x

x

L’individuazione dell’organismo di vigilanza: i requisiti e le funzioni

L’organismo di vigilanza è il protagonista principale del sistema di prevenzione degli illeciti delineato dal D. Lgs. n. 231/2001.

Costituisce, infatti, l’indispensabile corollario del modello organizzativo, in carenza del quale anche il migliore degli “scudi protettivi” realizzati potrebbe non essere in grado di evitare le sanzioni a carico dell’ente.

La costituzione dell’organismo di vigilanza comporta una precisa individuazione di questa entità nell’assetto di governance aziendale, per evitare sovrapposizioni e conflitti e per assicurarne la migliore funzionalità.

Come traspare dall’art. 6 del D. Lgs. n. 231/2001, l’organismo è necessario nelle imprese di dimensioni “non piccole”, spettando altrimenti le sue prerogative direttamente all’organo dirigente.

Il dato normativo esige un organismo interno all’ente; si esclude, quindi, che la funzione di vigilanza possa essere attribuita tout court ad un soggetto esterno (ad esempio, una società di consulenza aziendale o di revisione).

Ciò non toglie che ci si possa comunque avvalere dell’ausilio e della consulenza di altri soggetti non facenti parte dell’ente.

Il legislatore ritiene preferibile affidare il controllo alla società stessa attraverso una sua componente interna, piuttosto che procedere ad un monitoraggio esterno, sicuramente più problematico in ragione della complessa articolazione aziendale che rende meno agevole un’informazione completa e rispondente al vero.

L’appartenenza dell’organismo di vigilanza alla struttura è sorretta anche da ragioni aziendalistiche.

Conformi sul punto sono, infatti, i codici di comportamento elaborati dall’ABI e dalla Confindustria, che contribuiscono, in maniera significativa, ad una proficua ricostruzione delle prerogative da attribuire all’organismo di vigilanza.

Per quanto riguarda, invece, la nomina dell’organismo di vigilanza, la soluzione organizzativa quasi unanimemente scelta è quella che prevede la competenza dell’organo di gestione; l’adozione di un modello di organizzazione, infatti, non pretende modifiche statutarie né interventi assembleari.

La ratio di tale prassi è anche rintracciabile nel rapporto che intercorre fra l’organo dirigente e l’organismo di vigilanza, il quale è tenuto a sua volta a comunicare al primo le irregolarità e le situazioni di rischio potenziale rintracciate.

La stessa soluzione viene raggiunta dalla giurisprudenza in relazione al problema dell’organo competente per l’adozione del modello organizzativo: è sufficiente la deliberazione da parte dell’organo amministrativo, che garantisce anche una maggiore flessibilità del sistema di prevenzione in ragione delle diverse modalità operative e degli ambiti di attività dell’ente.

L’organismo, però, non risponde all’organo nominante in quanto la sua funzione di controllo è incompatibile con qualsiasi vincolo di subordinazione anche solo funzionale rispetto alla sfera su cui la vigilanza si esercita.

Tuttavia il coinvolgimento dell’assemblea è da ritenersi opportuno; quantomeno è auspicabile che il consesso dei soci intervenga nel procedimento di nomina, ad esempio esprimendo un parere sui componenti designati.

L’organo nominante dovrebbe provvedere a specificare la durata in carica dei membri, le cause di ineleggibilità, le regole relative all’eventuale rinnovo degli stessi, le ipotesi tassative di revoca ed i motivi della scelta di ogni singolo componente dell’organismo di vigilanza.

Altra problematica da affrontare è quella della composizione dell’organismo di vigilanza.

Le associazioni di categoria ABI, ASSTRA (Associazione delle imprese di trasporto), ASSIFACT (Associazione delle imprese di factoring) e ASSOGESTIONI (Associazione delle società di gestione del risparmio) prevedono un organo collegiale.

Tale alternativa sembra da preferirsi in quanto dovrebbe garantire una maggiore limitazione all’esercizio discrezionale dei poteri spettanti all’organismo stesso; afferma questa opportunità anche l’orientamento giurisprudenziale: per gli enti di dimensioni medio-grandi si impone la forma collegiale e un impegno esclusivo sull’attività di vigilanza.

Si ribadisce, quindi, l’esigenza di scegliere il tipo di composizione anche in relazione alle dimensioni aziendali per garantire una maggiore effettività dei controlli.

Risponde a principi generali oltre che alla natura delle cose il fatto che al crescere della complessità dell’impresa l’esecuzione diretta delle attività di vigilanza non possa essere svolta da un solo soggetto o da pochi soggetti in composizione collegiale.

L’alternativa di un organo monocratico è, inoltre, sconsigliabile per diverse ragioni, fra le quali: il carattere interdisciplinare delle problematiche da affrontare, il raggiungimento di un maggior grado di indipendenza ed imparzialità garantite soltanto dalla molteplicità dei soggetti costituenti, il corretto funzionamento dell’organismo solo in presenza delle necessarie risorse umane e dei relativi mezzi.

In base alla lettura combinata degli artt. 6, comma 1, lettera b), e dell’art. 7, commi 3 e 4, del D. Lgs. n. 231/2001, si ritiene correttamente che debbano appartenere all’organismo di vigilanza caratteristiche di autonomia ed indipendenza, professionalità e continuità d’azione.

La vaghezza delle disposizioni citate viene circoscritta da regole o standard elaborati dalla scienza aziendalistica in materia di controllo dei rischi d’impresa.

Quanto all’autonomia e all’indipendenza dell’organismo di vigilanza, si ritiene che tale caratteristica possa essere garantita soltanto mediante l’assenza di svolgimento di attività operative nell’impresa e di ogni dipendenza gerarchica da responsabili di aree operative e mediante il diretto accesso dello stesso al vertice dell’impresa in modo da configurare un rapporto diretto con il consiglio di amministrazione e le sue articolazioni organizzative.

Secondo un’attenta dottrina (FRIGNANI – GROSSO – ROSSI) “chi effettua il controllo deve apparire estraneo ai giochi della politica d’impresa, deve ispirare fiducia nei soggetti indagati, deve possedere l’autorità, la professionalità e la capacità personale di poter accedere a tutte le fonti di informazione della persona giuridica senza essere ostacolato nello svolgimento del suo compito di controllo”.

Quindi dovrà configurarsi un organismo autoreferenziale con pieno esercizio della discrezionalità tecnica nell’espletamento delle funzioni e che si contraddistinguerà per l’assenza di condizioni di soggezione nei confronti degli apici operativi della società.

Infatti è fondamentale ai fini dell’effettività del controllo demandato a tale organismo che il controllante sia estraneo rispetto all’area di competenza funzionale ed istituzionale dello stesso controllato.

Si potrebbe dire che l’organismo in esame deve avere imparzialità di giudizio ed essere privo di interferenze o condizionamenti; assistono tale requisito l’assenza di conflitti di interesse, di legami parentali e di vincoli di dipendenza gerarchica dai vertici, l’onorabilità.

Può porsi il problema se la funzione di vigilanza possa essere affidata ad uffici preesistenti ed aventi già compiti di controllo (ad esempio gli uffici legali, la direzione del personale, le segreterie generali).

Tale scelta, a mio avviso, sarebbe impraticabile in quanto i capisaldi della previsione normativa, insiti nell’indipendenza di giudizio e nell’autonomia gestionale e di spesa, verrebbero pregiudicati dai rapporti di subordinazione che tradizionalmente legano gli uffici predetti al vertice dell’ente.

Occorre, in definitiva, escludere dai candidati tutti coloro che, in funzione della mansione o dell’incarico, a qualsiasi livello, possano trovarsi coinvolti in processi a rischio per evitare la costituzione di garanti compiacenti e immediatamente condizionabili.

Non si esclude la possibilità di far partecipare alla funzione di vigilanza anche personale dell’ente.

Se è innegabile che l’autonomia e l’indipendenza debbano sussistere per ogni componente esterno all’ente, ove, invece, vi siano membri interni, può risultare più difficile garantire i requisiti previsti.

Per cui, in caso di composizione mista, il grado di autonomia e indipendenza va valutato in relazione all’organismo nel suo complesso.

Tale opzione ha il vantaggio di garantire un’approfondita conoscenza della specifica realtà aziendale, caratteristica imprescindibile che si lega ad un altro requisito, la continuità d’azione.

Potrebbe, quindi, pensarsi, nell’ottica di una scelta ottimale per l’ente, ad un organismo di vigilanza formato da più membri, con una prevalenza numerica dei soggetti esterni supportati dalla presenza del personale dipendente (ammesso sempre che vi sia la necessaria competenza e l’estraneità a processi a rischio).

Tale opzione si dimostrerebbe efficiente solo se l’organismo di vigilanza riuscisse a coordinarsi con le diverse attività già esistenti; in tal modo si eviterebbe un rischio concreto: la predisposizione di una struttura di controllo avulsa dalla concreta realtà aziendale nella quale opererà.

L’obiettivo dell’autonomia e dell’indipendenza si può ragionevolmente conseguire inserendo l’organismo di vigilanza come unità di staff in una posizione gerarchica la più elevata possibile e prevedendo il “riporto” al massimo vertice operativo aziendale ovvero al consiglio di amministrazione nel suo complesso.

Sul punto non sembrano esservi alternative: da un lato, il coinvolgimento dell’assemblea è sconsigliato da elementari ragioni di riservatezza, che impediscono di riferire ai soci ogni violazione riscontrata o solo temuta; dall’altro, la carenza di poteri di gestione diretta rende il collegio sindacale poco più che un interlocutore muto.

Se certamente l’una e l’altro riceveranno rapporti informativi sugli illeciti effettivamente riscontrati, il referente istituzionale dell’attività di controllo deve essere necessariamente l’organo direttivo.

Le attività poste in essere dall’organismo di vigilanza non possono essere sindacate da alcuna struttura aziendale, fermo restando però che l’organo dirigente è in ogni caso chiamato a svolgere un’attività di vigilanza sull’adeguatezza del suo intervento, in quanto responsabile ultimo del funzionamento e dell’efficacia del modello organizzativo.

Ulteriore requisito da valorizzare è quello della professionalità: il modello deve prevedere che i componenti dell’organismo di vigilanza possiedano capacità specifiche in tema di attività ispettiva e consulenziale.

Ci si riferisce al campionamento statistico; alle tecniche di analisi e valutazione dei rischi; alle tecniche di intervista e di elaborazione di questionari; alle metodologie per l’individuazione delle frodi.

L’attività di controllo di cui si discute non può richiedere soltanto generiche competenze su materie aziendali; l’analiticità della funzione per la quale l’organismo di vigilanza può essere chiamato a dare proprie valutazioni richiede certamente un grado di professionalità mirato.

Saranno fondamentali conoscenze altamente qualificate di stampo aziendalistico, data la preponderanza dei profili organizzativi, gestionali, informativi, di governance, che devono essere indagati.

La continuità d’azione, invece, può essere vista sia in termini di effettività delle attività di controllo sia di frequenza temporale delle particolari azioni intraprese.

Perché il funzionamento dell’organismo sia efficace deve trattarsi di una struttura dedicata esclusivamente ed a tempo pieno, alla funzione di vigilanza, il cui operato sia costante nel tempo, ed in continua interazione con il management aziendale e le più significative funzioni di staff, quali il controllo di gestione, l’internal auditing, il legale, l’amministrazione e bilancio, la finanza, i sistemi informativi, l’organizzazione, la gestione delle risorse umane.

L’organismo di vigilanza dovrà operare sia in via preventiva con l’adozione delle misure più idonee di salvaguardia nel modello, che continuativa, in relazione al monitoraggio costante del rispetto delle procedure previste, ed anche, qualora il reato sia comunque commesso, successiva, per analizzare come e perché l’illecito è stato realizzato.

L’analisi dei requisiti previsti per la configurazione dell’organismo di vigilanza deve comunque coordinarsi anche con i recenti interventi normativi che estendono la responsabilità amministrativa degli enti alla normativa antiriciclaggio (art. 52 d. lgs. n. 231/2007), all’omicidio colposo e alle lesioni colpose gravi derivanti dalla violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 9 l. n. 123/2007).

Si tratta di una svolta significativa che porta conseguentemente ad un’estensione sia dell’azione giudiziaria sia dei soggetti interessati ai contenuti del D. Lgs. n. 231/2001, in precedenza limitato, generalmente, ad ambiti settoriali ed alla grande impresa.

Tale innovazione normativa ci permette anche di evidenziare un’ulteriore caratteristica dell’organismo di vigilanza, e cioè, quella di non presentarsi come una struttura staticamente cristallizzata nelle sue forme, ma come uno strumento duttile e in grado di modificarsi a fronte dei mutamenti della realtà operativa e organizzativa dell’ente e dell’insorgenza di nuove fonti di rischio.

Dobbiamo soprattutto chiederci se non sia necessario, per talune aziende di determinati settori merceologici, avere la presenza di un membro dell’organismo con competenze specifiche nelle materie oggetto di reati-presupposto.

Pensiamo al decreto antiriciclaggio: vengono previsti specifici obblighi di comunicazione, a rilevanza sia meramente interna che esterna cui si accompagnano, in caso di inadempimento, sanzioni addirittura di natura penale.

Ciò comporta delle ripercussioni soprattutto sul ruolo di membro dell’organismo di vigilanza, che assume irrimediabilmente un profilo di rischio sensibilmente più elevato, e sul numero dei soggetti disposti a ricoprire tale carica.

Vi sarà, di conseguenza, un maggior onere da parte dell’ente, in relazione soprattutto al contestuale aumento dei compensi richiesti, e un probabile irrigidimento dell’apposita struttura di controllo predisposta, dovuto alla presenza di figure professionali specializzate esclusivamente nell’ambito della normativa antiriciclaggio.

Per quanto riguarda, invece, la normativa antinfortunistica, pensiamo soprattutto alle imprese edili e a quelle che svolgono attività di produzione industriale, che, quantomeno, appaiono le più esposte nella violazione delle fattispecie di reato precedentemente menzionate.

Innanzitutto il problema riguardante la compatibilità strutturale fra i soggetti responsabili dei controlli in materia di salute e sicurezza sul lavoro e l’organismo di vigilanza viene risolto dalle Linee guida di Confindustria che propendono per il riconoscimento della diversità dei compiti affidati a tali soggetti e per la consequenziale autonomia delle funzioni.

Inoltre il responsabile per la sicurezza, che pure ha poteri di iniziativa e controllo e svolge il proprio ruolo in maniera autonoma, non può essere coinvolto nell’organismo di vigilanza perché comunque è chiamato a svolgere un ruolo operativo, tale da poter essere il fondamento anche di una possibile responsabilità penale, in caso di reato che venisse commesso con violazione della normativa antinfortunistica.

La scelta operata dal singolo ente dovrebbe caratterizzarsi per l’inserimento nell’organismo di vigilanza di un esperto in materie giuridiche.

Infatti è del tutto evidente come sia opportuno che almeno uno dei membri abbia quella competenza necessaria per poter valutare comportamenti e procedure con un’approfondita e vasta conoscenza giuridica; la specificità del ruolo del responsabile per la sicurezza, invece, lo renderebbe inidoneo a partecipare ad una struttura di controllo che ha competenza generale rispetto a tutti i reati-presupposto.

Passando all’analisi delle funzioni dell’organismo in esame, l’art. 6, comma 1, lettera b), del D. Lgs. n. 231/2001 si limita ad individuarle nella vigilanza sul funzionamento e l’osservanza dei modelli e nella cura del loro aggiornamento.

La presenza di tale disposizione è la spia che per il legislatore l’esistenza di un modello adottato dalla società non è sufficiente di per sé ad eliminare i rischi: è necessario analizzare se esso venga effettivamente osservato o se, invece, i comportamenti richiesti e le procedure da predisporre rimangano semplici affermazioni di principio.

Vengono, di conseguenza, definite funzioni che possono risultare estremamente impegnative, specialmente nelle aziende a struttura complessa, sia per l’incessante continuità della gestione, sia per l’ampiezza del business e delle unità organizzative coinvolte.

Se ne desume, quindi, l’esigenza, in modo tale da garantire e dimostrare la credibilità del diaframma che separa la volontà sociale dal comportamento di chi si trovi in posizione apicale nella stessa organizzazione, di svolgere una serie coordinata di attività di analisi, finalizzate a rendere pienamente funzionante, in un percorso dinamico, il modello organizzativo.

Certamente, l’esistenza in azienda di sistemi di controllo interno già collaudati, quali l’internal auditor o il risk manager, consente all’organismo di vigilanza di disporre di assetti e funzionalità che implementeranno la sua attività.

Tali compiti possono essere così sintetizzati:

a) vigilanza sull’effettività del modello: sostanzia la verifica sulla coerenza tra comportamenti concreti e modello generale, esistente “sulla carta”;

b) disamina in merito all’adeguatezza del modello, ossia della sua reale (e non meramente formale) capacità di prevenire, in linea di massima, i comportamenti non voluti. E’ caratteristica propria, ad esempio, di un modello solido, valutabile alla stregua di una seria costruzione organizzativa (anche in sede giudiziale), la sussistenza di un equilibrato apparato sanzionatorio;

c) analisi circa il mantenimento, nel tempo, dei requisiti di solidità e funzionalità del modello. Un sistema di prevenzione considerato come valido, in un dato momento storico, può manifestare la necessità di un’analisi critica, che lo renda conforme ai mutamenti ambientali ed, in particolare, idoneo alla prevenzione di fattispecie di rischio di nuova insorgenza;

d) sviluppo del necessario aggiornamento, in senso dinamico, del modello, ovviamente nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti.

L’organismo di vigilanza svolge, fra i suoi compiti istituzionali, alcune attività tipiche di internal auditing, in particolare quella c.d. di assurance, ovvero un oggettivo esame delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance dell’organizzazione.

Obiettivo di tale attività è evidenziare eventuali criticità dell’organizzazione che possono concretizzarsi nella vulnerabilità, rispetto al rischio di commissione di un reato presupposto, dei protocolli comportamentali, nell’ineffettività del sistema disciplinare esistente o nel mancato o insufficiente impegno di controllo dei responsabili delle diverse aree funzionali.

Infatti l’organismo deve essere in grado di accertare come si sia potuto verificare un reato nell’organizzazione dell’ente, e chi l’abbia commesso, secondo un approccio di tipo ispettivo.

Deve adottare, inoltre, le misure più idonee a prevenire la commissione dei reati nel momento della redazione del modello organizzativo o delle sue successive modifiche, secondo un approccio di tipo consulenziale.

Ha, infine, le conoscenze necessarie per verificare che i quotidiani comportamenti posti in essere dai singoli operatori aziendali rispettino effettivamente le prescrizioni statuite.

Gli strumenti a disposizione per contribuire a formare lo “scudo protettivo” per l’ente consistono in adeguate e sistematiche procedure di ricerca, identificazione e rivalutazione periodica dei rischi di irregolarità quando sussistono circostanze particolari, quali, ad esempio, un elevato turn-over del personale, recenti evoluzioni legislative, precedenti violazioni, acquisizioni di rami d’azienda, ecc., e, soprattutto, in controlli di routine o a sorpresa presso le funzioni ed i processi aziendali sensibili, al fine di accertare la conformità delle attività alle procedure stabilite, anche presso controparti terze contrattualmente impegnate.

Si tratta di un controllo “di secondo livello”, poiché ha ad oggetto la modellistica preventiva, o indiretto, che si estrinseca “a distanza”.

L’esercizio delle funzioni appena descritte presume una conoscenza di tutte le informazioni aziendali rilevanti ai fini della vigilanza; di conseguenza, tra i poteri attribuiti, dovrà figurare necessariamente quello di accesso senza limiti a tali informazioni.

Per contro, tra i doveri dell’organismo di vigilanza vi sono quelli della riservatezza sulle informazioni raccolte e della non interferenza sulle scelte gestionali non influenti sui modelli.

Allo stesso tempo, in capo a tutti i soggetti che operano nell’ente dovrà essere posto l’obbligo di fornire le informazioni utili al fine di consentire all’organo di svolgere le proprie mansioni nel miglior modo possibile.

I flussi informativi attuati nell’ambito dei modelli organizzativi dovranno essere bidirezionali. Infatti, se da un lato l’organismo di vigilanza deve essere costantemente informato di quanto accade nell’azienda, dall’altro esso stesso dovrà periodicamente relazionarsi con l’organo dirigente e con gli organi di controllo, per mettere a fattore comune le reciproche informazioni e conoscenze e per evitare ridondanze e conflitti nelle proprie sfere di operatività.

La dottrina (IANNINI – ARMONE) pone in risalto come l’inosservanza degli obblighi di informazione nei confronti dell’organismo di vigilanza debba essere sanzionata disciplinarmente in modo da non ostacolare i poteri di richiesta ed assunzione di quest’ultimo.

Infine, come nell’esperienza statunitense, l’obbligo di informazione dovrà essere esteso anche ai dipendenti che vengano in possesso di notizie relative alla commissione di reati all’interno dell’ente o a pratiche non in linea con le norme di comportamento prestabilite.

Ciò vuol dire realizzare un sistema di reporting di fatti o comportamenti reali che non segua la linea gerarchica e che consenta al personale di riferire casi di violazione di norme, senza timore di ritorsioni.

Per l’espletamento dei propri compiti ispettivi, l’organismo di vigilanza deve disporre di autonomi poteri di spesa sulla base di un preventivo annuale, approvato dal consiglio di amministrazione.

Il sistema delineato non può però, per operare efficacemente, ridursi ad un’attività una tantum, bensì deve tradursi in un processo continuo, da reiterare con particolare attenzione nei momenti di cambiamento aziendale.

In particolare, quando la società apre nuove aree di attività o di business è necessario operare una valutazione del rischio con riferimento a quelle specifiche aree, ossia occorre domandarsi se nei nuovi settori vi siano ulteriori e diverse possibilità di commissione di reati che necessitino di più appropriati sistemi di controllo.

Lo stesso iter dovrà essere seguito nel caso dell’introduzione di un nuovo reato: l’organismo di vigilanza dovrà sollecitare all’organo dirigente una valutazione dell’incidenza che la novità normativa può avere sull’intero sistema di controllo interno, verificando se vi sia un’adeguata copertura dei protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione agli illeciti da prevenire.

A tal fine, nell’ipotesi in cui dall’analisi condotta emerga la necessità di un adeguamento o correzione del modello, l’organismo di vigilanza dovrà curare l’aggiornamento dello stesso, mediante la presentazione di apposite note di adeguamento agli organi aziendali che si adoperano per la sua attuazione, ed in secondo luogo, dovrà assicurare il cosiddetto follow-up, che si concretizza nella verifica costante dell’effettiva attuazione ed efficacia delle soluzioni proposte.

In conformità alle funzioni svolte, l’organismo dovrebbe trasmettere periodicamente all’organo dirigente una relazione sull’attuazione dei modelli, indicando l’attività svolta, le risultanze emerse e i suggerimenti in merito ad eventuali interventi correttivi da apportare.

Alla semplice predisposizione dei modelli dovranno, quindi, accompagnarsi verifiche successive in modo da dimostrare l’effettiva aderenza al decreto in esame.

E’ doveroso, però, chiedersi a quale organo venga contestato l’eventuale inadempimento nella cura dell’aggiornamento del modello.

L’art. 6 del D. Lgs. n. 231/2001 prescrive che l’adozione del modello ricade sotto la responsabilità dell’organo dirigente della società.

Ma la stessa disposizione (al primo comma, lett. a) affida al vertice societario il compito di attuare efficacemente il sistema di prevenzione e, quindi, di aggiornarlo, nel senso di garantire una nuova e sempre più adeguata adozione.

E’ chiaro che l’organismo di vigilanza non ha un potere di incidenza diretta sul modello organizzativo e quindi non può che proporre modifiche al vertice dell’azienda, titolare del potere di gestione e di approvazione dell’aggiornamento.

L’inosservanza o il non corretto adempimento di tali compiti genera, invece, in capo all’organismo di vigilanza esclusivamente un profilo di responsabilità professionale.

Riguardo, inoltre, l’esercizio del potere disciplinare, si propende per l’attribuzione all’organo amministrativo della relativa responsabilità.

Comunque si può ritenere che spetti all’organismo di vigilanza l’opportunità di segnalare l’attivazione di un procedimento disciplinare a carico di un soggetto che si sia reso colpevole della violazione del modello.

Una volta individuati i compiti inerenti la funzione di vigilanza, è imprescindibile, dal punto di vista probatorio, dimostrare che non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo stesso (art. 6, comma 1, lettera d).

Per rivendicare l’effettività e l’efficacia delle misure predisposte, un ruolo di primaria importanza è rivestito da un’adeguata documentazione delle attività di pianificazione e di esecuzione delle verifiche da parte dell’organismo di vigilanza.

Infatti quanto più è elevato il livello di riconoscibilità dell’attività di controllo e, quindi, dell’intero modello organizzativo, tanto meno discrezionale sarà l’intervento del giudice penale nella valutazione dell’idoneità dello “scudo protettivo” approntato dall’ente.

Il giudizio penale di prognosi postuma, anche in relazione all’eventualità di omessa o negligente vigilanza da parte dell’organismo, avviene naturalmente in una fase temporale successiva al fatto illecito e alle verifiche di osservanza del modello.

Di conseguenza, la conservazione della documentazione garantirà la “tracciabilità” del programma di prevenzione e la sua attendibilità riguardo l’adeguatezza del budget di spesa e di risorse riconosciuto dall’ente e il rispetto concreto dei requisiti di autonomia ed indipendenza.

L’organismo di vigilanza è il protagonista principale del sistema di prevenzione degli illeciti delineato dal D. Lgs. n. 231/2001.

Costituisce, infatti, l’indispensabile corollario del modello organizzativo, in carenza del quale anche il migliore degli “scudi protettivi” realizzati potrebbe non essere in grado di evitare le sanzioni a carico dell’ente.

La costituzione dell’organismo di vigilanza comporta una precisa individuazione di questa entità nell’assetto di governance aziendale, per evitare sovrapposizioni e conflitti e per assicurarne la migliore funzionalità.

Come traspare dall’art. 6 del D. Lgs. n. 231/2001, l’organismo è necessario nelle imprese di dimensioni “non piccole”, spettando altrimenti le sue prerogative direttamente all’organo dirigente.

Il dato normativo esige un organismo interno all’ente; si esclude, quindi, che la funzione di vigilanza possa essere attribuita tout court ad un soggetto esterno (ad esempio, una società di consulenza aziendale o di revisione).

Ciò non toglie che ci si possa comunque avvalere dell’ausilio e della consulenza di altri soggetti non facenti parte dell’ente.

Il legislatore ritiene preferibile affidare il controllo alla società stessa attraverso una sua componente interna, piuttosto che procedere ad un monitoraggio esterno, sicuramente più problematico in ragione della complessa articolazione aziendale che rende meno agevole un’informazione completa e rispondente al vero.

L’appartenenza dell’organismo di vigilanza alla struttura è sorretta anche da ragioni aziendalistiche.

Conformi sul punto sono, infatti, i codici di comportamento elaborati dall’ABI e dalla Confindustria, che contribuiscono, in maniera significativa, ad una proficua ricostruzione delle prerogative da attribuire all’organismo di vigilanza.

Per quanto riguarda, invece, la nomina dell’organismo di vigilanza, la soluzione organizzativa quasi unanimemente scelta è quella che prevede la competenza dell’organo di gestione; l’adozione di un modello di organizzazione, infatti, non pretende modifiche statutarie né interventi assembleari.

La ratio di tale prassi è anche rintracciabile nel rapporto che intercorre fra l’organo dirigente e l’organismo di vigilanza, il quale è tenuto a sua volta a comunicare al primo le irregolarità e le situazioni di rischio potenziale rintracciate.

La stessa soluzione viene raggiunta dalla giurisprudenza in relazione al problema dell’organo competente per l’adozione del modello organizzativo: è sufficiente la deliberazione da parte dell’organo amministrativo, che garantisce anche una maggiore flessibilità del sistema di prevenzione in ragione delle diverse modalità operative e degli ambiti di attività dell’ente.

L’organismo, però, non risponde all’organo nominante in quanto la sua funzione di controllo è incompatibile con qualsiasi vincolo di subordinazione anche solo funzionale rispetto alla sfera su cui la vigilanza si esercita.

Tuttavia il coinvolgimento dell’assemblea è da ritenersi opportuno; quantomeno è auspicabile che il consesso dei soci intervenga nel procedimento di nomina, ad esempio esprimendo un parere sui componenti designati.

L’organo nominante dovrebbe provvedere a specificare la durata in carica dei membri, le cause di ineleggibilità, le regole relative all’eventuale rinnovo degli stessi, le ipotesi tassative di revoca ed i motivi della scelta di ogni singolo componente dell’organismo di vigilanza.

Altra problematica da affrontare è quella della composizione dell’organismo di vigilanza.

Le associazioni di categoria ABI, ASSTRA (Associazione delle imprese di trasporto), ASSIFACT (Associazione delle imprese di factoring) e ASSOGESTIONI (Associazione delle società di gestione del risparmio) prevedono un organo collegiale.

Tale alternativa sembra da preferirsi in quanto dovrebbe garantire una maggiore limitazione all’esercizio discrezionale dei poteri spettanti all’organismo stesso; afferma questa opportunità anche l’orientamento giurisprudenziale: per gli enti di dimensioni medio-grandi si impone la forma collegiale e un impegno esclusivo sull’attività di vigilanza.

Si ribadisce, quindi, l’esigenza di scegliere il tipo di composizione anche in relazione alle dimensioni aziendali per garantire una maggiore effettività dei controlli.

Risponde a principi generali oltre che alla natura delle cose il fatto che al crescere della complessità dell’impresa l’esecuzione diretta delle attività di vigilanza non possa essere svolta da un solo soggetto o da pochi soggetti in composizione collegiale.

L’alternativa di un organo monocratico è, inoltre, sconsigliabile per diverse ragioni, fra le quali: il carattere interdisciplinare delle problematiche da affrontare, il raggiungimento di un maggior grado di indipendenza ed imparzialità garantite soltanto dalla molteplicità dei soggetti costituenti, il corretto funzionamento dell’organismo solo in presenza delle necessarie risorse umane e dei relativi mezzi.

In base alla lettura combinata degli artt. 6, comma 1, lettera b), e dell’art. 7, commi 3 e 4, del D. Lgs. n. 231/2001, si ritiene correttamente che debbano appartenere all’organismo di vigilanza caratteristiche di autonomia ed indipendenza, professionalità e continuità d’azione.

La vaghezza delle disposizioni citate viene circoscritta da regole o standard elaborati dalla scienza aziendalistica in materia di controllo dei rischi d’impresa.

Quanto all’autonomia e all’indipendenza dell’organismo di vigilanza, si ritiene che tale caratteristica possa essere garantita soltanto mediante l’assenza di svolgimento di attività operative nell’impresa e di ogni dipendenza gerarchica da responsabili di aree operative e mediante il diretto accesso dello stesso al vertice dell’impresa in modo da configurare un rapporto diretto con il consiglio di amministrazione e le sue articolazioni organizzative.

Secondo un’attenta dottrina (FRIGNANI – GROSSO – ROSSI) “chi effettua il controllo deve apparire estraneo ai giochi della politica d’impresa, deve ispirare fiducia nei soggetti indagati, deve possedere l’autorità, la professionalità e la capacità personale di poter accedere a tutte le fonti di informazione della persona giuridica senza essere ostacolato nello svolgimento del suo compito di controllo”.

Quindi dovrà configurarsi un organismo autoreferenziale con pieno esercizio della discrezionalità tecnica nell’espletamento delle funzioni e che si contraddistinguerà per l’assenza di condizioni di soggezione nei confronti degli apici operativi della società.

Infatti è fondamentale ai fini dell’effettività del controllo demandato a tale organismo che il controllante sia estraneo rispetto all’area di competenza funzionale ed istituzionale dello stesso controllato.

Si potrebbe dire che l’organismo in esame deve avere imparzialità di giudizio ed essere privo di interferenze o condizionamenti; assistono tale requisito l’assenza di conflitti di interesse, di legami parentali e di vincoli di dipendenza gerarchica dai vertici, l’onorabilità.

Può porsi il problema se la funzione di vigilanza possa essere affidata ad uffici preesistenti ed aventi già compiti di controllo (ad esempio gli uffici legali, la direzione del personale, le segreterie generali).

Tale scelta, a mio avviso, sarebbe impraticabile in quanto i capisaldi della previsione normativa, insiti nell’indipendenza di giudizio e nell’autonomia gestionale e di spesa, verrebbero pregiudicati dai rapporti di subordinazione che tradizionalmente legano gli uffici predetti al vertice dell’ente.

Occorre, in definitiva, escludere dai candidati tutti coloro che, in funzione della mansione o dell’incarico, a qualsiasi livello, possano trovarsi coinvolti in processi a rischio per evitare la costituzione di garanti compiacenti e immediatamente condizionabili.

Non si esclude la possibilità di far partecipare alla funzione di vigilanza anche personale dell’ente.

Se è innegabile che l’autonomia e l’indipendenza debbano sussistere per ogni componente esterno all’ente, ove, invece, vi siano membri interni, può risultare più difficile garantire i requisiti previsti.

Per cui, in caso di composizione mista, il grado di autonomia e indipendenza va valutato in relazione all’organismo nel suo complesso.

Tale opzione ha il vantaggio di garantire un’approfondita conoscenza della specifica realtà aziendale, caratteristica imprescindibile che si lega ad un altro requisito, la continuità d’azione.

Potrebbe, quindi, pensarsi, nell’ottica di una scelta ottimale per l’ente, ad un organismo di vigilanza formato da più membri, con una prevalenza numerica dei soggetti esterni supportati dalla presenza del personale dipendente (ammesso sempre che vi sia la necessaria competenza e l’estraneità a processi a rischio).

Tale opzione si dimostrerebbe efficiente solo se l’organismo di vigilanza riuscisse a coordinarsi con le diverse attività già esistenti; in tal modo si eviterebbe un rischio concreto: la predisposizione di una struttura di controllo avulsa dalla concreta realtà aziendale nella quale opererà.

L’obiettivo dell’autonomia e dell’indipendenza si può ragionevolmente conseguire inserendo l’organismo di vigilanza come unità di staff in una posizione gerarchica la più elevata possibile e prevedendo il “riporto” al massimo vertice operativo aziendale ovvero al consiglio di amministrazione nel suo complesso.

Sul punto non sembrano esservi alternative: da un lato, il coinvolgimento dell’assemblea è sconsigliato da elementari ragioni di riservatezza, che impediscono di riferire ai soci ogni violazione riscontrata o solo temuta; dall’altro, la carenza di poteri di gestione diretta rende il collegio sindacale poco più che un interlocutore muto.

Se certamente l’una e l’altro riceveranno rapporti informativi sugli illeciti effettivamente riscontrati, il referente istituzionale dell’attività di controllo deve essere necessariamente l’organo direttivo.

Le attività poste in essere dall’organismo di vigilanza non possono essere sindacate da alcuna struttura aziendale, fermo restando però che l’organo dirigente è in ogni caso chiamato a svolgere un’attività di vigilanza sull’adeguatezza del suo intervento, in quanto responsabile ultimo del funzionamento e dell’efficacia del modello organizzativo.

Ulteriore requisito da valorizzare è quello della professionalità: il modello deve prevedere che i componenti dell’organismo di vigilanza possiedano capacità specifiche in tema di attività ispettiva e consulenziale.

Ci si riferisce al campionamento statistico; alle tecniche di analisi e valutazione dei rischi; alle tecniche di intervista e di elaborazione di questionari; alle metodologie per l’individuazione delle frodi.

L’attività di controllo di cui si discute non può richiedere soltanto generiche competenze su materie aziendali; l’analiticità della funzione per la quale l’organismo di vigilanza può essere chiamato a dare proprie valutazioni richiede certamente un grado di professionalità mirato.

Saranno fondamentali conoscenze altamente qualificate di stampo aziendalistico, data la preponderanza dei profili organizzativi, gestionali, informativi, di governance, che devono essere indagati.

La continuità d’azione, invece, può essere vista sia in termini di effettività delle attività di controllo sia di frequenza temporale delle particolari azioni intraprese.

Perché il funzionamento dell’organismo sia efficace deve trattarsi di una struttura dedicata esclusivamente ed a tempo pieno, alla funzione di vigilanza, il cui operato sia costante nel tempo, ed in continua interazione con il management aziendale e le più significative funzioni di staff, quali il controllo di gestione, l’internal auditing, il legale, l’amministrazione e bilancio, la finanza, i sistemi informativi, l’organizzazione, la gestione delle risorse umane.

L’organismo di vigilanza dovrà operare sia in via preventiva con l’adozione delle misure più idonee di salvaguardia nel modello, che continuativa, in relazione al monitoraggio costante del rispetto delle procedure previste, ed anche, qualora il reato sia comunque commesso, successiva, per analizzare come e perché l’illecito è stato realizzato.

L’analisi dei requisiti previsti per la configurazione dell’organismo di vigilanza deve comunque coordinarsi anche con i recenti interventi normativi che estendono la responsabilità amministrativa degli enti alla normativa antiriciclaggio (art. 52 d. lgs. n. 231/2007), all’omicidio colposo e alle lesioni colpose gravi derivanti dalla violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 9 l. n. 123/2007).

Si tratta di una svolta significativa che porta conseguentemente ad un’estensione sia dell’azione giudiziaria sia dei soggetti interessati ai contenuti del D. Lgs. n. 231/2001, in precedenza limitato, generalmente, ad ambiti settoriali ed alla grande impresa.

Tale innovazione normativa ci permette anche di evidenziare un’ulteriore caratteristica dell’organismo di vigilanza, e cioè, quella di non presentarsi come una struttura staticamente cristallizzata nelle sue forme, ma come uno strumento duttile e in grado di modificarsi a fronte dei mutamenti della realtà operativa e organizzativa dell’ente e dell’insorgenza di nuove fonti di rischio.

Dobbiamo soprattutto chiederci se non sia necessario, per talune aziende di determinati settori merceologici, avere la presenza di un membro dell’organismo con competenze specifiche nelle materie oggetto di reati-presupposto.

Pensiamo al decreto antiriciclaggio: vengono previsti specifici obblighi di comunicazione, a rilevanza sia meramente interna che esterna cui si accompagnano, in caso di inadempimento, sanzioni addirittura di natura penale.

Ciò comporta delle ripercussioni soprattutto sul ruolo di membro dell’organismo di vigilanza, che assume irrimediabilmente un profilo di rischio sensibilmente più elevato, e sul numero dei soggetti disposti a ricoprire tale carica.

Vi sarà, di conseguenza, un maggior onere da parte dell’ente, in relazione soprattutto al contestuale aumento dei compensi richiesti, e un probabile irrigidimento dell’apposita struttura di controllo predisposta, dovuto alla presenza di figure professionali specializzate esclusivamente nell’ambito della normativa antiriciclaggio.

Per quanto riguarda, invece, la normativa antinfortunistica, pensiamo soprattutto alle imprese edili e a quelle che svolgono attività di produzione industriale, che, quantomeno, appaiono le più esposte nella violazione delle fattispecie di reato precedentemente menzionate.

Innanzitutto il problema riguardante la compatibilità strutturale fra i soggetti responsabili dei controlli in materia di salute e sicurezza sul lavoro e l’organismo di vigilanza viene risolto dalle Linee guida di Confindustria che propendono per il riconoscimento della diversità dei compiti affidati a tali soggetti e per la consequenziale autonomia delle funzioni.

Inoltre il responsabile per la sicurezza, che pure ha poteri di iniziativa e controllo e svolge il proprio ruolo in maniera autonoma, non può essere coinvolto nell’organismo di vigilanza perché comunque è chiamato a svolgere un ruolo operativo, tale da poter essere il fondamento anche di una possibile responsabilità penale, in caso di reato che venisse commesso con violazione della normativa antinfortunistica.

La scelta operata dal singolo ente dovrebbe caratterizzarsi per l’inserimento nell’organismo di vigilanza di un esperto in materie giuridiche.

Infatti è del tutto evidente come sia opportuno che almeno uno dei membri abbia quella competenza necessaria per poter valutare comportamenti e procedure con un’approfondita e vasta conoscenza giuridica; la specificità del ruolo del responsabile per la sicurezza, invece, lo renderebbe inidoneo a partecipare ad una struttura di controllo che ha competenza generale rispetto a tutti i reati-presupposto.

Passando all’analisi delle funzioni dell’organismo in esame, l’art. 6, comma 1, lettera b), del D. Lgs. n. 231/2001 si limita ad individuarle nella vigilanza sul funzionamento e l’osservanza dei modelli e nella cura del loro aggiornamento.

La presenza di tale disposizione è la spia che per il legislatore l’esistenza di un modello adottato dalla società non è sufficiente di per sé ad eliminare i rischi: è necessario analizzare se esso venga effettivamente osservato o se, invece, i comportamenti richiesti e le procedure da predisporre rimangano semplici affermazioni di principio.

Vengono, di conseguenza, definite funzioni che possono risultare estremamente impegnative, specialmente nelle aziende a struttura complessa, sia per l’incessante continuità della gestione, sia per l’ampiezza del business e delle unità organizzative coinvolte.

Se ne desume, quindi, l’esigenza, in modo tale da garantire e dimostrare la credibilità del diaframma che separa la volontà sociale dal comportamento di chi si trovi in posizione apicale nella stessa organizzazione, di svolgere una serie coordinata di attività di analisi, finalizzate a rendere pienamente funzionante, in un percorso dinamico, il modello organizzativo.

Certamente, l’esistenza in azienda di sistemi di controllo interno già collaudati, quali l’internal auditor o il risk manager, consente all’organismo di vigilanza di disporre di assetti e funzionalità che implementeranno la sua attività.

Tali compiti possono essere così sintetizzati:

a) vigilanza sull’effettività del modello: sostanzia la verifica sulla coerenza tra comportamenti concreti e modello generale, esistente “sulla carta”;

b) disamina in merito all’adeguatezza del modello, ossia della sua reale (e non meramente formale) capacità di prevenire, in linea di massima, i comportamenti non voluti. E’ caratteristica propria, ad esempio, di un modello solido, valutabile alla stregua di una seria costruzione organizzativa (anche in sede giudiziale), la sussistenza di un equilibrato apparato sanzionatorio;

c) analisi circa il mantenimento, nel tempo, dei requisiti di solidità e funzionalità del modello. Un sistema di prevenzione considerato come valido, in un dato momento storico, può manifestare la necessità di un’analisi critica, che lo renda conforme ai mutamenti ambientali ed, in particolare, idoneo alla prevenzione di fattispecie di rischio di nuova insorgenza;

d) sviluppo del necessario aggiornamento, in senso dinamico, del modello, ovviamente nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti.

L’organismo di vigilanza svolge, fra i suoi compiti istituzionali, alcune attività tipiche di internal auditing, in particolare quella c.d. di assurance, ovvero un oggettivo esame delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance dell’organizzazione.

Obiettivo di tale attività è evidenziare eventuali criticità dell’organizzazione che possono concretizzarsi nella vulnerabilità, rispetto al rischio di commissione di un reato presupposto, dei protocolli comportamentali, nell’ineffettività del sistema disciplinare esistente o nel mancato o insufficiente impegno di controllo dei responsabili delle diverse aree funzionali.

Infatti l’organismo deve essere in grado di accertare come si sia potuto verificare un reato nell’organizzazione dell’ente, e chi l’abbia commesso, secondo un approccio di tipo ispettivo.

Deve adottare, inoltre, le misure più idonee a prevenire la commissione dei reati nel momento della redazione del modello organizzativo o delle sue successive modifiche, secondo un approccio di tipo consulenziale.

Ha, infine, le conoscenze necessarie per verificare che i quotidiani comportamenti posti in essere dai singoli operatori aziendali rispettino effettivamente le prescrizioni statuite.

Gli strumenti a disposizione per contribuire a formare lo “scudo protettivo” per l’ente consistono in adeguate e sistematiche procedure di ricerca, identificazione e rivalutazione periodica dei rischi di irregolarità quando sussistono circostanze particolari, quali, ad esempio, un elevato turn-over del personale, recenti evoluzioni legislative, precedenti violazioni, acquisizioni di rami d’azienda, ecc., e, soprattutto, in controlli di routine o a sorpresa presso le funzioni ed i processi aziendali sensibili, al fine di accertare la conformità delle attività alle procedure stabilite, anche presso controparti terze contrattualmente impegnate.

Si tratta di un controllo “di secondo livello”, poiché ha ad oggetto la modellistica preventiva, o indiretto, che si estrinseca “a distanza”.

L’esercizio delle funzioni appena descritte presume una conoscenza di tutte le informazioni aziendali rilevanti ai fini della vigilanza; di conseguenza, tra i poteri attribuiti, dovrà figurare necessariamente quello di accesso senza limiti a tali informazioni.

Per contro, tra i doveri dell’organismo di vigilanza vi sono quelli della riservatezza sulle informazioni raccolte e della non interferenza sulle scelte gestionali non influenti sui modelli.

Allo stesso tempo, in capo a tutti i soggetti che operano nell’ente dovrà essere posto l’obbligo di fornire le informazioni utili al fine di consentire all’organo di svolgere le proprie mansioni nel miglior modo possibile.

I flussi informativi attuati nell’ambito dei modelli organizzativi dovranno essere bidirezionali. Infatti, se da un lato l’organismo di vigilanza deve essere costantemente informato di quanto accade nell’azienda, dall’altro esso stesso dovrà periodicamente relazionarsi con l’organo dirigente e con gli organi di controllo, per mettere a fattore comune le reciproche informazioni e conoscenze e per evitare ridondanze e conflitti nelle proprie sfere di operatività.

La dottrina (IANNINI – ARMONE) pone in risalto come l’inosservanza degli obblighi di informazione nei confronti dell’organismo di vigilanza debba essere sanzionata disciplinarmente in modo da non ostacolare i poteri di richiesta ed assunzione di quest’ultimo.

Infine, come nell’esperienza statunitense, l’obbligo di informazione dovrà essere esteso anche ai dipendenti che vengano in possesso di notizie relative alla commissione di reati all’interno dell’ente o a pratiche non in linea con le norme di comportamento prestabilite.

Ciò vuol dire realizzare un sistema di reporting di fatti o comportamenti reali che non segua la linea gerarchica e che consenta al personale di riferire casi di violazione di norme, senza timore di ritorsioni.

Per l’espletamento dei propri compiti ispettivi, l’organismo di vigilanza deve disporre di autonomi poteri di spesa sulla base di un preventivo annuale, approvato dal consiglio di amministrazione.

Il sistema delineato non può però, per operare efficacemente, ridursi ad un’attività una tantum, bensì deve tradursi in un processo continuo, da reiterare con particolare attenzione nei momenti di cambiamento aziendale.

In particolare, quando la società apre nuove aree di attività o di business è necessario operare una valutazione del rischio con riferimento a quelle specifiche aree, ossia occorre domandarsi se nei nuovi settori vi siano ulteriori e diverse possibilità di commissione di reati che necessitino di più appropriati sistemi di controllo.

Lo stesso iter dovrà essere seguito nel caso dell’introduzione di un nuovo reato: l’organismo di vigilanza dovrà sollecitare all’organo dirigente una valutazione dell’incidenza che la novità normativa può avere sull’intero sistema di controllo interno, verificando se vi sia un’adeguata copertura dei protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione agli illeciti da prevenire.

A tal fine, nell’ipotesi in cui dall’analisi condotta emerga la necessità di un adeguamento o correzione del modello, l’organismo di vigilanza dovrà curare l’aggiornamento dello stesso, mediante la presentazione di apposite note di adeguamento agli organi aziendali che si adoperano per la sua attuazione, ed in secondo luogo, dovrà assicurare il cosiddetto follow-up, che si concretizza nella verifica costante dell’effettiva attuazione ed efficacia delle soluzioni proposte.

In conformità alle funzioni svolte, l’organismo dovrebbe trasmettere periodicamente all’organo dirigente una relazione sull’attuazione dei modelli, indicando l’attività svolta, le risultanze emerse e i suggerimenti in merito ad eventuali interventi correttivi da apportare.

Alla semplice predisposizione dei modelli dovranno, quindi, accompagnarsi verifiche successive in modo da dimostrare l’effettiva aderenza al decreto in esame.

E’ doveroso, però, chiedersi a quale organo venga contestato l’eventuale inadempimento nella cura dell’aggiornamento del modello.

L’art. 6 del D. Lgs. n. 231/2001 prescrive che l’adozione del modello ricade sotto la responsabilità dell’organo dirigente della società.

Ma la stessa disposizione (al primo comma, lett. a) affida al vertice societario il compito di attuare efficacemente il sistema di prevenzione e, quindi, di aggiornarlo, nel senso di garantire una nuova e sempre più adeguata adozione.

E’ chiaro che l’organismo di vigilanza non ha un potere di incidenza diretta sul modello organizzativo e quindi non può che proporre modifiche al vertice dell’azienda, titolare del potere di gestione e di approvazione dell’aggiornamento.

L’inosservanza o il non corretto adempimento di tali compiti genera, invece, in capo all’organismo di vigilanza esclusivamente un profilo di responsabilità professionale.

Riguardo, inoltre, l’esercizio del potere disciplinare, si propende per l’attribuzione all’organo amministrativo della relativa responsabilità.

Comunque si può ritenere che spetti all’organismo di vigilanza l’opportunità di segnalare l’attivazione di un procedimento disciplinare a carico di un soggetto che si sia reso colpevole della violazione del modello.

Una volta individuati i compiti inerenti la funzione di vigilanza, è imprescindibile, dal punto di vista probatorio, dimostrare che non vi sia stata omessa o insufficiente vigilanza da parte dell’organismo stesso (art. 6, comma 1, lettera d).

Per rivendicare l’effettività e l’efficacia delle misure predisposte, un ruolo di primaria importanza è rivestito da un’adeguata documentazione delle attività di pianificazione e di esecuzione delle verifiche da parte dell’organismo di vigilanza.

Infatti quanto più è elevato il livello di riconoscibilità dell’attività di controllo e, quindi, dell’intero modello organizzativo, tanto meno discrezionale sarà l’intervento del giudice penale nella valutazione dell’idoneità dello “scudo protettivo” approntato dall’ente.

Il giudizio penale di prognosi postuma, anche in relazione all’eventualità di omessa o negligente vigilanza da parte dell’organismo, avviene naturalmente in una fase temporale successiva al fatto illecito e alle verifiche di osservanza del modello.

Di conseguenza, la conservazione della documentazione garantirà la “tracciabilità” del programma di prevenzione e la sua attendibilità riguardo l’adeguatezza del budget di spesa e di risorse riconosciuto dall’ente e il rispetto concreto dei requisiti di autonomia ed indipendenza.