Modello organizzativo 231: le fasi di costruzione
di Andrea OnoriIl Decreto Legislativo 231/2001 non descrive il contenuto di dettaglio di un modello organizzativo, ma ne delinea solo gli scopi e le finalità che lo stesso deve soddisfare, affinché l’ente adottante possa essere riconosciuto non responsabile del comportamento di coloro (i soggetti apicali) che hanno commesso uno dei reati presupposto nel suo interesse o vantaggio.
La configurazione teoretica dei Modelli organizzativi, in relazione alla natura e alla dimensione dell’organizzazione, è quella di garantire lo svolgimento dell’attività nel rispetto della legge oltre che a scoprire ed eliminare tempestivamente situazioni di rischio, per evitare il coinvolgimento dell’ente nel compimento di uno dei reati previsti dalla norma.
Tale impostazione la si desume dalle previsioni contenute negli articoli 6 e 7, D.Lgs. 231/2001, da cui si traggono i seguenti contenuti essenziali:
- individuazione delle attività nel cui ambito possono essere commessi i reati presupposto;
- previsione di specifici protocolli interni diretti a definire la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire;
- individuazione delle modalità di gestione delle risorse finanziarie volte ad impedire la commissione dei reati;
- verifica periodica ed eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni o quando intervengono mutamenti nell’organizzazione ovvero nell’attività;
- previsione di canali di segnalazione interna;
- previsione di obblighi di informazione nei confronti dell’Organismo di Vigilanza;
- introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello.
Agli elementi essenziali, relativi al contenuto del modello, gli articoli in commento aggiungono delle previsioni di carattere formale, sostanziale e di vigilanza.
In merito alla forma, i Modelli organizzativi devono essere “adottati” dall’ “Organo Dirigente” («Consiglio di Amministrazione»), il che presuppone una attenta valutazione, nonché approvazione da parte dello stesso organo.
Per quanto riguarda la sostanza, il Modello deve essere “efficacemente attuato”. Da ciò si può dedurre una necessaria e concreta applicazione da parte di tutti i soggetti coinvolti e destinatari delle norme e delle regole in esso contenute, oltre che una elaborazione concreta ed organica in ottica di prevenzione dei reati che realmente possono essere commessi nella quotidiana esecuzione delle attività aziendali.
Con riferimento agli aspetti relativi alla supervisione del Modello, quest’ultima deve essere affidata ad un Organismo, dotato di autonomi poteri di iniziativa e di controllo, che ne valuti e ne attesti il funzionamento, l’aggiornamento e l’osservanza.
Alla luce di quanto sopra, si può serenamente affermare che il Modello 231 fa parte, a pieno titolo, del generale sistema di gestione e di controllo interno dei rischi aziendali.
Partendo da tale considerazione, si possono meglio individuare le fasi di costruzione del Modello Organizzativo.
Si distinguono le seguenti:
- identificazione degli ambiti aziendali di attività;
- Identificazione dei rischi potenziali;
- Progettazione e costruzione del sistema di controllo.
La prima fase, relativa all’“identificazione degli ambiti aziendali di attività”, è propedeutica ad individuare e identificare le aree e i contesti aziendali che, in funzione della natura e delle caratteristiche delle attività svolte, possono essere interessate da specifiche fattispecie di reato. Lo svolgimento di tale fase può avvenire secondo approcci diversi: per attività, per funzioni, per processi.
Si deve, pertanto, effettuare un cosiddetto “Check up aziendale”, che consenta di arrivare ad una conoscenza generale dell’Ente, per acquisire la documentazione necessaria e per individuare le attività sensibili e i fattori di rischio.
La seconda fase, concernente l’“identificazione dei rischi potenziali”(Risk Assessment), consiste nella identificazione delle modalità con cui si potrebbero concretamente verificare eventi pregiudizievoli (modalità attuative dei reati nelle diverse aree aziendali). Rappresentazione, il più possibile completa, di come si possono eventualmente commettere i reati presupposto.
La terza ed ultima fase, “progettazione e costruzione del sistema di controllo”, consiste nella definizione di specifici protocolli interni finalizzati a programmare la formazione e l’attuazione delle decisioni dell’ente, al fine di prevenire i reati, riconducendo i rischi identificati ad un livello accettabile. La riduzione di un rischio ad un livello accettabile significa che occorre intervenire sulla sua probabilità di accadimento, oltre che sull’impatto che lo stesso evento potrebbe avere.
La sintesi delle prime fasi di costruzione del Modello 231, di solito, si sostanzia nella realizzazione di una matrice che mette in relazione le diverse tipologie di reato presupposto con le diverse funzioni/divisioni/unità organizzative dell’Ente più esposte ai rischi, associando a tale relazione una valutazione del livello di rischio relativo.
Un Modello Organizzativo è generalmente costituito da due parti:
- parte generale;
- parte speciale.
Accompagnate da un:
- codice Etico (che può essere ritenuto parte integrante ed essenziale del modello).
La Parte Generale descrive le componenti essenziali dello stesso, ovvero la sua diffusione e conoscenza all’interno dell’Ente, nonché le attività relative alla formazione del personale, al sistema sanzionatorio e stabilisce il comportamento da adottare, in caso di mancata osservanza delle prescrizioni dello stesso.
La parte Speciale è, per contro, relativa ai reati presupposto, alle attività sensibili, ai destinatari e ai principi comportamentali e alle regole di condotta, nonché alle modalità operative e ai flussi informativi.
Da ultimo, il Codice Etico contiene l’insieme dei diritti, doveri e responsabilità dell’ente nei confronti di dipendenti, fornitori, clienti, Pubblica Amministrazione, più in generale, degli “Stakeholders”.
