Protocolli 231

L’art. 6 del D.lgs. 231/2001 stabilisce che i modelli organizzativi devono, fra l’altro, prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire.

Al fine di elaborare protocolli e procedure efficaci a svolgere la propria funzione preventiva è necessario, in primo luogo, verificare le potenziali modalità di commissione del reato, in relazione all’attività operativa, alla struttura organizzativa e ai processi effettivamente in essere all’interno dell’Ente, individuando, di conseguenza, le funzioni e le aree aziendali coinvolte nello svolgimento delle operazioni.

Lo stesso art. 6, comma 2, lett. a), su citato, impone di “individuare le attività nel cui ambito possono essere commessi i reati”.

Per rispettare tale prescrizione, appare opportuno che i processi “sensibili” siano analizzati almeno in relazione ai seguenti aspetti:

• aree/funzioni coinvolte, al fine dell’individuazione del process owner e dei soggetti che intervengono nello svolgimento delle diverse attività;
• modalità di attuazione dell’illecito, con approfondimento relativo non solo ai reati direttamente realizzabili, ma anche ai reati e alle attività “strumentali”;
• sistema di controllo interno e presidi di prevenzione esistenti;
• livello di rischio residuo;
• eventuali nuove procedure di controllo da stabilire.

Mediante le attività di verifica, l’OdV acquisisce informazioni in merito all’osservanza e all’effettivo funzionamento del Modello.

A questo riguardo, in linea con quanto pianificato nell’ambito del proprio Piano di Vigilanza, è atteso che l’OdV, nel corso dell’esercizio, effettui specifici approfondimenti:

• sui flussi informativi ricevuti dalle funzioni aziendali,
• sulle Aree a Rischio e sui relativi principi comportamentali e controlli da attuare, anche secondo previsto dai relativi protocolli e, più in generale, dalle normative interne aziendali,
• sulle altre componenti del Modello.

Il Modello spesso si innesta in realtà dove sono già presenti altri sistemi di prevenzione e gestione di rischi.

Sebbene i sistemi di gestione – anche certificati – abbiano una funzione diversa dai Modelli previsti dal D.Lgs. 231/01, è importante tuttavia valorizzarne gli elementi sinergici.

E’infatti auspicabile un approccio sistemico al Modello di Organizzazione, Gestione e Controllo, che sia improntato a sviluppare un sistema di controllo a prevenzione dei reati presupposto in piena collaborazione e consonanza con gli altri (sotto) e (sovra)-sistemi di controllo interno, al fine di rispondere adeguatamente al rischio di costosa sovrapposizione di sistemi di controllo.

Il beneficio dei sistemi di controllo alla riduzione del rischio non deve infatti mai essere inferiore, anche nella somma complessiva, al costo per lo sviluppo, per la gestione e per la manutenzione dei sistemi di controllo stesso; similarmente l’esperienza insegna che il risultato più probabile derivante dall’appesantimento del complessivo sistema di controllo interno, attraverso la richiesta di comportamenti differenti e non integrati funzionali a specifiche esigenze di controllo, talvolta anche in contraddizione tra loro, è il rifiuto del concetto stesso del controllo interno, della sua valenza preziosa in termini di gestione del rischio o viceversa nella paralisi operativa dell’organizzazione, per eccesso di mezzi e risorse dedicati alla compliance.