1 Ottobre 2016

Il documento CNDCEC sul Modello 231 – Parte seconda

di Luigi Ferrajoli Scarica in PDF

Nella seconda parte del documento “Principi di redazione dei Modelli di organizzazione, gestione e controllo ex D.lgs. 231/2001”, la cui prima parte è già stata oggetto di commento in un intervento precedente, il Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili si sofferma nel dettaglio ad analizzare le singole fasi e le principali attività propedeutiche alla redazione del Modello organizzativo.

Ai fini dell’implementazione del Modello, il CNDCEC evidenzia innanzitutto che è necessario effettuare un check up aziendale per acquisire una compiuta conoscenza della struttura organizzativa e del core business tipico dell’ente. La raccolta e la successiva analisi dei dati riguardanti la Società consentono altresì di compiere una prima individuazione delle c.d. attività “sensibili”, maggiormente esposte ai rischi legati alla commissione dei reati presupposto dal D.Lgs. 231/2001.

Ulteriori informazioni possono essere reperite anche attraverso la somministrazione di questionari e di interviste alle funzioni aziendali, considerate più rilevanti rispetto ad altre, in relazione al grado di responsabilità ed agli specifici compiti ad esse attribuiti.

Terminata la fase di check up, si prosegue con l’analisi dei presidi di controllo interno adottati e contestualmente con la valutazione del grado di rischio presente in ciascun processo/attività sensibile. Sul punto, il CNDCEC pone l’accento sull’opportunità di condurre l’analisi facendosi guidare dai principi dettati dal C.o.S.O Report che suggerisce di analizzare gli elementi aziendali inquadrandoli in cinque distinte componenti:

  1. ambiente di controllo (control enviroment);
  2. valutazione del rischio (risk assessment);
  3. attività di controllo (control activities);
  4. informazione e comunicazione (information & communication);
  5. monitoraggio continuo (monitoring).

Tuttavia, in “ottica 231” è essenziale integrare l’analisi svolta secondo le modalità indicate dal C.o.S.O. Report con l’identificazione delle singole fattispecie di reato-presupposto che si possono verificare durante lo svolgimento di ciascuna attività sensibile. Il CNDCEC afferma che l’attività di risk assessment, ai fini del Decreto 231 “si estrinseca nell’analizzare la probabilità che l’evento o il comportamento che si cerca di evitare possono verificarsi all’interno dell’Ente/organizzazione, con specifico riferimento alle modalità di commissione dei reati presupposto”.

Diventa fondamentale quindi individuare il livello di rischio a cui è esposta l’organizzazione nelle sue articolazioni, a partire dalla valutazione del potenziale rischio inerente a ciascuna attività, proseguendo con la disamina del grado di probabilità che l’evento illecito possa avverarsi (tenendo altresì conto dei presidi di controllo già adottati dall’Ente) e delle eventuali conseguenze che possono scaturire dalla verificazione dello stesso.

Nel definire i protocolli preventivi e le eventuali azioni di contrasto finalizzati a ridurre/eliminare i fattori di rischio presenti, è necessario stabilire a priori una soglia di accettabilità del rischio che ponga “un limite al numero e all’intensità dei meccanismi preventivi delle misure di prevenzione da introdurre per evitare la commissione dei reati considerati che altrimenti sarebbero virtualmente infiniti”.

Per individuare tale soglia non è sufficiente far riferimento al solo parametro puramente aziendalistico secondo cui il rischio diventa accettabile qualora “i controlli aggiuntivi costano più della risorsa da proteggere”, ma sarà necessario predisporre un sistema di protocolli e meccanismi di controllo interno tale da ridurre il grado di probabilità di commissione dei reati-presupposto sino al limite secondo cui questi ultimi possono verificarsi solo in caso di elusione fraudolenta dei presidi di prevenzione applicati.

Il CNDCEC non manca, inoltre, di sottolineare che il Modello deve integrarsi con gli altri sistemi di gestione dei rischi presenti nell’Ente quale quello previsto in materia antinfortunistica ai sensi del D.Lgs. 81/2008, seppur non può essere considerato in alcun modo sostitutivo del Modello stesso, viste le diverse finalità a cui sono indirizzati i singoli sistemi.

A tal proposito, nel documento viene ribadito l’orientamento già espresso dalla giurisprudenza (Trib. Trani 26.10.2009) secondo cui i Documenti di Valutazione dei rischi ex articoli 26 (DUVRI) e 28 (DVR) del D.Lgs. 81/2008 non sono equiparabili al Modello 231 e non sono idonei ad assicurare l’efficacia esimente stabilita negli articoli 6 e 7 del D.Lgs. 231/2001. Si afferma che “in definitiva rispetto alle prescrizioni del D.Lgs. 81/08 e alle procedure certificate da sistemi quali OHSAS 18001, attraverso l’adozione del Modello l’analisi dei rischi si amplia spostandosi dal solo ciclo produttivo all’intero processo decisionale finalizzato alla prevenzione, individuando altresì le procedure gestionali e finanziarie per mitigare ed attutire i rischi”.

Infine, non è sufficiente che l’Ente adotti un Modello, ma deve necessariamente garantire anche la sua concreta attuazione, pianificando l’attività di formazione rivolta al personale impiegato nell’ente, che dovrà essere personalizzata e differenziata a seconda dei diversi ruoli assunti dai soggetti destinatari e ciò al fine di assicurare una completa diffusione e conoscenza dei protocolli stabiliti nel Modello.

Da ultimo, secondo quanto sancito dall’articolo 6, comma 1, lett. b), il compito di vigilare sul funzionamento e sull’esatta attuazione del Modello, nonché di curarne l’aggiornamento in caso di sopravvenute modifiche normative o di intervenute variazioni della compagine sociale, deve essere affidato ad un apposto Organismo di Vigilanza (OdV).

È chiaro l’intento del CDNCEC di offrire ai professionisti coinvolti a vario titolo in materia 231, sia ai fini della concreta predisposizione del Modello, che in qualità di componenti dell’Organismo di Vigilanza, una sintesi dei principali aspetti elaborati sino ad oggi sulla tematica e di sopperire alla laconicità della disciplina dettata dal legislatore.

Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso:

Il sistema di gestione dei rischi aziendali e il modello 231 – 4.0