Organismo di vigilanza e flussi informativi

Come si relaziona il sistema dei flussi informativi con il Modello Organizzativo e con l’attività che deve porre in essere l’OdV? Il D.Lgs 231/2001, all’art 6 lett d), prevede obblighi di informazione nei confronti dell’OdV senza introdurre tuttavia delle regole specifiche, lasciando pertanto ampio spazio all’autonomia privata.
Se ben strutturati, i flussi informativi permettono all’OdV una migliore individuazione dei rischi connessi alla struttura ed all’attività effettiva dell’ente; tale organo può, in tal modo, fornire elementi conoscitivi utili all’organo amministrativo od al soggetto da questo delegato, per orientare le scelte gestionali in questo ambito. L’attività dell’OdV rileva anche nei confronti degli altri organi di controllo, potendo fornire utili informazioni a supporto dell’azione di vigilanza che a questi compete [1].

Le linee guida Confindustria, aggiornate a marzo 2014, sottolineano che: “l’obbligo di informazione all’Organismo di Vigilanza sembra concepito quale ulteriore strumento per agevolare l’attività di vigilanza sull’efficacia del Modello e di accertamento a posteriori delle cause che hanno reso possibile il verificarsi del reato” pertanto “è da ritenere che l’obbligo di dare informazione all’OdV sia rivolto alle funzioni aziendali a rischio reato e riguardi: a) le risultanze periodiche dell’attività di controllo dalle stesse posta in essere per dare attuazione ai modelli; b) le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili”.
Ne consegue che gli obblighi di informativa dovranno essere tanto più intensi quanto più si è prossimi alle aree di rischio: essi dovranno essere adempiuti con cadenze periodiche e potranno scattare in presenza di red flags che vengano evidenziati nel corso delle attività svolte [2].

L’obbligo di informativa, pertanto, è concepito quale (i) mezzo per incrementarne l’autorevolezza;* (ii)* ulteriore strumento per agevolare l’attività di vigilanza sull’efficacia ed adeguatezza del Modello Organizzativo, (iii) elemento rafforzativo del principio che considera la carenza di informazioni come un indice di pericolosità attribuendo ad un efficiente flusso informativo una fisiologica capacità di attuazione dei rischi di reato; (iv) quale mezzo di accertamento a posteriori della cause che hanno reso possibile il verificarsi del reato.
Avendo riguardo all’Organismo di vigilanza, è possibile classificare i flussi informativi secondo la tipologia: flussi indirizzati all’Organismo di Vigilanza; flussi provenienti dall’Organismo di Vigilanza. Ovvero secondo la periodicità: flussi attraverso i quali i referenti delle aree sensibili riferiscono periodicamente all’Organismo di Vigilanza; flussi rilevati al verificarsi di particolari eventi.

Va ancora osservato che la tipologia e la periodicità dei flussi informativi nei confronti dell’OdV devono essere strettamente correlati alle dimensioni dell’Ente ed all’attività effettivamente svolta; inoltre dovranno essere caratterizzati per “provenienza” (dai referenti di aree aziendali a rischio di reato o dalle funzioni di audit o dagli apicali) e per “criticità/anomalie” riscontrate in sede di accertamento delle cause di non conformità; in quest’ultimo caso l’OdV porrà in essere specifici e diversificati flussi informativi.

Nella costruzione dei sistemi informativi e dei relativi canali dovrà essere preliminarmente evidenziata la specifica realtà aziendale e la conformità con le previsioni del Modello Organizzativo, in particolare: se le procedure sono “mutuate” dai sistemi di gestione adottati in azienda, i responsabili delle aree sensibili dovranno trasmettere il report package del sistema di gestione corredato di uno specifico rapporto informativo e dovranno, inoltre, essere trasmesse all’OdV le risultanze dell’attività di monitoraggio, del riesame della Direzione e degli audit interni, nonché comunicate le azioni correttive apportate alle individuate situazioni di non conformità; se le procedure sono il frutto di regole che l’azienda si è data per gestire i propri processi senza ricorrere a specifici sistemi di gestione, per una periodica reportistica ci si dovrà riferire alla realtà operativa dell’azienda, considerando il rapporto fra i responsabili delle aree sensibili e le procedure/sistemi di controllo esistenti al fine di poter comunicare periodicamente i riscontri ottenuti a seguito delle verifiche interne.

Le citate linee guida Confindustria, inoltre, specificano che “le informazioni fornite all’Organismo di Vigilanza mirano a consentirgli di migliorare le proprie attività di pianificazione dei controlli e non, invece, ad imporgli attività di verifica puntuale e sistematica di tutti i fenomeni rappresentati. In altre parole, all’OdV non incombe un obbligo di agire ogni qualvolta vi sia una segnalazione, essendo rimesso alla sua discrezionalità (e responsabilità) di stabilire in quali casi attivarsi. Guardando anche alle esperienze straniere ed in particolare alle *Federal Sentencing Guidelines statunitensi e ai relativi Compliance Programs, l’obbligo di informazione dovrà essere esteso anche ai dipendenti che vengano in possesso di notizie relative alla commissione dei reati, in specie all’interno dell’ente, ovvero a “pratiche” non in linea con le norme di comportamento che l’ente è tenuto a emanare (come visto in precedenza) nell’ambito del Modello disegnato dal decreto 231 (i cd. codici etici).

Si precisa, infine, che la regolamentazione delle modalità di adempimento all’obbligo di informazione non intende incentivare il fenomeno del riporto di ru-mor interni (whistleblowing), ma piuttosto realizzare quel sistema di reporting di fatti e/o comportamenti reali che non segue la linea gerarchica e che consente al personale di riferire casi di violazione di norme all’interno dell’ente, senza timore di ritorsioni. In questo senso, l’Organismo di vigilanza assume anche le caratteristiche dell’Ethic Officer, privo però dei poteri disciplinari che sarà opportuno allocare in un apposito comitato ovvero, nei casi più delicati, in capo al Consiglio di Amministrazione*”.
In ogni caso l’OdV deve mantenere la propria natura di organo di controllo di “secondo/terzo livello” e, quindi, le informative che riceve dovranno essere il risultato di un preventivo filtro rappresentato dall’azione di vigilanza “di primo/secondo livello”.

Il principio di affidamento
Strettamente connessa alla tematica dei flussi informativi è quella attinente al c.d. “principio di affidamento”, che entra in gioco in tutte quelle attività e funzioni svolte da una pluralità di persone, permettendo a ciascun soggetto di confidare che il comportamento dell’altro (in diversi casi ad esso gerarchicamente sottoposto e di cui sono noti e/o verificati i requisiti professionali e personali di idoneità per lo svolgimento del ruolo cui è preposto) sia conforme alle regole di diligenza, prudenza, perizia e professionalità.

In base a tale principio, il soggetto che interagisce con altri è autorizzato a confidare sull’osservanza delle regole cautelari da parte degli altri soggetti, purché siano preventivamente appurate le competenze professionali di costoro in relazione al ruolo di volta in volta ricoperto. Pur non avendo espresso riconoscimento legislativo, il principio in parola è divenuto uno strumento – anche giuridicamente – imprescindibile nella realtà moderna fondata su una società del rischio (Risikogesellschaft).

Esso, infatti, corrisponde, da un lato, ad un’esigenza di utilità sociale, dall’altro, anche ad una logica giuridica, poiché è del tutto razionale (rectius, ragionevole) che il nostro ordinamento si fondi sulla plausibile presunzione che i consociati conformino il loro comportamento ai precetti giuridici piuttosto che sull’opposto pregiudizio di una loro generalizzata inosservanza.

Evidentemente devono sussistere dei limiti a tale presunzione di conformità, in quanto vi sono circostanze in presenza delle quali non appare ragionevole in concreto l’affidamento sull’altrui osservanza delle regole cautelari e, dunque, si ri-espande in capo ai soggetti ultimamente responsabili l’obbligo di prevenire l’altrui comportamento concorrente con il proprio nella produzione del pericolo per il bene giuridico.

La giurisprudenza italiana ha talvolta dato rilievo al principio di affidamento [3] definendolo come quel principio “in forza del quale il soggetto titolare di una posizione di garanzia, come tale tenuto giuridicamente ad impedire la verificazione di un evento dannoso, può andare esente da responsabilità quando questo possa ricondursi alla condotta esclusiva di altri, (con)titolare di una posizione di garanzia, sulla correttezza del cui operato il primo abbia fatto legittimo affidamento” [4].

I limiti di tale principio sono stati altrettanto chiaramente richiamati da quelle pronunce che hanno stabilito che esso non è invocabile sempre e comunque, dovendo contemperarsi con il concorrente principio della salvaguardia degli interessi del soggetto nei cui confronti opera la posizione di garanzia. Tale principio, infatti, per assunto pacifico, non è invocabile allorché l’altrui condotta imprudente, ossia il non rispetto da parte di altri delle regole precauzionali imposte, si innesti sull’inosservanza di una regola precauzionale proprio da parte di chi invoca il principio [5].

In altri termini, non può invocarsi legittimamente l’affidamento nel comportamento altrui quando colui che si affida sia in colpa per avere violato determinate norme precauzionali o per avere omesso determinate condotte e, ciononostante, confidi che altri, che gli succede nella posizione di garanzia, elimini la violazione o ponga rimedio all’omissione [6].

Il principio di affidamento ha dunque sia la funzione di temperare l’operatività delle c.d. posizioni di garanzia sia di fondare l’accertamento della “culpa in eligendo” e della “culpa in vigilando”, collegandosi al principio costituzionale di colpevolezza sancito dall’art. 27 Cost.[7]

È possibile individuare un’applicazione concreta del principio in esame nella figura del dirigente preposto alla redazione dei documenti contabili societari di cui all’art. 154 bis TUIF. Detta figura è stata introdotta dalla c.d. legge sulla tutela del risparmio all’interno di un più ampio ventaglio di misure dirette a rafforzare l’attendibilità dell’informazione al pubblico di natura finanziaria (su cui fanno affidamento sia gli investitori, sia i risparmiatori), in risposta agli scandali finanziari dei primi anni 2000.[8] Interessante è comprendere se l’attività che tali dirigenti pongono in essere sia destinata (soltanto) agli amministratori, con particolare riferimento al consiglio di amministrazione oppure abbia una valenza (altresì) esterna, mirata a fornire la medesima garanzia/affidamento al pubblico ovvero agli investitori ed ai risparmiatori.

Stante la sussistenza della prima finalità, va ricordato che la responsabilità ultima della veridicità del bilancio permane comunque in capo agli amministratori. Tuttavia, la funzione di garanzia delle attestazioni richieste dalla legge al dirigente preposto non si esaurisce all’interno degli assetti organizzativi della società, avendo “intrinsecamente” una rilevanza anche esterna che rende “comprensibile” la responsabilità espressamente prevista per il dirigente preposto a fianco di quella degli amministratori, dei sindaci, del direttore generale nella nutrita serie di disposizioni – come noto – contenute nel codice civile, nel codice di procedura civile e nel codice penale, ai sensi di quanto elencato nell’art. 15 legge 262/2005 [9].

Il principio di affidamento, fondandosi in prevalenza su controlli di tipo indiretto, può presentare una certa fragilità: nel caso di un default dei controlli cd. “di linea” (ovvero dei controlli diretti) l’intero sistema di controllo rischierebbe di essere messo in discussione.
Per salvaguardare l’efficacia del sistema di controllo interno è quindi necessario monitorare la correttezza del suo funzionamento. L’acquisizione di elementi probatori sulla sua efficacia richiede l’effettuazione di procedure di conformità sulla struttura e sulla continuità di applicazione dei controlli. Tra le procedure di conformità sono incluse esemplificativamente: la periodica disamina dei cicli aziendali al fini di verificare direttamente il rispetto della legge, dello statuto e l’adeguatezza del sistema organizzativo ed il suo funzionamento; l’effettuazione di interviste e l’osservazione diretta, per verificare se le funzioni svolte corrispondono a quelle assegnate; le verifiche sui documenti giustificativi delle operazioni, per verificare la loro corretta autorizzazione, formazione, interpretazione, registrazione; il check di alcune procedure di controllo, per verificare se sono state correttamente eseguite. Nonostante tutti gli accorgimenti possibili (ad esempio i Piani di Audit e/o i Test dell’OdV), resta il fatto che l’affidabilità dei vari passaggi è elemento necessario ed ineliminabile della struttura dei controlli.

La prevenzione attraverso l’organizzazione (e l’informazione)
A seguito delle gravi crisi economico-finanziarie degli ultimi anni e delle inefficienze che si sono manifestate agli occhi di tutti, il diritto dell’impresa è oggi spinto a dotarsi di maggiori e più adeguati strumenti di organizzazione e di prevenzione degli illeciti.

Proprio i casi di frode e di commissione di reati che si sono succeduti negli anni hanno focalizzato sempre più l’attenzione delle imprese sui meccanismi idonei a prevenire o comunque a ridurre il rischio di accadimento di determinati fenomeni criminali. In ambito internazionale numerosi studi hanno evidenziato come una effettiva debolezza nel sistema di controllo aumenta la probabilità di errori e/o frodi[10]. D’altronde è ormai acclarato che nell’impresa il rischio di illecito è inversamente proporzionale all’adesione del management al sistema di valori rappresentato dalla legge.[11] La guida “Managing the Business Risk of Fraud: A Practical Guide”, sviluppata da un team internazionale ed utilizzata come riferimento per l’implementazione di un sistema di gestione del rischio di frode aziendale, prevede un modello di gestione basato su alcuni principi tra i quali, in questa sede, è interessante evidenziare: (i)l’attivazione di un programma di fraud risk governance come parte di una struttura di governance e (ii) l’implementazione di un sistema di reporting e di flussi informativi che fungano da input alle attività di investigazione e che aiutino ad attivare azioni correttive.

In ambito nazionale, il legislatore ha introdotto vari strumenti che, pur rispondendo a principi di tutela di interessi fra loro diversi, hanno la comune finalità di ridurre il rischio di commissione di un illecito. Fra questi, il più volte citato D.Lgs 231/2001 e, da ultimo, la Legge 190/2012 (normativa anticorruzione e trasparenza). Entrambi questi provvedimenti individuano quale criterio di imputazione soggettiva la c.d. colpa di organizzazione ed adottano un sistema di allocazione/esenzione della responsabilità sulla base di una deficienza organizzativa desumibile dalla mancata adozione di adeguati modelli di prevenzione e protezione. Secondo questo schema i piani anticorruzione, come i compliance programs 231, giocano il ruolo di “organizzazione dell’organizzazione” quali strumenti di reazione per ridurre il rischio che si verifichino illeciti [12].

La frode rappresenta sempre più una grave minaccia e quindi un rischio per le aziende, in termini economici, gestionali e reputazionali, sino al punto di comprometterne l’efficacia dell’organizzazione e quindi il business [13].
In una logica evolutiva dei compliance programs ed ampliandone gli orizzonti, pare opportuno guardare al ruolo della security nelle imprese a 360 gradi, implementando l’organizzazione verso un vero e proprio “sistema antifrode”. Questo va considerato in modo unitario ed integrato con l’enterprise risk management e la corporate responsibility, in quanto elementi portanti di un moderno sistema dei controlli.

Seguendo tale impostazione, si evidenzia con ancora più consapevolezza la centralità dei flussi informativi. In particolare, lo stesso passaggio di informazioni, fluido e trasparente, può fungere da presidio di prevenzione per la commissione degli illeciti o delle frodi in genere. E ciò vale, a maggior ragione, tenendo presente gli strumenti tecnologici oggi a disposizione delle imprese, in cui, di fatto, le informazioni necessarie sono già tutte presenti. Data l’esistenza di tali sistemi informatici, sarebbe necessario un upgrade degli stessi al fine di rendere tracciabile l’evoluzione storica delle informazioni e creare dei “warnings” di segnalazione volti a semplificare e rendere più efficiente l’attività degli organi di controllo.

[1] associazione dei componenti degli organismo di vigilanza ex d.lgs 231/2011 (2012), I flussi informativi, Edizione 1.0, Milano.
[2] Ielo P. (2006), Compliance programs: natura e funzione nel sistema della responsabilità degli enti. Modelli organizzativi e d.lgs. 231/2001, in La responsabilità delle società e degli enti, n. 1, pp. 99-114.
[3] Prevalentemente nell’ambito della sicurezza sul lavoro.
[4] Cass. Pen., Sez. IV, 30 agosto 2013, n. 35827, in www.dirittoegiustizia.it 
[5] Da ultimo, Cass. Pen., Sez. IV, 24 gennaio 2012, n. 14413, Cova ed altri, rv. 253300.
[6] Cass. Pen., Sez. IV, 30 agosto 2013, n. 35827, cit.
[7] Cfr. Cass. pen., Sez IV, 6 dicembre 2012, n. 47274, in www.penalecontemporaneo.it, che approfondisce l’ambito di operatività della delega di funzioni e del modello di verifica e controllo ex artt. 16 e 30 d.lgs. 81/2008, come modificato dal d.lgs. 106/2009. In dottrina, cfr. A. Rossi, La responsabilità penale dei componenti degli organi di controllo societario: riflessioni e digressioni su struttura, accertamento, limiti, in AA. VV. (2011), Studi in onore di Mario Romano, a cura di Bertolino M., Forti G., Eusebi L., pp. 2109 e ss., Milano.
[8] Benvenuto L. (2012), Il dirigente preposto nei rapporti con gli organi sociali, in www.assonime.it.
[9] Rossi A.(2016), La responsabilità del dirigente preposto alla redazione dei documenti contabili e il sistema sanzionatorio, in La responsabilità delle società e degli enti, n. 4, pp. 7-26.
[10] Public Company Accounting Oversight Board (PCAOB) (2004), Annual Report, in HYPERLINK www.pcaobus.org
[11] Simpson S., Gibbs C., Rorie M., Slocum L.A., Cohen M.A. (2013), An Empirical Assessment of Corporate Environmental Crime-Control Strategies, in Journal of Criminal Law and Criminology, volume 103, ed. 1, article n. 5, pp. 231 – 277.
[12] Ielo D. (2015), Responsabilità 231 e Sistema anticorruzione a confronto.
[13] Saccone U. (2015) Lo sviluppo di un sistema antifrode: considerazioni programmatiche e ruolo della Security, Aracne, Roma.