Sistema di controllo interno e prevenzione dell'illecito dell'ente (I)

• 
• 

Dettagli

Pubblicato Venerdì, 14 Gennaio 2005 00:00

Scritto da admin

..

PARTE PRIMA

Il sistema di controllo interno

L'esame dei "modelli di organizzazione, gestione e controllo" per la prevenzione dei reati ex d.lg. 8 giugno 2001 n. 231 si interseca con la complessa tematica del sistema di controllo interno.

Senz'altro i modelli previsti dal d.lg. n. 231 non coincidono con (e non esauriscono) il sistema di controllo interno, tuttavia ci sono due punti di intersezione evidenti.

Innanzitutto la responsabilità dell'organo dirigente per la loro adozione.

Non si può non condividere l'opinione secondo cui il procedimento di costruzione e adozione dei modelli - al di là della specifica rilevanza in termini di imputazione del reato all'ente - viene a rappresentare l'esatto adempimento di un obbligo di corretta gestione dell'impresa da parte degli amministratori (1).

In secondo luogo l'istituzione dell'organismo per la vigilanza sul funzionamento, sull'osservanza e sull'aggiornamento dei modelli, che costituisce il vero fulcro della loro effettività: sorge, in altri termini, immediata, la questione della collocazione di questo "inedito" protagonista del governo dell'ente.

Il sistema di "protocolli" per la gestione del rischio di reato - elemento contenutistico imprescindibile dei modelli, ai sensi dell'art 6 comma 2 lett. b) - viene allora ad inserirsi, integrandolo, nel sistema di controllo interno della società, definibile, secondo lo standard internazionale di riferimento, quale "processo che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di efficacia ed efficienza delle attività operative, di attendibilità delle informazioni contabili ed extracontabili, sia per i terzi che a fini interni, di conformità alle leggi, ai regolamenti, alle norme e alle politiche interne e alla salvaguardia dei beni aziendali"(2).
Nel Rapporto viene messo in evidenza il ruolo primario che spetta all'organo di governo nel sistema di controllo interno ( il c.d. "tone at the top" o "comportamento esemplare del vertice").
Per essere efficace un sistema di controllo interno richiede l'attenzione continua del Capo dell'esecutivo, che deve assumerne la "paternità", determinando le condizioni ambientali favorevoli al pieno sviluppo del processo (3).
I requisiti ambientali analizzati nel Co.S.O. Report riguardano aspetti critici quali integrità e valori etici, valore attribuito alla competenza del personale, filosofia e stile di direzione, struttura organizzativa, attribuzione di poteri e responsabilità, politiche e prassi riguardanti le risorse umane.
Tutto ciò configura una visione ampia del controllo interno, incentrata sul concetto di "gestione del rischio" e sui valori di integrità e trasparenza, veri e propri principi-guida per l'impostazione delle strutture organizzative.
In altri termini, il nuovo modello di controllo supera la tradizionale (ed angusta) focalizzazione sulle attività di controllo ed ispettive: l'utilità di queste attività deve essere vagliata, in termini di rapporto tra costi e benefici, avendo di mira l'obiettivo di realizzare un'appropriata mitigazione del rischio, inscindibile dalla complementare (necessaria) accettazione del rischio residuo.
Lo studio in esame, oltre a definire il sistema di controllo interno in termini di guida propulsiva e stimolo al conseguimento delle finalità aziendali basilari, ha dedicato ampio spazio alla trattazione dei fattori costitutivi del sistema stesso, fornendone una descrizione complessiva, che si basa sulle seguenti componenti:
• ambiente di controllo;
• processo di valutazione dei rischi;
• attività di controllo;
• comunicazione ed informazioni;
• monitoraggio (continuativo o a mezzo di interventi specifici di valutazione).
Si tratta di un processo - o meglio ancora: di un insieme di processi - non sequenziale, ma iterativo e multidirezionale.
Sistema di controllo interno  e gestione del rischio 
Nella realizzazione di un sistema di controllo interno è prassi comune l'utilizzo di indici di rischio. Anzi, a ben vedere, il concetto stesso di controllo è collegato a quello di rischio.
Negli Standard per la Pratica Professionale dell'Internal Auditing, il rischio viene definito come la probabilità che un evento o un'azione possano influire negativamente sull'organizzazione.
Il rischio, così inteso, comprende quattro componenti chiave:
-         un potenziale pericolo o minaccia;
-         la probabilità del suo verificarsi;
-         le conseguenze di tale evenienza;
-         l'esposizione al rischio, che è funzione della probabilità che il rischio si verifichi e del suo impatto potenziale (cioè l'impatto moltiplicato per la probabilità).

La gestione del rischio deve essere attuata nell'intera organizzazione, tenendo conto che le diverse tipologie di rischio si presentano in modo diverso e con diversa intensità a livelli diversi dell'organizzazione.

La gestione del rischio di commissione di reati all'interno dell'organizzazione  nel sistema del d.lg. 231/2001
Il sistema dei modelli ex d.lg. 231 prende in considerazione una particolare tipologia di rischio: il rischio che vengano commessi reati all'interno dell'organizzazione aziendale (da soggetti c.d. apicali o da coloro che sono sottoposti alla direzione e al controllo degli apicali).

Sotto un profilo ricostruttivo, tale rischio costituisce un'ipotesi particolare di rischio c.d. operativo (da normativa), in quanto tale distinto dal rischio finanziario derivante dallo svolgimento dell'attività dell'ente stesso.

Il reato, pertanto, in quanto rischio intrinseco per l'organizzazione, deve costituire oggetto di attenzione ai massimi livelli dell'organizzazione medesima.
La cultura del controllo interno (4), uno dei pilastri della definizione CO.S.O.,scaturisce allora dai livelli più elevati dell'organizzazione, diffondendosi a cascata e manifestandosi nel modo in cui i dipendenti assolvono i propri compiti.
A questo riguardo, vanno approfonditi tre aspetti.
Innanzitutto la misura in cui il sistema di controllo interno può prevenire, scoraggiare e/o successivamente individuare un dipendente determinato a commettere un reato.
In secondo luogo la misura in cui più rigorosi livelli di governance e di controllo- sia interni che esterni - possano servire a prevenire reati di grave entità.
Infine la misura in cui la Funzione di Internal Auditing può riferire ad altri organi competenti (ad esempio l'Audit Committee), sugli abusi del management.

La rilevanza  delle policy sull'etica aziendale 

Uno dei modi a disposizione del Vertice per combattere frodi, corruzioni ed altri abusi - in altri termini: per diffondere la cultura del controllo - è l'emanazione di una policy sull'etica negli affari e la prevenzione degli illeciti.
Il suo scopo dovrebbe esser quello di stabilire i criteri di accettabilità del comportamento, di definire le attese del management e di fornire un parametro che i dipendenti possano usare per valutare il proprio operato. È essenziale che essa promani dal Vertice dell'organizzazione e venga capillarmente diffusa al management e a tutto il personale.
Il messaggio fondamentale è che l'azienda opera nel quadro di regole che tutti, dal Top Management fino all'ultimo dipendente, devono rispettare (5): chi infrange queste regole, commettendo un eventuale reato, agisce anche, attivamente, contro gli obiettivi dell'azienda e a detrimento del suo valore, dovendone allora affrontare sicure conseguenze sanzionatorie.
Complemento essenziale al codice etico aziendale è l'introduzione di un rigoroso processo di Internal Auditing che, grazie alla sua efficacia, possa rappresentare uno strumento di rassicurazione per tutti gli stakeholder.
Il management deve verificare con attenzione e tempestività:
      -  se l'ambiente organizzativo sia tale da favorire il diffondersi della consapevolezza dei rischi e dell'importanza del controllo;
-         se gli obiettivi fissati per l'organizzazione sono realisticamente raggiungibili;
-         se esistono politiche scritte (cioè codici di condotta) che descrivano le attività non consentite e le azioni da intraprendere qualora vengano individuate eventuali violazioni.
-         se sono state introdotte idonee procedure di autorizzazione delle transazioni e se queste vengono adeguatamente seguite.
-         se esistono politiche, prassi, procedure, rapporti ed altri meccanismi atti a controllare le attività e a proteggere il patrimonio, in particolare nelle aree a rischio elevato.
-         se i canali di comunicazione forniscono al management informazioni adeguate e affidabili.
-         se devono essere formulate raccomandazioni per introdurre o potenziare controlli che, nel modo più economico possibile, contribuiscano a diminuire il rischio di illeciti.

Continua: la gestione del rischio di reato nel d.lg. 231 
Il contenuto "promozionale" dell'art 6 del d.lg. 231 si esplicita in due indicazioni principali che devono sorreggere un "sistema di gestione del rischio di commissione di reati":

a)                  l'identificazione dei rischi, vale a dire

-         in quali aree o settori di attività si possono verificare fatti criminosi;

-         quali connotazioni fattuali possono assumere i fatti criminosi in quelle aree

b)                 la progettazione e la realizzazione del sistema di controllo (i "protocolli per la programmazione della formazione ed attuazione delle decisioni dell'ente" di cui parla, per l'appunto, l'art 6).

La progettazione del sistema di controllo presuppone la valutazione del sistema di controllo eventualmente già esistente all'interno dell'ente ed implica il suo adeguamento nell'ipotesi in cui non si rivelasse idoneo - sulla carta o nella sua attuazione - a contrastare efficacemente (id est, come si vedrà: a ridurre ad un livello accettabile), i rischi identificati.

Il fine ultimo di un sistema di gestione del rischio efficace è, allora, quello di ridurre il rischio di commissione di reati, essendo impossibile costruire un sistema "onnipotente", che elimini completamente la possibilità che una persona fisica violi la legge penale (6).

La riduzione del rischio che si verifichi un evento criminoso comporta l'intervento su due ambiti ben precisi:

-         la riduzione delle probabilità di accadimento dell'evento e

-         la riduzione dell'impatto dannoso, in senso lato, dell'evento criminoso stesso, nell'ipotesi della sua verificazione nonostante le misure precauzionali adottate (7).

L'impatto dannoso del reato è rappresentato, in via principale, dalle sanzioni potenzialmente irrogabili all'ente.

Dalla coessenziale natura "ripetitiva" del rischio de quo, deriva la necessità che un sistema di gestione del rischio non possa ridursi ad un'attività svolta una tantum, dovendo invece tradursi in un "processo" continuo (o comunque periodico), da reiterare con particolare attenzione in alcuni momenti di rilievo per l'attività dell'ente (si pensi alle numerose vicende modificative che possono verificarsi) (8).

Il modello di prevenzione deve imporre, all'interno dell'azienda, un rischio accettabile.

E' stata da subito espressa l'opinione secondo la quale le società eserciteranno quel tanto di controllo per il quale il beneficio prevedibile ("la pena prevista diviso le probabilità di beccare il responsabile") sia superiore ai costi di sorveglianza: il modello, per essere efficiente, deve far sì che il valore della diminuzione dei rischi di commissione di reati sia superiore a quello della sua messa in opera (9).

Si deve tuttavia tener conto anche degli effetti indiretti del coinvolgimento dell'ente nel procedimento penale: potrebbero esistere danni d'immagine a forte contenuto economico, quali l'inserimento in una black list commerciale, oppure si possono instaurare azioni di terzi danneggiati, si possono perdere opportunità commerciali esistenti, oppure manager di valore ecc. (10).

Tuttavia, ad avviso di chi scrive, la logica economica sottesa alla valutazione del rapporto costi/benefici, non può essere un riferimento utilizzabile in via esclusiva.

Deve invece aversi riguardo al generale principio dell'esigibilità del comportamento richiesto alla società, ancorché spesso sia difficile individuarne in concreto il limite.

L'esigibilità va intesa, in questa sede, in termini fattuali, vale a dire come "possibilità oggettiva" (11).

Sembra conclusione rispettosa di queste premesse quella che ritiene necessario e sufficiente che il sistema di controllo preventivo,  ai sensi e per gli effetti del D. Lgs. n. 231/2001, sia strutturato in modo tale da non poter essere aggirato se non intenzionalmente (12).

Più precisamente ancora, ed in relazione al requisito dell'"elusione fraudolenta" del modello, l'intenzionalità della persona fisica che delinque deve estrinsecarsi in modalità fraudolente, quindi con artifizi e raggiri.

Il soggetto agente, in altri termini, deve volere il reato e deve sapere che, per commetterlo, deve violare le procedure interne di controllo.

Pertanto, il sistema di controllo preventivo deve essere innanzitutto in grado di escludere che un qualunque soggetto operante all'interno dell'ente possa giustificare la propria condotta illecita adducendo l'ignoranza delle direttive etico-organizzative dell'azienda.

 (Maurizio Arena)

NOTE

(1)     SFAMENI, La responsabilità delle persone giuridiche: fattispecie e disciplina dei modelli di organizzazione, gestione e controllo, in AA.VV., Il nuovo diritto penale delle società, Milano, 2002, p. 76.

(2)     Definizione elaborata dal Committee of Sponsoring Organizations della Commissione Treadway (CO.S.O. Report), nel documento "Internal Control - Integrated framework", 1992. La Commissione è stata istituita nel 1985 per individuare le cause dei falsi in bilancio e formulare suggerimenti per arginare questo fenomeno; era patrocinata dall'American Accounting Association, dall'American Institute of Certified Public Accountants, dal Financial Executives Institute, dall'Institute of Internal Auditors e dall'Institute of Management Accountants. Queste associazioni, successivamente alla presentazione del rapporto della Commissione (1987), costituirono un gruppo di lavoro (appunto il Committee of Sponsoring Organizations) che redasse il Rapporto in discorso. Il Rapporto è stato tradotto ed adattato alla realtà italiana dal Progetto Corporate Governance per l'Italia, il cui lavoro è stato raccolto in Il sistema di controllo interno, Coopers e Lybrand, 1997.

(3)     V. PASTIN, Relazione al Convegno "Corporate crime in America: strengthening the good citizen corporation", 7/8 settembre 1995, disponibile sul sito www.ussc.gov, pp. 140 e ss., il quale, tra i fattori dell'organizzazione societaria che influiscono sull'effettività dei compliance programs, menziona due tipologie di condotta dei vertici: l'adozione di sistemi premiali conseguenti al raggiungimento di obiettivi economici ottenuti senza il rispetto dei principi etici adottati e le ritorsioni avverso i dipendenti che hanno segnalato illeciti o violazioni del codice etico  
(4)     Sulla cultura di impresa come fondamento della colpevolezza societaria, v. l'approfondita analisi di De Maglie, L'etica e il mercato, Milano, 2002, pp. 355 e ss. La nozione di "cultura societaria" è stata espressamente codificata nel Criminal Code Act australiano del 1995. Essa viene definita come "una mentalità, un insieme di usi, di regole, un modo di gestire e di condurre l'azienda che è radicato generalmente all'interno della struttura della persona giuridica o nell'ambito di quella parte dell'impresa in cui si svolgono le attività di rilievo". Anche l'ordinamento canadese sta valutando l'opportunità di introdurre questo concetto, seppur parzialmente modificato. Infatti il Bill C-284 richiede che la corporate culture abbia indotto a ritenere che il mancato rispetto della normativa applicabile sarebbe stata "tolerated, condoned or ignored by the corporation" (nel modello australiano, invece, la corporate culture deve aver, in modo più pregnante "directed, encouraged, tolerated or led to non-compliance"). Infine, la Raccomandazione n. 11 del 2001 del Consiglio d'Europa, sui principi-guida nella lotta alla criminalità organizzata, prescrive agli Stati membri di introdurre standard comuni di corretta corporate governance, di incoraggiare l'adozione di codici di condotta per prevenire pratiche illegali, quali la corruzione, e di incoraggiare l'emersione di una corporate culture basata su responsabilità e "tolleranza zero" nei confronti di pratiche illegali

(5)     FORTUNATO, in DAVIES, La prevenzione degli illeciti societari, Milano, 2002, p. 279, avverte che andrà dimostrato pure che il modello conteneva tutte le misure dissuasive, persuasive, culturali ed etiche necessarie per contenere il rischio di c.d. manager override: il manager riesce spesso ad imporre o ad indurre il controllore sottoposto a svolgere o a trascurare un'operazione irregolare.

(6)     I c.d. limiti intrinseci del sistema di controllo interno sono evidenziati dal CO.S.O. Report, che, nell'illustrarne le cause, menziona due fattori strettamente connessi all'argomento in esame: le deroghe del management (intese come condotte che non rispettano le politiche e le normative di controllo per scopi illeciti, per trarne vantaggio o dissimulare la non conformità agli obblighi di legge) e la collusione tra due o più persone (per commettere o occultare un atto soggetto a controllo). Il sistema di controllo deve allora mirare ai suoi obiettivi in termini di "ragionevole sicurezza".

(7)     Le linee-guida di Federalimentare del 10 luglio 2002, reperibili sul sito www.confindustria.it, correttamente, prendono in considerazione anche la possibilità di trasferire la perdita a terzi (rivalsa nei confronti dei responsabili del reato; fideiussione a garanzia del pagamento di eventuali sanzioni, nei casi di cessioni o acquisizioni di azienda).
(8)     CAPOLUPO, Profili soggettivi della responsabilità amministrativa dell'ente, in Consulenza, 32/2001, p. 40, rileva che l'art. 6 si riferisce a modelli di organizzazione e gestione: ciò significa che il legislatore ha inteso sottolineare il carattere dinamico del modello organizzativo; mentre infatti l'organizzazione è fondamentalmente legata al "come" dello svolgimento dell'attività sotto il profilo dei soggetti, delle modalità, della documentazione e della relativa controllabilità di tali ‘fattori', la gestione attiene alla fase attuativa e quindi dinamica delle attività.

(9)     Secondo DE NICOLA, Le imprese in manette: test di trasparenza, in Il Sole 24Ore, 12 febbraio 2002, p. 29, il D.lg. vuole salvaguardare l'efficienza del mercato, evitando che attraverso trucchi contabili o tangenti si distorca la concorrenza. Le imprese sono i soggetti meglio in grado di prevenire la commissione di tali delitti e la teoria economica insegna che è efficiente dare la responsabilità a chi è meglio in grado di prevenire danni. Il giudice, insomma, non dovrà pretendere che le imprese istituiscano una specie di direzione antimafia aziendale, con verifiche pervasive e costose. Anche qui un principio di efficienza e ragionevolezza si impone. Il sistema normativo deve, a sua volta, stabilire delle sanzioni per le quali i costi sociali e di sorveglianza siano inferiori ai vantaggi in termini di riduzione del crimine.

(10) FORTUNATO, op. cit., p. 277

(11) Cfr. la giurisprudenza in materia di rimprovero penale per omesso impedimento dell'evento: si richiedono la "conoscenza o riconoscibilità della situazione di pericolo", la "conoscenza o riconoscibilità dell'azione doverosa", la "conoscenza o riconoscibilità dei mezzi necessari al raggiungimento del fine" e, appunto, la "possibilità oggettiva di agire" (Cass., sez I, 16 ottobre 1992, Ferri)

(12) Linee-guida Confindustria, reperibili sul sito www.confindustria.it