L`Organismo di vigilanza nel sistema integrato
Transcript
L`Organismo di vigilanza nel sistema integrato
BILANCIO L’Organismo di vigilanza nel sistema integrato dei controlli interni di Manuela Grassi – avvocato* Il D.Lgs. n.231/01 (art.6) prevede l’istituzione di un “organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo” (Organismo di vigilanza o compliance officer), che sovraintenda al funzionamento, all’osservanza e all’aggiornamento dei modelli organizzativi nelle dinamiche interne all’ente. A questo proposito, assume rilievo la predisposizione di efficienti flussi informativi endosocietari, in chiave di prevenzione e gestione del rischio-reato. In linea generale, gli obblighi di informazione previsti dall’art.6 del Decreto si traducono nella predisposizione di protocolli e procedure che prevedono un sistema di flussi di dati e notizie tra i vari organi sociali, le varie funzioni aziendali e OdV (il cui ruolo è di norma dettagliatamente descritto nel modello di organizzazione e gestione preordinato all’esonero dell’ente dalla responsabilità amministrativa da reato), al fine di monitorare e verificare l’attualità e l’adeguatezza del modello, del codice etico, dei protocolli e delle procedure interne. Il sistema di prevenzione 231 responsabilità, ove abbia adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. L’indicato “modello di organizzazione e controllo” è perciò “uno strumento di gestione del rischio specifico di realizzazione di determinati reati”5, con i seguenti contenuti (art.6, co.2)6: 1. individuazione delle attività nel cui ambito possono essere commessi i reati, in ragione delle cosiddette “vulnerabilità oggettive”; 2. prevenzione del rischio, attraverso l’adozione di protocolli dotati di specificità e diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; 3. individuazione di modalità di gestione delle risorse finanziarie che consentano, anzitutto, la tracciabilità di ogni singola operazione; 4. previsione di obblighi di informazione nei confronti dell’organismo deputato alla vigilanza sul funzionamento e l’osservanza del modello; 5. adozione di un sistema disciplinare specifico e idoneo a perseguire e sanzionare l’inosservanza delle misure organizzative predisposte. Il D.Lgs. n.231/01, che istituisce e disciplina la responsabilità degli enti collettivi “per gli illeciti amministrativi dipendenti da reato”1, ha allineato il nostro ordinamento alla normativa internazionale2. Di conseguenza, l’ente risponde degli illeciti penali posti in essere, nel suo interesse o a suo vantaggio, da soggetti in c.d. “posizione apicale” o dai c.d. “sottoposti”, fatta salva l’ipotesi in cui essi abbiano agito nell’esclusivo interesse proprio o di terzi (art.5, co.2). Accanto ai descritti criteri di imputazione “oggettiva”, occorre, sul piano “soggettivo”, che il fatto-reato esprima la politica aziendale o, almeno, derivi da una “colpa di organizzazione”3, affinché sia rimproverabile all’ente, nel rispetto del principio di cui all’art.27 Cost.4. In quest’ottica devono essere lette le disposizioni degli artt. 6 e 7 del Decreto, che esonerano l’ente da * Con il contributo di Cecilia Brajkovic. 1 Tali fattispecie (artt.24-25 duodecies, D.Lgs. n.231/01 e s.m.i.) sono definite “reati-presupposto”; la terminologia è intesa a distinguere l’illecito amministrativo, ascritto all’ente, dal fatto di reato, commesso dalla persona fisica, ove il secondo costituisce un presupposto, ma non coincide con il primo (cfr. Rosi, Criminalità organizzata transnazionale e sistema penale italiano. La Convenzione ONU di Palermo, Ipsoa, Milano, 2007, 260); sul progressivo superamento del criterio di elencazione tassativa dei reati-presupposto, per effetto dell’introduzione dell’art.24-ter, cfr. Cadoppi, Garuti, Veneziani, Enti e responsabilità da reato, Utet, Torino, 2010, pag.314. 2 Il provvedimento attua la delega al Governo, di cui all’art.11 L. n.300/00, di ratifica della Convenzione sulla tutela degli interessi finanziari delle Comunità europee, stipulata a Bruxelles il 26 luglio 1995, e i successivi protocolli, ad essa relativi. Per un excursus storico sulle origini del D.Lgs. n.231/01 cfr. Cass. (S.U.) n.26654/08, in CED Cass. pen., 2008; cfr. anche Zannotti, “Il nuovo diritto penale dell’economia. Reati societari e reati in materia di mercato finanziario”, Giuffré, Milano, 2008, pag.45. 3 Cfr. Relazione ministeriale al D.Lgs. n.231/01. 4 Sulla responsabilità dell’ente per fatto proprio, cfr. Cass. n.27735/10, in CED Cass. pen., 2010. Trib. Napoli, 26 giugno 2007, in Dir. e prat. soc., 2008, 4, pag.71. Tale articolazione trova riscontro nell’art.30 D.Lgs. n.81/08, secondo cui il Modello 231 deve assicurare un sistema aziendale per l’adempimento degli obblighi giuridici in materia di tutela della salute e della sicurezza nei luoghi di lavoro, prevedendo, fra l’altro, periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate, un idoneo sistema di controllo sull’attuazione del modello e sul mantenimento, nel tempo, delle condizioni di idoneità dello stesso, un sistema disciplinare idoneo a sanzione l’inosservanza delle misure adottate; esso, dunque, si differenzia dal “documento di valutazione dei rischi”, ove il secondo analizza i rischi del ciclo produttivo e il primo quelli del processo decisionale dell’ente (cfr. Trib. Trani, sez. dist. Molfetta, 11 gennaio 2010, in www. informaimpresa.it). 5 6 29 La circolare tributaria n.dodici del 27 marzo 2015 BILANCIO Per quanto l’adozione del modello sia un mero onere per l’ente7, secondo il concorde orientamento della giurisprudenza8, che ha ricevuto il recente avallo delle Sezioni Unite della Cassazione9, l’omesso adempimento fonda il rimprovero di colpa d’organizzazione, senza che ciò configuri alcuna inversione dell’onere probatorio10. rilevanti; b) analisi dei rischi potenziali per ottenere una “mappa” documentata delle potenziali modalità attuative degli illeciti nelle aree a rischio; c) valutazione/costruzione/adeguamento del sistema dei controlli preventivi che tracci un quadro documentato del sistema esistente e degli adeguamenti eventualmente necessari, affinché il rischio di commissione dei reati sia ridotto a un livello “accettabile”14. A tal fine, il sindacato giurisdizionale ha per oggetto: • sia l’idoneità del modello che, in quanto strumento organizzativo della vita dell’ente, deve caratterizzarsi per la sua concreta e specifica efficacia e per la sua dinamicità, dovendo, perciò, “scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale”11; • sia l’efficacia della sua attuazione, in relazione ai concreti presidi presenti nella singola realtà operativa. La gestione dei rischi12 è, dunque, un processo “maieutico”13, che le imprese attivano al loro interno, sulla base di una metodologia condivisa che si articola in: a) inventariazione degli ambiti aziendali di attività per “mappare” le aree aziendali a rischio e i reati Il sistema di controllo interno e il principio della compliance integrata All’interno di un ente sono presenti vari livelli di presidio15: 1. gli organi delegati “curano” che l’assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alla dimensione dell’impresa (art.2381, co.5 cod.civ.); 2. il Consiglio di Amministrazione ne “valuta” l’adeguatezza sulla base delle informazioni ricevute (art.2381, co.3 cod.civ.); 3. il collegio sindacale (art.2403, co.1 cod.civ.), il consiglio di sorveglianza (art.2409-terdecies, co.1, lett.c cod.civ.) o il comitato per il controllo sulla gestione (art.2409-octiesdecies, co.5, lett.b, cod.civ.) “vigilano” sull’adeguatezza; 4. il dirigente preposto alla redazione dei documenti contabili societario “predispone adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario” (art.154 bis T.U.F.). Sotto il profilo strutturale, si distinguono: • controlli di linea, svolti dalle singole unità operative sui processi di cui hanno la responsabilità gestionale; • attività di monitoraggio, svolta dai responsabili di ciascun processo, sulla base di controlli gerarchici; • revisione interna (internal audit), svolta da soggetti indipendenti, sul disegno e sul funzionamento del sistema complessivo. Cfr. Cass. n.32626/06, in Dir. e prat. soc., 2007, 6, 58, con nota di Gliatta, che ha escluso che la normativa di cui al D.Lgs. n.231/01 preveda alcuna forma di imposizione coattiva dei modelli organizzativi, la cui adozione è viceversa spontanea e può determinare, in alcuni casi, la esclusione della responsabilità (art. 6), in altri un sollievo sanzionatorio (artt. 17, 78) e, nella fase cautelare, la sospensione o la non applicazione di misure interdittive (art. 49). In deroga a tale principio, la Consob, con delibera n. 15786/07, ha modificato il Regolamento dei mercati di Borsa, prevedendo l’adozione obbligatoria del modello organizzativo per le società rientranti nel c.d. segmento “STAR”. 8 Inter plurimis, cfr. Cass. n.36083/09, in CED Cass. pen., 2009, per la quale, l’omessa adozione dei modelli, in presenza degli altri requisiti oggettivi e soggettivi di imputazione, è sufficiente ad integrare la fattispecie sanzionatoria: “in tale concetto di “rimproverabilità” è implicata una forma nuova, normativa, di colpevolezza per omissione organizzativa e gestionale”; in senso sostanzialmente conforme, fra l’altro, Cass. n.27735/10, in Guida al diritto, 2010, 39, 98; Trib. Milano, 28 aprile 2008, Foro ambrosiano, 2008, 3, 329. 9 Cass. n.38343/14, in CED Cass. pen., 2015. 10 L’onere di dimostrare la commissione dell’illecito penale da parte della persona fisica inserita nell’organizzazione della societas, infatti, resta a carico dell’accusa e si estende, “per rimbalzo”, dall’individuo all’ente collettivo (la considerazione si riferisce al fatto illecito commesso dai vertici ex art. 6 del Decreto). 11 Trib. Milano, 20 settembre 2004, in Foro it., 2005, 10, II, 528 (ord. ex art.45 D.Lgs. n.231/01; G.i.p. dott.ssa Secchi). Nel medesimo senso, cfr. Relazione illustrativa (“requisito indispensabile perché dall’adozione del modello derivi l’esenzione da responsabilità dell’ente è che esso venga anche efficacemente attuato: l’effettività rappresenta dunque un punto qualificante ed irrinunciabile del nuovo sistema di responsabilità”) e Linee Guida di Confindustria (2014), che sottolinea il principio di effettività, anche in relazione all’istituzione dell’OdV. 12 Cfr. Pesenato, Pesenato, Organismo di Vigilanza ex D.Lgs. n.231, Ipsoa, Milano, 2015, che definisce il c.d. Risk Approach nelle sue 3 componenti: As is analysis (analisi dell’esistente), Risk Assessment (valutazione del rischio) e Risk Management (gestione del rischio). 13 Linee Guida Confindustria (2014). 7 La soglia di accettabilità si connota diversamente secondo che il reato sia doloso, nel qual caso il sistema di prevenzione deve essere tale da non poter essere aggirato se non fraudolentemente (cfr. Cass. n.4677/13, in CED Cass. pen., 2013), oppure colposo, ove è sufficiente che la condotta sia realizzazione in violazione del Modello, nonostante l’osservanza dei doveri di vigilanza da parte dell’organismo ad essa preposto. 15 Il riferimento, per semplicità, è alla struttura base della società di diritto comune, fatta salva la disciplina specifica prevista per le società quotate, per i gruppi internazionali (es. Modello di controllo contabile previsto dalla Section 404 Sarbanes-Oaxley Act) e le disposizioni vigenti nel settore bancario, assicurativo e degli intermediari finanziari. 14 30 La circolare tributaria n.dodici del 27 marzo 2015 BILANCIO Questo “reticolo”16 di controlli interni17 interseca la funzione di vigilanza esercitata, ai sensi dell’art.6, co.1, lett.b, D.Lgs. n.231/01, da un “organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo”, che cura il funzionamento, l’osservanza e l’aggiornamento dei modelli organizzativi adottati dall’ente18. L’integrazione delle funzioni di controllo, attraverso la predisposizione di efficienti flussi informativi endosocietari19, è fondamentale per evitare i rischi determinati da sovrapposizione di ruoli, con i conseguenti conflitti negativi di competenza, e prevalenza dei controlli indiretti su quelli diretti, che si risolverebbero in un difetto di efficienza ed efficacia dell’intero sistema di prevenzione. La necessità di assicurare l’autonomia dell’Odv nell’esercizio dei poteri di iniziativa e controllo ha portato a ritenere, in un primo momento, che si dovesse costituire un organismo diverso e ulteriore rispetto a quelli di controllo interno delle società previsti a fini civilistici (cioè: il collegio sindacale nel sistema tradizionale, il consiglio di sorveglianza nel sistema dualistico, il comitato di controllo nell’ambito del CdA nel sistema monistico), come pure ha portato ad escludere il ricorso alle strutture di internal audit eventualmente già esistenti nella società, cui pure in un primo momento la prassi si era frequentemente orientata22. Questa impostazione è stata di recente superata dal Legislatore che è intervenuto con la L. n.18/11 a modificare, con decorrenza dal 1°gennaio 2012, l’art.6 D.Lgs. n.231/01, inserendo al co.4-bis la previsione esplicita che le funzioni assegnate all’OdV possano essere svolte dal collegio sindacale, dal consiglio di sorveglianza o dal comitato per il controllo della gestione, nelle società di capitali23. L’immedesimazione fra sindaci e componenti dell’OdV è posta come regola generale per gli istituti bancari dalle “Disposizioni di vigilanza prudenziale per le banche – sistemi dei controlli interni, sistema informativo e continuità operativa”, emanate dalla Banca d’Italia nel mese di luglio 2013, all’esito della consultazione avviata con documento del 4 settembre 2012, con l’obiettivo di accorciare e semplificare la catena dei controlli, recuperando efficacia24. Con specifico riguardo al sistema di prevenzione 231, l’art.6, co.2, lett.d del Decreto, si limita a disporre che il Modello debba “prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli”20; soccorrono, al riguardo, le guidelines elaborate dalle associazioni di categoria21, anche sulla base della giurisprudenza formatasi in materia, le quali prevedono linee di reporting “da” e “verso” l’OdV. Montalenti, “Amministrazione e controllo nella società per azioni: riflessioni sistematiche e proposte di riforma”, in Riv. soc., 2013, fasc. 1, 42. 17 Il sistema di controllo interno è “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi … tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottato dall’emittente” (Borsa Italiana s.p.a., Codice di autodisciplina, 2014, 29). 18 A tal fine, l’OdV si dota di un proprio regolamento, che disciplini, fra l’altro, le risorse a disposizione, la convocazione, il voto e le delibere; le disposizioni relative a nomina, revoca, durata in carica, sostituzione, funzioni e poteri dell’OdV sono, invece, contenute nel Modello 231. 19 L’adozione di un modello da parte di un ente ai sensi del Decreto contempla abitualmente, in tale ottica, flussi informativi nei confronti del consiglio di amministrazione e del collegio sindacale e dell’organo di controllo interno della società oggetto del Modello: ciò in quanto il consiglio di amministrazione è il fulcro decisionale della società, mentre il collegio sindacale è considerato uno degli “interlocutori “istituzionali” dell’Organismo. I sindaci, infatti, essendo investiti della responsabilità di valutare l’adeguatezza dei sistemi di controllo interno (in modo specifico nelle SPA, quotate e non; in via indiretta nelle SRL, in base al dovere di vigilare sulla correttezza dell’amministrazione), dovranno essere sempre informati dell’eventuale commissione dei reati considerati, così come di eventuali carenze del Modello. In taluni casi, rientranti nella patologia aziendale, poi, l’Organismo potrà riferire al collegio sindacale affinché questo si attivi secondo quanto previsto dalla legge” (“Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo approvate da Confindustria il 7 marzo 2002 ed aggiornate al 31 marzo 2008”, 34). 20 La stessa Relazione ministeriale precisa soltanto che, “per garantire la massima effettività del sistema, è disposto che la societas si avvalga di una struttura che deve essere costituita al suo interno (onde evitare facili manovre volte a precostituire una di patente di legittimità all’operato della societas attraverso il ricorso ad organismi compiacenti, e soprattutto per fondare una vera e propria colpa dell’ente), dotata di poteri autonomi e specificamente preposti a questi compiti”. 21 Confindustria, ABI (Associazione Bancaria Italiana). 16 I flussi informativi in entrata L’OdV deve, anzitutto, poter accedere a tutte le fonti di informazione dell’ente, senza necessità di autorizzazione, nel rispetto dell’obbligo di riservatezza posto a carico di ciascun componente25. Il dovere informativo riguarda, quindi, le funzioni aziendali a rischio reato e ha per oggetto: a) le risultanze periodiche dell’attività di controllo che queste compiono in applicazione dei modelli (es. report riepilogativi dell’attività svolta, attività di monitoraggio, indici consuntivi ecc.); Cfr. T. Epidendio, in “Responsabilità ‘penale’ delle persone giuridiche”, a cura di A. Giarda e AA.VV., Ipsoa, 2007, pagg.74 e 75. 23 Negli enti di piccole dimensioni era già previsto dal co.4 dell’art.6 che i compiti dell’OdV potessero essere svolti direttamente dall’organo dirigente. 24 Cfr. anche Borsa Italiana s.p.a., cit., 35: “nell’ambito di una razionalizzazione del sistema dei controlli, gli emittenti valutano l’opportunità di attribuire al collegio sindacale le funzioni di organismo di vigilanza ex D.Lgs. 231/01”. Per una nota critica sull’iniziativa, cfr. le Osservazioni dell’Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. n.231/01 (AODV231) (www.aodv231.it). 25 Cfr. Linee Guida ABI. 22 31 La circolare tributaria n.dodici del 27 marzo 2015 BILANCIO b) le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili26. La struttura dei flussi pone in luce la diversità dei ruoli in materia di prevenzione dei reati: • l’azione di controllo spetta al management; • l’OdV opera, invece, quale meccanismo di assurance, valutando gli esiti di controlli già eseguiti27. A tal fine, è opportuno che la circolazione interna di informazioni sia regolamentata attraverso la previsione di28: • procedure di reportistica efficaci, che si avvalgano di canali dedicati e accessibili ai soli componenti dell’OdV, ivi compresa una linea diretta di riporto all’OdV, che escluda il passaggio gerarchico e tuteli l’identità del segnalante29; • disincentivi contro segnalazioni improprie, quanto a contenuto e/o a forma; • sanzioni in caso di inosservanza degli obblighi di informativa periodica30. agli organi di amministrazione e controllo, che sono poi legittimati ad assumere le conseguenti decisioni operative35. Nella prospettiva di garantire una continuità d’azione dell’organismo è, infatti, necessario e opportuno che l’OdV documenti lo svolgimento della propria attività (verbali, relazioni o informative specifiche, report inviati o ricevuti, ecc.) e ne curi la tracciabilità e la conservazione, affinché, in ipotesi di procedimento a carico dell’ente, sia possibile ricostruire l’attività posta in essere, con particolare riferimento al requisito della “sufficiente vigilanza” (art.6, co.1, lett. d). Il flusso informativo può essere ad hoc, in forma di segnalazione all’organo dirigente, ai fini degli opportuni provvedimenti, di quelle violazioni accertate del modello organizzativo dalle quali possa derivare una responsabilità in capo all’ente. È altresì previsto che l’OdV riferisca dell’attività svolta all’organo di gestione (in particolare, all’eventuale Comitato per il controllo e i rischi, quando non sia investito esso stesso delle funzione di OdV), con periodicità stabilita in base allo specifico profilo di rischio dell’azienda in esame36; nella prassi, la relazione viene presentata con cadenza semestrale37 o annuale e dovrà essere trasmessa all’organo di controllo38. La relazione è, pertanto, un documento di sintesi, che costituisce evidenza e riscontro dell’attività svolta dall’OdV e accompagna, in linea generale, il bilancio d’esercizio, accanto alle relazioni del revisore legale (o società di revisione), del collegio sindacale e degli altri organi di controllo. Essa dovrebbe presentare un contenuto minimo, che dia conto di: • frequenza delle riunioni tenutesi nel periodo di riferimento; • resoconto delle attività svolte, ivi incluse quelle ispettive e di formazione, dei relativi risultati, con indicazione delle criticità eventualmente emerse in sede di applicazione del modello; • segnalazioni ricevute da soggetti esterni e interni all’ente; • eventuali proposte di intervento correttivo; • pianificazione delle attività del successivo periodo; • richiesta di rinnovo o integrazione delle risorse finanziarie in dotazione. L’obbligo di informazione, a carico delle strutture aziendali, fornisce all’OdV gli strumenti per poter efficacemente svolgere i propri compiti di monitoraggio; ad esso non corrisponde però alcun obbligo di agire in capo all’OdV31, né in caso di segnalazione a evento, né in caso di informativa periodica32, essendo rimessa questa valutazione alla discrezionalità dei suoi membri33. I flussi informativi in uscita All’OdV non sono attribuiti compiti operativi, che potrebbero pregiudicare l’autonomia di iniziativa e l’indipendenza dei suoi componenti, sovrapponendo la figura del controllore e del controllato34; per questa ragione, si prevede un’attività di informazione Cfr. Linee Guida Confindustria (2014). Per questa ragione, si discute se l’omessa vigilanza possa dar luogo a punibilità dell’OdV, ai sensi dell’art.40 cpv. c.p., a titolo di concorso omissivo nei reati commessi dall’ente; al riguardo, non pare potersi configurare alcuna posizione di garanzia rispetto al bene giuridico protetto, tenuto conto che i componenti dell’organismo non hanno alcun potere di intervento diretto, ma sono comunque a riporto dei vertici aziendali. 28 Circolare G.d.F. 83607/2012, vol. III, 20. 29 Il regolamento dell’OdV prevede, di solito, che l’organismo disponga di strumenti informatici che consentano la ricezione di segnalazioni e informazioni, tutelando la riservatezza sia dell’autore sia del contenuto. 30 AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo 2012. 31 Sui controlli preventivi diretti in materia di antiriciclaggio (art. 52 d.lgs. 231/2007) e sulle relative criticità, cfr. D’Arcangelo, Il ruolo e la responsabilità dell’Organismo di Vigilanza nella disciplina antiriciclaggio, in La responsabilità amministrativa delle società e degli enti, 2009, 1, 65. 32 Peraltro, l’informativa periodica deve presentare specifici requisiti di rilevanza, qualità (in termini di idoneità, attendibilità e aggiornamento) e articolazione; cfr., in proposito, AODV, cit. e Trib. Milano, cit. 33 Con specifico riferimento alle segnalazioni in forma anonima, e purché esse siano dotate di sufficiente specificità, il Modello 231 solitamente rimette all’OdV la valutazione sull’opportunità di procedere ad indagini (es. www.luxottica.com). 34 Trib. Roma, 4 aprile 2003, in Foro it., 2004, 317. 26 27 In particolare, il processo decisionale deve garantire il principio della separazione delle funzioni tra “chi esegue”, “chi controlla” e “chi autorizza, nonché la verificabilità, documentazione, coerenza e congruità delle singole operazioni (cfr. Linee Guida Confindustria, 2014, 44). 36 AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo 2012. 37 Cfr. Linee Guida Confindustria (2014). 38 Assonime, Indagine sull’attuazione del D.Lgs. n.231/01, Roma, maggio 2008. 35 32 La circolare tributaria n.dodici del 27 marzo 2015 BILANCIO La prassi applicativa • infine, nella recente vicenda Impregilo, la Cassazione ha annullato una delle più rilevanti sentenze di assoluzione dell’ente imputato ex D.Lgs. n.231/01, escludendo che la conformità ai codici di comportamento delle associazioni rappresentative attribuisca al modello un “crisma di incensurabilità”, dovendo quest’ultimo “essere “calato” nella realtà aziendale nella quale è destinato a trovare attuazione” ed essere valutato dal giudice rispetto “alle linee direttrici generali dell’ordinamento … ai principi della logica e ai portati della consolidata esperienza” (per inciso, criteri del tutto evanescenti); affinché le procedure di controllo non siano meramente “cartolari”, è perciò necessario assicurare “la non subordinazione del controllante al controllato”44. Nella prassi, il ruolo dell’OdV resta “uno dei punti più oscuri della disciplina delineata dal D.Lgs. n.231/01”39. In assenza di un valido osservatorio sulle modalità di funzionamento e sui risultati dell’attività di vigilanza degli organismi, è difficile individuare delle coordinate concrete e condivise sulle quali si possa modellare l’azione dell’OdV. La giurisprudenza formatasi in argomento è più incline a tracciare le condizioni di inidoneità del modello40, anziché gli obblighi di chi è chiamato a vigilare sul funzionamento dello stesso. La carenza o l’inadeguatezza dei controlli dell’OdV viene spesso valutata indicatore dell’inefficacia preventiva del modello: • in un caso, la responsabilità dell’ente è stata affermata alla luce “della palese inadeguatezza dei presidi a fronte di rischi operativi assunti”, che ha “fornito l’occasione al management per porre in atto comportamenti opportunistici orientati al profitto più che all’obiettivo della sana e prudente gestione”41; • in altra ipotesi, l’efficacia del modello adottato è stata esclusa, in assenza di “un obbligo di per i dipendenti, i direttori, gli amministratori della società di riferire all’ organismo di vigilanza notizie rilevanti e relative alla vita dell’ente, a violazioni del modello o alla consumazione di reati”, tenuto altresì conto dell’omessa previsione di sanzioni disciplinari “nei confronti degli amministratori, direttori generali e compliance officers che – per negligenza ovvero imperizia – non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei casi più gravi, perpetrazione di reati”42; • nel noto caso Thyssen-Krupp, è stato ritenuto “di facciata” un modello che consentisse una sovrapposizione dei ruoli di controllore e controllato, ove un componente dell’OdV si occupava operativamente di due settori (manutenzione impianti e organizzazione del servizio di emergenza), che rientravano fra quelli sottoposti a verifica43; L’OdV non è, però, investito di un potere di controllo trasversale e di carattere generale45, bensì calibrato sui processi identificati come “sensibili” rispetto al rischio di commissione di reati, i quali variano in funzione del settore merceologico e dalla soglia dimensionale46 della singola impresa. Questa “mappatura” dei rischi – che è funzione del contesto, interno47 ed esterno48, in cui opera l’ente – consente di individuare, a monte, le aree oggetto delle verifiche dell’OdV. A tal fine, per esempio, ove il rischio riguardi la commissione di reati contro la P.A. (es. corruzione per l’aggiudicazione di appalti pubblici), l’attenzione dovrà essere rivolta “ai meccanismi di creazione di fondi extracontabili, alle modalità di redazione della contabilità, alle modalità di redazione dei bilanci, ai meccanismi di fatturazione infragruppo, agli spostamenti di liquidità da una società all’altra del gruppo … alle modalità di esecuzione degli appalti ed ai controlli relativi”49. Qualora si tratti, invece, di aggiotaggio, che integra un “delitto di comunicazione”, l’organo di controllo deve essere nella condizione “di esprimere una dissenting opinion sul “prodotto finito” (rendendo in tal Cass. 18 dicembre 2013, n. 4677, cit. Montalenti, Organismo di vigilanza e sistema dei controlli, in Giur. comm., 2009, 4, 650. 46 A tal proposito, l’iniziale giudizio di esclusione delle imprese individuali dall’ambito di applicazione soggettivo del d. lgs. 231/2001 (Cass. 22 aprile 2004, n. 18941, in Foro it., 2004, II, 22) è stato sostituito da un più rigoroso approccio, conforme (in tesi) al principio costituzionale della ragionevolezza del sistema, sul presupposto che queste ultime spesso adottano una organizzazione interna complessa, che prescinde dal sistematico intervento del titolare e coinvolge anche soggetti diversi (Cass. 20 aprile 2011, n. 15657, www.ilsole24ore.com). 47 E.g. struttura organizzativa, articolazione territoriale, dimensioni ecc. 48 E.g. settore economico, area geografica, contesto naturalistico ecc. 49 Trib. Milano, 20 settembre 2004, cit. 44 45 Abriani, Giunta, L’organismo di vigilanza previsto dal D.Lgs. n.231/01. Compiti e funzioni, in La responsabilità amministrativa delle società e degli enti, 2012, 3, 192. 40 Non è infrequente il ricorso all’ausilio di un perito, che definisca il requisito dell’idoneità in chiave aziendalistica. 41 Trib. Milano (G.U.P.), 3 gennaio 2011, su www.reatisocietari.it. 42 Trib. Milano, 20 settembre 2004, cit. 43 App. Torino, 28 febbraio 2013, n. 6, su ww.penalecontemporaneo.it. 39 33 La circolare tributaria n.dodici del 27 marzo 2015 BILANCIO modo, almeno, manifesta la sua contrarietà al contenuto della comunicazione, in modo da mettere in allarme i destinatari)”, mediante la previsione del “passaggio” obbligatorio dall’OdV della versione definitiva del comunicato50. • delle ragioni di scelta della società di revisione (es. professionalità ed esperienza nel settore, e non solo economicità). Inoltre, prima dell’approvazione del bilancio, sarà opportuno prevedere un confronto fra la società di revisione, il collegio sindacale, il comitato per il controllo e rischio (se esistente) e l’OdV, di cui si redigerà processo verbale. Qualora l’ente non sia soggetto a revisione, sarà utile prevedere incontri fra l’OdV e il responsabile amministrativo, con eventuale analisi (anche documentale) delle aree “sensibili” alla realizzazione di fatti di reato, nonché almeno un incontro all’anno, fra l’OdV e il collegio sindacale, in prossimità della riunione del C.d.A., avente per oggetto il bilancio e la relativa Nota integrativa53. In materia di bilancio, il ruolo dell’OdV può essere diversamente conformato, secondo che l’ente si sottoponga alla revisione contabile (legale o volontaria): ciò non significa che l’istituto della certificazione possa sostituire51 l’azione dell’OdV, che, in tal caso, potrà consistere in controlli ad hoc sull’attività del revisore, soprattutto in punto di indipendenza52. Sarà, perciò, opportuno prevedere che l’OdV sia informato: • degli incarichi conferiti, o che s’intende conferire, alla società di revisione o alle sue collegate, diversi dalla certificazione del bilancio; • delle comunicazioni trasmesse alla Consob sulla insussistenza di cause di incompatibilità fra società di revisione e società certificata; In alcun caso, tuttavia, l’OdV opera in funzione di revisore “di secondo grado”; per questa ragione, la mera trasmissione del progetto di bilancio non può essere considerata presidio idoneo a fini preventivi: si tratterebbe, infatti, di provocare un ulteriore controllo su un documento non definitivo, da parte di un organismo che non dispone degli elementi e degli strumenti degli altri organi di controllo, cui finirebbe per sovrapporsi. Cass. n. 4677/13, cit. In tal caso, si configurerebbe una delega all’esterno delle funzioni di vigilanza, non ammessa nel quadro del D.Lgs. n.231/01. 52 Arena, Cassano, “La responsabilità da reato degli enti collettivi,” Giuffré, Milano, 2007, 268. 50 51 Linee Guida Confindustria (2014), Parte Speciale. 53 Seminari di specializzazione PACCHETTO “ORGANIZZAZIONE DELLO STUDIO PROFESSIONALE” Il lean management accedi al sito > L’organizzazione tecnologica accedi al sito > L’utilizzo strategico dei new media accedi al sito > Come misurare la produttività accedi al sito > Introduzione al marketing accedi al sito > 34 La circolare tributaria n.dodici del 27 marzo 2015