L`Organismo di vigilanza nel sistema integrato

BILANCIO
L’Organismo di vigilanza nel sistema integrato
dei controlli interni
di Manuela Grassi – avvocato*
Il D.Lgs. n.231/01 (art.6) prevede l’istituzione di un “organismo dell’ente dotato di autonomi poteri di
iniziativa e di controllo” (Organismo di vigilanza o compliance officer), che sovraintenda al funzionamento,
all’osservanza e all’aggiornamento dei modelli organizzativi nelle dinamiche interne all’ente. A questo
proposito, assume rilievo la predisposizione di efficienti flussi informativi endosocietari, in chiave di
prevenzione e gestione del rischio-reato. In linea generale, gli obblighi di informazione previsti dall’art.6
del Decreto si traducono nella predisposizione di protocolli e procedure che prevedono un sistema di
flussi di dati e notizie tra i vari organi sociali, le varie funzioni aziendali e OdV (il cui ruolo è di norma
dettagliatamente descritto nel modello di organizzazione e gestione preordinato all’esonero dell’ente
dalla responsabilità amministrativa da reato), al fine di monitorare e verificare l’attualità e l’adeguatezza
del modello, del codice etico, dei protocolli e delle procedure interne.
Il sistema di prevenzione 231
responsabilità, ove abbia adottato ed efficacemente
attuato, prima della commissione del fatto, modelli
di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi.
L’indicato “modello di organizzazione e controllo” è
perciò “uno strumento di gestione del rischio specifico di realizzazione di determinati reati”5, con i seguenti contenuti (art.6, co.2)6:
1. individuazione delle attività nel cui ambito possono essere commessi i reati, in ragione delle
cosiddette “vulnerabilità oggettive”;
2. prevenzione del rischio, attraverso l’adozione di
protocolli dotati di specificità e diretti a programmare la formazione e l’attuazione delle decisioni
dell’ente in relazione ai reati da prevenire;
3. individuazione di modalità di gestione delle risorse finanziarie che consentano, anzitutto, la
tracciabilità di ogni singola operazione;
4. previsione di obblighi di informazione nei confronti dell’organismo deputato alla vigilanza sul
funzionamento e l’osservanza del modello;
5. adozione di un sistema disciplinare specifico e
idoneo a perseguire e sanzionare l’inosservanza
delle misure organizzative predisposte.
Il D.Lgs. n.231/01, che istituisce e disciplina la responsabilità degli enti collettivi “per gli illeciti amministrativi dipendenti da reato”1, ha allineato il nostro
ordinamento alla normativa internazionale2.
Di conseguenza, l’ente risponde degli illeciti penali
posti in essere, nel suo interesse o a suo vantaggio,
da soggetti in c.d. “posizione apicale” o dai c.d. “sottoposti”, fatta salva l’ipotesi in cui essi abbiano agito
nell’esclusivo interesse proprio o di terzi (art.5, co.2).
Accanto ai descritti criteri di imputazione “oggettiva”, occorre, sul piano “soggettivo”, che il fatto-reato
esprima la politica aziendale o, almeno, derivi da una
“colpa di organizzazione”3, affinché sia rimproverabile all’ente, nel rispetto del principio di cui all’art.27
Cost.4.
In quest’ottica devono essere lette le disposizioni degli artt. 6 e 7 del Decreto, che esonerano l’ente da
* Con il contributo di Cecilia Brajkovic.
1
Tali fattispecie (artt.24-25 duodecies, D.Lgs. n.231/01 e s.m.i.) sono definite “reati-presupposto”; la terminologia è intesa a distinguere l’illecito
amministrativo, ascritto all’ente, dal fatto di reato, commesso dalla persona fisica, ove il secondo costituisce un presupposto, ma non coincide
con il primo (cfr. Rosi, Criminalità organizzata transnazionale e sistema
penale italiano. La Convenzione ONU di Palermo, Ipsoa, Milano, 2007,
260); sul progressivo superamento del criterio di elencazione tassativa
dei reati-presupposto, per effetto dell’introduzione dell’art.24-ter, cfr.
Cadoppi, Garuti, Veneziani, Enti e responsabilità da reato, Utet, Torino,
2010, pag.314.
2
Il provvedimento attua la delega al Governo, di cui all’art.11 L.
n.300/00, di ratifica della Convenzione sulla tutela degli interessi finanziari delle Comunità europee, stipulata a Bruxelles il 26 luglio 1995, e i
successivi protocolli, ad essa relativi. Per un excursus storico sulle origini
del D.Lgs. n.231/01 cfr. Cass. (S.U.) n.26654/08, in CED Cass. pen., 2008;
cfr. anche Zannotti, “Il nuovo diritto penale dell’economia. Reati societari
e reati in materia di mercato finanziario”, Giuffré, Milano, 2008, pag.45.
3
Cfr. Relazione ministeriale al D.Lgs. n.231/01.
4
Sulla responsabilità dell’ente per fatto proprio, cfr. Cass. n.27735/10, in
CED Cass. pen., 2010.
Trib. Napoli, 26 giugno 2007, in Dir. e prat. soc., 2008, 4, pag.71.
Tale articolazione trova riscontro nell’art.30 D.Lgs. n.81/08, secondo
cui il Modello 231 deve assicurare un sistema aziendale per l’adempimento degli obblighi giuridici in materia di tutela della salute e della sicurezza nei luoghi di lavoro, prevedendo, fra l’altro, periodiche verifiche
dell’applicazione e dell’efficacia delle procedure adottate, un idoneo sistema di controllo sull’attuazione del modello e sul mantenimento, nel
tempo, delle condizioni di idoneità dello stesso, un sistema disciplinare
idoneo a sanzione l’inosservanza delle misure adottate; esso, dunque, si
differenzia dal “documento di valutazione dei rischi”, ove il secondo analizza i rischi del ciclo produttivo e il primo quelli del processo decisionale
dell’ente (cfr. Trib. Trani, sez. dist. Molfetta, 11 gennaio 2010, in www.
informaimpresa.it).
5
6
29
La circolare tributaria n.dodici del 27 marzo 2015
BILANCIO
Per quanto l’adozione del modello sia un mero
onere per l’ente7, secondo il concorde orientamento della giurisprudenza8, che ha ricevuto il
recente avallo delle Sezioni Unite della Cassazione9, l’omesso adempimento fonda il rimprovero
di colpa d’organizzazione, senza che ciò configuri
alcuna inversione dell’onere probatorio10.
rilevanti;
b) analisi dei rischi potenziali per ottenere una
“mappa” documentata delle potenziali modalità
attuative degli illeciti nelle aree a rischio;
c) valutazione/costruzione/adeguamento del sistema dei controlli preventivi che tracci un quadro
documentato del sistema esistente e degli adeguamenti eventualmente necessari, affinché il
rischio di commissione dei reati sia ridotto a un
livello “accettabile”14.
A tal fine, il sindacato giurisdizionale ha per oggetto:
• sia l’idoneità del modello che, in quanto strumento organizzativo della vita dell’ente, deve
caratterizzarsi per la sua concreta e specifica efficacia e per la sua dinamicità, dovendo, perciò,
“scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente
giuridico-formale”11;
• sia l’efficacia della sua attuazione, in relazione ai
concreti presidi presenti nella singola realtà operativa.
La gestione dei rischi12 è, dunque, un processo
“maieutico”13, che le imprese attivano al loro interno, sulla base di una metodologia condivisa che si
articola in:
a) inventariazione degli ambiti aziendali di attività
per “mappare” le aree aziendali a rischio e i reati
Il sistema di controllo interno e il principio
della compliance integrata
All’interno di un ente sono presenti vari livelli di presidio15:
1. gli organi delegati “curano” che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alla dimensione dell’impresa
(art.2381, co.5 cod.civ.);
2. il Consiglio di Amministrazione ne “valuta” l’adeguatezza sulla base delle informazioni ricevute
(art.2381, co.3 cod.civ.);
3. il collegio sindacale (art.2403, co.1 cod.civ.), il
consiglio di sorveglianza (art.2409-terdecies,
co.1, lett.c cod.civ.) o il comitato per il controllo
sulla gestione (art.2409-octiesdecies, co.5, lett.b,
cod.civ.) “vigilano” sull’adeguatezza;
4. il dirigente preposto alla redazione dei documenti
contabili societario “predispone adeguate procedure amministrative e contabili per la formazione
del bilancio di esercizio e, ove previsto, del bilancio
consolidato nonché di ogni altra comunicazione di
carattere finanziario” (art.154 bis T.U.F.).
Sotto il profilo strutturale, si distinguono:
• controlli di linea, svolti dalle singole unità operative sui processi di cui hanno la responsabilità
gestionale;
• attività di monitoraggio, svolta dai responsabili
di ciascun processo, sulla base di controlli gerarchici;
• revisione interna (internal audit), svolta da soggetti indipendenti, sul disegno e sul funzionamento del sistema complessivo.
Cfr. Cass. n.32626/06, in Dir. e prat. soc., 2007, 6, 58, con nota di Gliatta, che ha escluso che la normativa di cui al D.Lgs. n.231/01 preveda
alcuna forma di imposizione coattiva dei modelli organizzativi, la cui adozione è viceversa spontanea e può determinare, in alcuni casi, la esclusione della responsabilità (art. 6), in altri un sollievo sanzionatorio (artt.
17, 78) e, nella fase cautelare, la sospensione o la non applicazione di
misure interdittive (art. 49). In deroga a tale principio, la Consob, con
delibera n. 15786/07, ha modificato il Regolamento dei mercati di Borsa,
prevedendo l’adozione obbligatoria del modello organizzativo per le società rientranti nel c.d. segmento “STAR”.
8
Inter plurimis, cfr. Cass. n.36083/09, in CED Cass. pen., 2009, per la
quale, l’omessa adozione dei modelli, in presenza degli altri requisiti
oggettivi e soggettivi di imputazione, è sufficiente ad integrare la fattispecie sanzionatoria: “in tale concetto di “rimproverabilità” è implicata
una forma nuova, normativa, di colpevolezza per omissione organizzativa e gestionale”; in senso sostanzialmente conforme, fra l’altro, Cass.
n.27735/10, in Guida al diritto, 2010, 39, 98; Trib. Milano, 28 aprile 2008,
Foro ambrosiano, 2008, 3, 329.
9
Cass. n.38343/14, in CED Cass. pen., 2015.
10
L’onere di dimostrare la commissione dell’illecito penale da parte della persona fisica inserita nell’organizzazione della societas, infatti, resta a
carico dell’accusa e si estende, “per rimbalzo”, dall’individuo all’ente collettivo (la considerazione si riferisce al fatto illecito commesso dai vertici
ex art. 6 del Decreto).
11
Trib. Milano, 20 settembre 2004, in Foro it., 2005, 10, II, 528 (ord. ex
art.45 D.Lgs. n.231/01; G.i.p. dott.ssa Secchi). Nel medesimo senso, cfr.
Relazione illustrativa (“requisito indispensabile perché dall’adozione del
modello derivi l’esenzione da responsabilità dell’ente è che esso venga
anche efficacemente attuato: l’effettività rappresenta dunque un punto
qualificante ed irrinunciabile del nuovo sistema di responsabilità”) e Linee Guida di Confindustria (2014), che sottolinea il principio di effettività, anche in relazione all’istituzione dell’OdV.
12
Cfr. Pesenato, Pesenato, Organismo di Vigilanza ex D.Lgs. n.231, Ipsoa,
Milano, 2015, che definisce il c.d. Risk Approach nelle sue 3 componenti: As is analysis (analisi dell’esistente), Risk Assessment (valutazione del
rischio) e Risk Management (gestione del rischio).
13
Linee Guida Confindustria (2014).
7
La soglia di accettabilità si connota diversamente secondo che il reato
sia doloso, nel qual caso il sistema di prevenzione deve essere tale da non
poter essere aggirato se non fraudolentemente (cfr. Cass. n.4677/13, in
CED Cass. pen., 2013), oppure colposo, ove è sufficiente che la condotta
sia realizzazione in violazione del Modello, nonostante l’osservanza dei
doveri di vigilanza da parte dell’organismo ad essa preposto.
15
Il riferimento, per semplicità, è alla struttura base della società di
diritto comune, fatta salva la disciplina specifica prevista per le società
quotate, per i gruppi internazionali (es. Modello di controllo contabile
previsto dalla Section 404 Sarbanes-Oaxley Act) e le disposizioni vigenti
nel settore bancario, assicurativo e degli intermediari finanziari.
14
30
La circolare tributaria n.dodici del 27 marzo 2015
BILANCIO
Questo “reticolo”16 di controlli interni17 interseca la
funzione di vigilanza esercitata, ai sensi dell’art.6,
co.1, lett.b, D.Lgs. n.231/01, da un “organismo
dell’ente dotato di autonomi poteri di iniziativa e di
controllo”, che cura il funzionamento, l’osservanza
e l’aggiornamento dei modelli organizzativi adottati
dall’ente18.
L’integrazione delle funzioni di controllo, attraverso la predisposizione di efficienti flussi informativi
endosocietari19, è fondamentale per evitare i rischi
determinati da sovrapposizione di ruoli, con i conseguenti conflitti negativi di competenza, e prevalenza
dei controlli indiretti su quelli diretti, che si risolverebbero in un difetto di efficienza ed efficacia dell’intero sistema di prevenzione.
La necessità di assicurare l’autonomia dell’Odv nell’esercizio dei poteri di iniziativa e controllo ha portato
a ritenere, in un primo momento, che si dovesse
costituire un organismo diverso e ulteriore rispetto
a quelli di controllo interno delle società previsti a
fini civilistici (cioè: il collegio sindacale nel sistema
tradizionale, il consiglio di sorveglianza nel sistema
dualistico, il comitato di controllo nell’ambito del
CdA nel sistema monistico), come pure ha portato
ad escludere il ricorso alle strutture di internal audit
eventualmente già esistenti nella società, cui pure in
un primo momento la prassi si era frequentemente
orientata22.
Questa impostazione è stata di recente superata dal
Legislatore che è intervenuto con la L. n.18/11 a modificare, con decorrenza dal 1°gennaio 2012, l’art.6
D.Lgs. n.231/01, inserendo al co.4-bis la previsione
esplicita che le funzioni assegnate all’OdV possano
essere svolte dal collegio sindacale, dal consiglio di
sorveglianza o dal comitato per il controllo della gestione, nelle società di capitali23.
L’immedesimazione fra sindaci e componenti
dell’OdV è posta come regola generale per gli istituti
bancari dalle “Disposizioni di vigilanza prudenziale
per le banche – sistemi dei controlli interni, sistema
informativo e continuità operativa”, emanate dalla
Banca d’Italia nel mese di luglio 2013, all’esito della
consultazione avviata con documento del 4 settembre 2012, con l’obiettivo di accorciare e semplificare
la catena dei controlli, recuperando efficacia24.
Con specifico riguardo al sistema di prevenzione
231, l’art.6, co.2, lett.d del Decreto, si limita a
disporre che il Modello debba “prevedere obblighi di informazione nei confronti dell’organismo
deputato a vigilare sul funzionamento e l’osservanza dei modelli”20; soccorrono, al riguardo, le
guidelines elaborate dalle associazioni di categoria21, anche sulla base della giurisprudenza
formatasi in materia, le quali prevedono linee di
reporting “da” e “verso” l’OdV.
Montalenti, “Amministrazione e controllo nella società per azioni: riflessioni sistematiche e proposte di riforma”, in Riv. soc., 2013, fasc. 1, 42.
17
Il sistema di controllo interno è “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio
dei principali rischi … tale sistema è integrato nei più generali assetti
organizzativi e di governo societario adottato dall’emittente” (Borsa Italiana s.p.a., Codice di autodisciplina, 2014, 29).
18
A tal fine, l’OdV si dota di un proprio regolamento, che disciplini, fra
l’altro, le risorse a disposizione, la convocazione, il voto e le delibere;
le disposizioni relative a nomina, revoca, durata in carica, sostituzione,
funzioni e poteri dell’OdV sono, invece, contenute nel Modello 231.
19
L’adozione di un modello da parte di un ente ai sensi del Decreto
contempla abitualmente, in tale ottica, flussi informativi nei confronti
del consiglio di amministrazione e del collegio sindacale e dell’organo
di controllo interno della società oggetto del Modello: ciò in quanto il
consiglio di amministrazione è il fulcro decisionale della società, mentre
il collegio sindacale è considerato uno degli “interlocutori “istituzionali”
dell’Organismo. I sindaci, infatti, essendo investiti della responsabilità di
valutare l’adeguatezza dei sistemi di controllo interno (in modo specifico
nelle SPA, quotate e non; in via indiretta nelle SRL, in base al dovere di
vigilare sulla correttezza dell’amministrazione), dovranno essere sempre
informati dell’eventuale commissione dei reati considerati, così come di
eventuali carenze del Modello. In taluni casi, rientranti nella patologia
aziendale, poi, l’Organismo potrà riferire al collegio sindacale affinché
questo si attivi secondo quanto previsto dalla legge” (“Linee guida per la
costruzione dei modelli di organizzazione, gestione e controllo approvate da Confindustria il 7 marzo 2002 ed aggiornate al 31 marzo 2008”, 34).
20
La stessa Relazione ministeriale precisa soltanto che, “per garantire la
massima effettività del sistema, è disposto che la societas si avvalga di
una struttura che deve essere costituita al suo interno (onde evitare facili
manovre volte a precostituire una di patente di legittimità all’operato
della societas attraverso il ricorso ad organismi compiacenti, e soprattutto per fondare una vera e propria colpa dell’ente), dotata di poteri
autonomi e specificamente preposti a questi compiti”.
21
Confindustria, ABI (Associazione Bancaria Italiana).
16
I flussi informativi in entrata
L’OdV deve, anzitutto, poter accedere a tutte le fonti
di informazione dell’ente, senza necessità di autorizzazione, nel rispetto dell’obbligo di riservatezza posto a carico di ciascun componente25.
Il dovere informativo riguarda, quindi, le funzioni
aziendali a rischio reato e ha per oggetto:
a) le risultanze periodiche dell’attività di controllo
che queste compiono in applicazione dei modelli
(es. report riepilogativi dell’attività svolta, attività
di monitoraggio, indici consuntivi ecc.);
Cfr. T. Epidendio, in “Responsabilità ‘penale’ delle persone giuridiche”,
a cura di A. Giarda e AA.VV., Ipsoa, 2007, pagg.74 e 75.
23
Negli enti di piccole dimensioni era già previsto dal co.4 dell’art.6 che i
compiti dell’OdV potessero essere svolti direttamente dall’organo dirigente.
24
Cfr. anche Borsa Italiana s.p.a., cit., 35: “nell’ambito di una razionalizzazione del sistema dei controlli, gli emittenti valutano l’opportunità
di attribuire al collegio sindacale le funzioni di organismo di vigilanza
ex D.Lgs. 231/01”. Per una nota critica sull’iniziativa, cfr. le Osservazioni
dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs.
n.231/01 (AODV231) (www.aodv231.it).
25
Cfr. Linee Guida ABI.
22
31
La circolare tributaria n.dodici del 27 marzo 2015
BILANCIO
b) le anomalie o atipicità riscontrate nell’ambito
delle informazioni disponibili26.
La struttura dei flussi pone in luce la diversità dei
ruoli in materia di prevenzione dei reati:
• l’azione di controllo spetta al management;
• l’OdV opera, invece, quale meccanismo di assurance, valutando gli esiti di controlli già eseguiti27.
A tal fine, è opportuno che la circolazione interna di
informazioni sia regolamentata attraverso la previsione di28:
• procedure di reportistica efficaci, che si avvalgano di canali dedicati e accessibili ai soli componenti dell’OdV, ivi compresa una linea diretta di
riporto all’OdV, che escluda il passaggio gerarchico e tuteli l’identità del segnalante29;
• disincentivi contro segnalazioni improprie, quanto a contenuto e/o a forma;
• sanzioni in caso di inosservanza degli obblighi di
informativa periodica30.
agli organi di amministrazione e controllo, che sono
poi legittimati ad assumere le conseguenti decisioni
operative35.
Nella prospettiva di garantire una continuità d’azione
dell’organismo è, infatti, necessario e opportuno che
l’OdV documenti lo svolgimento della propria attività (verbali, relazioni o informative specifiche, report
inviati o ricevuti, ecc.) e ne curi la tracciabilità e la
conservazione, affinché, in ipotesi di procedimento a
carico dell’ente, sia possibile ricostruire l’attività posta in essere, con particolare riferimento al requisito
della “sufficiente vigilanza” (art.6, co.1, lett. d).
Il flusso informativo può essere ad hoc, in forma di
segnalazione all’organo dirigente, ai fini degli opportuni provvedimenti, di quelle violazioni accertate del
modello organizzativo dalle quali possa derivare una
responsabilità in capo all’ente.
È altresì previsto che l’OdV riferisca dell’attività svolta all’organo di gestione (in particolare, all’eventuale
Comitato per il controllo e i rischi, quando non sia investito esso stesso delle funzione di OdV), con periodicità stabilita in base allo specifico profilo di rischio
dell’azienda in esame36; nella prassi, la relazione viene presentata con cadenza semestrale37 o annuale e
dovrà essere trasmessa all’organo di controllo38.
La relazione è, pertanto, un documento di sintesi,
che costituisce evidenza e riscontro dell’attività svolta dall’OdV e accompagna, in linea generale, il bilancio d’esercizio, accanto alle relazioni del revisore
legale (o società di revisione), del collegio sindacale
e degli altri organi di controllo. Essa dovrebbe presentare un contenuto minimo, che dia conto di:
• frequenza delle riunioni tenutesi nel periodo di
riferimento;
• resoconto delle attività svolte, ivi incluse quelle ispettive e di formazione, dei relativi risultati, con indicazione delle criticità eventualmente
emerse in sede di applicazione del modello;
• segnalazioni ricevute da soggetti esterni e interni
all’ente;
• eventuali proposte di intervento correttivo;
• pianificazione delle attività del successivo periodo;
• richiesta di rinnovo o integrazione delle risorse
finanziarie in dotazione.
L’obbligo di informazione, a carico delle strutture
aziendali, fornisce all’OdV gli strumenti per poter
efficacemente svolgere i propri compiti di monitoraggio; ad esso non corrisponde però alcun
obbligo di agire in capo all’OdV31, né in caso di
segnalazione a evento, né in caso di informativa
periodica32, essendo rimessa questa valutazione
alla discrezionalità dei suoi membri33.
I flussi informativi in uscita
All’OdV non sono attribuiti compiti operativi, che
potrebbero pregiudicare l’autonomia di iniziativa e
l’indipendenza dei suoi componenti, sovrapponendo
la figura del controllore e del controllato34; per questa ragione, si prevede un’attività di informazione
Cfr. Linee Guida Confindustria (2014).
Per questa ragione, si discute se l’omessa vigilanza possa dar luogo
a punibilità dell’OdV, ai sensi dell’art.40 cpv. c.p., a titolo di concorso
omissivo nei reati commessi dall’ente; al riguardo, non pare potersi configurare alcuna posizione di garanzia rispetto al bene giuridico protetto,
tenuto conto che i componenti dell’organismo non hanno alcun potere
di intervento diretto, ma sono comunque a riporto dei vertici aziendali.
28
Circolare G.d.F. 83607/2012, vol. III, 20.
29
Il regolamento dell’OdV prevede, di solito, che l’organismo disponga
di strumenti informatici che consentano la ricezione di segnalazioni e
informazioni, tutelando la riservatezza sia dell’autore sia del contenuto.
30
AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo 2012.
31
Sui controlli preventivi diretti in materia di antiriciclaggio (art. 52 d.lgs.
231/2007) e sulle relative criticità, cfr. D’Arcangelo, Il ruolo e la responsabilità dell’Organismo di Vigilanza nella disciplina antiriciclaggio, in La
responsabilità amministrativa delle società e degli enti, 2009, 1, 65.
32
Peraltro, l’informativa periodica deve presentare specifici requisiti di
rilevanza, qualità (in termini di idoneità, attendibilità e aggiornamento)
e articolazione; cfr., in proposito, AODV, cit. e Trib. Milano, cit.
33
Con specifico riferimento alle segnalazioni in forma anonima, e purché esse siano dotate di sufficiente specificità, il Modello 231 solitamente rimette all’OdV la valutazione sull’opportunità di procedere ad indagini (es. www.luxottica.com).
34
Trib. Roma, 4 aprile 2003, in Foro it., 2004, 317.
26
27
In particolare, il processo decisionale deve garantire il principio della
separazione delle funzioni tra “chi esegue”, “chi controlla” e “chi autorizza, nonché la verificabilità, documentazione, coerenza e congruità delle
singole operazioni (cfr. Linee Guida Confindustria, 2014, 44).
36
AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo 2012.
37
Cfr. Linee Guida Confindustria (2014).
38
Assonime, Indagine sull’attuazione del D.Lgs. n.231/01, Roma, maggio
2008.
35
32
La circolare tributaria n.dodici del 27 marzo 2015
BILANCIO
La prassi applicativa
• infine, nella recente vicenda Impregilo, la Cassazione ha annullato una delle più rilevanti sentenze di assoluzione dell’ente imputato ex D.Lgs.
n.231/01, escludendo che la conformità ai codici
di comportamento delle associazioni rappresentative attribuisca al modello un “crisma di incensurabilità”, dovendo quest’ultimo “essere “calato” nella realtà aziendale nella quale è destinato
a trovare attuazione” ed essere valutato dal giudice rispetto “alle linee direttrici generali dell’ordinamento … ai principi della logica e ai portati
della consolidata esperienza” (per inciso, criteri
del tutto evanescenti); affinché le procedure di
controllo non siano meramente “cartolari”, è
perciò necessario assicurare “la non subordinazione del controllante al controllato”44.
Nella prassi, il ruolo dell’OdV resta “uno dei punti più oscuri della disciplina delineata dal D.Lgs.
n.231/01”39.
In assenza di un valido osservatorio sulle modalità di
funzionamento e sui risultati dell’attività di vigilanza
degli organismi, è difficile individuare delle coordinate concrete e condivise sulle quali si possa modellare
l’azione dell’OdV.
La giurisprudenza formatasi in argomento è più incline a tracciare le condizioni di inidoneità del modello40, anziché gli obblighi di chi è chiamato a vigilare
sul funzionamento dello stesso.
La carenza o l’inadeguatezza dei controlli dell’OdV
viene spesso valutata indicatore dell’inefficacia preventiva del modello:
• in un caso, la responsabilità dell’ente è stata affermata alla luce “della palese inadeguatezza dei
presidi a fronte di rischi operativi assunti”, che ha
“fornito l’occasione al management per porre in
atto comportamenti opportunistici orientati al
profitto più che all’obiettivo della sana e prudente gestione”41;
• in altra ipotesi, l’efficacia del modello adottato è
stata esclusa, in assenza di “un obbligo di per i
dipendenti, i direttori, gli amministratori della società di riferire all’ organismo di vigilanza notizie
rilevanti e relative alla vita dell’ente, a violazioni
del modello o alla consumazione di reati”, tenuto
altresì conto dell’omessa previsione di sanzioni
disciplinari “nei confronti degli amministratori,
direttori generali e compliance officers che – per
negligenza ovvero imperizia – non abbiano saputo individuare, e conseguentemente eliminare,
violazioni del modello e, nei casi più gravi, perpetrazione di reati”42;
• nel noto caso Thyssen-Krupp, è stato ritenuto
“di facciata” un modello che consentisse una sovrapposizione dei ruoli di controllore e controllato, ove un componente dell’OdV si occupava
operativamente di due settori (manutenzione
impianti e organizzazione del servizio di emergenza), che rientravano fra quelli sottoposti a
verifica43;
L’OdV non è, però, investito di un potere di controllo trasversale e di carattere generale45, bensì
calibrato sui processi identificati come “sensibili”
rispetto al rischio di commissione di reati, i quali
variano in funzione del settore merceologico e
dalla soglia dimensionale46 della singola impresa.
Questa “mappatura” dei rischi – che è funzione del
contesto, interno47 ed esterno48, in cui opera l’ente
– consente di individuare, a monte, le aree oggetto
delle verifiche dell’OdV.
A tal fine, per esempio, ove il rischio riguardi la commissione di reati contro la P.A. (es. corruzione per
l’aggiudicazione di appalti pubblici), l’attenzione
dovrà essere rivolta “ai meccanismi di creazione di
fondi extracontabili, alle modalità di redazione della
contabilità, alle modalità di redazione dei bilanci, ai
meccanismi di fatturazione infragruppo, agli spostamenti di liquidità da una società all’altra del gruppo
… alle modalità di esecuzione degli appalti ed ai controlli relativi”49.
Qualora si tratti, invece, di aggiotaggio, che integra
un “delitto di comunicazione”, l’organo di controllo
deve essere nella condizione “di esprimere una dissenting opinion sul “prodotto finito” (rendendo in tal
Cass. 18 dicembre 2013, n. 4677, cit.
Montalenti, Organismo di vigilanza e sistema dei controlli, in Giur.
comm., 2009, 4, 650.
46
A tal proposito, l’iniziale giudizio di esclusione delle imprese individuali dall’ambito di applicazione soggettivo del d. lgs. 231/2001 (Cass.
22 aprile 2004, n. 18941, in Foro it., 2004, II, 22) è stato sostituito da
un più rigoroso approccio, conforme (in tesi) al principio costituzionale della ragionevolezza del sistema, sul presupposto che queste ultime
spesso adottano una organizzazione interna complessa, che prescinde
dal sistematico intervento del titolare e coinvolge anche soggetti diversi
(Cass. 20 aprile 2011, n. 15657, www.ilsole24ore.com).
47
E.g. struttura organizzativa, articolazione territoriale, dimensioni ecc.
48
E.g. settore economico, area geografica, contesto naturalistico ecc.
49
Trib. Milano, 20 settembre 2004, cit.
44
45
Abriani, Giunta, L’organismo di vigilanza previsto dal D.Lgs. n.231/01.
Compiti e funzioni, in La responsabilità amministrativa delle società e
degli enti, 2012, 3, 192.
40
Non è infrequente il ricorso all’ausilio di un perito, che definisca il
requisito dell’idoneità in chiave aziendalistica.
41
Trib. Milano (G.U.P.), 3 gennaio 2011, su www.reatisocietari.it.
42
Trib. Milano, 20 settembre 2004, cit.
43
App. Torino, 28 febbraio 2013, n. 6, su ww.penalecontemporaneo.it.
39
33
La circolare tributaria n.dodici del 27 marzo 2015
BILANCIO
modo, almeno, manifesta la sua contrarietà al contenuto della comunicazione, in modo da mettere in
allarme i destinatari)”, mediante la previsione del
“passaggio” obbligatorio dall’OdV della versione definitiva del comunicato50.
• delle ragioni di scelta della società di revisione
(es. professionalità ed esperienza nel settore, e
non solo economicità).
Inoltre, prima dell’approvazione del bilancio, sarà
opportuno prevedere un confronto fra la società di
revisione, il collegio sindacale, il comitato per il controllo e rischio (se esistente) e l’OdV, di cui si redigerà
processo verbale.
Qualora l’ente non sia soggetto a revisione, sarà utile
prevedere incontri fra l’OdV e il responsabile amministrativo, con eventuale analisi (anche documentale) delle aree “sensibili” alla realizzazione di fatti di
reato, nonché almeno un incontro all’anno, fra l’OdV
e il collegio sindacale, in prossimità della riunione
del C.d.A., avente per oggetto il bilancio e la relativa
Nota integrativa53.
In materia di bilancio, il ruolo dell’OdV può essere diversamente conformato, secondo che l’ente si sottoponga alla revisione contabile (legale
o volontaria): ciò non significa che l’istituto della
certificazione possa sostituire51 l’azione dell’OdV,
che, in tal caso, potrà consistere in controlli ad
hoc sull’attività del revisore, soprattutto in punto
di indipendenza52.
Sarà, perciò, opportuno prevedere che l’OdV sia informato:
• degli incarichi conferiti, o che s’intende conferire, alla società di revisione o alle sue collegate,
diversi dalla certificazione del bilancio;
• delle comunicazioni trasmesse alla Consob sulla
insussistenza di cause di incompatibilità fra società di revisione e società certificata;
In alcun caso, tuttavia, l’OdV opera in funzione
di revisore “di secondo grado”; per questa ragione, la mera trasmissione del progetto di bilancio
non può essere considerata presidio idoneo a fini
preventivi: si tratterebbe, infatti, di provocare un
ulteriore controllo su un documento non definitivo, da parte di un organismo che non dispone
degli elementi e degli strumenti degli altri organi
di controllo, cui finirebbe per sovrapporsi.
Cass. n. 4677/13, cit.
In tal caso, si configurerebbe una delega all’esterno delle funzioni di
vigilanza, non ammessa nel quadro del D.Lgs. n.231/01.
52
Arena, Cassano, “La responsabilità da reato degli enti collettivi,” Giuffré, Milano, 2007, 268.
50
51
Linee Guida Confindustria (2014), Parte Speciale.
53
Seminari di specializzazione
PACCHETTO “ORGANIZZAZIONE
DELLO STUDIO PROFESSIONALE”
Il lean management accedi al sito >
L’organizzazione tecnologica accedi al sito >
L’utilizzo strategico dei new media accedi al sito >
Come misurare la produttività accedi al sito >
Introduzione al marketing accedi al sito >
34
La circolare tributaria n.dodici del 27 marzo 2015