Press

Professione Economica e Sistema Sociale Testata Ufficiale del Consiglio Nazionale
dei Dottori Commercialisti e degli Esperti Contabili

Diritto

Risk management, la centralità dei flussi informativi

La comunicazione rappresenta una chiave fondamentale per delineare un sistema di controlli idoneo a supportare il processo decisionale di conduzione e verifica degli obiettivi aziendali

di Roberto Frascinelli, Benedetta Parena, Paolo Vernero

La riforma del diritto societario introdotta nell’ordinamento italiano dal D.Lgs 6/2003 ha elevato il format degli “adeguati assetti organizzativi” quale necessario parametro cui deve misurarsi l’organizzazione interna dell’impresa, portando le tradizionali tecniche aziendalistiche al rango di diritto comune. Il sistema dei controlli e la best practice evolvono, quindi, da una visione del controllo come mera “funzione punitiva” ad una concezione del controllo come funzione fisiologica della gestione, confluendo a pieno titolo nella corporate governance societaria.
La corporate governance, definibile come “the way in which companies are directed and controlled” [1], è un insieme organico di strutture (decisionali e di controllo), regole (norme, regolamenti, codici di condotta), processi di intermediazione tra gli interessi degli shareholders e degli stakeholders e processi di gestione dei singoli organi finalizzato a: (i) bilanciare gli interessi dei soci di controllo, della struttura manageriale e degli stakeholders; (ii) creare valore economico in una prospettiva di medio lungo termine; (iii) minimizzare tutti i rischi a cui è esposta l’impresa; (iv) favorire la distribuzione equa del valore creato tra i diversi interlocutori sociali.
L’impostazione di un efficace ed efficiente sistema di governo contribuisce alla riduzione dei rischi – sia per quanto riguarda i reati-presupposto previsti dal D. Lgs. 231/2001 sia con riferimento alle frodi aziendali in genere – intervenendo sulle principali aree-chiave della corporate governance, portando benefici alla società in termini di presidio dei rischi connessi all’operatività gestionale ed al funzionamento degli organi di amministrazione e controllo.
Come definire e gestire il rischio? Il rischio è definibile come la combinazione delle probabilità di un evento e delle sue conseguenze. Qualunque iniziativa venga intrapresa determina il verificarsi di eventi e conseguenze che potrebbero rappresentare possibili benefici ovvero minacce. Il risk assessment è il processo volto ad assicurare l’individuazione, l’analisi e la gestione dei rischi aziendali, mentre il risk management è il processo attraverso il quale affrontare i rischi legati all’attività con lo scopo di ottenere benefici durevoli nell’ambito della stessa. La base di un buon risk management è l’identificazione ed il trattamento dei rischi cui la società è esposta, conferendo il massimo valore sostenibile ad ogni attività aziendale.

Alla luce di quanto sopra, si può quindi notare la stretta relazione che viene a crearsi fra il sistema di gestione dei rischi ed il sistema dei controlli interni. La suddetta relazione è evidenziata in particolare nel CoSO ERM (Committee of Sponsoring Organizations Enterprise Risk Management), che ancor oggi è uno dei più diffusi standard in tema di enterprise risk management e sistemi di controllo interno. In base ad esso, “la gestione del rischio aziendale è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali” [2].
I processi e le attività che si intersecano in modo complementare con il sistema di controllo interno possono, dunque, essere così individuati: (i) pianificazione: processo di analisi e decisione che conduce alla definizione degli obiettivi di lungo e breve periodo ed alla progettazione degli strumenti gestionali per realizzarli; (ii) organizzazione: concretizzazione degli strumenti di gestione adeguati nella struttura organizzativa, nei meccanismi operativi e nel sistema in-formativo; (iii) controllo della gestione: monitoraggio delle attività, confronto continuo con quanto stabilito in sede di pianificazione, analisi degli scostamenti, proposta di azioni correttive per raggiungere i risultati programmati in tutti gli ambiti.
Occorre inoltre evidenziare una distinzione che, pur non avendo un riferimento normativo specifico nel nostro ordinamento, riveste un ruolo decisivo nel sistema dei controlli: la bipartizione tra controllo diretto e controllo indiretto. Una suddivisione che tocca trasversalmente organi e funzioni differenti e che, nella realtà economico-sociale, si risolve nella netta prevalenza dei controlli indiretti sui controlli diretti [3].
Ciò deriva anche dalla oggettiva complessità della grande impresa moderna, nella quale la governance è fortemente articolata e si estrinseca, altresì, nella verifica dell’efficienza e dell’efficacia dell’azione di altri soggetti (organi delegati, alta dirigenza, managers, responsabili di settore, amministratori di società controllate ecc.).
I controlli indiretti, sebbene dotati di meccanismi di “autocorrezione”, portano con sé il rischio di un “default a catena”, in quanto ultimamente fondati sui controlli diretti (i c.d. “controlli di linea”). Analogo fenomeno si verifica nelle procedure di controllo – e il tema è di particolare rilevanza proprio nella materia “231” – per cui molte istanze procedono non già da atti di ispezione e di controllo diretto bensì da atti di accertamento presso le “istanze inferiori”, volti a verificare il corretto svolgimento delle procedure di controllo e l’adeguatezza degli assetti organizzativi di cui le procedure stesse sono parti integranti. Il sistema si presenta, cioè, come una sorta di “piramide rovesciata”, che ricomprende l’insieme delle funzioni di controllo indiretto “e che poggia sul vertice, anch’esso rovesciato, dei controlli diretti su cui si regge, in definitiva, l’intera architettura” [4].

Sinergie tra adeguati assetti organizzativi, sistema di controllo interno e Modello 231
L’adeguatezza degli assetti organizzativi è oggi elemento essenziale dell’organizzazione interna societaria.
Data la mancanza di riferimenti normativi specifici, non esiste una nozione univoca di “adeguatezza”. Dal punto di vista letterale il termine “adeguatezza” ha diversi significati (“commisurare”, “comparare”, “ragguagliare”), ma non appare mai pienamente autosufficiente, richiamando sempre la necessità di un rapporto con un altri elementi (categorie, grandezza, valori) che possono essere rappresentati dalla “natura” e dalle “dimensioni” dell’impresa [5] . Diverse fonti normative citano il principio di adeguatezza; fra esse esemplificativamente si possono annoverare:

  • l’art 2381 5^ comma c.c., secondo cui: “(...) Gli organi delegati curano che l'assetto organizzativo, amministrativo e contabile sia adeguato alla natura ed alle dimensioni dell'impresa (...)”;
  • l’art 2381 3^ comma c.c., secondo cui: “(...)Il consiglio di amministrazione (...) sulla base delle informazioni ricevute valuta l'adeguatezza dell'assetto organizzativo, amministrativo e contabile della società (...)”;
  • l’art. 2403 c.c. che dispone: “Il collegio sindacale vigila (...) in particolare sull'adeguatezza dell'assetto organizzativo, amministrativo e contabile adottato dalla società sul suo concreto funzionamento”;
  • il TUB (D.Lgs. 385/1993), il cui art. 53, 1^ comma, lett. a), come modificato dal D.Lgs n. 72/2015, stabilisce che “la Banca d'Italia, emana disposizioni di carattere generale aventi ad oggetto: a) l'adeguatezza patrimoniale (...)”;
  • il TUIF, il cui art. 149 stabilisce al 1 ^comma, che “il collegio sindacale vigila: (...) c) sull'adeguatezza della struttura organizzativa della società per gli aspetti di competenza del sistema di controllo interno e del sistema amministrativo contabile nonché sull'affidabilità di quest'ultimo nel rappresentare correttamente i fatti di gestione; d) sull'adeguatezza delle disposizioni impartite dalla società alle società controllate, ai sensi dell'art. 114, 2 ^ comma? (...)”;
  • il D.Lgs. 8 giugno 2001, n. 231, recante la "Disciplina della responsabilità amministrativa delle persone giuridiche”, che prevede l’esonero da responsabilità della società qualora abbia adottato ed efficacemente attuato (i.e. adeguatamente) il Modello Organizzativo;
  • la Norma di comportamento 3.4 del Collegio Sindacale, emanata dal Consiglio Nazionale del Dottori Commercialisti ed Esperti Contabili, rubricata “Vigilanza sull’adeguatezza e sul funzionamento dell’assetto organizzativo”, che definisce come adeguati gli assetti che presentano una struttura compatibile alle dimensioni della società ed alla natura ed alle modalità di perseguimento dell’oggetto sociale.
    Il sistema risulta quindi essere “adeguato” quando permette la chiara e precisa indicazione dei principali fattori di rischio aziendale e ne consente il costante monitoraggio e la corretta gestione. Più precisamente la struttura organizzativa sarà ritenuta adeguata quando: si sia tenuto conto delle dimensioni della società e della natura dello scopo sociale; sia stato redatto l’organigramma aziendale con evidenziate le aree di responsabilità; la direzione della gestione sia di fatto esercitata dagli amministratori; esista una chiara documentazione riportante direttive e procedure aziendali e ne sia stata fatta opportuna divulgazione; il personale sia dotato di adeguata competenza per svolgere le mansioni affidate; la programmazione (e cioè l’organizzazione ottimale dei fattori della produzione esistenti o di immediata acquisizione) avrà come riferimento il budget d’esercizio; la pianificazione (e cioè lo sviluppo della struttura aziendale) avrà come riferimento il business plan [6].
    Componente necessaria e fulcro degli adeguati assetti organizzativi, amministrativi e contabili è il sistema di controllo interno, snodo cruciale dell’articolazione del potere d’impresa e delle regole di responsabilità [7]. Come abbiamo visto nel paragrafo precedente, esso rappresenta l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione ed il monitoraggio dei principali rischi cui la società è esposta; in tal senso i flussi informativi costituiscono un elemento essenziale del sistema di controllo interno.
    Il sistema di controllo coinvolge ciascun organo sociale per le proprie competenze (Consiglio di Amministrazione, Collegio Sindacale e Revisore Legale dei conti). Vengono altresì attratti e coinvolti nel sistema dei controlli interni anche gli altri ruoli e funzioni aziendali che, in relazione all’assetto organizzativo vigente, hanno specifici compiti in tema di controllo interno e gestione dei rischi, articolati in relazione alle dimensioni, complessità e profili di rischio dell’impresa.
    Nel novero dei profili di rischio cui l’impresa è soggetta, è opportuno citare il D.Lgs 231/2001 che ha introdotto nell’ordinamento italiano la responsabilità amministrativo-penale degli enti facendo rientrare nel sistema dei controlli interni l’Organismo di Vigilanza (di seguito anche “OdV”). Detto organo, cui sono affidati i compiti previsti dall’art 6 del D.Lgs 231/2001, dovrà analizzare – anche al fine di un eventuale aggiornamento del modello stesso – ogni area aziendale, per individuare in quale di esse possa sussistere la probabilità che uno degli illeciti ex D.Lgs 231/2001 possa essere commesso. In seno a questa analisi risiede, infatti, la valutazione delle procedure attualmente in essere nella società nonché l’analisi del sistema di controllo, permettendo in tal modo di porre in evidenza eventuali carenze da colmare. L’attività condotta dall’OdV permette, da un lato, di creare un trait-d’union tra l’adeguatezza dell’assetto societario e l’adeguatezza del Modello Organizzativo, entrambi volti a migliorare la compliance aziendale nell’attività di riduzione dei rischi; dall’altro, di rafforzare il sistema di controllo interno, permettendo una maggiore diffusione della cultura del controllo all’interno della società. Cultura che diviene non solo uno strumento per la prevenzione della commissione di illeciti ma anche uno stimolo per il miglioramento continuo/periodico dell’assetto organizzativo ed operativo della società.
    Così come i Modelli Organizzativi adeguatamente ed efficientemente adottati rappresentano una delle condizioni per l’esclusione della responsabilità della società, l’osservanza degli adeguati assetti organizzativi, amministrativi e contabili rappresenta una delle condizioni necessarie per scongiurare azioni di responsabilità nei confronti degli amministratori e dei componenti del Collegio Sindacale; in tal modo, vi sarà coerenza fra i requisiti di adeguatezza dei Modelli organizzativi ed i requisiti di adeguatezza dell’assetto organizzativo, amministrativo e contabile, permettendo di accertare la responsabilità esterna col medesimo criterio previsto per l’accertamento della responsabilità interna (ovvero degli amministratori e dei sindaci) [8].
    Anche a fronte di quanto sopra, secondo la dottrina dominante, i Modelli Organizzativi vengono oggi sistematicamente ascritti a quelle norme del diritto societario (ed in particolare ai citati terzo e quinto comma dell’art. 2381 c.c. ed all’art. 2403 c.c.) che sanciscono il principio di “adeguatezza nel governo societario”.

Ruolo e funzione dei flussi informativi
La globalizzazione dei mercati ha dato crescente importanza allo sviluppo tecnologico, che ha messo a disposizione delle imprese sistemi integrati in grado di supportare la gestione per processi e di rendere disponibili le informazioni aziendali in tempo reale, consentendo di automatizzare una serie di operazioni nell’ambiente informatico. L’informazione e la comunicazione rappresentano, pertanto, una chiave fondamentale per delineare un sistema di controlli idoneo a supportare il processo decisionale di conduzione e di verifica degli obiettivi aziendali.
I sistemi informativi permettono di dare un’utilità all’informazione - sia a livello operativo che strategico - di fondamentale supporto al management nel suo ruolo di guida dell’impresa e permettono di definire la qualità e l’utilità delle capacità e delle idee di conduzione manageriale [9] . Il documento OCSE [10] , aggiornato a settembre 2015 (che statuisce i principi in tema di corporate governance), sul tema dell’informazione (e della trasparenza) nel governo societario, riporta quanto segue: “Un rigoroso regime di diffusione dell’informazione, che favorisca una vera trasparenza, costituisce un principio fondamentale della sorveglianza delle società tramite meccanismi di mercato e condiziona la capacità degli azionisti di esercitare con piena cognizione di causa i propri diritti. L’esperienza dei Paesi dotati di mercati azionari sviluppati ed attivi mostra che la diffusione dell’informazione può anche essere un potente strumento per influire sul comportamento delle società e tutelare gli investitori. Un rigoroso regime di diffusione dell’informazione può aiutare ad attrarre i capitali ed a conservare la fiducia sui mercati finanziari. Al contrario, uno scarso rigore in questo settore ed il ricorso a pratiche poco trasparenti rischiano di favorire comportamenti contrari all’etica e di incidere negativamente sull’integrità dei mercati a scapito non soltanto della società e dei suoi azionisti, ma anche dell’economia nel suo complesso. Gli azionisti e gli investitori potenziali devono potere attingere ad un flusso regolare di informazioni affidabili, comparabili e sufficientemente particolareggiate per poter valutare la gestione e prendere decisioni informate sulla valutazione e sulla detenzione di azioni, nonché sull’esercizio dei corrispondenti diritti di voto. Una informazione insufficiente o poco chiara può compromettere il buon funzionamento dei mercati, incrementare il costo del capitale e risultare in una inadeguata allocazione delle risorse”.
Il concetto di “obbligo di informativa” discende da diverse fonti normative ed, in particolare, l’art 2381, commi 3 e 6, c.c. prevede per gli amministratori l’agire in maniera informata. L’informativa endo-societaria ha la funzione di lubrificare gli ingranaggi costituiti dagli organi sociali e dalle funzioni aziendali; occorre quindi prestare attenzione all’interazione ed al coordinamento delle varie aree [11]. Il dovere informativo diventa particolarmente decisivo in presenza di warning, che rappresentano delle anomalie della gestione, dell’organizzazione e della documentazione sociale in grado di generare il sospetto che sia stato compiuto o possa essere compiuto un fatto od atto illecito dannoso per la società [12].
Inoltre, nell’abito delle società quotate, l’art. 150, comma 1, del D.Lgs. 58/1998 (TUIF) prevede che gli amministratori riferiscano tempestivamente, secondo le modalità stabilite dall’atto costitutivo e con periodicità almeno trimestrale, al Collegio Sindacale sull’attività svolta e sulle operazioni di maggior rilievo economico, finanziario e patrimoniale effettuate dalla società o dalle società controllate; in particolare, che riferiscano sulle operazioni nelle quali essi abbiano un interesse, per conto proprio o di terzi, o che siano influenzate dal soggetto che esercita l’attività di direzione e coordinamento. L’art. 151 commi 1 e 2 del D.Lgs. n. 58 del 1998, così come modificato dal D.Lgs. 37/2004, prevede che i sindaci possano, anche individualmente, procedere in qualsiasi momento ad atti di ispezione e di controllo, nonché chiedere agli amministratori notizie, anche con riferimento a società controllate, sull’andamento delle operazioni sociali o su determinati affari. Il Collegio Sindacale può scambiare informazioni con i corrispondenti organi delle società controllate in merito ai sistemi di amministrazione e controllo ed all’andamento generale dell’attività sociale.
Nella materia che si sta trattando, può essere utile un riferimento anche alle Federal sentencing guidlines [13] statunitensi che prevedono, affinché possa configurarsi un effettivo ed efficace compliance program (programma che è stato ragionevolmente redatto, attuato ed imposto per prevenire e reprimere condotte criminose), la necessità di un monitoraggio e di un sistema di reporting sui fenomeni rilevati. L’organizzazione deve, dunque, avere adottato misure ragionevoli, volte ad ottenere l’effettiva aderenza agli standard, introducendo e pubblicando un sistema di segnalazioni che consenta al personale di riferire di casi di violazione di norme, senza timore di ritorsioni.
Infine, l’art. 54-bis del D.Lgs. 165/2001 così come modificato dal Decreto Legge n. 90/2014, prevede un’apposita tutela volta ad incentivare le segnalazioni da parte dei dipendenti pubblici (c.d. “whistleblowing”). Tale tematica ha assunto in Italia una maggiore rilevanza in funzione della normativa anticorruzione (L. 190/2012) nonché in seno alla stessa responsabilità degli enti, per la quale è in esame in Parlamento un disegno di legge sull’inserimento nell’art. 6 del DLgs. 231/2001 di specifici obblighi di segnalazione [14].

[1] Cadbury Report (1992).
[2] CoMmitee of Sponsoring Organizations of the Treadway Commission (2006), La gestione del rischio aziendale, il Sole24ore, p.2
[3] Montalenti P. (2013), Prefazione, in AA.VV., Modello organizzativo dlgs. 231 e organismo di vigilanza, guida operativa, in Eutekne, Torino.
[4] Montalenti P. (2013), ibidem, in Eutekne, Torino.
[5] Buonocore V. (2006), Adeguatezza, precauzione, gestione, responsabilità: chiose sull’art 2381, commi terzo e quinto, del codice civile, in Giur. comm., n.1, pp. 5 e ss.
[6] Frascinelli R. (2012), Il collegio sindacale, in Il Bilancio 2011, E-Book MAP, pp. 262-282.
[7] Montalenti P. (2012), Procedure antiriciclaggio e sistema dei controlli, intervento al convegno: Riciclaggio e corruzione: prevenzione e controlli tra fonti interne e internazionali, Courmayeur.
[8] AA.VV. (2013), Modello Organizzativo dlgs. 231 e organismo di vigilanza, guida operativa cit., in Eutekne, Torino.
[9] Fortuna F. (2002), Corporate governance: soggetti, modelli e sistemi, FrancoAngeli, Milano.
[10] Cfr. “Principi di governo societario dell’OCSE”, (2015) documento pubblicato dall’OCSE. I principi sono stati approvati dai Ministri rappresentanti i Paesi in tale organizzazione nel 1999, e successivamente aggiornati sulla base dei lavori dello Steering Group on Corporate Governance.
[11] Irrera M. (2011), Gli Obblighi degli amministratori di società per azioni tra vecchie e nuove clausole Generali, in Rivista di diritto societario, n.2, parte 1, pp.358 e ss., Giappichelli, Torino.
[12] Varrasi G. (2015), Brevi riflessioni in tema di poteri e doveri degli amministratori non esecutivi, in NDS-Il nuovo diritto delle società.
[13] Desio P., An overview of the organizational guidelines, in www.ussc.gov.
[14] Proposta di legge n. 3433 presentata alla Camera dei deputati in data 16 novembre 2015 da Ferranti, Damiano, Ermini, Gnecchi, Verini, Rossomando, Mattiello, Vazio rubricata: "Modifiche all'articolo 54-bis del decreto legislativo 30 marzo 2001, n. 165, e all'articolo 6 del decreto legislativo 8 giugno 2001, n. 231, in materia di tutela degli autori di segnalazioni di reati o irregolarità di cui siano venuti a conoscenza nell'ambito di un rapporto di lavoro pubblico o privato"