L Organismo di vigilanza nel sistema integrato dei controlli interni

Transcript

1 L Organismo di vigilanza nel sistema integrato dei controlli interni di Manuela Grassi avvocato* Il D.Lgs. n.231/01 (art.6) prevede l istituzione di un organismo dell ente dotato di autonomi poteri di iniziativa e di controllo (Organismo di vigilanza o compliance officer), che sovraintenda al funzionamento, all osservanza e all aggiornamento dei modelli organizzativi nelle dinamiche interne all ente. A questo proposito, assume rilievo la predisposizione di efficienti flussi informativi endosocietari, in chiave di prevenzione e gestione del rischio-reato. In linea generale, gli obblighi di informazione previsti dall art.6 del Decreto si traducono nella predisposizione di protocolli e procedure che prevedono un sistema di flussi di dati e notizie tra i vari organi sociali, le varie funzioni aziendali e OdV (il cui ruolo è di norma dettagliatamente descritto nel modello di organizzazione e gestione preordinato all esonero dell ente dalla responsabilità amministrativa da reato), al fine di monitorare e verificare l attualità e l adeguatezza del modello, del codice etico, dei protocolli e delle procedure interne. Il sistema di prevenzione 231 Il D.Lgs. n.231/01, che istituisce e disciplina la responsabilità degli enti collettivi per gli illeciti amministrativi dipendenti da reato 1, ha allineato il nostro ordinamento alla normativa internazionale 2. Di conseguenza, l ente risponde degli illeciti penali posti in essere, nel suo interesse o a suo vantaggio, da soggetti in c.d. posizione apicale o dai c.d. sottoposti, fatta salva l ipotesi in cui essi abbiano agito nell esclusivo interesse proprio o di terzi (art.5, co.2). Accanto ai descritti criteri di imputazione oggettiva, occorre, sul piano soggettivo, che il fatto-reato esprima la politica aziendale o, almeno, derivi da una colpa di organizzazione 3, affinché sia rimproverabile all ente, nel rispetto del principio di cui all art.27 Cost. 4. In quest ottica devono essere lette le disposizioni degli artt. 6 e 7 del Decreto, che esonerano l ente da * Con il contributo di Cecilia Brajkovic. 1 Tali fattispecie (artt duodecies, D.Lgs. n.231/01 e s.m.i.) sono definite reati-presupposto ; la terminologia è intesa a distinguere l illecito amministrativo, ascritto all ente, dal fatto di reato, commesso dalla persona fisica, ove il secondo costituisce un presupposto, ma non coincide con il primo (cfr. Rosi, Criminalità organizzata transnazionale e sistema penale italiano. La Convenzione ONU di Palermo, Ipsoa, Milano, 2007, 260); sul progressivo superamento del criterio di elencazione tassativa dei reati-presupposto, per effetto dell introduzione dell art.24-ter, cfr. Cadoppi, Garuti, Veneziani, Enti e responsabilità da reato, Utet, Torino, 2010, pag Il provvedimento attua la delega al Governo, di cui all art.11 L. n.300/00, di ratifica della Convenzione sulla tutela degli interessi finanziari delle Comunità europee, stipulata a Bruxelles il 26 luglio 1995, e i successivi protocolli, ad essa relativi. Per un excursus storico sulle origini del D.Lgs. n.231/01 cfr. Cass. (S.U.) n.26654/08, in CED Cass. pen., 2008; cfr. anche Zannotti, Il nuovo diritto penale dell economia. Reati societari e reati in materia di mercato finanziario, Giuffré, Milano, 2008, pag Cfr. Relazione ministeriale al D.Lgs. n.231/01. 4 Sulla responsabilità dell ente per fatto proprio, cfr. Cass. n.27735/10, in CED Cass. pen., responsabilità, ove abbia adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. L indicato modello di organizzazione e controllo è perciò uno strumento di gestione del rischio specifico di realizzazione di determinati reati 5, con i seguenti contenuti (art.6, co.2) 6 : 1. individuazione delle attività nel cui ambito possono essere commessi i reati, in ragione delle cosiddette vulnerabilità oggettive ; 2. prevenzione del rischio, attraverso l adozione di protocolli dotati di specificità e diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire; 3. individuazione di modalità di gestione delle risorse finanziarie che consentano, anzitutto, la tracciabilità di ogni singola operazione; 4. previsione di obblighi di informazione nei confronti dell organismo deputato alla vigilanza sul funzionamento e l osservanza del modello; 5. adozione di un sistema disciplinare specifico e idoneo a perseguire e sanzionare l inosservanza delle misure organizzative predisposte. 5 Trib. Napoli, 26 giugno 2007, in Dir. e prat. soc., 2008, 4, pag Tale articolazione trova riscontro nell art.30 D.Lgs. n.81/08, secondo cui il Modello 231 deve assicurare un sistema aziendale per l adempimento degli obblighi giuridici in materia di tutela della salute e della sicurezza nei luoghi di lavoro, prevedendo, fra l altro, periodiche verifiche dell applicazione e dell efficacia delle procedure adottate, un idoneo sistema di controllo sull attuazione del modello e sul mantenimento, nel tempo, delle condizioni di idoneità dello stesso, un sistema disciplinare idoneo a sanzione l inosservanza delle misure adottate; esso, dunque, si differenzia dal documento di valutazione dei rischi, ove il secondo analizza i rischi del ciclo produttivo e il primo quelli del processo decisionale dell ente (cfr. Trib. Trani, sez. dist. Molfetta, 11 gennaio 2010, in www. informaimpresa.it).

2 Per quanto l adozione del modello sia un mero onere per l ente 7, secondo il concorde orientamento della giurisprudenza 8, che ha ricevuto il recente avallo delle Sezioni Unite della Cassazione 9, l omesso adempimento fonda il rimprovero di colpa d organizzazione, senza che ciò configuri alcuna inversione dell onere probatorio 10. A tal fine, il sindacato giurisdizionale ha per oggetto: sia l idoneità del modello che, in quanto strumento organizzativo della vita dell ente, deve caratterizzarsi per la sua concreta e specifica efficacia e per la sua dinamicità, dovendo, perciò, scaturire da una visione realistica ed economica dei fenomeni aziendali e non esclusivamente giuridico-formale 11 ; sia l efficacia della sua attuazione, in relazione ai concreti presidi presenti nella singola realtà operativa. La gestione dei rischi 12 è, dunque, un processo maieutico 13, che le imprese attivano al loro interno, sulla base di una metodologia condivisa che si articola in: a) inventariazione degli ambiti aziendali di attività per mappare le aree aziendali a rischio e i reati 7 Cfr. Cass. n.32626/06, in Dir. e prat. soc., 2007, 6, 58, con nota di Gliatta, che ha escluso che la normativa di cui al D.Lgs. n.231/01 preveda alcuna forma di imposizione coattiva dei modelli organizzativi, la cui adozione è viceversa spontanea e può determinare, in alcuni casi, la esclusione della responsabilità (art. 6), in altri un sollievo sanzionatorio (artt. 17, 78) e, nella fase cautelare, la sospensione o la non applicazione di misure interdittive (art. 49). In deroga a tale principio, la Consob, con delibera n /07, ha modificato il Regolamento dei mercati di Borsa, prevedendo l adozione obbligatoria del modello organizzativo per le società rientranti nel c.d. segmento STAR. 8 Inter plurimis, cfr. Cass. n.36083/09, in CED Cass. pen., 2009, per la quale, l omessa adozione dei modelli, in presenza degli altri requisiti oggettivi e soggettivi di imputazione, è sufficiente ad integrare la fattispecie sanzionatoria: in tale concetto di rimproverabilità è implicata una forma nuova, normativa, di colpevolezza per omissione organizzativa e gestionale ; in senso sostanzialmente conforme, fra l altro, Cass. n.27735/10, in Guida al diritto, 2010, 39, 98; Trib. Milano, 28 aprile 2008, Foro ambrosiano, 2008, 3, Cass. n.38343/14, in CED Cass. pen., L onere di dimostrare la commissione dell illecito penale da parte della persona fisica inserita nell organizzazione della societas, infatti, resta a carico dell accusa e si estende, per rimbalzo, dall individuo all ente collettivo (la considerazione si riferisce al fatto illecito commesso dai vertici ex art. 6 del Decreto). 11 Trib. Milano, 20 settembre 2004, in Foro it., 2005, 10, II, 528 (ord. ex art.45 D.Lgs. n.231/01; G.i.p. dott.ssa Secchi). Nel medesimo senso, cfr. Relazione illustrativa ( requisito indispensabile perché dall adozione del modello derivi l esenzione da responsabilità dell ente è che esso venga anche efficacemente attuato: l effettività rappresenta dunque un punto qualificante ed irrinunciabile del nuovo sistema di responsabilità ) e Linee Guida di Confindustria (2014), che sottolinea il principio di effettività, anche in relazione all istituzione dell OdV. 12 Cfr. Pesenato, Pesenato, Organismo di Vigilanza ex D.Lgs. n.231, Ipsoa, Milano, 2015, che definisce il c.d. Risk Approach nelle sue 3 componenti: As is analysis (analisi dell esistente), Risk Assessment (valutazione del rischio) e Risk Management (gestione del rischio). 13 Linee Guida Confindustria (2014). 30 rilevanti; b) analisi dei rischi potenziali per ottenere una mappa documentata delle potenziali modalità attuative degli illeciti nelle aree a rischio; c) valutazione/costruzione/adeguamento del sistema dei controlli preventivi che tracci un quadro documentato del sistema esistente e degli adeguamenti eventualmente necessari, affinché il rischio di commissione dei reati sia ridotto a un livello accettabile 14. Il sistema di controllo interno e il principio della compliance integrata All interno di un ente sono presenti vari livelli di presidio 15 : 1. gli organi delegati curano che l assetto organizzativo, amministrativo e contabile sia adeguato alla natura e alla dimensione dell impresa (art.2381, co.5 cod.civ.); 2. il Consiglio di Amministrazione ne valuta l adeguatezza sulla base delle informazioni ricevute (art.2381, co.3 cod.civ.); 3. il collegio sindacale (art.2403, co.1 cod.civ.), il consiglio di sorveglianza (art.2409-terdecies, co.1, lett.c cod.civ.) o il comitato per il controllo sulla gestione (art.2409-octiesdecies, co.5, lett.b, cod.civ.) vigilano sull adeguatezza; 4. il dirigente preposto alla redazione dei documenti contabili societario predispone adeguate procedure amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario (art.154 bis T.U.F.). Sotto il profilo strutturale, si distinguono: controlli di linea, svolti dalle singole unità operative sui processi di cui hanno la responsabilità gestionale; attività di monitoraggio, svolta dai responsabili di ciascun processo, sulla base di controlli gerarchici; revisione interna (internal audit), svolta da soggetti indipendenti, sul disegno e sul funzionamento del sistema complessivo. 14 La soglia di accettabilità si connota diversamente secondo che il reato sia doloso, nel qual caso il sistema di prevenzione deve essere tale da non poter essere aggirato se non fraudolentemente (cfr. Cass. n.4677/13, in CED Cass. pen., 2013), oppure colposo, ove è sufficiente che la condotta sia realizzazione in violazione del Modello, nonostante l osservanza dei doveri di vigilanza da parte dell organismo ad essa preposto. 15 Il riferimento, per semplicità, è alla struttura base della società di diritto comune, fatta salva la disciplina specifica prevista per le società quotate, per i gruppi internazionali (es. Modello di controllo contabile previsto dalla Section 404 Sarbanes-Oaxley Act) e le disposizioni vigenti nel settore bancario, assicurativo e degli intermediari finanziari.

3 Questo reticolo 16 di controlli interni 17 interseca la funzione di vigilanza esercitata, ai sensi dell art.6, co.1, lett.b, D.Lgs. n.231/01, da un organismo dell ente dotato di autonomi poteri di iniziativa e di controllo, che cura il funzionamento, l osservanza e l aggiornamento dei modelli organizzativi adottati dall ente 18. L integrazione delle funzioni di controllo, attraverso la predisposizione di efficienti flussi informativi endosocietari 19, è fondamentale per evitare i rischi determinati da sovrapposizione di ruoli, con i conseguenti conflitti negativi di competenza, e prevalenza dei controlli indiretti su quelli diretti, che si risolverebbero in un difetto di efficienza ed efficacia dell intero sistema di prevenzione. Con specifico riguardo al sistema di prevenzione 231, l art.6, co.2, lett.d del Decreto, si limita a disporre che il Modello debba prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli 20 ; soccorrono, al riguardo, le guidelines elaborate dalle associazioni di categoria 21, anche sulla base della giurisprudenza formatasi in materia, le quali prevedono linee di reporting da e verso l OdV. 16 Montalenti, Amministrazione e controllo nella società per azioni: riflessioni sistematiche e proposte di riforma, in Riv. soc., 2013, fasc. 1, Il sistema di controllo interno è l insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottato dall emittente (Borsa Italiana s.p.a., Codice di autodisciplina, 2014, 29). 18 A tal fine, l OdV si dota di un proprio regolamento, che disciplini, fra l altro, le risorse a disposizione, la convocazione, il voto e le delibere; le disposizioni relative a nomina, revoca, durata in carica, sostituzione, funzioni e poteri dell OdV sono, invece, contenute nel Modello L adozione di un modello da parte di un ente ai sensi del Decreto contempla abitualmente, in tale ottica, flussi informativi nei confronti del consiglio di amministrazione e del collegio sindacale e dell organo di controllo interno della società oggetto del Modello: ciò in quanto il consiglio di amministrazione è il fulcro decisionale della società, mentre il collegio sindacale è considerato uno degli interlocutori istituzionali dell Organismo. I sindaci, infatti, essendo investiti della responsabilità di valutare l adeguatezza dei sistemi di controllo interno (in modo specifico nelle SPA, quotate e non; in via indiretta nelle SRL, in base al dovere di vigilare sulla correttezza dell amministrazione), dovranno essere sempre informati dell eventuale commissione dei reati considerati, così come di eventuali carenze del Modello. In taluni casi, rientranti nella patologia aziendale, poi, l Organismo potrà riferire al collegio sindacale affinché questo si attivi secondo quanto previsto dalla legge ( Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo approvate da Confindustria il 7 marzo 2002 ed aggiornate al 31 marzo 2008, 34). 20 La stessa Relazione ministeriale precisa soltanto che, per garantire la massima effettività del sistema, è disposto che la societas si avvalga di una struttura che deve essere costituita al suo interno (onde evitare facili manovre volte a precostituire una di patente di legittimità all operato della societas attraverso il ricorso ad organismi compiacenti, e soprattutto per fondare una vera e propria colpa dell ente), dotata di poteri autonomi e specificamente preposti a questi compiti. 21 Confindustria, ABI (Associazione Bancaria Italiana). La necessità di assicurare l autonomia dell Odv nell esercizio dei poteri di iniziativa e controllo ha portato a ritenere, in un primo momento, che si dovesse costituire un organismo diverso e ulteriore rispetto a quelli di controllo interno delle società previsti a fini civilistici (cioè: il collegio sindacale nel sistema tradizionale, il consiglio di sorveglianza nel sistema dualistico, il comitato di controllo nell ambito del CdA nel sistema monistico), come pure ha portato ad escludere il ricorso alle strutture di internal audit eventualmente già esistenti nella società, cui pure in un primo momento la prassi si era frequentemente orientata 22. Questa impostazione è stata di recente superata dal Legislatore che è intervenuto con la L. n.18/11 a modificare, con decorrenza dal 1 gennaio 2012, l art.6 D.Lgs. n.231/01, inserendo al co.4-bis la previsione esplicita che le funzioni assegnate all OdV possano essere svolte dal collegio sindacale, dal consiglio di sorveglianza o dal comitato per il controllo della gestione, nelle società di capitali 23. L immedesimazione fra sindaci e componenti dell OdV è posta come regola generale per gli istituti bancari dalle Disposizioni di vigilanza prudenziale per le banche sistemi dei controlli interni, sistema informativo e continuità operativa, emanate dalla Banca d Italia nel mese di luglio 2013, all esito della consultazione avviata con documento del 4 settembre 2012, con l obiettivo di accorciare e semplificare la catena dei controlli, recuperando efficacia 24. I flussi informativi in entrata L OdV deve, anzitutto, poter accedere a tutte le fonti di informazione dell ente, senza necessità di autorizzazione, nel rispetto dell obbligo di riservatezza posto a carico di ciascun componente 25. Il dovere informativo riguarda, quindi, le funzioni aziendali a rischio reato e ha per oggetto: a) le risultanze periodiche dell attività di controllo che queste compiono in applicazione dei modelli (es. report riepilogativi dell attività svolta, attività di monitoraggio, indici consuntivi ecc.); 22 Cfr. T. Epidendio, in Responsabilità penale delle persone giuridiche, a cura di A. Giarda e AA.VV., Ipsoa, 2007, pagg.74 e Negli enti di piccole dimensioni era già previsto dal co.4 dell art.6 che i compiti dell OdV potessero essere svolti direttamente dall organo dirigente. 24 Cfr. anche Borsa Italiana s.p.a., cit., 35: nell ambito di una razionalizzazione del sistema dei controlli, gli emittenti valutano l opportunità di attribuire al collegio sindacale le funzioni di organismo di vigilanza ex D.Lgs. 231/01. Per una nota critica sull iniziativa, cfr. le Osservazioni dell Associazione dei Componenti degli Organismi di Vigilanza ex D.Lgs. n.231/01 (AODV231) ( 25 Cfr. Linee Guida ABI. 31

4 b) le anomalie o atipicità riscontrate nell ambito delle informazioni disponibili 26. La struttura dei flussi pone in luce la diversità dei ruoli in materia di prevenzione dei reati: l azione di controllo spetta al management; l OdV opera, invece, quale meccanismo di assurance, valutando gli esiti di controlli già eseguiti 27. A tal fine, è opportuno che la circolazione interna di informazioni sia regolamentata attraverso la previsione di 28 : procedure di reportistica efficaci, che si avvalgano di canali dedicati e accessibili ai soli componenti dell OdV, ivi compresa una linea diretta di riporto all OdV, che escluda il passaggio gerarchico e tuteli l identità del segnalante 29 ; disincentivi contro segnalazioni improprie, quanto a contenuto e/o a forma; sanzioni in caso di inosservanza degli obblighi di informativa periodica 30. L obbligo di informazione, a carico delle strutture aziendali, fornisce all OdV gli strumenti per poter efficacemente svolgere i propri compiti di monitoraggio; ad esso non corrisponde però alcun obbligo di agire in capo all OdV 31, né in caso di segnalazione a evento, né in caso di informativa periodica 32, essendo rimessa questa valutazione alla discrezionalità dei suoi membri 33. I flussi informativi in uscita All OdV non sono attribuiti compiti operativi, che potrebbero pregiudicare l autonomia di iniziativa e l indipendenza dei suoi componenti, sovrapponendo la figura del controllore e del controllato 34 ; per questa ragione, si prevede un attività di informazione 26 Cfr. Linee Guida Confindustria (2014). 27 Per questa ragione, si discute se l omessa vigilanza possa dar luogo a punibilità dell OdV, ai sensi dell art.40 cpv. c.p., a titolo di concorso omissivo nei reati commessi dall ente; al riguardo, non pare potersi configurare alcuna posizione di garanzia rispetto al bene giuridico protetto, tenuto conto che i componenti dell organismo non hanno alcun potere di intervento diretto, ma sono comunque a riporto dei vertici aziendali. 28 Circolare G.d.F /2012, vol. III, Il regolamento dell OdV prevede, di solito, che l organismo disponga di strumenti informatici che consentano la ricezione di segnalazioni e informazioni, tutelando la riservatezza sia dell autore sia del contenuto. 30 AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo Sui controlli preventivi diretti in materia di antiriciclaggio (art. 52 d.lgs. 231/2007) e sulle relative criticità, cfr. D Arcangelo, Il ruolo e la responsabilità dell Organismo di Vigilanza nella disciplina antiriciclaggio, in La responsabilità amministrativa delle società e degli enti, 2009, 1, Peraltro, l informativa periodica deve presentare specifici requisiti di rilevanza, qualità (in termini di idoneità, attendibilità e aggiornamento) e articolazione; cfr., in proposito, AODV, cit. e Trib. Milano, cit. 33 Con specifico riferimento alle segnalazioni in forma anonima, e purché esse siano dotate di sufficiente specificità, il Modello 231 solitamente rimette all OdV la valutazione sull opportunità di procedere ad indagini (es Trib. Roma, 4 aprile 2003, in Foro it., 2004, agli organi di amministrazione e controllo, che sono poi legittimati ad assumere le conseguenti decisioni operative 35. Nella prospettiva di garantire una continuità d azione dell organismo è, infatti, necessario e opportuno che l OdV documenti lo svolgimento della propria attività (verbali, relazioni o informative specifiche, report inviati o ricevuti, ecc.) e ne curi la tracciabilità e la conservazione, affinché, in ipotesi di procedimento a carico dell ente, sia possibile ricostruire l attività posta in essere, con particolare riferimento al requisito della sufficiente vigilanza (art.6, co.1, lett. d). Il flusso informativo può essere ad hoc, in forma di segnalazione all organo dirigente, ai fini degli opportuni provvedimenti, di quelle violazioni accertate del modello organizzativo dalle quali possa derivare una responsabilità in capo all ente. È altresì previsto che l OdV riferisca dell attività svolta all organo di gestione (in particolare, all eventuale Comitato per il controllo e i rischi, quando non sia investito esso stesso delle funzione di OdV), con periodicità stabilita in base allo specifico profilo di rischio dell azienda in esame 36 ; nella prassi, la relazione viene presentata con cadenza semestrale 37 o annuale e dovrà essere trasmessa all organo di controllo 38. La relazione è, pertanto, un documento di sintesi, che costituisce evidenza e riscontro dell attività svolta dall OdV e accompagna, in linea generale, il bilancio d esercizio, accanto alle relazioni del revisore legale (o società di revisione), del collegio sindacale e degli altri organi di controllo. Essa dovrebbe presentare un contenuto minimo, che dia conto di: frequenza delle riunioni tenutesi nel periodo di riferimento; resoconto delle attività svolte, ivi incluse quelle ispettive e di formazione, dei relativi risultati, con indicazione delle criticità eventualmente emerse in sede di applicazione del modello; segnalazioni ricevute da soggetti esterni e interni all ente; eventuali proposte di intervento correttivo; pianificazione delle attività del successivo periodo; richiesta di rinnovo o integrazione delle risorse finanziarie in dotazione. 35 In particolare, il processo decisionale deve garantire il principio della separazione delle funzioni tra chi esegue, chi controlla e chi autorizza, nonché la verificabilità, documentazione, coerenza e congruità delle singole operazioni (cfr. Linee Guida Confindustria, 2014, 44). 36 AODV, I flussi informativi, ed. 1.0, Milano, 19 marzo Cfr. Linee Guida Confindustria (2014). 38 Assonime, Indagine sull attuazione del D.Lgs. n.231/01, Roma, maggio 2008.

5 La prassi applicativa Nella prassi, il ruolo dell OdV resta uno dei punti più oscuri della disciplina delineata dal D.Lgs. n.231/ In assenza di un valido osservatorio sulle modalità di funzionamento e sui risultati dell attività di vigilanza degli organismi, è difficile individuare delle coordinate concrete e condivise sulle quali si possa modellare l azione dell OdV. La giurisprudenza formatasi in argomento è più incline a tracciare le condizioni di inidoneità del modello 40, anziché gli obblighi di chi è chiamato a vigilare sul funzionamento dello stesso. La carenza o l inadeguatezza dei controlli dell OdV viene spesso valutata indicatore dell inefficacia preventiva del modello: in un caso, la responsabilità dell ente è stata affermata alla luce della palese inadeguatezza dei presidi a fronte di rischi operativi assunti, che ha fornito l occasione al management per porre in atto comportamenti opportunistici orientati al profitto più che all obiettivo della sana e prudente gestione 41 ; in altra ipotesi, l efficacia del modello adottato è stata esclusa, in assenza di un obbligo di per i dipendenti, i direttori, gli amministratori della società di riferire all organismo di vigilanza notizie rilevanti e relative alla vita dell ente, a violazioni del modello o alla consumazione di reati, tenuto altresì conto dell omessa previsione di sanzioni disciplinari nei confronti degli amministratori, direttori generali e compliance officers che per negligenza ovvero imperizia non abbiano saputo individuare, e conseguentemente eliminare, violazioni del modello e, nei casi più gravi, perpetrazione di reati 42 ; nel noto caso Thyssen-Krupp, è stato ritenuto di facciata un modello che consentisse una sovrapposizione dei ruoli di controllore e controllato, ove un componente dell OdV si occupava operativamente di due settori (manutenzione impianti e organizzazione del servizio di emergenza), che rientravano fra quelli sottoposti a verifica 43 ; 39 Abriani, Giunta, L organismo di vigilanza previsto dal D.Lgs. n.231/01. Compiti e funzioni, in La responsabilità amministrativa delle società e degli enti, 2012, 3, Non è infrequente il ricorso all ausilio di un perito, che definisca il requisito dell idoneità in chiave aziendalistica. 41 Trib. Milano (G.U.P.), 3 gennaio 2011, su 42 Trib. Milano, 20 settembre 2004, cit. 43 App. Torino, 28 febbraio 2013, n. 6, su ww.penalecontemporaneo.it. infine, nella recente vicenda Impregilo, la Cassazione ha annullato una delle più rilevanti sentenze di assoluzione dell ente imputato ex D.Lgs. n.231/01, escludendo che la conformità ai codici di comportamento delle associazioni rappresentative attribuisca al modello un crisma di incensurabilità, dovendo quest ultimo essere calato nella realtà aziendale nella quale è destinato a trovare attuazione ed essere valutato dal giudice rispetto alle linee direttrici generali dell ordinamento ai principi della logica e ai portati della consolidata esperienza (per inciso, criteri del tutto evanescenti); affinché le procedure di controllo non siano meramente cartolari, è perciò necessario assicurare la non subordinazione del controllante al controllato 44. L OdV non è, però, investito di un potere di controllo trasversale e di carattere generale 45, bensì calibrato sui processi identificati come sensibili rispetto al rischio di commissione di reati, i quali variano in funzione del settore merceologico e dalla soglia dimensionale 46 della singola impresa. Questa mappatura dei rischi che è funzione del contesto, interno 47 ed esterno 48, in cui opera l ente consente di individuare, a monte, le aree oggetto delle verifiche dell OdV. A tal fine, per esempio, ove il rischio riguardi la commissione di reati contro la P.A. (es. corruzione per l aggiudicazione di appalti pubblici), l attenzione dovrà essere rivolta ai meccanismi di creazione di fondi extracontabili, alle modalità di redazione della contabilità, alle modalità di redazione dei bilanci, ai meccanismi di fatturazione infragruppo, agli spostamenti di liquidità da una società all altra del gruppo alle modalità di esecuzione degli appalti ed ai controlli relativi 49. Qualora si tratti, invece, di aggiotaggio, che integra un delitto di comunicazione, l organo di controllo deve essere nella condizione di esprimere una dissenting opinion sul prodotto finito (rendendo in tal 44 Cass. 18 dicembre 2013, n. 4677, cit. 45 Montalenti, Organismo di vigilanza e sistema dei controlli, in Giur. comm., 2009, 4, A tal proposito, l iniziale giudizio di esclusione delle imprese individuali dall ambito di applicazione soggettivo del d. lgs. 231/2001 (Cass. 22 aprile 2004, n , in Foro it., 2004, II, 22) è stato sostituito da un più rigoroso approccio, conforme (in tesi) al principio costituzionale della ragionevolezza del sistema, sul presupposto che queste ultime spesso adottano una organizzazione interna complessa, che prescinde dal sistematico intervento del titolare e coinvolge anche soggetti diversi (Cass. 20 aprile 2011, n , 47 E.g. struttura organizzativa, articolazione territoriale, dimensioni ecc. 48 E.g. settore economico, area geografica, contesto naturalistico ecc. 49 Trib. Milano, 20 settembre 2004, cit. 33

6 modo, almeno, manifesta la sua contrarietà al contenuto della comunicazione, in modo da mettere in allarme i destinatari), mediante la previsione del passaggio obbligatorio dall OdV della versione definitiva del comunicato 50. In materia di bilancio, il ruolo dell OdV può essere diversamente conformato, secondo che l ente si sottoponga alla revisione contabile (legale o volontaria): ciò non significa che l istituto della certificazione possa sostituire 51 l azione dell OdV, che, in tal caso, potrà consistere in controlli ad hoc sull attività del revisore, soprattutto in punto di indipendenza 52. Sarà, perciò, opportuno prevedere che l OdV sia informato: degli incarichi conferiti, o che s intende conferire, alla società di revisione o alle sue collegate, diversi dalla certificazione del bilancio; delle comunicazioni trasmesse alla Consob sulla insussistenza di cause di incompatibilità fra società di revisione e società certificata; 50 Cass. n. 4677/13, cit. 51 In tal caso, si configurerebbe una delega all esterno delle funzioni di vigilanza, non ammessa nel quadro del D.Lgs. n.231/ Arena, Cassano, La responsabilità da reato degli enti collettivi, Giuffré, Milano, 2007, 268. delle ragioni di scelta della società di revisione (es. professionalità ed esperienza nel settore, e non solo economicità). Inoltre, prima dell approvazione del bilancio, sarà opportuno prevedere un confronto fra la società di revisione, il collegio sindacale, il comitato per il controllo e rischio (se esistente) e l OdV, di cui si redigerà processo verbale. Qualora l ente non sia soggetto a revisione, sarà utile prevedere incontri fra l OdV e il responsabile amministrativo, con eventuale analisi (anche documentale) delle aree sensibili alla realizzazione di fatti di reato, nonché almeno un incontro all anno, fra l OdV e il collegio sindacale, in prossimità della riunione del C.d.A., avente per oggetto il bilancio e la relativa Nota integrativa 53. In alcun caso, tuttavia, l OdV opera in funzione di revisore di secondo grado ; per questa ragione, la mera trasmissione del progetto di bilancio non può essere considerata presidio idoneo a fini preventivi: si tratterebbe, infatti, di provocare un ulteriore controllo su un documento non definitivo, da parte di un organismo che non dispone degli elementi e degli strumenti degli altri organi di controllo, cui finirebbe per sovrapporsi. 53 Linee Guida Confindustria (2014), Parte Speciale. Seminari di specializzazione PACCHETTO ORGANIZZAZIONE DELLO STUDIO PROFESSIONALE Il lean management accedi al sito > L organizzazione tecnologica accedi al sito > L utilizzo strategico dei new media accedi al sito > Come misurare la produttività accedi al sito > Introduzione al marketing accedi al sito > 34