L’organismo di vigilanza ex D. Lgs. n. 231/2001 e la corporate governance
Si dovrà, quindi, valutare se sia possibile attribuire i compiti conferiti al compliance officer ad un organo inserito nell’organigramma corporativo societario, a condizione, però, che non si snaturi la funzione tipica di quest’ultimo.
Tale prospettiva di confronto ci permette anche di individuare i punti di contatto che esistono tra i modelli proposti in chiave di corporate governance e quelli scelti dal legislatore delegato, fra i quali le esigenze di separatezza tra gestione e controllo, la costituzione di strutture dedicate all’audit interno della produzione e dell’utilizzo di risorse finanziarie, l’incremento dello shareholder’s value della società attraverso la trasparenza e la procedimentalizzazione delle attività, i principi di efficienza e correttezza che dovrebbero caratterizzare l’agire della società.
L’interprete dovrà vagliare le diverse soluzioni che possono delinearsi al riguardo, tenendo sempre presente che le problematiche sollevate devono essere risolte senza travisare l’obiettivo che il D. Lgs n. 231/2001 intende raggiungere: l’effettività, l’efficienza e la credibilità dell’organismo di vigilanza. Dall’analisi della disciplina dettata dal decreto è evidente che il legislatore delegato voglia coinvolgere la struttura dell’ente nell’attività di prevenzione dei reati, suggerendo allo stesso di attivarsi attraverso una riorganizzazione interna. Stabilito, quindi, che l’organismo di vigilanza deve essere “dell’ente”, è necessario realizzare un connubio tra il requisito dell’inerenza e quello dell’indipendenza rispetto agli altri organi societari.
La dottrina è unanime nel confutare che l’incarico possa essere conferito al consiglio di amministrazione o all’amministratore unico, sia perché essi difetterebbero del necessario requisito dell’indipendenza, sia perché in tal modo si verificherebbe un cumulo fra la posizione di controllore e quella di controllato.
Una soluzione simile sarebbe praticabile solo negli enti di piccole dimensioni, e non certo, ad esempio, nelle società quotate, né negli intermediari autorizzati e vigilati da Banca d’Italia e Consob.
Non va dimenticato, inoltre, che in relazione ad alcune fattispecie di reato per le quali è prevista la responsabilità d’impresa (le false comunicazioni sociali), soggetto a rischio è proprio il consiglio di amministrazione.
Anche la Confindustria ritiene di “escludere il riferimento al consiglio di amministrazione o all’insieme di amministratori senza deleghe al quale, secondo il codice di autodisciplina elaborato dal Comitato per la corporate governance delle società quotate della Borsa Italiana (c.d. codice Preda) va affidato, nelle società quotate, il compito di sovrintendere al sistema di controllo interno (il comitato per il controllo interno), con poteri soltanto consultivi e propositivi”.
Ancor più netta deve essere mantenuta la distinzione fra l’organismo di vigilanza e gli amministratori delegati, ai quali compete il compito di attuare concretamente l’apparato di regole e controlli che danno corpo al modello previsto dal decreto.
Tali conclusioni ci permettono anche di definire meglio la posizione dell’organismo di vigilanza all’interno dell’ente che, relazionandosi con gli organi amministrativi, garantisce un’approfondita conoscenza del quotidiano svolgimento delle operazioni aziendali.
Si tratta di un’attività di supporto che difficilmente gli amministratori possono svolgere in prima persona, data la complessità e l’ampiezza delle imprese.
E’ doveroso chiedersi, però, se uno o più componenti dell’organo amministrativo possano entrare a far parte dell’organismo di vigilanza.
Secondo una parte della dottrina l’organismo in questione potrebbe configurarsi come una struttura autonoma nella quale confluiscono più soggetti, uno o più dei quali facenti parte, eventualmente, anche di un separato e sovraordinato organo societario.
Questa potrebbe essere la soluzione ottimale in quanto diminuirebbero anche i costi di monitoring nel rapporto fra l’organo dirigente e l’organismo di vigilanza dovuti al gap informativo fra gli stessi.
Si pensi, ad esempio, alla presenza di un amministratore indipendente che garantirebbe autorevolezza e, al contempo, una maggiore efficacia ed incisività dell’attività di vigilanza.
Sul punto sembra essere, invece, troppo restrittivo l’orientamento giurisprudenziale secondo il quale “appare auspicabile che si tratti di un organismo di vigilanza formato da soggetti non appartenenti agli organi sociali” in quanto verrebbe inevitabilmente sacrificato uno dei requisiti tipici del compliance officer, e cioè la continuità d’azione.
Analizzando, quindi, il sistema monistico di corporate governance, possiamo valutare la compatibilità o meno fra l’attività svolta dall’organismo di vigilanza e la funzione esercitata dal comitato per il controllo sulla gestione, struttura nominata e revocabile dal consiglio di amministrazione.
Quest’organo, oltre ad essere affetto da un deficit di autonomia, in quanto costantemente subordinato al placet del consiglio di amministrazione, non persegue finalità di controllo di legalità, ma svolge piuttosto compiti finalizzati a rendere più “informati” gli altri amministratori.
Non essendo richiamato, inoltre, quale potere tipico quello della sorveglianza sul rispetto della legge e dello statuto da parte del consiglio di amministrazione, l’efficacia dei controlli appare fortemente limitata ed indebolita.
Quindi è da escludersi anche in tal caso la costituzione dell’organismo di vigilanza con la presenza esclusiva di amministratori membri del comitato per il controllo sulla gestione.
Può, comunque, risultare utile l’inclusione di uno o più componenti nell’organismo di vigilanza per instaurare un canale diretto di comunicazione fra vertice della società e funzioni aziendali ispettive.
Altra parte della dottrina, invece, ritiene che sia gli amministratori indipendenti, nel sistema monistico, sia quelli senza delega, nel sistema tradizionale, non sono esonerati dai doveri di amministrazione attiva, che comportano scelte gestionali attinenti all’organizzazione dell’impresa.
Tale ricostruzione propende, di conseguenza, per il riconoscimento dei requisiti di autonomia ed indipendenza in capo a tutti i membri dell’organismo di vigilanza; una scelta diversa, infatti, porterebbe al rischio di ineffettività del sistema di prevenzione della responsabilità da reato dell’ente.
Passando, quindi, all’analisi del sistema dualistico di corporate >governance, è opportuno vagliare l’idoneità a svolgere le funzioni attribuite all’organismo di vigilanza da parte del consiglio di sorveglianza.
Quest’ultimo si configura come un organo intermedio, che svolge simultaneamente funzioni dell’assemblea, del collegio sindacale e di amministrazione attiva.
Per questo motivo parte della dottrina dubita che il consiglio di sorveglianza sia dotato del requisito dell’autonomia essenziale ai fini dello svolgimento delle funzioni di vigilanza e di aggiornamento dei modelli concretamente adottati dalla società.
Inoltre, dato che la nomina dei consiglieri di sorveglianza è rimessa, oltre che allo statuto, all’assemblea dei soci, ciò porterebbe ad una forzatura della previsione del decreto in esame che riserva all’alta dirigenza la scelta dei membri dell’organismo di vigilanza.
Nella prospettiva ora delineata, si può concludere che il nuovo modello dualistico non sembra idoneo ad ospitare un efficace sistema di controllo sui vertici aziendali: la persona giuridica deve, infatti, vigilare su tutti i soggetti che la espongono al rischio della sanzione, e tra questi rientrano gli stessi consiglieri di sorveglianza.
A mio avviso, gli orientamenti interpretativi che propendono per la rintracciabilità delle funzioni dell’organismo di vigilanza sia nel consiglio di sorveglianza sia nel comitato per il controllo interno sulla gestione presentano un inconveniente: la ratio del D. Lgs. n. 231 del 2001 si caratterizza per l’identificazione di una struttura autonoma ed indipendente che si limiti ad esercitare un controllo sul modello organizzativo e non anche sul comportamento dei singoli soggetti appartenenti all’ente.
Continuando nell’analisi del sistema tradizionale di corporate governance possiamo notare come l’attività dei sindaci si sostanzi in un controllo tecnico che si esplica nella verifica del rispetto di tutte le procedure previste (legge, statuto, regole aziendalistiche) ed attiene alle modalità con cui vengono gestite le operazioni sociali.
Infatti, per quanto riguarda i sistemi che devono essere adottati dall’organo amministrativo, il codice civile (artt. 2403-2409-septies c.c.) assegna al collegio sindacale la funzione di controllo dell’adeguatezza degli stessi alla natura e alle dimensioni dell’impresa.
Tale organo, da sempre tradizionale presidio a difesa della legalità della gestione della società, viene ormai attorniato da una serie di nuovi “controllori” societari, con tutti gli intuibili problemi di coordinamento ed armonizzazione delle rispettive attività.
Favorevole ad una possibile identificazione dell’organismo di vigilanza con il collegio sindacale è una parte minoritaria della dottrina che converge nel pensiero del Rordorf.
Quest’ultimo sostiene che “in via di principio… non mi sembra si possa escludere l’attribuzione di tali compiti al collegio sindacale, che di piena autonomia gode, salvo integrarne statutariamente i poteri di iniziativa per quel che riguarda l’aggiornamento dei modelli. Il fatto che la legge parli di un “organismo dell’ente”, senza menzionare i sindaci, non significa che li abbia voluto escludere, ma solo che ha adoperato una espressione generica; né avrebbe potuto essere altrimenti dal momento che la portata della norma è estesa anche ad enti sforniti di collegio sindacale”.
In tal modo si riconosce all’autonomia statutaria la possibilità di attribuire al collegio sindacale poteri e responsabilità nuovi, quali quelli di iniziativa relativamente all’aggiornamento dei modelli di compliance, e di prevedere nuovi obblighi informativi da parte delle funzioni aziendali e degli organi di vertice verso l’organo di controllo.
Un’ulteriore argomentazione fa leva sul fatto che l’introduzione di un organismo atipico cozzerebbe con la struttura fortemente tipizzata delle società di capitali e potrebbe anche causare l’effetto di deresponsabilizzare i sindaci riguardo a tutta la materia delle irregolarità che configurano illeciti manageriali a rilevanza penale.
A ciò si aggiunge che le qualifiche soggettive richieste per i membri del collegio sindacale (artt. 2397 e 2399 c.c.) sono tali da assicurare la necessaria professionalità ed indipendenza dei componenti del collegio rispetto all’amministrazione.
Le motivazioni contrarie, invece, attengono anzitutto al requisito della continuità d’azione di cui deve essere portatore l’organismo: a tal proposito, il collegio sindacale non riesce a garantire questa qualità in quanto il suo operato risulta, al contrario, periodico.
Ancora, per quanto riguarda il requisito dell’inerenza, molto spesso i componenti del collegio sindacale sono professionisti esterni, con contratto di prestazione d’opera intellettuale, solitamente con conoscenze specifiche e settoriali.
Ciò incide anche sulle prerogative di professionalità e conoscenza multidisciplinare richieste per l’efficace funzionamento dell’organismo in esame.
Inoltre non può essere soddisfatta un’ulteriore funzione: la cura dell’aggiornamento del modello, in quanto comporta la necessità di un ruolo proattivo caratterizzato dalla formulazione di proposte, che non può essere ricompreso nella mera attività di supervisione del collegio sindacale limitata ai soli profili di legalità, sia formale che sostanziale, dell’attività degli amministratori.
E’ da tener presente anche che in molte realtà societarie di ridotte dimensioni l’istituzione del collegio sindacale non è obbligatoria e che, in relazione ad alcuni illeciti societari rientranti nell’elenco dei reati presupposto di cui al D. Lgs. n.231/2001, i sindaci sono compresi nel novero dei soggetti attivi (ex art. 25-ter).
In ogni caso il collegio sindacale resta uno degli interlocutori privilegiati dell’organismo di vigilanza, essendo ex lege investito del compito di vigilare sull’adeguatezza del sistema amministrativo, organizzativo e contabile della società e sul suo corretto funzionamento.
E’ quindi auspicabile un coordinamento fra le funzioni dei due organi: da un lato, l’organismo di vigilanza come una struttura altamente specializzata, interamente dedicata al controllo sulle procedure etiche, preventive, organizzative e gestionali adottate per evitare di incorrere nella responsabilità di cui al decreto in esame e, quindi, con una competenza ratione materiae sul rispetto di un particolare ambito di normativa applicabile alla società; dall’altro il collegio sindacale che, attraverso un adeguato scambio di informazioni incrociato tra i due organi in esame, si attivi in tutti i casi di manifestazione di patologie rilevanti sotto il profilo della prevenzione degli illeciti penali.
In effetti la preposizione dei sindaci ad un’attiva vigilanza sui modelli di gestione finirebbe per snaturare quei doveri di cui essi sono già espressamente titolari per legge, alterando la loro funzione e creando un’insanabile antitesi con gli amministratori.
Infatti i sindaci sono chiamati a prestare le proprie osservazioni in occasione di varie vicende societarie, ma non possono opporsi alle scelte di amministrazione o assumere iniziative proprie, residuando solo il potere di denuncia all’assemblea, ed eventualmente al giudice, dei fatti censurabili accertati e, di conseguenza, già verificatisi.
Particolari consensi raccoglie l’indirizzo che riconosce nell’internal auditing la funzione maggiormente idonea ad assumere il ruolo dell’organismo di vigilanza, soprattutto per le imprese di notevoli dimensioni che già ne siano dotate poiché ha il compito di supervisionare il complessivo sistema di controllo all’interno dell’ente e di accertare, quindi, che la gestione dei rischi risponda efficacemente alle effettive necessità aziendali.
I motivi di tale scelta vengono ravvisati nel fatto che l’internal auditing è una funzione indipendente svincolata da rapporti gerarchici rispetto ai responsabili dei settori di aree operative sottoposti al controllo.
La dottrina qualifica l’attività in esame come “la cinghia di trasmissione di tutte le informazioni rilevanti in tema di assetti: per tale ragione (…) esso deve essere posto in condizione di dialogare, indifferentemente e direttamente, con gli organi delegati, il consiglio di amministrazione e l’organo di controllo”.
Inoltre i suoi componenti avrebbero la necessaria professionalità e le competenze tecniche di cui devono disporre i titolari dell’organismo di vigilanza.
Ma anche ove ne fossero privi, potrebbero essere inserite in tale funzione aziendale unità specializzate in ambito legale, oppure ci si potrebbe avvalere dell’apporto di consulenti esterni che riferiscano i risultati del loro operato, in quanto la responsabilità dell’attuazione del modello rimarrebbe pur sempre ascritta in capo all’internal auditing, quale soggetto interno dell’ente.
In tal modo si eviterebbe di istituire ulteriori unità organizzative, il che potrebbe comportare, invece, sovrapposizioni di competenze oltre che aggiuntivi aggravi economici per l’ente.
Secondo i fautori di questo indirizzo, l’organismo di vigilanza viene in realtà considerato quale parte integrante del sistema di controllo interno già presente nell’organigramma societario, ma che necessita comunque di essere integrato nei suoi poteri.
Favorevoli ad attribuire la competenza di vigilare sul modello di gestione ed organizzazione all’organo di internal auditing si dimostrano anche le principali associazioni di categoria, per le quali in situazioni di media complessità aziendale, l’attività di vigilanza prevista dalla legge può essere ricondotta ai compiti di tale organismo interno se già esistente, laddove risulti sufficientemente dotato di tempo e di risorse e sempre a condizione che risulti professionalmente organizzato.
Questo orientamento si basa sul fatto che la risposta migliore, per quanto riguarda la capacità di monitorare adeguatamente l’osservanza del modello organizzativo, sarebbe data da una figura interna, che conosca a fondo il settore di appartenenza, l’operatività aziendale e le aree a più elevato “rischio reato 231” e che possa fronteggiare la necessità di effettuare indagini talvolta lunghe e minuziose che il compito richiede.
E proprio l’internal auditing potrebbe, ad esempio, controllare l’iter seguito per una determinata transazione, dall’inizio sino alla sua conclusione, attraverso l’ottenimento di informazioni dal dipendente o l’effettuazione di riscontri documentali e garantire, inoltre, la puntuale conoscenza dei mutamenti strategici, organizzativi e di business dell’impresa per un eventuale aggiornamento del modello.
Tuttavia dietro all’ampia convergenza che si registra nell’indicare gli auditors come i naturali depositari della funzione di vigilanza, non si offrono chiare indicazioni sul modo in cui garantire loro un’effettiva indipendenza.
Infatti i requisiti dell’autonomia, dell’indipendenza, della professionalità e della continuità d’azione elaborati dalla dottrina e dalla prassi devono leggersi come elementi imprescindibili ed infungibili che, congiuntamente, contribuiscano alla configurazione di una struttura di controllo effettiva ed efficiente.
Partendo da questo presupposto, parte della dottrina esclude l’attribuzione delle funzioni di vigilanza all’internal auditing sottolineando che quest’ultimo presenta un grado di indipendenza inferiore rispetto a quello previsto dal D. Lgs. n. 231/2001, laddove debba colloquiare con i vertici aziendali.
Anche nell’ipotesi che si sta esaminando non si potrà comunque realizzare, a mio avviso, una semplice sovrapposizione delle funzioni dei revisori interni con quelle dell’organismo di vigilanza, a pena di danneggiare i requisiti dell’autonomia e della indipendenza, seppur privilegiando l’inerenza.
Si potrebbe, invece, ipotizzare che l’internal auditing svolga attività di collaborazione “strumentale” che garantisca l’efficienza delle iniziative e dei controlli da parte dell’organismo di vigilanza; ciò sarebbe in sintonia anche con le naturali esigenze di una sana economia nella ristrutturazione organizzativa dell’ente.
Il D. Lgs. n. 231/2001, infine, non dispone nulla in ordine alla disciplina dei gruppi di società; il silenzio normativo sul punto – la dottrina non esita a sostenere che si tratti di “una grave dimenticanza in cui sembra essere incorso il legislatore” – presenta una duplice carenza in quanto, da un lato, non considera lo sviluppo che tale fenomeno ha assunto nella realtà economica nazionale ed internazionale e, dall’altro, tradisce la ratio dell’impianto legislativo volta a sancire la colpevolezza di strutture organizzative che presentano un elevato grado di complessità.
Un profilo di grande attualità è quello relativo all’istituzione dell’organismo di vigilanza nei gruppi di imprese.
La questione implica il riaffiorare di tutte le problematiche sin qui esposte, che trovano una nuova e più ampia dimensione nella corretta articolazione della struttura di controllo in un contesto non più legato unicamente al singolo ente.
E’ noto come nel gruppo si tenda a centralizzare presso la società capogruppo alcune funzioni aziendali non soltanto per conseguire un risparmio in termini economici, ma anche per orientare le scelte delle società secondo un’unica direzione decisa dalla holding.
Il problema assume contorni particolarmente delicati ove si tratti di stabilire se le funzioni di controllo sul modello organizzativo possano essere attribuite ad un unico organismo costituito presso la società capogruppo, che svolga la propria attività di sorveglianza anche nei confronti di tutte le società controllate, o se, invece, l’organismo di vigilanza debba essere istituito in ogni singola società.
Tra le due soluzioni prospettate la seconda sembra essere quella maggiormente in armonia con il sistema delineato dal legislatore: l’organismo di vigilanza deve essere stabilmente incardinato nell’organizzazione della controllata, poiché altrimenti il modello non sarebbe suscettibile di riconoscimento.
Ciò non esclude che lo stesso organismo possa avvalersi dell’operato delle strutture della controllante, ad esempio per compiti ispettivi o di analisi dei dati: occorre tuttavia che siano intercorsi specifici accordi contrattuali tra le società appartenenti al medesimo gruppo.
In tal caso, i componenti dell’organismo della controllante dovranno comportarsi come consulenti esterni con specifici obblighi di riferire l’esito della loro attività all’organismo di vigilanza della controllata e garantendo la fedeltà e la riservatezza delle informazioni assunte.
Ove, invece, le società controllate abbiano anch’esse notevoli dimensioni (o siano addirittura quotate in borsa), è opportuno dotare di tutte le risorse necessarie ciascun organismo di vigilanza previsto dalle stesse.
Un’ulteriore argomentazione si basa sul presupposto che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento”, come recita il comma primo, lett. b) dell’art. 6, deve essere affidato “ad un organismo dell’ente” e non della capogruppo nei confronti delle sue controllate.
Quindi, così come non è configurabile un modello organizzativo della capogruppo, esteso sic et simpliciter alle controllate, altrettanto non si può pensare di istituire un organismo di vigilanza del gruppo, pena la violazione della norma appena citata e la conseguente inefficacia del sistema di prevenzione predisposto.
Pensiamo, in particolar modo, ai gruppi che si caratterizzano per la presenza di imprese operanti in più settori, in un’ottica di polifunzionalità delle attività svolte e di conseguente diversificazione del rischio: l’eventuale previsione di un modello unitario, oltre a non tener conto delle specificità dei singoli ambiti operativi, farebbe scattare un automatico meccanismo di risalita verso l’alto della responsabilità nei confronti del vertice della holding, che dovrebbe sovrintendere all’attuazione del complessivo sistema di prevenzione e rispondere delle sue carenze.
La capogruppo potrà sicuramente elaborare dei modelli astratti, che pur tengano conto delle particolarità del gruppo interessato, ma sarà come sempre al livello della singola controllata che dovrà essere compiuta l’operazione di concretizzazione e di adeguamento alla realtà aziendale; il banco di prova dell’effettiva valenza del modello organizzativo, soprattutto nel contesto del gruppo, è rappresentato, infatti, dalla disciplina dell’organismo di vigilanza.
La giurisprudenza, mostrando di aderire a tale indirizzo, rileva come l’organismo di vigilanza non può essere previsto con delibera espressa solo con riferimento alla società capogruppo e non anche per le controllate.
Ciò costituisce una rilevante lacuna del modello organizzativo, quanto meno con riferimento alle società di dimensioni medio-grandi, mentre con riguardo a quelle di piccole dimensioni i compiti di vigilanza possono essere svolti direttamente dall’organo dirigente, così come previsto dall’art. 6, comma 4, del D. Lgs. n. 231/2001.
Tenendo sempre presente che la responsabilità e l’imputazione degli atti deve comunque restare inderogabilmente in capo all’organismo di vigilanza della controllata, vi è in ogni caso da considerare l’opportunità di affidare all’organismo della holding alcuni compiti di impulso e coordinamento delle attività delle singole strutture di controllo predisposte dalle controllate, per garantire una corretta e omogenea attuazione del modello all’interno del gruppo.
Tra questi può esservi ricompreso quello di proporre l’aggiornamento del modello della controllata nel caso in cui si riscontrino esigenze di adeguamento dello stesso oppure quello di effettuare specifiche azioni di controllo sulle singole società del gruppo nelle aree a rischio di reato e di accedere in via diretta alla documentazione rilevante per acquisire informazioni sulle attività sensibili.
E’ chiaro che le incertezze esistenti in ordine al delicato problema dei rapporti tra l’organismo di vigilanza della holding e quelli istituiti nelle controllate, si riflettono inevitabilmente sulla connessa questione relativa all’articolazione del circuito informativo nel gruppo. Alcune società prevedono un doppio canale di comunicazione, in virtù del quale le informazioni e le segnalazioni – siano esse di natura ufficiale o ufficiosa, generale o specifica – devono essere trasmesse innanzitutto all’organismo di vigilanza della controllata e, da questo, all’organismo della holding.
Un circuito informativo esattamente inverso, invece, dispone che tutte le comunicazioni, rilevanti ai fini del D. Lgs. n. 231/2001, devono essere trasmesse “direttamente” all’organismo di vigilanza della holding, e, solo successivamente, agli organismi delle società controllate, ove esistenti.
Credo che quest’ultimo indirizzo non sia del tutto condivisibile, in quanto si rischierebbe di annullare, di fatto, l’autonomia e l’indipendenza delle controllate minandone alla base l’operatività, poiché si troverebbero ad operare quali meri strumenti della controllante, che sarebbe libera addirittura di filtrare le informazioni da far pervenire ai singoli organismi di vigilanza presenti nel gruppo.
In quest’ultima ipotesi si realizzerebbe un’eccessiva ingerenza della controllante nelle scelte organizzative delle singole controllate, portando alla creazione di una posizione di garanzia indifferenziata in capo alla holding riguardo all’eventuale commissione di un reato all’interno del gruppo societario.
La predisposizione di un modello organizzativo e l’istituzione dell’organismo di vigilanza dovranno, invece, garantire un bilanciamento fra due esigenze contrapposte: da un lato, l’esercizio dell’attività di direzione e di coordinamento della controllante (art. 2497 c.c.); dall’altro, il riconoscimento dell’autonomia delle singole società.
Soltanto in tal modo potremo parlare di una condotta “riprovevole” da ascrivere a ciascuna società, rispettando il fondamentale principio di colpevolezza, spesso aggirato nell’intento di superare le difficoltà probatorie connesse alla presenza di organizzazioni complesse.
Conclusioni
A mio avviso, quindi, dovremmo propendere per l’istituzione di un organismo ad hoc cui attribuire le funzioni del compliance officer.
Naturalmente questa soluzione può essere condivisa solo nella misura in cui sia effettivamente idonea a garantire l’autonomia, l’indipendenza e la funzionalità dell’organismo di vigilanza, che necessariamente deve configurarsi quale “organo dell’ente”.
Il punto critico di tale scelta riguarda la composizione dell’organismo in esame e, soprattutto, la possibile inclusione tra i suoi membri di soggetti già componenti degli altri organi societari.
Quindi si tratterà di individuare una struttura di controllo a composizione mista, i cui membri possano essere scelti fra soggetti esterni ed interni all’ente in modo da assicurare la convergenza di conoscenze e competenze aventi diverse provenienze e professionalità.
Riguardo la plausibilità della scelta di assegnare la funzione dell’organismo di vigilanza ad un organo ad hoc, mi sembra opportuno riportare i risultati di un’indagine, svolta dal Comitato per l’Area D. Lgs. n. 231/2001 dell’Associazione Italiana Internal Auditors in collaborazione con Confindustria e pubblicata nel gennaio 2007, sull’adozione del modello organizzativo da parte di 88 società non quotate, appartenenti ai settori dell’edilizia, dell’energia, del manifatturiero, dei trasporti, dei servizi finanziari e dei servizi.
Il primo dato che emerge riguarda l’effettiva predisposizione di un modello di organizzazione, gestione e controllo da parte del 62,5% delle società interessate, mentre il 25% è in fase di definizione dello stesso e nel restante 12,5% dei casi non sono state ancora intraprese iniziative in tal senso.
Ma l’indagine dimostra soprattutto come la maggioranza delle società partecipanti si affidi ad un organismo di tipo collegiale, con la conseguente predisposizione di un organo ad hoc composto da due o più dei seguenti soggetti: responsabile Internal Audit (55% dei casi); responsabile Ufficio Legale (50%); uno o più membri del Consiglio di Amministrazione/organo dirigente (35%); consulenti esterni (35%); Presidente del collegio sindacale/sindaco (23%); responsabile Risorse Umane (8%); responsabile Organizzazione (6%); uno o più membri del Comitato per il Controllo Interno/amministratori indipendenti (5%).
Naturalmente l’attività di implementazione del modello da parte dell’organo dirigente non dovrà limitarsi a calare dall’alto una nuova istanza di controllo, ma dovrà indirizzarsi verso un’efficiente “contestualizzazione” all’interno dell’assetto societario dell’organismo di vigilanza.
Infatti è proprio dalla scelta dei criteri di nomina, dalla sua composizione, dai metodi previsti per fargli affluire tutte quelle informazioni necessarie ai fini del controllo, dalle azioni concretamente intraprese da tale organismo, che è facile comprendere quale sia la reale efficacia del modello adottato dall’ente per prevenire i reati.
Si tratta di interventi che vanno dal riconoscimento di un equo compenso ai componenti dell’organismo, all’assegnazione di strutture aziendali dedicate, all’impiego di strumenti informativi, alla possibilità di disporre in autonomia di congrui budget discrezionali, soprattutto per le indagini e per le consulenze esterne.
Il momento centrale per la verifica dell’idoneità dell’organismo di vigilanza a svolgere i compiti cui è demandato risiede proprio nell’adeguatezza delle caratteristiche organizzative che consentano l’espletamento delle proprie mansioni e nella scelta ponderata da parte della società dei criteri soggettivi per garantire che i membri siano autonomi e liberi di autodeterminarsi nella propria attività.
Si tratta di requisiti base, imprescindibili, cui potranno aggiungersi altri elementi che rispecchino la peculiarità e la struttura di ogni singola impresa.
Potrebbe obiettarsi all’originalità della scelta prospettata che la comunanza di soggetti in distinti organi di controllo, con un conseguente cumulo delle cariche, non sia certamente indice di impegno dedicato e di un dovuto livello di attenzione, e che vi sia il concreto rischio di creare indesiderate sovrapposizioni e ridondanze nelle attività di controllo.
Ma è proprio l’apporto dei consulenti esterni, i quali dovranno naturalmente riferire il risultato del loro operato all’organismo di vigilanza, a rendere più efficace e penetrante la funzione di sorveglianza; ciò vale anche per gli enti di piccole dimensioni, nei quali l’eventuale soluzione monocratica, dettata da evidenti esigenze di contenimento dei costi aziendali, sacrificherebbe il requisito della professionalità, dato il carattere interdisciplinare delle problematiche da affrontare.
Anzi l’ampiezza dei nuovi compiti richiesta dall’evoluzione legislativa – pensiamo alla normativa antiriciclaggio o antinfortunistica – comporta l’esigenza di affidarsi inevitabilmente a componenti di origine esterna depositari di ampie ed idonee competenze giuridiche; pensiamo ad esperti di diritto penale societario, commerciale, bancario, industriale o amministrativo da individuarsi in relazione alle singole realtà aziendali.
Tale soluzione ci consentirebbe anche di rispondere negativamente al quesito se sia necessario, per talune aziende di determinati settori merceologici, avere la presenza di un membro dell’organismo di vigilanza con competenze specifiche nelle materie oggetto di reati presupposto.
Queste valutazioni comportano, di conseguenza, la valorizzazione del nuovo ruolo che è chiamato a svolgere il giurista d’impresa: mettere a disposizione la propria esperienza in modo da creare un’efficace interazione fra magistratura ed aziende.
La presenza all’interno dell’organismo di vigilanza anche di consulenti esterni qualificati permetterebbe all’organo giudicante di considerare positivamente le scelte effettuate dall’impresa, in quanto i requisiti dell’autonomia, dell’indipendenza, della continuità d’azione e della professionalità verrebbero ad essere soddisfatti non dai componenti singolarmente considerati ma dall’organismo in quanto tale.
E’ indubbia l’esistenza di un ampia discrezionalità in capo al giudice il quale si trova di fronte a situazioni nuove e, forse, non tutte rientranti nelle propria specifica competenza.
La magistratura, però, non dovrebbe far trasparire con il proprio intervento una forte diffidenza verso l’effettività e l’efficacia del modello organizzativo, ed in particolare dell’organismo di controllo previsto dalle imprese.
In caso contrario, infatti, si determinerebbe negli enti un’inevitabile sfiducia nelle concrete possibilità del modello di superare un giudizio di idoneità in sede penale.
Un ulteriore aspetto da analizzare riguarda le rilevanti novità introdotte dal decreto antiriciclaggio, che determinano anche un nuovo approccio legislativo in relazione alla responsabilità amministrativa degli enti.
Innanzitutto per la prima volta i protocolli comportamentali non vengono definiti dalle imprese, ma direttamente dal legislatore, il quale indica in modo dettagliato l’an, il quantum e il quomodo delle comunicazioni effettuate dall’organismo di vigilanza agli organi esterni previsti dal D. Lgs. n. 231/2007.
Ne deriva, inoltre, un nuovo ruolo per il compliance officer, che si trasforma in uno strumento di “filtro” tra l’ente e l’autorità giudiziaria.
Non è difficile immaginare i risvolti pratici di questa scelta di politica criminale: da un lato, l’impresa dovrà istituire una nuova istanza di controllo sulla base degli elementi tracciati dal legislatore che irrimediabilmente limitano proprio quell’autoregolamentazione garantita dal D. Lgs. n. 231/2001; dall’altro, la magistratura – anche se la giurisprudenza non si è ancora pronunciata sul punto – avrà la possibilità di perseguire penalmente l’organismo di vigilanza, compromettendo in tal modo le aspettative dell’organizzazione di ottenere l’esimente prevista dall’art. 6.
Il che condurrebbe all’effetto opposto a quello perseguito dal decreto: la deresponsabilizzazione degli enti rispetto alle esigenze di prevenzione del rischio-reato.
Si dovrà, quindi, valutare se sia possibile attribuire i compiti conferiti al compliance officer ad un organo inserito nell’organigramma corporativo societario, a condizione, però, che non si snaturi la funzione tipica di quest’ultimo.
Tale prospettiva di confronto ci permette anche di individuare i punti di contatto che esistono tra i modelli proposti in chiave di corporate governance e quelli scelti dal legislatore delegato, fra i quali le esigenze di separatezza tra gestione e controllo, la costituzione di strutture dedicate all’audit interno della produzione e dell’utilizzo di risorse finanziarie, l’incremento dello shareholder’s value della società attraverso la trasparenza e la procedimentalizzazione delle attività, i principi di efficienza e correttezza che dovrebbero caratterizzare l’agire della società.
L’interprete dovrà vagliare le diverse soluzioni che possono delinearsi al riguardo, tenendo sempre presente che le problematiche sollevate devono essere risolte senza travisare l’obiettivo che il D. Lgs n. 231/2001 intende raggiungere: l’effettività, l’efficienza e la credibilità dell’organismo di vigilanza. Dall’analisi della disciplina dettata dal decreto è evidente che il legislatore delegato voglia coinvolgere la struttura dell’ente nell’attività di prevenzione dei reati, suggerendo allo stesso di attivarsi attraverso una riorganizzazione interna. Stabilito, quindi, che l’organismo di vigilanza deve essere “dell’ente”, è necessario realizzare un connubio tra il requisito dell’inerenza e quello dell’indipendenza rispetto agli altri organi societari.
La dottrina è unanime nel confutare che l’incarico possa essere conferito al consiglio di amministrazione o all’amministratore unico, sia perché essi difetterebbero del necessario requisito dell’indipendenza, sia perché in tal modo si verificherebbe un cumulo fra la posizione di controllore e quella di controllato.
Una soluzione simile sarebbe praticabile solo negli enti di piccole dimensioni, e non certo, ad esempio, nelle società quotate, né negli intermediari autorizzati e vigilati da Banca d’Italia e Consob.
Non va dimenticato, inoltre, che in relazione ad alcune fattispecie di reato per le quali è prevista la responsabilità d’impresa (le false comunicazioni sociali), soggetto a rischio è proprio il consiglio di amministrazione.
Anche la Confindustria ritiene di “escludere il riferimento al consiglio di amministrazione o all’insieme di amministratori senza deleghe al quale, secondo il codice di autodisciplina elaborato dal Comitato per la corporate governance delle società quotate della Borsa Italiana (c.d. codice Preda) va affidato, nelle società quotate, il compito di sovrintendere al sistema di controllo interno (il comitato per il controllo interno), con poteri soltanto consultivi e propositivi”.
Ancor più netta deve essere mantenuta la distinzione fra l’organismo di vigilanza e gli amministratori delegati, ai quali compete il compito di attuare concretamente l’apparato di regole e controlli che danno corpo al modello previsto dal decreto.
Tali conclusioni ci permettono anche di definire meglio la posizione dell’organismo di vigilanza all’interno dell’ente che, relazionandosi con gli organi amministrativi, garantisce un’approfondita conoscenza del quotidiano svolgimento delle operazioni aziendali.
Si tratta di un’attività di supporto che difficilmente gli amministratori possono svolgere in prima persona, data la complessità e l’ampiezza delle imprese.
E’ doveroso chiedersi, però, se uno o più componenti dell’organo amministrativo possano entrare a far parte dell’organismo di vigilanza.
Secondo una parte della dottrina l’organismo in questione potrebbe configurarsi come una struttura autonoma nella quale confluiscono più soggetti, uno o più dei quali facenti parte, eventualmente, anche di un separato e sovraordinato organo societario.
Questa potrebbe essere la soluzione ottimale in quanto diminuirebbero anche i costi di monitoring nel rapporto fra l’organo dirigente e l’organismo di vigilanza dovuti al gap informativo fra gli stessi.
Si pensi, ad esempio, alla presenza di un amministratore indipendente che garantirebbe autorevolezza e, al contempo, una maggiore efficacia ed incisività dell’attività di vigilanza.
Sul punto sembra essere, invece, troppo restrittivo l’orientamento giurisprudenziale secondo il quale “appare auspicabile che si tratti di un organismo di vigilanza formato da soggetti non appartenenti agli organi sociali” in quanto verrebbe inevitabilmente sacrificato uno dei requisiti tipici del compliance officer, e cioè la continuità d’azione.
Analizzando, quindi, il sistema monistico di corporate governance, possiamo valutare la compatibilità o meno fra l’attività svolta dall’organismo di vigilanza e la funzione esercitata dal comitato per il controllo sulla gestione, struttura nominata e revocabile dal consiglio di amministrazione.
Quest’organo, oltre ad essere affetto da un deficit di autonomia, in quanto costantemente subordinato al placet del consiglio di amministrazione, non persegue finalità di controllo di legalità, ma svolge piuttosto compiti finalizzati a rendere più “informati” gli altri amministratori.
Non essendo richiamato, inoltre, quale potere tipico quello della sorveglianza sul rispetto della legge e dello statuto da parte del consiglio di amministrazione, l’efficacia dei controlli appare fortemente limitata ed indebolita.
Quindi è da escludersi anche in tal caso la costituzione dell’organismo di vigilanza con la presenza esclusiva di amministratori membri del comitato per il controllo sulla gestione.
Può, comunque, risultare utile l’inclusione di uno o più componenti nell’organismo di vigilanza per instaurare un canale diretto di comunicazione fra vertice della società e funzioni aziendali ispettive.
Altra parte della dottrina, invece, ritiene che sia gli amministratori indipendenti, nel sistema monistico, sia quelli senza delega, nel sistema tradizionale, non sono esonerati dai doveri di amministrazione attiva, che comportano scelte gestionali attinenti all’organizzazione dell’impresa.
Tale ricostruzione propende, di conseguenza, per il riconoscimento dei requisiti di autonomia ed indipendenza in capo a tutti i membri dell’organismo di vigilanza; una scelta diversa, infatti, porterebbe al rischio di ineffettività del sistema di prevenzione della responsabilità da reato dell’ente.
Passando, quindi, all’analisi del sistema dualistico di corporate >governance, è opportuno vagliare l’idoneità a svolgere le funzioni attribuite all’organismo di vigilanza da parte del consiglio di sorveglianza.
Quest’ultimo si configura come un organo intermedio, che svolge simultaneamente funzioni dell’assemblea, del collegio sindacale e di amministrazione attiva.
Per questo motivo parte della dottrina dubita che il consiglio di sorveglianza sia dotato del requisito dell’autonomia essenziale ai fini dello svolgimento delle funzioni di vigilanza e di aggiornamento dei modelli concretamente adottati dalla società.
Inoltre, dato che la nomina dei consiglieri di sorveglianza è rimessa, oltre che allo statuto, all’assemblea dei soci, ciò porterebbe ad una forzatura della previsione del decreto in esame che riserva all’alta dirigenza la scelta dei membri dell’organismo di vigilanza.
Nella prospettiva ora delineata, si può concludere che il nuovo modello dualistico non sembra idoneo ad ospitare un efficace sistema di controllo sui vertici aziendali: la persona giuridica deve, infatti, vigilare su tutti i soggetti che la espongono al rischio della sanzione, e tra questi rientrano gli stessi consiglieri di sorveglianza.
A mio avviso, gli orientamenti interpretativi che propendono per la rintracciabilità delle funzioni dell’organismo di vigilanza sia nel consiglio di sorveglianza sia nel comitato per il controllo interno sulla gestione presentano un inconveniente: la ratio del D. Lgs. n. 231 del 2001 si caratterizza per l’identificazione di una struttura autonoma ed indipendente che si limiti ad esercitare un controllo sul modello organizzativo e non anche sul comportamento dei singoli soggetti appartenenti all’ente.
Continuando nell’analisi del sistema tradizionale di corporate governance possiamo notare come l’attività dei sindaci si sostanzi in un controllo tecnico che si esplica nella verifica del rispetto di tutte le procedure previste (legge, statuto, regole aziendalistiche) ed attiene alle modalità con cui vengono gestite le operazioni sociali.
Infatti, per quanto riguarda i sistemi che devono essere adottati dall’organo amministrativo, il codice civile (artt. 2403-2409-septies c.c.) assegna al collegio sindacale la funzione di controllo dell’adeguatezza degli stessi alla natura e alle dimensioni dell’impresa.
Tale organo, da sempre tradizionale presidio a difesa della legalità della gestione della società, viene ormai attorniato da una serie di nuovi “controllori” societari, con tutti gli intuibili problemi di coordinamento ed armonizzazione delle rispettive attività.
Favorevole ad una possibile identificazione dell’organismo di vigilanza con il collegio sindacale è una parte minoritaria della dottrina che converge nel pensiero del Rordorf.
Quest’ultimo sostiene che “in via di principio… non mi sembra si possa escludere l’attribuzione di tali compiti al collegio sindacale, che di piena autonomia gode, salvo integrarne statutariamente i poteri di iniziativa per quel che riguarda l’aggiornamento dei modelli. Il fatto che la legge parli di un “organismo dell’ente”, senza menzionare i sindaci, non significa che li abbia voluto escludere, ma solo che ha adoperato una espressione generica; né avrebbe potuto essere altrimenti dal momento che la portata della norma è estesa anche ad enti sforniti di collegio sindacale”.
In tal modo si riconosce all’autonomia statutaria la possibilità di attribuire al collegio sindacale poteri e responsabilità nuovi, quali quelli di iniziativa relativamente all’aggiornamento dei modelli di compliance, e di prevedere nuovi obblighi informativi da parte delle funzioni aziendali e degli organi di vertice verso l’organo di controllo.
Un’ulteriore argomentazione fa leva sul fatto che l’introduzione di un organismo atipico cozzerebbe con la struttura fortemente tipizzata delle società di capitali e potrebbe anche causare l’effetto di deresponsabilizzare i sindaci riguardo a tutta la materia delle irregolarità che configurano illeciti manageriali a rilevanza penale.
A ciò si aggiunge che le qualifiche soggettive richieste per i membri del collegio sindacale (artt. 2397 e 2399 c.c.) sono tali da assicurare la necessaria professionalità ed indipendenza dei componenti del collegio rispetto all’amministrazione.
Le motivazioni contrarie, invece, attengono anzitutto al requisito della continuità d’azione di cui deve essere portatore l’organismo: a tal proposito, il collegio sindacale non riesce a garantire questa qualità in quanto il suo operato risulta, al contrario, periodico.
Ancora, per quanto riguarda il requisito dell’inerenza, molto spesso i componenti del collegio sindacale sono professionisti esterni, con contratto di prestazione d’opera intellettuale, solitamente con conoscenze specifiche e settoriali.
Ciò incide anche sulle prerogative di professionalità e conoscenza multidisciplinare richieste per l’efficace funzionamento dell’organismo in esame.
Inoltre non può essere soddisfatta un’ulteriore funzione: la cura dell’aggiornamento del modello, in quanto comporta la necessità di un ruolo proattivo caratterizzato dalla formulazione di proposte, che non può essere ricompreso nella mera attività di supervisione del collegio sindacale limitata ai soli profili di legalità, sia formale che sostanziale, dell’attività degli amministratori.
E’ da tener presente anche che in molte realtà societarie di ridotte dimensioni l’istituzione del collegio sindacale non è obbligatoria e che, in relazione ad alcuni illeciti societari rientranti nell’elenco dei reati presupposto di cui al D. Lgs. n.231/2001, i sindaci sono compresi nel novero dei soggetti attivi (ex art. 25-ter).
In ogni caso il collegio sindacale resta uno degli interlocutori privilegiati dell’organismo di vigilanza, essendo ex lege investito del compito di vigilare sull’adeguatezza del sistema amministrativo, organizzativo e contabile della società e sul suo corretto funzionamento.
E’ quindi auspicabile un coordinamento fra le funzioni dei due organi: da un lato, l’organismo di vigilanza come una struttura altamente specializzata, interamente dedicata al controllo sulle procedure etiche, preventive, organizzative e gestionali adottate per evitare di incorrere nella responsabilità di cui al decreto in esame e, quindi, con una competenza ratione materiae sul rispetto di un particolare ambito di normativa applicabile alla società; dall’altro il collegio sindacale che, attraverso un adeguato scambio di informazioni incrociato tra i due organi in esame, si attivi in tutti i casi di manifestazione di patologie rilevanti sotto il profilo della prevenzione degli illeciti penali.
In effetti la preposizione dei sindaci ad un’attiva vigilanza sui modelli di gestione finirebbe per snaturare quei doveri di cui essi sono già espressamente titolari per legge, alterando la loro funzione e creando un’insanabile antitesi con gli amministratori.
Infatti i sindaci sono chiamati a prestare le proprie osservazioni in occasione di varie vicende societarie, ma non possono opporsi alle scelte di amministrazione o assumere iniziative proprie, residuando solo il potere di denuncia all’assemblea, ed eventualmente al giudice, dei fatti censurabili accertati e, di conseguenza, già verificatisi.
Particolari consensi raccoglie l’indirizzo che riconosce nell’internal auditing la funzione maggiormente idonea ad assumere il ruolo dell’organismo di vigilanza, soprattutto per le imprese di notevoli dimensioni che già ne siano dotate poiché ha il compito di supervisionare il complessivo sistema di controllo all’interno dell’ente e di accertare, quindi, che la gestione dei rischi risponda efficacemente alle effettive necessità aziendali.
I motivi di tale scelta vengono ravvisati nel fatto che l’internal auditing è una funzione indipendente svincolata da rapporti gerarchici rispetto ai responsabili dei settori di aree operative sottoposti al controllo.
La dottrina qualifica l’attività in esame come “la cinghia di trasmissione di tutte le informazioni rilevanti in tema di assetti: per tale ragione (…) esso deve essere posto in condizione di dialogare, indifferentemente e direttamente, con gli organi delegati, il consiglio di amministrazione e l’organo di controllo”.
Inoltre i suoi componenti avrebbero la necessaria professionalità e le competenze tecniche di cui devono disporre i titolari dell’organismo di vigilanza.
Ma anche ove ne fossero privi, potrebbero essere inserite in tale funzione aziendale unità specializzate in ambito legale, oppure ci si potrebbe avvalere dell’apporto di consulenti esterni che riferiscano i risultati del loro operato, in quanto la responsabilità dell’attuazione del modello rimarrebbe pur sempre ascritta in capo all’internal auditing, quale soggetto interno dell’ente.
In tal modo si eviterebbe di istituire ulteriori unità organizzative, il che potrebbe comportare, invece, sovrapposizioni di competenze oltre che aggiuntivi aggravi economici per l’ente.
Secondo i fautori di questo indirizzo, l’organismo di vigilanza viene in realtà considerato quale parte integrante del sistema di controllo interno già presente nell’organigramma societario, ma che necessita comunque di essere integrato nei suoi poteri.
Favorevoli ad attribuire la competenza di vigilare sul modello di gestione ed organizzazione all’organo di internal auditing si dimostrano anche le principali associazioni di categoria, per le quali in situazioni di media complessità aziendale, l’attività di vigilanza prevista dalla legge può essere ricondotta ai compiti di tale organismo interno se già esistente, laddove risulti sufficientemente dotato di tempo e di risorse e sempre a condizione che risulti professionalmente organizzato.
Questo orientamento si basa sul fatto che la risposta migliore, per quanto riguarda la capacità di monitorare adeguatamente l’osservanza del modello organizzativo, sarebbe data da una figura interna, che conosca a fondo il settore di appartenenza, l’operatività aziendale e le aree a più elevato “rischio reato 231” e che possa fronteggiare la necessità di effettuare indagini talvolta lunghe e minuziose che il compito richiede.
E proprio l’internal auditing potrebbe, ad esempio, controllare l’iter seguito per una determinata transazione, dall’inizio sino alla sua conclusione, attraverso l’ottenimento di informazioni dal dipendente o l’effettuazione di riscontri documentali e garantire, inoltre, la puntuale conoscenza dei mutamenti strategici, organizzativi e di business dell’impresa per un eventuale aggiornamento del modello.
Tuttavia dietro all’ampia convergenza che si registra nell’indicare gli auditors come i naturali depositari della funzione di vigilanza, non si offrono chiare indicazioni sul modo in cui garantire loro un’effettiva indipendenza.
Infatti i requisiti dell’autonomia, dell’indipendenza, della professionalità e della continuità d’azione elaborati dalla dottrina e dalla prassi devono leggersi come elementi imprescindibili ed infungibili che, congiuntamente, contribuiscano alla configurazione di una struttura di controllo effettiva ed efficiente.
Partendo da questo presupposto, parte della dottrina esclude l’attribuzione delle funzioni di vigilanza all’internal auditing sottolineando che quest’ultimo presenta un grado di indipendenza inferiore rispetto a quello previsto dal D. Lgs. n. 231/2001, laddove debba colloquiare con i vertici aziendali.
Anche nell’ipotesi che si sta esaminando non si potrà comunque realizzare, a mio avviso, una semplice sovrapposizione delle funzioni dei revisori interni con quelle dell’organismo di vigilanza, a pena di danneggiare i requisiti dell’autonomia e della indipendenza, seppur privilegiando l’inerenza.
Si potrebbe, invece, ipotizzare che l’internal auditing svolga attività di collaborazione “strumentale” che garantisca l’efficienza delle iniziative e dei controlli da parte dell’organismo di vigilanza; ciò sarebbe in sintonia anche con le naturali esigenze di una sana economia nella ristrutturazione organizzativa dell’ente.
Il D. Lgs. n. 231/2001, infine, non dispone nulla in ordine alla disciplina dei gruppi di società; il silenzio normativo sul punto – la dottrina non esita a sostenere che si tratti di “una grave dimenticanza in cui sembra essere incorso il legislatore” – presenta una duplice carenza in quanto, da un lato, non considera lo sviluppo che tale fenomeno ha assunto nella realtà economica nazionale ed internazionale e, dall’altro, tradisce la ratio dell’impianto legislativo volta a sancire la colpevolezza di strutture organizzative che presentano un elevato grado di complessità.
Un profilo di grande attualità è quello relativo all’istituzione dell’organismo di vigilanza nei gruppi di imprese.
La questione implica il riaffiorare di tutte le problematiche sin qui esposte, che trovano una nuova e più ampia dimensione nella corretta articolazione della struttura di controllo in un contesto non più legato unicamente al singolo ente.
E’ noto come nel gruppo si tenda a centralizzare presso la società capogruppo alcune funzioni aziendali non soltanto per conseguire un risparmio in termini economici, ma anche per orientare le scelte delle società secondo un’unica direzione decisa dalla holding.
Il problema assume contorni particolarmente delicati ove si tratti di stabilire se le funzioni di controllo sul modello organizzativo possano essere attribuite ad un unico organismo costituito presso la società capogruppo, che svolga la propria attività di sorveglianza anche nei confronti di tutte le società controllate, o se, invece, l’organismo di vigilanza debba essere istituito in ogni singola società.
Tra le due soluzioni prospettate la seconda sembra essere quella maggiormente in armonia con il sistema delineato dal legislatore: l’organismo di vigilanza deve essere stabilmente incardinato nell’organizzazione della controllata, poiché altrimenti il modello non sarebbe suscettibile di riconoscimento.
Ciò non esclude che lo stesso organismo possa avvalersi dell’operato delle strutture della controllante, ad esempio per compiti ispettivi o di analisi dei dati: occorre tuttavia che siano intercorsi specifici accordi contrattuali tra le società appartenenti al medesimo gruppo.
In tal caso, i componenti dell’organismo della controllante dovranno comportarsi come consulenti esterni con specifici obblighi di riferire l’esito della loro attività all’organismo di vigilanza della controllata e garantendo la fedeltà e la riservatezza delle informazioni assunte.
Ove, invece, le società controllate abbiano anch’esse notevoli dimensioni (o siano addirittura quotate in borsa), è opportuno dotare di tutte le risorse necessarie ciascun organismo di vigilanza previsto dalle stesse.
Un’ulteriore argomentazione si basa sul presupposto che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento”, come recita il comma primo, lett. b) dell’art. 6, deve essere affidato “ad un organismo dell’ente” e non della capogruppo nei confronti delle sue controllate.
Quindi, così come non è configurabile un modello organizzativo della capogruppo, esteso sic et simpliciter alle controllate, altrettanto non si può pensare di istituire un organismo di vigilanza del gruppo, pena la violazione della norma appena citata e la conseguente inefficacia del sistema di prevenzione predisposto.
Pensiamo, in particolar modo, ai gruppi che si caratterizzano per la presenza di imprese operanti in più settori, in un’ottica di polifunzionalità delle attività svolte e di conseguente diversificazione del rischio: l’eventuale previsione di un modello unitario, oltre a non tener conto delle specificità dei singoli ambiti operativi, farebbe scattare un automatico meccanismo di risalita verso l’alto della responsabilità nei confronti del vertice della holding, che dovrebbe sovrintendere all’attuazione del complessivo sistema di prevenzione e rispondere delle sue carenze.
La capogruppo potrà sicuramente elaborare dei modelli astratti, che pur tengano conto delle particolarità del gruppo interessato, ma sarà come sempre al livello della singola controllata che dovrà essere compiuta l’operazione di concretizzazione e di adeguamento alla realtà aziendale; il banco di prova dell’effettiva valenza del modello organizzativo, soprattutto nel contesto del gruppo, è rappresentato, infatti, dalla disciplina dell’organismo di vigilanza.
La giurisprudenza, mostrando di aderire a tale indirizzo, rileva come l’organismo di vigilanza non può essere previsto con delibera espressa solo con riferimento alla società capogruppo e non anche per le controllate.
Ciò costituisce una rilevante lacuna del modello organizzativo, quanto meno con riferimento alle società di dimensioni medio-grandi, mentre con riguardo a quelle di piccole dimensioni i compiti di vigilanza possono essere svolti direttamente dall’organo dirigente, così come previsto dall’art. 6, comma 4, del D. Lgs. n. 231/2001.
Tenendo sempre presente che la responsabilità e l’imputazione degli atti deve comunque restare inderogabilmente in capo all’organismo di vigilanza della controllata, vi è in ogni caso da considerare l’opportunità di affidare all’organismo della holding alcuni compiti di impulso e coordinamento delle attività delle singole strutture di controllo predisposte dalle controllate, per garantire una corretta e omogenea attuazione del modello all’interno del gruppo.
Tra questi può esservi ricompreso quello di proporre l’aggiornamento del modello della controllata nel caso in cui si riscontrino esigenze di adeguamento dello stesso oppure quello di effettuare specifiche azioni di controllo sulle singole società del gruppo nelle aree a rischio di reato e di accedere in via diretta alla documentazione rilevante per acquisire informazioni sulle attività sensibili.
E’ chiaro che le incertezze esistenti in ordine al delicato problema dei rapporti tra l’organismo di vigilanza della holding e quelli istituiti nelle controllate, si riflettono inevitabilmente sulla connessa questione relativa all’articolazione del circuito informativo nel gruppo. Alcune società prevedono un doppio canale di comunicazione, in virtù del quale le informazioni e le segnalazioni – siano esse di natura ufficiale o ufficiosa, generale o specifica – devono essere trasmesse innanzitutto all’organismo di vigilanza della controllata e, da questo, all’organismo della holding.
Un circuito informativo esattamente inverso, invece, dispone che tutte le comunicazioni, rilevanti ai fini del D. Lgs. n. 231/2001, devono essere trasmesse “direttamente” all’organismo di vigilanza della holding, e, solo successivamente, agli organismi delle società controllate, ove esistenti.
Credo che quest’ultimo indirizzo non sia del tutto condivisibile, in quanto si rischierebbe di annullare, di fatto, l’autonomia e l’indipendenza delle controllate minandone alla base l’operatività, poiché si troverebbero ad operare quali meri strumenti della controllante, che sarebbe libera addirittura di filtrare le informazioni da far pervenire ai singoli organismi di vigilanza presenti nel gruppo.
In quest’ultima ipotesi si realizzerebbe un’eccessiva ingerenza della controllante nelle scelte organizzative delle singole controllate, portando alla creazione di una posizione di garanzia indifferenziata in capo alla holding riguardo all’eventuale commissione di un reato all’interno del gruppo societario.
La predisposizione di un modello organizzativo e l’istituzione dell’organismo di vigilanza dovranno, invece, garantire un bilanciamento fra due esigenze contrapposte: da un lato, l’esercizio dell’attività di direzione e di coordinamento della controllante (art. 2497 c.c.); dall’altro, il riconoscimento dell’autonomia delle singole società.
Soltanto in tal modo potremo parlare di una condotta “riprovevole” da ascrivere a ciascuna società, rispettando il fondamentale principio di colpevolezza, spesso aggirato nell’intento di superare le difficoltà probatorie connesse alla presenza di organizzazioni complesse.
Conclusioni
A mio avviso, quindi, dovremmo propendere per l’istituzione di un organismo ad hoc cui attribuire le funzioni del compliance officer.
Naturalmente questa soluzione può essere condivisa solo nella misura in cui sia effettivamente idonea a garantire l’autonomia, l’indipendenza e la funzionalità dell’organismo di vigilanza, che necessariamente deve configurarsi quale “organo dell’ente”.
Il punto critico di tale scelta riguarda la composizione dell’organismo in esame e, soprattutto, la possibile inclusione tra i suoi membri di soggetti già componenti degli altri organi societari.
Quindi si tratterà di individuare una struttura di controllo a composizione mista, i cui membri possano essere scelti fra soggetti esterni ed interni all’ente in modo da assicurare la convergenza di conoscenze e competenze aventi diverse provenienze e professionalità.
Riguardo la plausibilità della scelta di assegnare la funzione dell’organismo di vigilanza ad un organo ad hoc, mi sembra opportuno riportare i risultati di un’indagine, svolta dal Comitato per l’Area D. Lgs. n. 231/2001 dell’Associazione Italiana Internal Auditors in collaborazione con Confindustria e pubblicata nel gennaio 2007, sull’adozione del modello organizzativo da parte di 88 società non quotate, appartenenti ai settori dell’edilizia, dell’energia, del manifatturiero, dei trasporti, dei servizi finanziari e dei servizi.
Il primo dato che emerge riguarda l’effettiva predisposizione di un modello di organizzazione, gestione e controllo da parte del 62,5% delle società interessate, mentre il 25% è in fase di definizione dello stesso e nel restante 12,5% dei casi non sono state ancora intraprese iniziative in tal senso.
Ma l’indagine dimostra soprattutto come la maggioranza delle società partecipanti si affidi ad un organismo di tipo collegiale, con la conseguente predisposizione di un organo ad hoc composto da due o più dei seguenti soggetti: responsabile Internal Audit (55% dei casi); responsabile Ufficio Legale (50%); uno o più membri del Consiglio di Amministrazione/organo dirigente (35%); consulenti esterni (35%); Presidente del collegio sindacale/sindaco (23%); responsabile Risorse Umane (8%); responsabile Organizzazione (6%); uno o più membri del Comitato per il Controllo Interno/amministratori indipendenti (5%).
Naturalmente l’attività di implementazione del modello da parte dell’organo dirigente non dovrà limitarsi a calare dall’alto una nuova istanza di controllo, ma dovrà indirizzarsi verso un’efficiente “contestualizzazione” all’interno dell’assetto societario dell’organismo di vigilanza.
Infatti è proprio dalla scelta dei criteri di nomina, dalla sua composizione, dai metodi previsti per fargli affluire tutte quelle informazioni necessarie ai fini del controllo, dalle azioni concretamente intraprese da tale organismo, che è facile comprendere quale sia la reale efficacia del modello adottato dall’ente per prevenire i reati.
Si tratta di interventi che vanno dal riconoscimento di un equo compenso ai componenti dell’organismo, all’assegnazione di strutture aziendali dedicate, all’impiego di strumenti informativi, alla possibilità di disporre in autonomia di congrui budget discrezionali, soprattutto per le indagini e per le consulenze esterne.
Il momento centrale per la verifica dell’idoneità dell’organismo di vigilanza a svolgere i compiti cui è demandato risiede proprio nell’adeguatezza delle caratteristiche organizzative che consentano l’espletamento delle proprie mansioni e nella scelta ponderata da parte della società dei criteri soggettivi per garantire che i membri siano autonomi e liberi di autodeterminarsi nella propria attività.
Si tratta di requisiti base, imprescindibili, cui potranno aggiungersi altri elementi che rispecchino la peculiarità e la struttura di ogni singola impresa.
Potrebbe obiettarsi all’originalità della scelta prospettata che la comunanza di soggetti in distinti organi di controllo, con un conseguente cumulo delle cariche, non sia certamente indice di impegno dedicato e di un dovuto livello di attenzione, e che vi sia il concreto rischio di creare indesiderate sovrapposizioni e ridondanze nelle attività di controllo.
Ma è proprio l’apporto dei consulenti esterni, i quali dovranno naturalmente riferire il risultato del loro operato all’organismo di vigilanza, a rendere più efficace e penetrante la funzione di sorveglianza; ciò vale anche per gli enti di piccole dimensioni, nei quali l’eventuale soluzione monocratica, dettata da evidenti esigenze di contenimento dei costi aziendali, sacrificherebbe il requisito della professionalità, dato il carattere interdisciplinare delle problematiche da affrontare.
Anzi l’ampiezza dei nuovi compiti richiesta dall’evoluzione legislativa – pensiamo alla normativa antiriciclaggio o antinfortunistica – comporta l’esigenza di affidarsi inevitabilmente a componenti di origine esterna depositari di ampie ed idonee competenze giuridiche; pensiamo ad esperti di diritto penale societario, commerciale, bancario, industriale o amministrativo da individuarsi in relazione alle singole realtà aziendali.
Tale soluzione ci consentirebbe anche di rispondere negativamente al quesito se sia necessario, per talune aziende di determinati settori merceologici, avere la presenza di un membro dell’organismo di vigilanza con competenze specifiche nelle materie oggetto di reati presupposto.
Queste valutazioni comportano, di conseguenza, la valorizzazione del nuovo ruolo che è chiamato a svolgere il giurista d’impresa: mettere a disposizione la propria esperienza in modo da creare un’efficace interazione fra magistratura ed aziende.
La presenza all’interno dell’organismo di vigilanza anche di consulenti esterni qualificati permetterebbe all’organo giudicante di considerare positivamente le scelte effettuate dall’impresa, in quanto i requisiti dell’autonomia, dell’indipendenza, della continuità d’azione e della professionalità verrebbero ad essere soddisfatti non dai componenti singolarmente considerati ma dall’organismo in quanto tale.
E’ indubbia l’esistenza di un ampia discrezionalità in capo al giudice il quale si trova di fronte a situazioni nuove e, forse, non tutte rientranti nelle propria specifica competenza.
La magistratura, però, non dovrebbe far trasparire con il proprio intervento una forte diffidenza verso l’effettività e l’efficacia del modello organizzativo, ed in particolare dell’organismo di controllo previsto dalle imprese.
In caso contrario, infatti, si determinerebbe negli enti un’inevitabile sfiducia nelle concrete possibilità del modello di superare un giudizio di idoneità in sede penale.
Un ulteriore aspetto da analizzare riguarda le rilevanti novità introdotte dal decreto antiriciclaggio, che determinano anche un nuovo approccio legislativo in relazione alla responsabilità amministrativa degli enti.
Innanzitutto per la prima volta i protocolli comportamentali non vengono definiti dalle imprese, ma direttamente dal legislatore, il quale indica in modo dettagliato l’an, il quantum e il quomodo delle comunicazioni effettuate dall’organismo di vigilanza agli organi esterni previsti dal D. Lgs. n. 231/2007.
Ne deriva, inoltre, un nuovo ruolo per il compliance officer, che si trasforma in uno strumento di “filtro” tra l’ente e l’autorità giudiziaria.
Non è difficile immaginare i risvolti pratici di questa scelta di politica criminale: da un lato, l’impresa dovrà istituire una nuova istanza di controllo sulla base degli elementi tracciati dal legislatore che irrimediabilmente limitano proprio quell’autoregolamentazione garantita dal D. Lgs. n. 231/2001; dall’altro, la magistratura – anche se la giurisprudenza non si è ancora pronunciata sul punto – avrà la possibilità di perseguire penalmente l’organismo di vigilanza, compromettendo in tal modo le aspettative dell’organizzazione di ottenere l’esimente prevista dall’art. 6.
Il che condurrebbe all’effetto opposto a quello perseguito dal decreto: la deresponsabilizzazione degli enti rispetto alle esigenze di prevenzione del rischio-reato.
