lgs 231/01
*****************************************************

In ossequio a quanto stabilito da tali framework, l’impostazione di un sistema di controllo interno si fonda su diverse componenti quali la definizione degli obiettivi di controllo, la valutazione dei rischi di errore/frode, la definizione di apposite contromisure rispetto ai rischi maggiormente significativi ed il monitoraggio della efficace attuazione e funzionamento delle contromisure adottate (a loro volta fondate su specifiche componenti in termini di “ambiente di controllo” e di “attività di controllo”).
Chi si occupa di tali sistemi sa bene che i controlli devono tradursi, nella pratica, in procedure operative applicate ai diversi processi aziendali come pure in adeguati meccanismi di reporting degli errori/anomalie riscontrate. In tale ottica l’attuazione dei controlli interni richiede l’adeguato bilanciamento tra la dimensione informativa, ovvero l’utilizzo di informazioni e sistemi informativi per raccogliere, elaborare e controllare le attività svolte, e quella organizzativa, ovvero la definizione di opportune regole di suddivisione dei compiti e dei correlati meccanismi (tra i quali il sistema premiante/sanzionatorio, il presidio delle competenze del personale ecc.).
Tale premessa consente di avviare la disamina degli “errori” tipici riscontrabili in tale ambito.

 

1. Predisporre un modello 231 senza alcun corredo di procedure di controllo interno riferite ai singoli processi aziendali (elemento rientrante in quello che, nella pratica, si suole denominare “Parte Speciale” del modello) costituisce un assurdo logico. Solo la disamina delle procedure redatte ed attuate con riferimento agli obiettivi di prevenzione dei reati 231 consente di apprezzare il significato delle logiche di impostazione del sistema di controllo che sono tipicamente contenute nella c.d. Parte Generale; è infatti proprio in tale ottica che la normativa menziona i c.d. “specifici protocolli” all’art. 6, comma 2, lett. b). L’inesistenza di procedure operative redatte con specifico ed esplicito riferimento alla prevenzione dei reati 231 (e non riferiti ad altri obiettivi aziendali) costituisce una lacuna insanabile.

**************** KIT CONSULENTE 231 ***********
Tutti gli strumenti per realizzare la consulenza in ambito D.lgs 231/01
*****************************************************

2. I modelli fanno spesso riferimento ad una valutazione dei rischi di compimento dei reati, in ossequio a quanto previsto dalla normativa all’art. 6, comma 2, lett. a). Nella pratica le “attività nel cui ambito possono essere commessi reati” sono definite “attività sensibili”. Trattasi di una attività di risk assessment e, nonostante gli apprezzabili sforzi di alcune Linee Guida emanate da Associazioni di Categoria, il riferimento metodologico per l’individuazione dei rischi non può che essere costituito dal framework Enterprise Risk Management sopra menzionato.
Il documento stabilisce che la valutazione dei rischi implica l’esplicita identificazione degli eventi negativi (nel caso di specie, i possibili comportamenti attuativi del reato) nonché la valutazione di probabilità e impatto a questi ascrivibile. Nella individuazione dei comportamenti attuativi del reato un riferimento metodologico imprescindibile è costituito dai c.d. fraud schemes, ben noti agli esperti di fraud auditing, che esplicitano le tipiche modalità attuative dei comportamenti fraudolenti. E’ proprio con riferimento a tali elementi che si deve valutare chiaramente l’eventualità che siano posti in essere azioni illecite.
La valutazione dei rischi in termini di probabilità e impatto pone problemi di ordine non solo metodologico ma anche “strategico” che devono trovare adeguata riposta da parte dei vertici aziendali: ma qual è il livello di tolleranza ammesso dalla direzione aziendale con riferimento a possibili comportamenti illeciti?
E’ di tutta evidenza che una attività di risk assessment svolta senza definire i livelli di tolleranza (le cd. risk tolerance) associati alle diverse fattispecie di illecito sia priva di significato sotto il profilo metodologico e, a nostro avviso, insostenibile ai fini della esenzione della responsabilità.
Al proposito risultano essenziali quegli indicatori (KPI, Key Performance Indicator e KRI,Key Risk Indicator) elaborati allo specifico scopo di garantire una elevata efficacia segnaletica dei c.d. red flag, cioè di quelle anomalie che possono rivelare la presenza di una eventuale frode; in questa prospettiva, i menzionati indicatori devono essere il più possibile “vicini” ai processi aziendali, essere raccolti e monitorati con tempestività ed essere agevolmente comprensibili, in modo che il loro valore segnaletico non si presti a errori interpretativi generati da eccessiva discrezionalità; ad evidenza, la progettazione di tali indicatori richiede la profonda comprensione di come determinati fraud scheme possano trovare applicazione in uno specifico processo aziendale, così da definire criteri di controllo, monitoraggio e analisi sufficientemente articolati. Oltre a ciò è anche imprescindibile che siano ben chiarite le soglie di tolleranza oltre le quali gli indicatori in esame forniscono indicazione della presenza di situazioni preoccupanti.
Ad oggi sono davvero ben pochi i modelli che entrano nel merito dei menzionati aspetti, anche nell’ambito della c.d. Parte Generale.

**************** KIT CONSULENTE 231 ***********
Tutti gli strumenti per realizzare la consulenza in ambito D.lgs 231/01
*****************************************************

3. L’ottica di prevenzione degli illeciti prescritta dalla normativa comporta la necessità di spostare il baricentro dei controlli interni su quei sistemi che, strutturalmente, sono applicati ex ante e risultano anche difficilmente “aggirabili”. Ne deriva che i controlli successivi (cd. detective controls) devono essere giudicati consoni solo se possiedono caratteri di elevata efficacia segnaletica e tempestività.
Il massivo utilizzo di controlli automatizzati (automated controls), che tipicamente possiedono tassi di eccezione molto bassi (se non nulli), consente di garantire elevati standard di adeguatezza nel funzionamento dei modelli mentre i controlli svolti dal management e dal personale aziendale (manual controls) devono essere “centellinati” e ridotti al minimo, confinandoli là dove non esistano alternative di possibile automazione.
Analogamente occorre valorizzare i controlli sulle transazioni in quanto queste possono essere presidiate tramite meccanismi di autorizzazione e controllo delegabili ai sistemi informatici; ciò impone la necessità di definire meccanismi di autorizzazione preventiva e regole di controllo degli attributi informativi delle transazioni assai stringenti, in modo da “blindare” l’operatività aziendale entro parametri giudicati accettabili e consentire, successivamente, l’immediata segnalazione di operazioni anomale. Risulta anche imprescindibile applicare strumenti atti a garantire elevati livelli di tracciabilità delle operazioni, mediante sistemi di documentazione delle attività che siano il più possibile delegati ai sistemi informatici difficilmente manipolabili.
Quanto sopra deve trovare opportuna declinazione proprio nella “Parte Speciale” dei modelli 231, ovvero nell’ambito delle procedure operative predisposte in relazione ai singoli processi aziendali.
**************** KIT CONSULENTE 231 ***********
Tutti gli strumenti per realizzare la consulenza in ambito D.lgs 231/01
*****************************************************
4. Tutti i modelli enunciano l’importanza del principio della separazione dei compiti. La componente di “segregation of duties” non deve tuttavia trascurare il fenomeno della collusione tra più soggetti, fermo restando che le procedure dovrebbero essere sempre “a tenuta di frode” perpetrata dal singolo manager o dipendente; atti illeciti che trovano fondamento su comportamenti collusivi dovrebbero dunque essere ridotti drasticamente da adeguati controlli interni, almeno in quelle aree di attività aziendale dove il fenomeno potrebbe produrre un impatto rilevante, se non catastrofico. La collusione non può essere valutata, aprioristicamente, un fattore idoneo a dimostrare l’elusione fraudolenta del modello e, conseguentemente, favorire, per sé, l’esenzione da responsabilità dell’ente.
I modelli devono quindi affrontare il tema di quale sia il livello di rigore richiesto all’applicazione del principio di separazione dei compiti, da un lato, e di quale siano le fattispecie collusive che i controlli interni presidiano, dall’altro.
**************** KIT CONSULENTE 231 ***********
Tutti gli strumenti per realizzare la consulenza in ambito D.lgs 231/01
*****************************************************
5. Tra i vari meccanismi organizzativi previsti dalla componente “ambiente di controllo” merita attenzione specifica il sistema premiante, fondato su incentivi e sanzioni che operano, rispettivamente, nel caso di comportamenti virtuosi e devianti; molto si è scritto e detto in merito alle distorsioni che il sistema degli incentivi può provocare in termini di aumento della propensione a comportamenti fraudolenti; in termini generali, un peso significativo attribuito alla retribuzione variabile rispetto a quella fissa aumenta il rischio di frode, con la conseguente necessità di apportare notevoli rafforzamenti dei controlli proprio in quelle aree di business ed in quei processi aziendali ove le retribuzioni variabili costituiscono un elemento assai appetibile per il management/personale. Con ciò non si esclude a priori l’utilità strategica dei sistemi di retribuzione variabile, ma è quanto mai opportuno potenziare i sistemi di controllo preventivo a presidio di quelle aree ove operano manager e dipendenti che ne beneficiano. Sorprendentemente poco si è scritto e fatto – ed, ancor peggio, si ritrova nei modelli 231 – in relazione a due elementi fondamentali.
Il primo riguarda la previsione di sistemi di incentivo correlati agli esiti delle attività di controllo: se gli obiettivi di controllo anti frode o, in generale, di compliance, sono giudicati importanti dalla direzione e dagli azionisti, ad essi dovrebbero essere collegati sistemi premianti. I modelli 231 prevedono quanto sopra?
Il secondo elemento si richiama alla “dark side” dei sistemi premianti, ovvero ai sistemi sanzionatori, che esercitano un ruolo di deterrenza in tutti gli ambiti il cui il controllo ha una prospettiva di compliance e anti frode ovvero ove si intenda rafforzare l’attitudine alla legalità.
Anche il D.Lgs. 231 afferma la rilevanza del “sistema disciplinare” (art. 6, comma 2, lett. e), e poco si occupa – ben comprensibilmente – del sistema premiante. E’ ben noto che la progettazione di meccanismi sanzionatori risulti particolarmente complessa e delicata richiedendo opportuno coordinamento con la normativa giuslavorista, ma a tale aspetto occorre dedicare particolare enfasi allo scopo di esplicitare i profili di responsabilità penale e civile in ottica anti frode.
I modelli 231 devono essere chiari sui temi sopra menzionati, anche in virtù della loro pericolosità nella generazione di comportamenti illeciti.
In conclusione, si osserva che i modelli in argomento costituiscono un corredo all’esistenza, ed efficace attuazione, di procedure 231 applicate ai singoli processi aziendali. Questi, però, aggiungono valore alle procedure esistenti solo qualora rappresentano un documento di sintesi dell’approccio aziendale al controllo interno ai fini della citata Legge; in termini più espliciti il modello risulta efficace solo se affronta con chiarezza i cinque snodi metodologici menzionati, oltre ad altri aspetti previsti dalla normativa, quali il sistema di formazione e comunicazione, l’Organismo di Vigilanza ecc.
Si auspica che, a dieci anni dall’entrata in vigore della normativa, enti e professionisti coinvolti operino in queste direzione consentendo così la “reale” attuazione delle finalità previste dalla Legge.
Fonte: Il Sole 24 Ore – Diritto 24

La nuova prescrizione dei reati presupposto 231

Pubblicato su www.alert231.it un nuovo documento sulla nuova prescrizione dal 2020 dei reati presupposto 231

Nuova richiesta di preventivo consulenza modello 231

Azienda farmaceutica richiede un preventivo per realizzare il modello 231.

Maggiori informazioni su www.edirama.org

Categorie:Senza categoria

Raddoppiate le segnalazioni di Whistleblowing

 

Leggi l’articolo completo su www.alert231.it

Sentenza e sanzione causa ODV

******** NOVITA’ – SOFTWARE PER VERIFICARE ATTIVITA’ ORGANISMO DI VIGILANZA*******
home

“La Corte d’appello di Brescia, nell’esaminare il criterio di imputazione oggettiva ai sensi dell’art. 5 d.lgs 231 del 2001, ha sostanzialmente evidenziato il vantaggio dell’ente consistito nella velocizzazione degli interventi manutentivi sulla linea di verniciatura e nel risparmio sul materiale di scarto derivante dalla verifica operata mediante l’avvicinamento ai rulli in movimento, sottolineando la stretta correlazione tra i tempi di lavorazione e la velocità di individuazione del rullo generatore del difetto. Ha, inoltre, precisato che il modello organizzativo adottato, sebbene conforme alle norme BS OHSAS 18001:2007, non era stato efficacemente attuato, come richiesto dall’art. 6 co. 1 lett. a) del d.lgs. 231 del 2001: pur essendosi provveduto all’analisi dei rischi con riferimento all’impianto di verniciatura e, segnatamente, all’attività dei capi turno, l’istruzione operativa predisposta era incompleta (IO VERN 01 del 18/01/2014) rispetto alle modalità di ricerca e soluzione dei difetti sul nastro (l’attività, per l’appunto, che stava svolgendo la vittima nell’occorso). Inoltre, le istruzioni operative IO VERN 02 e 03 riguardavano altre figure professionali (addetto cabina verniciatura e addetto linea uscita verniciatura) e tutte le altre (da 04 a 015) erano riferibili alla manipolazione e allo stoccaggio di prodotti e smalti vari per impianti di verniciatura. Era inoltre mancata un’attività di monitoraggio sulle misure prevenzionistiche già approntate in azienda e di adeguamento della specifica procedura ai rischi propri dell’attività di ricerca dei difetti sul nastro. Ulteriori addebiti erano stati segnalati dalla ASL, anche con riferimento alle attività di audit e ai ritardi nella esecuzione delle attività previste dall’Action Pian (in particolare, nella redazione delle procedure per effettuare i controlli, poiché l’avvio delle attività di verifica in materia di salute e sicurezza era stata pianificata per il febbraio 2015).

Il giudice d’appello non ha formulato le sue valutazioni sulla scorta di meccanismi presuntivi, né operato un’inammissibile sovrapposizione tra la violazione delle norme prevenzionali e la insufficienza delle procedure adottate: contrariamente a quanto affermato in ricorso, l’attenzione del giudice si è focalizzata sull’inefficace attuazione del modello adottato, sia con riferimento alla mancata previsione di istruzioni operative per l’attività di rilevamento del difetti sopra descritta; che avuto riguardo all’attività di monitoraggio, anch’essa inadeguata rispetto ai rischi esistenti e alla realizzazione di un sistema di vigilanza – da parte del competente organismo – che riguardasse l’attuazione del modello organizzativo e non la concreta osservanza, nei luoghi di lavoro, delle norme in esso previste, come affermato dalla difesa.”

Fonte Olympus

I flussi informativi verso l’ODV

In questo video utili indicazioni inerenti i flussi informativi verso l’ODV 231.

******** NOVITA’ – SOFTWARE PER VERIFICARE ATTIVITA’ ORGANISMO DI VIGILANZA *******
home

Responsabilità amministrativa anche per i reati tributari

A stabilirlo è la legge di delegazione europea che all’art. 3 (Princìpi e criteri direttivi per l’attuazione della direttiva (UE) 2017/1371, relativa alla lotta contro la frode che lede gli interessi finanziari dell’Unione mediante il diritto penale), prevede che nell’esercizio della delega per l’attuazione della direttiva (UE) 2017/1371 del Parlamento europeo e del Consiglio, del 5 luglio 2017, il Governo è tenuto a seguire, oltre ai princìpi e criteri direttivi generali di cui all’articolo 1, comma 1, anche i seguenti princìpi e criteri direttivi specifici: lett. e) integrare le disposizioni del decreto legislativo 8 giugno 2001, n. 231, recante disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, prevedendo espressamente la responsabilità amministrativa da reato delle persone giuridiche anche per i reati che ledono gli interessi finanziari dell’Unione europea e che non sono già compresi nelle disposizioni del medesimo decreto legislativo.”

Da tantissimo tempo si discute in merito all’introduzione, fra i reati presupposto 231, dei cd reati tributari. A dire la verità ci ha provato anche la giurisprudenza di merito con alcune pronunce pionieristiche le cui motivazioni si reggevano sulla leva di alcuni reati affini, come la truffa ai danni dello Stato. Al contrario invece si è comportata la giurisprudenza di legittimità. Attualmente infatti i reati tributari possono essere contestati solamente quando rientrano nel disegno criminoso di cui dall’art. 416 del c.p.

Per il momento la legge di delegazione europea obbliga l’Italia ad introdurre la responsabilità per frodi iva lasciando poi la valutazione sull’opportunità di comprendere tutto il penale tributario. Ciò peraltro dovrà avvenire con tempistiche tutt’altro che bibliche, atteso che il recepimento della direttiva deve avvenire entro il 6 luglio.