Società

Metodologia e tecniche di redazione del Modello 231

I passaggi necessari per la redazione di un Modello 231, le indicazioni fornite dalle Linee Guida di Confindustria e le best practices di settore

di Cinzia Catrini, Giuseppe De Marco e Daniela Rocchi*

L'adozione del Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. n. 231/2001 è finalizzata ad arginare il rischio penale connesso all'esercizio dell'attività d'impresa ovvero a limitare la severità della risposta sanzionatoria.

Il contributo si propone di delineare i passaggi necessari per la redazione di un Modello 231 idoneo a prevenire la commissione dei c.d. reati presupposto di cui al Decreto 231, avuto riguardo alla normativa vigente in materia, alle linee guida delle maggiori associazioni di categoria e alle best practices affermatesi nei vent'anni di applicazione dello stesso Decreto 231.

In cosa consiste il risk assessment 231 e quali sono gli elementi da prendere in considerazione

Con la finalità di prevenire i rischi derivanti dagli illeciti penali commessi dagli apicali e dai sottoposti, il Modello di Organizzazione, Gestione e Controllo rappresenta per una Società "un'occasione per riadeguare l'architettura organizzativa e l'intero sistema dei controlli interni, assumendo quindi una connotazione decisamente strategica quale contributo alla sana e prudente gestione dell'impresa"[1].

Al contempo l'implementazione del compliance program costituisce "un fatto invasivo nel sistema d'impresa" perché impone di addentrarsi nella struttura organizzativa mediante "un approccio progettuale di vasto respiro, assimilabile all'impegno dedicato in sede di pianificazione strategica"[ 2].

La predisposizione del Modello organizzativo, infatti, deve seguire un metodo che consta di diverse fasi:

• raccolta e verifica della documentazione aziendale rilevante inerente, in via esemplificativa, all'organigramma e al mansionario aziendale, allo statuto e all'atto costitutivo, alle eventuali certificazioni ottenute (es. della qualità) e ai relativi manuali delle procedure; al bilancio di esercizio (o meglio agli ultimi due bilanci al fine di verificare i principali parametri connessi alla dimensione dell'Ente), alla pre-esistenza di un'etica aziendale, alla suddivisione del potere di gestione, agli eventuali incidenti aziendali rilevanti ai sensi del Decreto 231 (es. procedimenti penali in corso o conclusi, sanzioni delle autorità, contenziosi ecc.)
• mappatura e misurazione dei rischi
• identificazione e analisi dei presidi di rischio già esistenti (ad es. valutazione del sistema del controllo interno già esistente)
gap analysis
• realizzazione dei protocolli.

Simile approccio deriva dalla prescrizione dell' art. 6 del D.Lgs. n. 231/2001 il quale prevede, anzitutto, un 'analisi delle attività svolte nella Società , al fine di individuare quelle che possono ritenersi a rischio di illeciti.

Si tratta del c.d. Risk Assessment, cioè delle attività di identificazione e di misurazione dei rischi relativi ai reati rilevanti ai sensi del D.Lgs. n. 231/2001.

Le Linee Guida di Confindustria, recentemente aggiornate, specificano che il Risk Assessment preveda l'analisi del contesto aziendale al fine di evidenziare in quale area o settore di attività e secondo quali modalità si possano verificare eventi pregiudizievoli per gli obiettivi indicati dal Decreto 231.

Realizzare interventi di Risk Assessment significa, quindi, identificare, analizzare e valutare il rischio di commissione dei "reati presupposto" presente nell'ambito aziendale considerato [3] , misurarne il livello e verificarne il grado di accettabilità a valle degli interventi di mitigazione.

La mappatura delle funzioni e dei processi aziendali, con le relative valutazioni sul grado di rischio, rappresenta il cuore del compliance program 231, in quanto costituisce un elemento informativo base sia per l'impostazione sia per l'aggiornamento del Modello di Organizzazione, Gestione e Controllo, nonché per ispirare le azioni di controllo dell'Organismo di Vigilanza.

Per tali motivi, le valutazioni sul rischio di commissione dei "reati presupposto" devono essere periodicamente aggiornate, al fine di adeguare i controlli preventivi alle dinamiche del contesto aziendale.

Le indicazioni fornite dalle Linee Guida di Confindustria e le best practices di settore

Le linee Guida di Confindustria definiscono in modo puntuale i passi operativi che le aziende devono percorrere per realizzare un efficace sistema di gestione del rischio e costituiscono un formidabile strumento di riferimento nell'ambito dell'implementazione di un Modello di Organizzazione, Gestione e Controllo che possa considerarsi idoneo ai sensi del D.Lgs. n. 231/2001, nell'ambito delle norme e degli standard applicabili [4].

Tre sono gli step previsti nella conduzione dell'assessment 231

Il primo ha riguardo all' "Inventariazione degli ambiti aziendali di attività" [5].
Si tratta, in altri termini, di realizzare quella che per le best practices è la Mappatura delle Aree di attività a rischio a seguito dell'individuazione del perimetro entro cui svolgere la valutazione del rischio 231.

Anzitutto, quindi, è necessario stabilire quali, tra i reati presupposto della responsabilità amministrativa degli enti, siano potenzialmente rilevanti per la realtà aziendale di riferimento e, di conseguenza, quali quelli da escludere in quanto non applicabili.

Parallelamente occorrerà individuare le aree che, in ragione della natura e delle caratteristiche delle attività effettivamente svolte, risultino interessate da eventuali casistiche di reato, tenendo presente che gli specifici ambiti di rischiosità possono essere individuati soltanto tramite una puntuale analisi interna. [ 6]
In questo modo risulta definito il contesto in cui andare, solo successivamente, ad identificare i rischi e ad effettuare la loro valutazione.

La seconda fase prevede l'"Analisi dei rischi potenziali" che, secondo le best practices di settore costituisce, appunto, l'Identificazione del rischio. In concreto, è necessario rappresentare, nella maniera più completa, le possibili modalità attuative degli illeciti, descrivendo come le fattispecie di reato, rientranti nel perimetro già tracciato, possano essere attuate nel contesto operativo interno ed esterno in cui opera l'Azienda. A tal fine può essere utile avvalersi di check-lists, svolgere interviste ai risk owners oppure dei brainstorming di gruppo. Il risultato da raggiungere è la "Mappa documentata delle potenziali modalità attuative degli illeciti nelle aree di rischio".

Soltanto a questo punto si potrà procedere al terzo step indicato dalle Linee Guida: "Valutazione/costruzione/adeguamento del sistema di controlli preventivi".
Le modalità attuative degli illeciti, che costituiscono i rischi 231, dovranno essere valutate in base al livello di gravità e al grado di probabilità. La gravità è legata alla natura del reato presupposto preso in considerazione e per valutarla è opportuno creare una scala di valore in riferimento alle sanzioni previste per ogni specifico reato.
La probabilità deve essere valutata in relazione ai singoli rischi, cioè alle modalità attuative ipotizzate all'interno delle aree individuate.
La Mappa documentata delle modalità attuative, dunque, deve essere perfezionata con il valore descrittivo (basso/medio/alto) che risulterà dall'analisi del rischio inerente (vale a dire del rischio iniziale di possibile commissione del reato in assenza di presidi).

A questo punto sarà necessario valutare il sistema dei controlli preventivi eventualmente esistente, ricollegandolo ai singoli rischi identificati e verificare se sia in grado di contrastarli efficacemente, riducendoli a un "livello accettabile".

È pertanto necessario definire la soglia concettuale di accettabilità per garantire un sistema di controllo preventivo idoneo a evitare la commissione dei reati considerati.

Al riguardo, secondo le indicazioni contenute nelle Linee Guida e fornite dalla giurisprudenza anche di merito [ 7], nei casi di reati dolosi, la soglia è rappresentata da un "sistema di prevenzione tale da non poter essere aggirato se non fraudolentemente"[ 8] laddove la frode va intesa come "aggiramento delle misure di sicurezza, idoneo a forzarne l'efficacia"[ Cass. pen., Sez V, 30 gennaio 2014, n. 4677 , in Le Società, 2014, p. 469].

Rispetto ai reati colposi, simile concetto non può trovare applicazione per l'incompatibilità con l'elemento soggettivo dell'elusione fraudolenta del Modello e la soglia di rischio accettabile è rappresentata dalla realizzazione di una condotta in violazione del Modello organizzativo di prevenzione [ Cass. pen., Sez. IV, 3 febbraio 2021, n. 4075 , in Diritto.it].

Sulla base di tali parametri deve essere analizzato il sistema di controllo esistente nell'ottica di garantire quelli che, in base all'art. 6, comma 2, lett. b) D.Lgs. 231/01, sono gli "specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'ente in relazione ai reati da prevenire".

Partendo da ciascun rischio iniziale sarà necessario, perciò, collegarlo ai singoli controlli interni, inserendo nuovi controlli solo nel caso in cui manchino o non siano in grado di abbassare il rischio al livello accettabile.

La struttura del Modello 231

Nonostante l'intero sistema delineato dal D.Lgs. n. 231/2001 sia imperniato sulla centralità dei compliance programs, il legislatore non identifica uno schema privilegiato di redazione del Modello, preferendo specificarne solo i requisiti minimi essenziali.

La tendenza più diffusa è quella di suddividere il Modello in una Parte Generale, finalizzata a delineare la fisionomia istituzionale dell'Ente e del Modello e una Parte Speciale preposta a regolare le attività esposte a rischio reato e i relativi protocolli, che ne costituiscono parte integrante.

Nello specifico, la Parte Generale descrive i contenuti del Decreto, richiamando le fattispecie di reato che determinano la responsabilità amministrativa in capo a un Ente, le possibili sanzioni e le condizioni per l'esenzione della responsabilità, nonché la struttura organizzativa della Società, la composizione, i criteri di scelta dei membri, i poteri e le funzioni dell'Organismo di Vigilanza, le attività svolte per la costruzione e per la diffusione del Modello, i principi che regolano il whistleblowing.

La Parte Speciale, di norma strutturata per reati, identifica le Attività Sensibili nonché i principi, i protocolli e le regole interne di organizzazione, gestione e controllo deputati alla prevenzione dei rischi di commissione di quei reati indicati dal Decreto che possono essere commessi nell'ambito dello svolgimento delle attività della Società ed i flussi informativi nei confronti dell'OdV.

Completano il Modello il sistema organizzativo, che individua ruoli, compiti e responsabilità, il sistema di procure e deleghe, il Codice Etico, che esprime i principi cui è informata l'attività dell'Ente e il sistema disciplinare, relativo alle eventuali violazioni del Modello.

Il Risk Assessment e la parte speciale devono essere organizzati per processi o per reati?

Nel silenzio normativo, l'organizzazione del Risk Assessment e della Parte Speciale del Modello è rimessa alla prudente valutazione del soggetto incaricato della redazione del compliance program.

Nella prassi, tuttavia, il Risk Assessment si articola in una prima fase d'individuazione delle aree potenzialmente a rischio reato, con particolare attenzione alla distinzione tra le aree a rischio reato in senso stretto, selezionate sulla base delle fattispecie previste dagli artt. 24 e ss. del D.Lgs. n. 231/2001 e le aree c.d. strumentali, riguardanti, invece, le attività che possono consentire o agevolare l'eventuale commissione dei reati.

Successivamente, è opportuno valutare il grado di efficacia dei sistemi operativi già esistenti in Azienda al fine di rilevare eventuali criticità rispetto alla prevenzione del rischio reato.

Si è affermata, quindi, una preferenza per una struttura del Risk Assessment improntata sui processi e protocolli interni all'ente piuttosto che sui reati astrattamente configurabili.

Diversamente, la Parte Speciale dei Modelli è di solito composta da Sezioni inerenti le singole categorie di reati a rischio. Ciascuna Sezione precisa, poi, le singole fattispecie incriminatrici ipotizzabili in capo all'Ente all'interno della categoria di riferimento, le funzioni e i soggetti coinvolti, le eventuali modalità di commissione del reato e le procedure di controllo adottate al fine di ridurre il rischio.

Si tratta di un'impostazione che la prassi ha privilegiato in quanto consente di individuare più agevolmente i protocolli corrispondenti a ciascun reato presupposto.

Inoltre, in sede di aggiornamento del Modello, a seguito di interventi normativi inerenti all'individuazione e alle caratteristiche dei c.d. reati presupposto, la struttura per reati consente una risposta più celere agli obiettivi di compliance.

Si consideri, infine, che tale soluzione potrebbe agevolare anche il compito del Giudicante che, dovendo valutare l'adeguatezza e l'idoneità del Modello nell'eventuale sede processuale, potrà immediatamente individuare i presidi adottati al fine di prevenire lo specifico reato per il quale l'Ente è chiamato a rispondere.

Dal momento che il legislatore non ha specificato quale sia la struttura del Modello da privilegiare – per reati o per processi – ciascun Ente è libero di selezionare, in base alle proprie caratteristiche, lo schema che ritiene preferibile. Dal punto di vista aziendale, infatti, potrebbe essere più congeniale un'organizzazione del Modello per processi, affinché ciascun destinatario possa individuare direttamente i doveri di condotta imposti dal compliance program per la propria attività.

_____

*A cura degli Avv.ti Cinzia Catrini – Partner 24ORE Avvocati, Giuseppe De Marco – Partner 24ORE Avvocati e Daniela Rocchi – Partner 24ORE Avvocati

[1] Bastia, in Lattanzi (a cura di), Reati e responsabilità degli enti, Milano 2005, 135].
[ 2] Id., op. cit., 134].
[3] La valutazione delle aree di rischio deve essere puntuale e riferirsi a ciascun processo sensibile.
[4] È necessario considerare che, come è dato evincersi dalle stesse Linee Guida di Confindustria (Linee Guida, cit. p. 5) la loro redazione "non preclude alle Associazioni del Sistema confederale di adottare Codici di comportamento ai sensi dell'art. 6 del decreto 231. In tal caso, nel rispetto delle indicazioni contenute nelle Linee Guida nazionali, i Codici possono approfondire determinati contenuti in considerazione delle peculiarità che riguardano gli specifici settori e contesti territoriali di riferimento e fornire alle imprese, ad esempio, indicazioni più dettagliate rispetto alle aree di rischio e ai protocolli organizzativi da adottare". Per superare censure di indeterminatezza e per contenere il pericolo di una intromissione giudiziaria nelle scelte organizzative, inoltre, è necessario "valorizzare l'essenza strettamente normativa della colpa di organizzazione, assumendo come parametro di giudizio dell'adeguatezza l'insieme delle norme di diversa fonte e natura (…) che disciplinano il corretto svolgimento di attività sensibili e che sostanzialmente positivizzano "le migliori conoscenze consolidate e condivise nel momento storico in cui il fatto viene commesso circa i metodi di abbattimento/minimizzazione del rischio tipico": è in questo bacino di regole normativizzate che occorre individuare le best practice di settore, attingendo dinamicamente quelle che risultano adeguate sulla base dei suddetti criteri di specificità e concretezza": Tribunale di Milano, 20 settembre 2004, in Foro It., 2005, p. 528. Nello stesso senso: GIP Trib. Milano, 3 novembre 2010, Italcase, in www.rivista231.it;. In dottrina: AA.VV., Compliance responsabilità da reato degli enti collettivi, IPSOA, 2019, p. 148.
[5] Confindustria – Linee Guida, cit., p. 47.
[ 6] Un Modello che preveda una procedura di Risk Assessment e protocolli di difesa rispetto a illeciti assolutamente lontani da quella che è l'effettiva realtà aziendale oggetto di analisi non avrebbe ragion d'essere ed anzi, sotto il profilo del giudizio al quale potrebbe essere sottoposto il Modello nell'ambito di un potenziale procedimento penale, sarebbe indice di superficialità e scarsa customizzazione.
[ 7] Al riguardo si è sostenuto che, ai fini dell'elemento costitutivo dell'agire fraudolento, rileverebbe l'induzione in errore del soggetto passivo che presuppone un ben preciso schema logico-attuativo dal quale non si può prescindere. Secondo A.F. Tripodi, L'elusione fraudolenta nel sistema della responsabilità da reato degli enti, Milano, 2013, p. 58.: "se (…) si ammette che profilo caratterizzante il comportamento fraudolento è la sua valenza ingannatoria, sia pure lato sensu, nel trasporre tale assunto nell'ambito della dinamica elusiva del Modello, dovremo considerare come indefettibile, ai fini dell'integrazione del requisito di cui all'art. 6, lett. c), del decreto, la presenza della relazione ‘soggetto agente con frode – soggetto passivo', e dunque concludere che l'elusione della regola, per come tipizzata, non può prescindere dalla sussistenza di un presidio di controllo sulla regola da trarre in inganno attraverso il comportamento fraudolento".
[ 8] Confindustria – Linee Guida, cit., p. 40.

Per saperne di piùRiproduzione riservata ©