Modelli organizzativi 231, quali vantaggi per la PMI

Il tema trattato è di particolare attualità in quanto, alla luce delle novità introdotte dal legislatore in ordine all'adozione dei modelli organizzativi 231 da parte delle imprese, attiene anche l'ambito delle piccole e medie imprese, che in Italia rappresentano il 90% delle aziende attive.

Proprio per la rilevanza che rivestono nel tessuto economico nazionale, queste realtà hanno bisogno di essere ancor più organizzate, sebbene l'adozione di un modello organizzativo 231 sia una scelta volontaria, non vincolata dall'ordinamento, se non per categorie particolari di imprese. La volontarietà della scelta ai fini dell'idoneità della stessa implica pertanto la necessità di osservare le prescrizioni e le misure minime che ritroviamo nelle linee guida di Confindustria.

Una piccola impresa, nella sua struttura interna gerarchica e funzionale, a prescindere dal settore in cui opera, dovrebbe opportunamente dotarsi di un sistema di compliance 231 nonostante questo rappresenti ulteriori investimenti di risorse finanziarie, umane e di tempo, adeguate per poter, per un verso, resistere ad un potenziale accertamento di responsabilità penale da parte dell'Autorità Giudiziaria, per altro verso, di migliorare la reputazione e la riconoscibilità del brand sul mercato, consentendogli di realizzare obiettivi sempre più ambiziosi.

• Opportunità nell'adozione modello organizzativo 231/01

Il D.Lgs. 14 del 12/01/2019, meglio noto come nuovo Codice della Crisi di Impresa e dell'Insolvenza, rafforza quanto già disciplinato dal Codice Civile all'art. 2086, introducendo obblighi specifici di adeguamento degli assetti organizzativi, amministrativi e contabili per attività imprenditoriali svolte in forma societaria.

Lo stesso Codice Civile nel citato art. 2086, stabilisce che l'imprenditore, che opera in forma societaria o collettiva, ha il dovere di "istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell'impresa, anche in funzione della rilevazione tempestiva della crisi e della perdita della continuità aziendale".

La convenienza dell'adozione di un Modello Organizzativo (MOG) 231 non risiede solo nell'aspetto economico-finanziario, ma offre un vero e proprio momento di riflessione sulla propria struttura organizzativa interna all'Azienda, sui propri processi e flussi e sul modello informativo adottato, che potrebbero essere potenziati o semplificati.

L'implementazione di un MOG pone infatti vari livelli di verifica:
1) un primo livello, riferibile alla "compliance legislativa", si preoccupa di verificare se le procedure aziendali siano o meno conformi al dettato delle disposizioni di legge ed è materia propria delle consulenza legali, interne o esterne.
2) Un secondo livello, più tecnico - riconducibile al controllo di gestione -, è di competenza delle funzioni amministrative, in particolare delle funzioni di pianificazione e controllo; in quest'ultimo caso, l'attenzione è di tipo prettamente "ragionieristico" e riflette il monitoraggio dell'andamento finanziario dell'impresa, soprattutto sui rischi che derivano dalle operazioni di tesoreria e di impiego del denaro. Nei casi più sofisticati, il controllo di gestione è esteso ai risultati complessivi in termini di performances relative agli assetti produttivi ed alle competenze degli operatori.

A tal proposito l'impianto normativo può apparire ad un primo sguardo complesso ed oneroso, tuttavia, l'implementazione di un adeguato Modello Organizzativo 231 - compatibile con la natura e la dimensione dell'organizzazione del singolo Ente o della Società - monitora e disciplina la gestione integrata dei rischi aziendali e come tale supporta direttamente l'imprenditore o gli amministratori nell'attività di implementazione di un adeguato assetto organizzativo, divenendone parte integrante. Il Modello 231, infatti, è portatore di benefici a supporto appunto dell'imprenditore e/o dell'amministratore per gestire l'insorgere ed il verificarsi di rischi che possano portare ad una crisi aziendale, ad una responsabilità sociale o che possano addirittura minare la continuità aziendale.

Ciò posto, avere un MOG efficace ed efficiente significa avere l'opportunità di sviluppare una funzione di risk management che, considerata nelle sue finalità, è essenzialmente un processo di direzione aziendale, ma anche un modo per far sì che tutti i collaboratori siano consapevoli dei rischi correlati alle attività aziendali in generale e dei rischi specifici nello svolgimento delle proprie attività. In quest'ottica, è quindi necessario individuare un responsabile del processo di risk management che risponda direttamente al vertice aziendale e definisca regole che comportino che ogni responsabile di funzioni operative sia anche colui che gestisce i rischi nel proprio ambito sotto il coordinamento del responsabile del risk management.

La gestione del rischio è, secondo le definizioni contenute nella norma ISO 31000:2018, "parte integrante di tutti i processi dell'organizzazione e parte significativa di tutti i processi decisionali". Dovrebbe quindi essere concepita come un'attività complementare ai principali processi dell'organizzazione in modo da supportare i responsabili delle decisioni ad effettuare scelte consapevoli, attraverso i tre livelli di monitoraggio dei rischi.

• Il Modello 231 rientra fattivamente nella costruzione di un adeguato assetto organizzativo di una piccola media impresa?

Come rilevato nelle citate Linee Guida , "è impossibile delineare un Modello universalmente valido: settori merceologici differenti e soglie dimensionali dell'impresa sono due tra i fattori che influiscono maggiormente sulle sue caratteristiche, ai fini della funzione preventiva che esso deve svolgere". Appare pertanto prudenziale e lungimirante, nell'ottica di conservazione del patrimonio e della continuità aziendale, adottare un MOG adeguato e ritagliato sulla propria struttura aziendale particolare.

Grazie alle valutazioni di un organismo aziendale che svolga le verifiche sulle attività a rischio di commissione di reati è possibile creare le condizioni, senza aggravio di risorse, per estendere le verifiche ad ogni categoria di rischio operativo. Il coordinamento che può derivare tra i responsabili delle funzioni operative, gli auditors sui sistemi di gestione aziendale, qualità, sicurezza, ambiente e l'Organismo di Vigilanza, definisce automaticamente uno specifico processo di analisi e ponderazione dei rischi aziendali, insieme alla gestione di un monitoraggio e di un miglioramento continuo che conduca ad un riesame integrato del sistema di gestione con conseguenti azioni correttive.

La specificità delle PMI, relativamente all'approccio al tema della responsabilità da reato, riguarda la particolarità con cui i relativi modelli organizzativi vanno costruiti, caratteristica che non vale solo nel senso di rendere meno complessa la procedura di realizzazione di tali modelli, ma è orientata ad una maggiore severità ed attenzione nella prevenzione del rischio reato.

Il modello da adottare in questi casi sarà essenziale e semplificato, adattato cioè in modo flessibile alla struttura delle PMI, pur rispettando sempre le condizioni minime di cui all'art. 6 del D.Lgs. 231/2001 ss.mm. Ad esempio, in merito all'Organismo di Vigilanza (organo previsto dalla norma; si tratta del soggetto responsabile di sorvegliare e di verificare regolarmente l'efficacia del Modello; può essere monocratico o collegiale, con componenti interni e/o esterni), tenendo conto delle dimensioni di alcuni Enti, il succitato D.Lgs. 231/2001 ha previsto all' art. 6, co. 4 , la facoltà dell'organo dirigente di svolgere direttamente i compiti indicati. La norma dell'a rticolo 30 del Testo Unico Sicurezza (D.Lgs. 81/2008) introduce il principio di "procedure semplificate per l'adozione ed efficace attuazione dei modelli di organizzazione e gestione della sicurezza nelle piccole e medie imprese ".

In pratica significa che le piccole e medie imprese possono adottare modelli 231 semplificati, atti ed idonei a proteggere il patrimonio aziendale dal rischio anche solo occasionale e una tantum, di sanzioni correlate alla normativa 231 (per esempio un infortunio sul lavoro).

A tal proposito si può far riferimento alla norma ISO 9001:2015, la quale, pur non includendo requisiti specifici di altri sistemi di gestione, come quelli per la gestione di salute e sicurezza nei luoghi di lavoro, per la gestione ambientale, per la gestione finanziaria, offre tuttavia alle aziende la possibilità di allineare o integrare i requisiti del proprio sistema di gestione per la qualità con quelli relativi agli altri sistemi di gestione correlati.
Un sistema di gestione per la qualità è indirettamente anche un sistema di gestione dei rischi relativi all'attività di un'organizzazione. La valutazione delle prestazioni è un altro elemento di gestione dei rischi che si realizza attraverso il monitoraggio e la misurazione, l'analisi e la gestione della non conformità, l'audit del sistema.

Ognuno di questi aspetti è presente anche nell'ambito della gestione dei sistemi sulla sicurezza e sull'ambiente pertanto basterebbe un approccio integrato alla loro gestione al fine di creare le condizioni per l'applicazione di una funzione di risk management. È sufficiente spostare l'ottica da una visione dei rischi puramente fondata su specifiche valutazioni tecnico - specialistiche proprie, ad esempio, del responsabile ambientale piuttosto che del responsabile del servizio di prevenzione e protezione dei lavoratori, in una visione sistemica che può essere espressa proprio dall'Organismo di Vigilanza, quale supervisore di un sistema di controllo interno, esteso alla filiera di produzione ed a tutte le attività ad essa strumentali: controlli sull'inadempienza delle leggi, misure di sicurezza e di protezione ambientale, controlli finanziari, utilizzo delle informazioni.

L'integrazione del modello 231 con gli altri sistemi di gestione rappresenta inoltre il valore aggiunto che trasforma il sistema di valutazione dei rischi, considerato come risultato dell'integrazione gestionale, in un vero e proprio strumento strategico, inserito in un sistema di governance che trova le sue fondamenta, in un sistema di controllo interno
Come precedentemente detto, si tratta di una norma che non pone l'obbligo di adozione del Modello, ma lascia alla società il potere decisionale in ordine alle linee adottate. Auspicabile appare quindi, ai fini di una valutazione consapevole, che, nel caso di reati commessi dagli apicali aziendali, il non aver adottato il Modello implica la responsabilità dell'ente stesso, con pesanti conseguenze in termini sanzionatori.

Al contrario, la norma nella sua ratio prevede invece che l'ente non risponda per i reati commessi da soggetti qualificati legati all'ente stesso (apicali o dipendenti), se e solo se l'organo dirigente ha identificato, formalizzato ed attuato modelli organizzativi e di gestione idonei a prevenire reati della specie di quello verificatosi.

Pertanto, occorre valutare in termini concreti l'opportunità di analizzare i costi (per l'adozione del modello) e i benefici (per l'applicazione delle esimenti).

Evidenziamo inoltre che il MOG 231, oltre ad avere obiettivo e funzione di esimere l'azienda dalla responsabilità nel caso di commissione di reati, ha un effetto di trascinamento di benefici di rilievo per l'impresa attraverso: 
·la creazione di organizzazioni positive con conseguenti effetti benefici su marginalità e profitti (rappresentando un vero e proprio codice etico per le imprese caratterizzate da consolidati principi morali);
·l'aumento del valore sia dell'immagine che della reputazione sul mercato.

L'implementazione di un MOG 231 può quindi comportare una serie di vantaggi:

·un motivo di esclusione o di mitigazione della responsabilità dell'ente: l'approvazione di un Modello Organizzativo idoneo a prevenire reati costituisce causa di esclusione della responsabilità dell'ente ai sensi del D.Lgs. n. 231/2001. Nel caso in cui il procedimento sia già avviato, l'adozione di un MOG mitiga le conseguenze in capo all'ente della commissione del reato;

· garanzia di affidabilità nelle relazioni con i partner commerciali: svariate società (sia a partecipazione pubblica che private di grandi dimensioni) in veste di Committenti/Clienti richiedono ai propri partner commerciali di dotarsi di un Modello Organizzativo;

·rating d'impresa – disciplinato dall'art 83 comma 10 D.Lgs. 50 del 2016 (Codice Appalti) da non confondere col rating di legalità e cioè il voto che l'Autorità per la concorrenza e del mercato (Agcm), in collaborazione con i Ministeri della Giustizia e dell'Interno, assegna a quelle società che richiedono di essere valutate sotto il profilo etico secondo specifici requisiti.
Per rating d'impresa s'intende un indice di misurazione della reputazione di un operatore economico aspirante aggiudicatario, ottenuto valutando le sue pregresse esperienze. In altri termini il rating di impresa, si fonda essenzialmente: sulla valutazione della performance durante l'esecuzione; sulla reputazione guadagnata sul campo; sulla continuità nell'attività senza contestazioni. L'individuazione e la valutazione dei requisiti qualificanti il rating è demandata all'Anac, la quale è tenuta a definire mediante linee guida sia i requisiti reputazionali su cui si fonda il sistema, sia i criteri di valutazione degli stessi, sia le modalità di rilascio della relativa certificazione. I requisiti reputazionali alla base del rating di impresa tengono conto, quindi, dei precedenti comportamenti dell'impresa per un massimo di 100 punti aggiornato su base annuale.
Il rating di impresa può essere utilizzato per:
1. ottenere punteggi premianti nella valutazione dell'offerta presentata in gara, es. rating più elevato = punteggio maggiore;
2. essere strumento di qualificazione negli appalti di lavori, servizi e forniture sotto i 150 mila euro
3. determinare l'incremento convenzionale premiante ai fini dell'attestazione SOA (certificazione obbligatoria per la partecipazione a gare d'appalto);
4. ottenere uno sconto sulle garanzie richieste in gara;
5. il calcolo dell'offerta economicamente più vantaggiosa come previsto dallo codice dei contratti pubblici; inoltre l'art. 93, comma 7 del codice dei contratti pubblici prevede per i servizi e le forniture una riduzione del 30% per chi è in possesso del rating di impresa o del rating di legalità o di altre certificazioni specificamente individuate.
Pertanto il principio di legalità dell'agire imprenditoriale, oltre a dover essere radicato in chi vive e rappresenta l'impresa, trova ulteriore linfa anche nella L. 161/2017, che ha riformato il Codice Antimafia ed ha introdotto, nel D.Lgs. 159/2011, l'art. 34 bis. In particolare, la norma prevede che il Tribunale possa disporre, anche d'Ufficio, il controllo giudiziario delle attività economiche anche in presenza di «sufficienti indizi» o «circostanze di fatto» per ritenere che il libero esercizio dell'attività di impresa possa, anche solo occasionalmente, assumere carattere ausiliario ed agevolativo rispetto all'attività delle persone nei confronti delle quali è stata proposta o applicata una misura di prevenzione, ovvero di persone sottoposte a procedimento penale per taluni specifici delitti. Tale disposizione, pertanto, impone che le aziende, sebbene con differente grado di approfondimento, tengano in adeguata considerazione le variegate categorie di rischio connesse all'infiltrazione mafiosa e, in generale, della criminalità organizzata. 
In tale contesto, il risk assessment e l'implementazione di specifici presidi di controllo sono strumenti fondamentali per mitigare il rischio e per rendere efficace il Modello Organizzativo ex d.lgs. 231/2001.

·"rating della legalità" punto di forza di grande valore: introdotto con il maxi emendamento al decreto liberalizzazioni approvato a marzo 2012 costituisce un sistema premiante per le imprese più attente all'etica e alla legalità, Il rating di legalità è attribuito dall'Autorità Garante della Concorrenza e del Mercato (AGCM), ha  durata di due anni dal rilascio ed è rinnovabile su richiesta. E' un indicatore sintetico del rispetto di elevati standard di legalità da parte delle imprese che ne abbiano fatto richiesta volto a consentire un più agevole accesso a finanziamenti pubblici e al credito bancario. Per le aziende richiedenti, dunque, possedere il modello organizzativo 231 rappresenta un vantaggio diretto e misurabile, poiché la novella del Regolamento riconosce a tal uopo un punteggio premiale integrativo.

L'implementazione del Modello Organizzativo, apporterebbe certamente dei benefici quali: · Gestione aziendale trasparente e corretta
· Maggiore chiarezza organizzativa e bilanciamento tra poteri e responsabilità
· Migliore cultura dei rischi e dei controlli sulle operazioni di business e di supporto in azienda
· Adozione di molte norme di buona gestione che portano all'analisi e alla risoluzione di numerose problematiche tipiche delle organizzazioni
· Maggior protezione dei soggetti in posizione apicale che possono dimostrare di aver fatto tutto quanto in loro potere per evitare determinati comportamenti o eventi
· Rispetto di normative correlate, quali ad esempio quelle sulla salute, la sicurezza nei luoghi di lavoro, sull'ambiente, sulla finanza
· Contributo concreto alla diffusione della cultura della responsabilità e della prevenzione all'interno dell'ente e relativo riflesso di ciò sull'immagine aziendale e sulla sua percezione da parte dei diversi portatori di interesse (stakeholder) e terzi
· Accesso ai bandi di gara della P.A. e altre Stazioni appaltanti clienti generalmente di grandi dimensioni
· Ulteriori benefici riguardanti altre normative e/o pronunciamenti della giurisprudenza che vengono direttamente assorbiti dal Modello 231
· Prevenzione degli infortuni sul lavoro, malattie professionali, incidenti ambientali, affidamento incauto di lavori, servizi, forniture, appalti e subappalti a fornitori inidonei e pericolosi.

Qualora l'ente o la società si siano posti in condizione di lungimiranza e di crescita, nonostante la crisi che le ha coinvolte, l'implementazione di un modello 231 fornisce la chiave di accesso al Piano per la ripresa dell'Unione Europea, denominato "Next Generation EU", meglio conosciuto come "Recovery plan" presentato dalla Commissione europea nel maggio 2020, che contiene un pacchetto di misure e iniziative che come fine si prefigge quello di supportare economicamente gli Stati membri al fine di fronteggiare la gravissima crisi economica conseguente alla pandemia da Covid-19.
Le somme verranno erogate agli Stati membri beneficiari, sotto forma di prestiti e di sovvenzioni nel periodo 2021-2027, sulla base di specifici piani nazionali presentati dagli Stati membri.

Il 30 aprile scorso l'Italia ha presentato il PNRR nazionale. Il Regolamento istitutivo del Recovery plan detta le linee guida cui gli Stati dovranno adeguarsi per ottenere i fondi. Infatti gli Stati, per ottenere il pagamento dei fondi a loro destinati, dovranno saper soddisfare un sistema compliance, ovvero dovranno saper dimostrare di aver applicato un sistema di controllo e gestione che abbia assicurato al loro interno una vigilanza sulla corretta gestione dei fondi.

L'attuazione da parte degli Stati della disposizione normativa prevista nell'art 22 del Regolamento 2021/241 dispone: "… Nell'attuare il dispositivo gli Stati membri, in qualità di beneficiari o mutuari di fondi dello stesso, adottano le opportune misure per tutelare gli interessi finanziari dell'Unione e per garantire che l'utilizzo dei fondi in relazione alle misure sostenute dal dispositivo sia conforme al diritto dell'unione e nazionale applicabile, in particolare per quanto riguarda la prevenzione, l'individuazione e la rettifica delle frodi, dei casi di corruzione e dei conflitti d'interessi."
Alla lettera c) prevede che la richiesta di pagamento dovrà essere corredata da: "1) una dichiarazione di gestione che attesti che i fondi sono stati utilizzati per lo scopo previsto, che le informazioni presentate con la richiesta di pagamento sono complete, esatte e affidabili e che i sistemi di controllo posti in essere forniscono le garanzie necessarie a stabilire che i fondi sono stati gestiti in conformità di tutte le norme applicabili, in particolare in materia di prevenzione dei conflitti d'interesse, delle frodi e della corruzione ……2) una sintesi degli audit effettuati…".

A tal fine gli Stati devono prevedere, ai sensi della disposizione normativa sopra citata, un controllo interno efficace ed efficiente strictu sensu di compliance.
Si può definire, a questo punto, "la conditio sine qua non" per ottenere i benefici dei fondi Recovery plan.

Una disposizione tipica di compliance normativa europea, prevede che gli Stati, per ottenere il pagamento effettivo del fondo, dovranno al loro interno saper creare un modello di gestione e di controllo che provi una compliance in materia di conflitto d'interesse, frodi e corruzione.In buona sostanza, soltanto se gli Stati riusciranno a dimostrare di avere adottato tutti i sistemi di controllo atti a prevenire conflitti d'interesse, frodi e corruzione potranno acquisire il pagamento dall'UE dei fondi Recovery plan.

L' art. 22 del Capo IV del Regolamento 2021/241 intitola "Tutela degli interessi Finanziari dell'Unione". Con questo titolo l'UE pone nella ratio legis della norma come fine precipuo, quindi, la tutela degli interessi economici, dal momento che saranno ingenti le somme che in base al Piano, UE dovrà elargire agli Stati. Questi, dovranno, altresì, dimostrare un controllo efficiente, ovvero, provare un monitoraggio che miri a dimostrare il raggiungimento dell'obiettivo in questione raggiungendo il massimo risultato con impiego del minimo di spesa. In Italia, a tal proposito, sembra intenzione del Governo emanare un decreto, nel quale individuerà una gestione del controllo su due livelli:
1) un primo livello centrale con la creazione di una s truttura di monitoraggio del controllo all'interno del MEF;
2) un secondo livello per ciascun Ministero ed Ente territoriale, con la creazione di presidi deputati al controllo.La sfida sarà quella di riuscire a realizzare un Modello di Controllo Efficace e Efficiente in ossequio al Regolamento 2021/241 e che tutto sia imperniato ad un controllo compliance per la prevenzione di rischi, di conflitto d'interesse, frode e corruzione al fine di tutelare gli interessi finanziari dell'Unione Europea.

_____

*A cura degli Avv.ti Marta Pagano, Partner 24 ORE Avvocati e Attilio Martiniello, Partner 24 ORE Avvocati