Dopo aver affrontato alcuni temi generali relativi al D.Lgs 231/2001 , passiamo ora ad analizzare più nello specifico i modelli di organizzazione e gestione.
I modelli di organizzazione e gestione (di seguito anche “MOG”) svolgono una serie di importanti funzioni sia durante il procedimento, sia successivamente quando si tratta di quantificare l’eventuale sanzione.
Infatti, ai sensi dell’art. 6 del D.Lgs. 231/2001 (di seguito anche il “Decreto”), nel caso di reato commesso dai vertici dell’azienda, affinché questa vada esente da responsabilità è necessario che sia stato adottato un modello idoneo a prevenire il rischio della commissione di reati, e che questo possieda una serie di caratteristiche specifiche che vedremo nel corso di questo articolo.
Nel caso invece di reato commesso da soggetti sottoposti all’altrui controllo, per l’art. 7 del Decreto è sufficiente, più genericamente, l’aver adottato efficacemente un modello.
Dal punto di vista sanzionatorio, invece, l’adozione di un MOG a valle della commissione del reato determina, ai sensi dell’art. 12 del Decreto, una riduzione delle sanzioni pecuniarie in misura compresa fra un terzo e la metà, oltre ad altri consistenti benefici che esamineremo prossimamente.
È quindi ovvio che, pur non essendo l’adozione di un MOG obbligatoria, la maggior parte degli enti – ed in particolare quelli aventi una certa complessità organizzativa – intraprendano questa scelta per cercare di andare esenti da sanzioni o comunque mitigare la portata delle stesse. A fronte dei dubbi e delle perplessità che spesso accompagnano le decisioni sull’adozione di un modello di organizzazione e gestione, lo Studio Legale Princivalle Apruzzi Danielli è in grado di assistere e guidare i suoi clienti nell’adozione del MOG.
Forti della nostra esperienza in tale campo, in questo articolo cercheremo di rispondere ad alcune delle domande più frequenti che ci sono state sottoposte dai nostri clienti: cosa deve contenere un modello di gestione ed organizzazione per essere ritenuto idoneo? E quali sono gli step da seguire per adottarlo efficacemente?
I contenuti del modello di organizzazione e gestione
Anzitutto, occorre tenere presente che il testo degli artt. 6 e 7 del Decreto si limita a disegnare lo scheletro del MOG e quali siano gli scopi che esso deve conseguire.
Tuttavia, nel tempo la giurisprudenza ha individuato alcuni principi, stabilendo ad esempio che il MOG debba essere innanzitutto specifico, attuale e dinamico. Il canone della specificità impone di tener conto della tipologia, delle dimensioni, dell’attività dell’ente e della sua storia. L’attualità comporta il costante aggiornamento del MOG alle mutate esigenze. La dinamicità assicura il continuo controllo del sistema prevenzionale, mediante il ricorso a sistematiche procedure di ricerca e identificazione dei rischi e controlli periodici sulle attività aziendali sensibili.
Ma come è fatto e come è strutturato un MOG?
In linea generale e cercando di semplificare il più possibile la risposta a questa domanda, possiamo dire che un MOG si divide in due parti: una generale ed una speciale.
La parte generale è tendenzialmente costituita in primis da un richiamo alla normativa di riferimento, ossia al Decreto stesso, dal modello di governance e dai sistemi organizzativi e di controllo interno adottati dall’ente.
Il secondo elemento che figura nella parte generale del modello è il sistema delle procure e delle deleghe, il quale disegna la ripartizione dei poteri e dei doveri all’interno della società.
Altro contenuto fondamentale della parte generale è dato dal Codice Etico, una sorta di tavola dei valori che permeano la cultura d’impresa e della quale i protocolli contenuti nel modello devono costituire concreta attuazione.
La parte generale del MOG deve anche fare riferimento alle modalità di emersione e rilevamento delle violazioni dello stesso, essenziali affinché il modello sia considerato adeguato ed efficace. Un simile sistema (su cui si tonerà più specificamente in un successivo articolo) è detto anche whistleblowing, e dovrebbe prevedere l’obbligo per tutti i soggetti legati all’ente di denunciare le violazioni di cui sono a conoscenza al proprio superiore o ad un apposito organismo.
Il modello deve successivamente menzionare il sistema disciplinare e sanzionatorio previsto in risposta alle violazioni delle prescrizioni in esso contenute, al fine di assicurarne l’effettività.
Infine, la parte generale deve “chiudere” il quadro disciplinando minuziosamente l’istituzione, la composizione, il funzionamento e gli obiettivi dell’Organismo di Vigilanza. Per il ruolo fondamentale che questo elemento riveste nel sistema 231, verranno ad esso dedicati degli articoli a parte, per ora anticipiamo soltanto che tale Organismo ha il compito di vigilare sul funzionamento e sull’osservanza del modello, e di curarne anche l’aggiornamento.
La parte speciale del MOG è invece dedicata all’individuazione e alla regolamentazione delle specifiche attività esposte al rischio della commissione di reati. Più dettagliatamente, la parte speciale del modello deve innanzi tutto fornire una descrizione della struttura dei reati-presupposto della responsabilità dell’ente.
La seconda “tappa” fondamentale è la mappatura delle attività a rischio-reato, anche detta risk assesment, che nelle organizzazioni complesse come un’azienda si sostanzia in una serie di interventi: individuazione delle aree potenzialmente a rischio-reato; selezione delle attività il cui espletamento è connesso al rischio di commissione dei reati, con indicazione delle direzioni e dei ruoli aziendali coinvolti; valutazione del grado di efficacia dei sistemi operativi e di controllo già in essere.
L’ultimo elemento essenziale della parte speciale del MOG è un richiamo, nei loro contenuti essenziali, ai protocolli di gestione del rischio-reato che si è mappato. I protocolli devono essere altamente tassativi, e contenere regole iper-descrittive, che traducano in pratica i principi definiti dal Codice etico. Oltre alla tassatività, i protocolli devono anche essere efficacemente attuati, e non limitarsi ad essere “messi su carta”.
Ulteriori fattori di grande importanza sono le attività d’informazione e di formazione sui contenuti del Modello e dei protocolli di gestione del rischio reato. Infatti, all’interno degli enti, specialmente di grandi dimensioni, è opportuno che vengano attuate iniziative di formazione qualificate e continue sul piano di prevenzione aziendale.
L’adozione del MOG
Sempre per semplificare, si possono quindi distinguere cinque fasi procedimentali che portano alla redazione e all’adozione del modello di organizzazione e gestione.
La fase iniziale consiste in un’analisi conoscitiva della società, che deve riguardare: il tipo di attività da essa svolta; la dimensione della società; la struttura organizzativa; i presidi già in essere all’interno della stessa; i rapporti della società con la Pubblica Amministrazione; l’ambiente di lavoro, per verificare se la società si conformi o meno, e quanto, alle norme anti-infortunistiche e di sicurezza sul lavoro.
Il passo successivo è l’identificazione delle attività sensibili, ossia attività nell’ambito delle quali potenzialmente potrebbero essere commessi i reati presupposto. Questa è una fase estremamente complessa e delicata, in quanto ogni caratteristica specifica dell’organizzazione genera rischi differenti all’interno dei singoli enti. Ciononostante, è possibile trarre alcuni principi generali dalle linee guida delle associazioni di categoria, fra le quali le più rilevanti in relazione al d.lgs. 231/2001 sono quelle pubblicate da Confindustria, che, pur non essendo la regola esaustiva, forniscono comunque utili informazioni circa questa fase della mappatura del rischio.
Il passaggio successivo è la classificazione del rischio in ordine decrescente: in primis i rischi critici, determinati da un danno elevato e da una significativa probabilità di accadimento, i quali non sono prevedibili o controllabili, seguono poi i rischi rilevanti, che presentano una entità del danno e una probabilità di accadimento minori rispetto ai rischi critici, ma che necessitano comunque di essere controllati, infine vi sono i rischi trascurabili, che per la modestia del danno o la scarsa probabilità di accadimento possono essere ignorati.
A questo punto si può procedere all’analisi ed individuazione del sistema di controllo e dei protocolli già esistenti nelle aree a rischio, per valutare la loro capacità di rispondere ai criteri delineati dal d.lgs. 231/2001. Solo dopo aver svolto accuratamente questa analisi, si giunge alla vera e propria predisposizione del modello di organizzazione, gestione e controllo, che dovrà successivamente ricevere l’approvazione da parte dell’organo dirigente.
È evidente che il percorso verso l’adozione ed implementazione di un MOG che risulti adeguato e specifico per il singolo ente, non è esattamente “semplice”.
Nel prossimo articolo andremo quindi ad affrontare la domanda che forse più di tutte preme a chi si appresta ad allinearsi ai dettami del d.lgs. 231/2001: che vantaggi trae l’ente dall’adozione ed efficace implementazione di un MOG?