Logica dei Sistemi

La normativa sulla responsabilità amministrativa delle persone giuridiche prevede l'obbligo di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e sull'osservanza dei modelli. E’ evidente che idonei strumenti informativi devono essere previsti dall'organo amministrativo per consentire all'organismo di vigilanza di venire a conoscenza tempestivamente delle notizie che interessano la sua funzione.

Le notizie di interesse

Quali notizie interessano l’organismo di vigilanza?

Una prima tipologia è quella della variazione dei reati presupposto: è necessario che l'organismo di vigilanza sia in grado di acquisire tempestivamente l'informazione in merito a variazioni, tipicamente normative, che portino all’aggiunta, alla rimozione o alla modifica dei reati presupposto previsti dal D.Lgs. 231/01 o dalla normativa che rende tale decreto applicabile in taluni casi (come accaduto, ad esempio, nel caso del D.Lgs. 152/2006 all’art. 192 comma  4).

Una seconda tipologia è quella relativa alla variazione della struttura organizzativa: alterazioni della macrostruttura o della microstruttura devono essere tempestivamente segnalate all'organismo di vigilanza e gestite in modo da poter ottenere un'immediata valutazione di eventuali incrementi di rischio, ossia una misura dell'adeguatezza del modello a fronte della situazione aggiornata. Ovviamente tale comunicazione potrà portare anche ad un efficientamento del modello a seguito dell’eliminazione di punti di controllo divenuti superflui ma questo è da considerarsi solo un obiettivo secondario.

Una terza tipologia riguarda la variazione delle attività svolte dall'organizzazione: l'aggiunta di una nuova attività, anche senza cambiamenti organizzativi o normativi, può esporre in maniera intollerabile a rischi prima ritenuti accettabili. Anche in questo caso si può avere come “effetto collaterale” un efficientamento.

Purtroppo, in alcuni casi, come accaduto anche in un recente convegno sul tema della responsabilità amministrativa organizzato da un importante ente, si scopre che i flussi informativi verso l'organismo di vigilanza sono delle mere attestazioni di assenza di problemi da parte dei, ad esempio, responsabili di funzione. Questo modo di inviare informazioni è completamente inadeguato in quanto priva l'organismo di vigilanza di un canale sensoriale essenziale, riducendone la percezione di quanto avviene nell'azienda alle sole verifiche, periodiche o casuali, che l'organismo effettua. Viene quindi meno l'unico canale in grado di garantire la tempestività delle informazioni che, sebbene non richiesta esplicitamente dalla legge è implicita in essa e, comunque, di sicuro nell’interesse dell’ente stesso. La perdita di questo flusso comunicativo ha un altro gravissimo svantaggio: il mancato utilizzo delle professionalità dei componenti dell'organismo di vigilanza, lasciando l'onere di valutare se le informazioni in proprio possesso possano avere un impatto meno sul modello organizzativo ai singoli responsabili di funzione che non hanno né la visione di insieme necessaria né, spesso, la competenza tecnica per farlo (e spesso, neanche l'assegnazione esplicita per tale mansione).

Un altro aspetto che si trova talvolta sottovalutato nelle aziende è la comunicazione tra organismo di vigilanza e i vertici aziendali, siano essi amministrativi o di controllo. Molto importante è infatti sia l'aggiornamento continuo dell'organo amministrativo sia il confronto e lo scambio informativo con le varie funzioni preposte ad attività di controllo (ad esempio il collegio sindacale o l’internal auditing).

Un terzo tipo di flusso informativo andrebbe inoltre mantenuto nei confronti di quelle funzioni aziendali che operano per la realizzazione e la manutenzione di sistemi di gestione quali, ad esempio, le normative sulla qualità (ISO 9000, AS 9100, …), quelle sull'ambiente (ISO 14000), sulla salute (OHSAS 18001) e molte altre ancora: la relazione tra le norme legate alla responsabilità amministrativa delle persone giuridiche e tali standard è sempre maggiore e, tra l'altro, permette di costruire un sistema "integrato" in cui non domini la burocrazia ma l'efficienza, garantendo il raggiungimento (sebbene siano spesso necessari dei compromessi) di tutti gli obiettivi che tali standard a si prefiggono (e che l'ente si prefigge con la loro adozione) e quelli che sono i dettami del decreto legislativo 231/2001.

Ciò premesso è evidente che una carenza di flussi informativi può portare, nella migliore delle ipotesi, ad inefficienze non tollerabili ma, di norma, porta al rischio di non individuare per tempo problemi che possano avere un impatto in termini di commissione dei reati presupposto a discapito anche dell’esenzione dell’ente dalla responsabilità amministrativa, dopo aver tra l’altro investito notevoli risorse nel modello e nell’organismo di vigilanza.

Le tipologie di flussi informativi

Un aspetto da sottolineare è la distinzione dei flussi informativi in due grandi categorie: i flussi informativi fisiologici e quelli patologici.

I flussi informativi fisiologici rappresentano comunicazioni mirate a dimostrare che il modello è correttamente applicato. Tali flussi devono essere esaminati dall'organismo di vigilanza tenendo conto di una doppia prospettiva: l'informazione deve rappresentare un'evidenza della corretta applicazione del modello e i dati in essa contenuti possono essere utilizzati per calcolare indicatori o effettuare altre analisi al fine di individuare schemi "sospetti". In parole povere, da un flusso fisiologico possono essere estratte, sebbene non evidenti a una prima occhiata, delle indicazioni in merito a situazioni rischiose.

I flussi informativi patologici saranno invece focalizzati sulla messa in evidenza di situazioni critiche. Anche per tali flussi è possibile una classificazione in due aree. La prima area è quella del flusso che indica delle situazioni a rischio che l'azienda ha deciso di gestire attivando però dei meccanismi di attenzione adeguati (ad esempio un'azienda che non opera con l'estero se non in via eccezionale stabilisce di poter operare con paesi stranieri che non aderiscono alle normative antiriciclaggio e, nel caso in cui ciò avvenga, attiva una serie di meccanismi di controllo che non sono presenti, invece, negli altri casi). Una seconda area è quella del flusso che indica delle situazioni di effettivo rischio (quali, ad esempio, una sospetta parcellizzazione di un ordine). Le due aree richiedono tempi di intervento leggermente diversi: la prima può essere considerata con meno urgenza mentre la seconda avrà una priorità maggiore. La distinzione con due priorità differenti ha origine dal fatto che nel modello organizzativo, per il primo caso, sarà già prevista l'attivazione, ad esempio, di una scheda di evidenza e di un'eventuale organismo di controllo specifico mentre, nel secondo caso, si sta verificando uno schema che potrebbe essere l'indicazione della commissione di un reato in corso. Nel primo caso si ha, quindi, una situazione di rischio che viene gestita con particolari cautele mentre nel secondo caso si ha una situazione di rischio in cui si stanno "saltando" le protezioni previste dal modello organizzativo.

Un'altra ripartizione dei flussi informativi li distingue in periodici ed eventuali. I primi saranno inviati con una cadenza predefinita mentre i secondi lo saranno al verificarsi di determinate condizioni.

Cosa fare con i flussi informativi, siano essi fisiologici o patologici, periodici o eventuali,  spetterà all'organismo di vigilanza ma è opportuno che ci sia chiarezza (e la distinzione in fisiologici e patologici aiuta molto) nel definirne le priorità di gestione e la profondità di analisi.

Prima di approfondire gli aspetti legati ai flussi informativi si ritiene opportuna una considerazione che dovrebbe essere alla base dell'operato dell'organismo di vigilanza: in molti casi si ha l'impressione che l'organismo di vigilanza tenda, almeno in parte, ad eludere le sue funzioni di controllo, scaricandone una porzione sui responsabili di funzione. Spesso questa decisione è dettata dall'idea di avere una riduzione dei costi relativi all'organismo stesso e quindi nasce da un'esigenza aziendale, non da una "trascuratezza" dell'organismo stesso.

In realtà l'organismo di vigilanza è una funzione fondamentale sia perché è il motore che mantiene funzionante il modello organizzativo, sia perché, nel caso in cui venisse commesso un reato presupposto, l'evidenza della sua continua ed efficace vigilanza è di certo un grosso punto a favore dell'ente nell'ottenere l'esenzione prevista dalla normativa.

I flussi informativi eventuali verso l'organismo di vigilanza

Una tipologia molto importante di flussi è quella delle cosiddette “segnalazioni”, ossia flussi informativi che avvengono al verificarsi di un evento. Questo è un canale di comunicazione estremamente importante in quanto permette all'organismo di vigilanza di essere informato tempestivamente su fatti o eventi che potrebbero comportare una responsabilità dell'ente ai sensi del decreto legislativo 231 del 2001. Di conseguenza l'ente dovrà attivare delle procedure, note a tutti gli interessati, che garantiscano la comunicazione delle informazioni suddette. L'omessa comunicazione dovrà essere, ovviamente, adeguatamente sanzionata dal codice disciplinare aziendale.

I flussi informativi verso l'organismo di vigilanza dovranno trattare, in generale, tutti quegli aspetti la cui conoscenza o meno può mettere l'azienda nel rischio di essere sanzionata per la propria responsabilità amministrativa.

In particolare dovranno essere comunicate all'organismo di vigilanza tutte le informazioni che riguardano:

• anomalie o atipicità rispetto ai principi e ai comportamenti descritti nel modello organizzativo
• violazioni del modello organizzativo o del codice etico
• comportamenti sospetti, ossia che possano far sorgere il timore di trovarsi di fronte ad un atto che sia o possa portare ad un reato presupposto o che comunque non si allinea con i principi e le regole definite all'interno del modello organizzativo
• l'avvio di procedimenti giudiziari a carico di figure apicali, loro sottoposti o collaboratori esterni (fornitori inclusi) dell'ente ove vengano contestati reati previsti dal decreto legislativo 231 del 2001 o per cui esso è ritenuto applicabile in base ad altre norme
• qualunque fatto notizia che riguardi eventi che potrebbero, anche solo in via potenziale o teorica, determinare la responsabilità amministrativa dell'ente ai sensi del decreto legislativo 231/2001
• informazioni in merito ad eventuali decisioni per procedere ad operazioni che comporteranno modifiche dell'assetto societario
• progetti finalizzati a variazioni organizzative, procedurali o nelle attività svolte dall'ente
• risultati di ispezioni e valutazioni effettuate nell'ambito delle attività tipiche di monitoraggio e auditing previste dalle normative in tema di sistemi di gestione (qualità, ambiente,...) e di interesse ai fini della responsabilità amministrativa.

Sebbene l'elenco suddetto non sia esaustivo e nonostante i vari punti siano tutti importanti, è essenziale che particolare attenzione, cura e tempestività vengano poste nel segnalare immediatamente all'organismo di vigilanza, in genere per tramite dell'organo amministrativo, tutte le informazioni riguardanti sia i provvedimenti o le notizie provenienti dagli organi di polizia giudiziaria o da altra autorità (fatti salvi gli obblighi di segreto previsti dalla legge) dalle quali si possa ipotizzare o dedurre che esistano indagini in corso, anche nei confronti di ignoti, per i reati presupposto ex decreto legislativo 231 del 2001 o in base a altre leggi per cui esso è applicabile, nel caso in cui tali indagini coinvolgano l'ente o suoi dipendenti o collaboratori o comunque possano implicare la responsabilità dell'ente stesso.

Altro punto di estrema importanza è la comunicazione tempestiva e dettagliata di informazioni in merito ai procedimenti disciplinari, a prescindere che siano stati archiviati o avviati, relativi alle violazioni del modello organizzativo.

È comunque molto importante che, in generale, qualunque funzione aziendale abbia l'obbligo di segnalare tempestivamente all'organismo di vigilanza se ha avuto comportamenti difformi, in processi sensibili, rispetta quanto definito nel modello organizzativo.

Le modalità di segnalazione e gestione

L'ente dovrà predisporre tutte le precauzioni opportune per garantire che le comunicazioni avvengano e che ciò accada con il principio di massima riservatezza in merito a chi ha effettuato la segnalazione o la comunicazione, prevenendo nei suoi confronti ogni forma di ritorsione o di penalizzazione.

L'ente dovrà inoltre garantire che nessuno tenti di sostituirsi alle autorità di polizia giudiziaria facendosi carico di attività investigative.

Andrà inoltre garantita, da parte dell'ente, la necessaria trasparenza prevista dalla legge in tema di riservatezza, garantendo all'autorità giudiziaria l'accesso a tutte le informazioni sulle segnalazioni, nei limiti di legge.

L'ente dovrà inoltre avere la massima cura nel tutelare i propri diritti e quelli di persone nel caso in cui una segnalazione si rivelasse infondata o errata. Dovrà quindi prestare la massima attenzione nel proteggere la reputazione e l'immagine dell'azienda, del suo personale e dei suoi collaboratori e fornitori, evitando reazioni improvvisate o eccessiva diffusione di informazioni a fronte di segnalazioni.

Tutte le segnalazioni dovranno essere inviate all'organismo di vigilanza, in forma scritta, sebbene l'organismo di vigilanza dovrà comunque farsi carico di eventuali segnalazioni anonime quando queste fossero corredate da fatti oggettivi sufficienti.

L’organismo di vigilanza dovrà inoltre valutare con cura e attenzione tutte le segnalazioni ricevute, adottando le azioni ritenute necessarie, eventualmente previa consultazione del segnalante, delle persone a conoscenza dei fatti e del presunto responsabile, acquisendo al contempo tutta la documentazione ritenuta utile.

I flussi informativi periodici

Tutte le funzioni coinvolte nei processi sensibili dovranno inviare all'organismo di vigilanza dei flussi informativi periodici che consentano di:

• attestare il grado di attuazione del modello organizzativo
• misurare il livello di efficacia del modello stesso
• verificare il rispetto dei principi comportamentali
• comunicare le variazioni intervenute nei processi
• evidenziare le eventuali criticità emerse nei processi quali, ad esempio, le deviazioni rispetto al modello o alla normativa
• ricercare schemi sospetti, ossia informazioni che possano far supporre il rischio di commissione di un reato presupposto o di violazione dei principi sanciti dal modello del codice etico

Sempre periodicamente andranno comunicate tutte le informazioni relative alle sanzioni disciplinari per violazione del modello o del codice etico, così come tutte le informazioni che riepiloghino i contenuti dei flussi eventuali in modo da verificare che tutte le comunicazioni relative ad enti rischiosi che avrebbero dovuto essere state segnalate siano giunte all'organismo di vigilanza e consentire inoltre, nel caso di omissione di qualcuna di esse, l’avvio delle azioni dell’organismo di vigilanza anche se tardive.

Si sottolinea che l'organismo di vigilanza deve essere messo a conoscenza anche di informazioni dei tipi sopra descritti ma relative a partner, collaboratori e fornitori dell'azienda, in via periodica, secondo quanto stabilito nel modello organizzativo, al fine di consentire un controllo sulla sua applicazione anche verso tali soggetti.

I flussi informativi dell'organismo verso altri

L'organismo di vigilanza, oltre a ricevere flussi informativi, è opportuno (essenziale) che ne produca altri verso il vertice dell'azienda e verso tutte quelle entità (quali ad esempio l'autorità di vigilanza o organismi di controllo).

In particolare, l'organismo di vigilanza dovrà stabilire sei canali comunicativi di cui quattro obbligatori, uno fortemente consigliato e uno discrezionale.

Il primo canale di comunicazione sarà con l'amministratore delegato, informandolo continuamente delle attività svolte. Questo canale dovrà essere in forma scritta e per questa ragione si consiglia l'utilizzo di comunicazioni a mezzo posta elettronica con ricevuta di ritorno o, ancor meglio, mediante caselle di posta elettronica certificata.

L'amministratore delegato avrà cura di riportare al consiglio d'amministrazione, periodicamente, in forma sintetica, quanto contenuto in tali comunicazioni.

Un secondo canale di comunicazione sarà quello nei confronti dei dipendenti, dei collaboratori, dei fornitori (ossia di tutti i destinatari del modello). Mediante tale canale l'organismo di vigilanza informerà sull'evoluzione della normativa e del modello organizzativo. Tali comunicazioni dovranno essere redatte in forma chiara, comprensibile facilmente dai destinatari, evitando una loro eccessiva proliferazione e rimandando gli approfondimenti ad apposite sessioni formative che saranno pianificate successivamente. Questa comunicazione può viaggiare avendo come origine direttamente l'organismo di vigilanza (rafforzandone quindi l'autorevolezza e divulgandone la conoscenza, sensibilizzando così il personale alla sua presenza) oppure indirettamente attraverso, ad esempio, l'amministratore delegato, altra soluzione che consente il mantenimento dei canali comunicativi tradizionali ed evita che l'informazione trasferita dall'organismo di vigilanza possa essere sottovalutata.

Un terzo canale di comunicazione è una reportistica periodica verso il consiglio d'amministrazione. Tale comunicazione servirà ad informare il Consiglio della pianificazione delle attività dell'organismo e degli esiti delle verifiche effettuate, oltre ad aggiornarlo sul livello di attuazione del modello da parte dell'ente.

Un quarto canale di comunicazione, stavolta bidirezionale, sarà con gli organi di controllo o le autorità di vigilanza. In apposite riunioni, l'organismo di vigilanza esprimerà pareri e richiederà opinioni in merito al livello di governance dell'ente e agli aspetti correlati alla responsabilità amministrativa dello stesso. Questo consentirà di avere un maggiore coordinamento con, ad esempio, il collegio sindacale, la società di revisione, la funzione di internal auditing e altri ancora, arricchendo l'organismo di vigilanza delle informazioni in loro possesso e coordinando gli sforzi di controllo, ferma restando l'autonomia e l'indipendenza di ciascuno di essi. Una comunicazione particolarmente importante, in questa tipologia, è quella tra gli organismi di vigilanza di aziende dello stesso gruppo.

Un quinto, e ultimo, canale di comunicazione, come già accennato in precedenza, andrà previsto con le figure responsabili degli eventuali sistemi di gestione presenti.

Tale canale sarà, ovviamente, implementato in quei contesti ove l'esistenza e il funzionamento corretto di un sistema di gestione sia importante ai fini dell'esenzione dalla responsabilità amministrativa dell'ente. Un esempio potrebbe essere quello di un ambito industriale con elevati rischi per la salute e la sicurezza sul lavoro in cui è in essere un sistema di gestione a norma OHSAS 18001. Analogamente, in un’azienda con forte rischio di impatto ambientale, in cui vige un sistema di gestione ambientale basato sulla ISO 14001. In queste situazioni, come in altre simili, è opportuno che l'organismo di vigilanza scambi informazioni con i responsabili di tali sistemi di gestione al fine di ottenere un elevato e benfico effetto sinergico tra il modello organizzativo e tali sistemi.

Flussi informativi e informatica

In un'azienda anche solamente di medie dimensioni, i flussi informativi verso l'organismo di vigilanza possono risultare in una mole di dati complessa da gestire. La soluzione che Logica dei Sistemi propone è l’utilizzo, commisurato alle effettive necessità, di sistemi di business intelligence che consentano sia di sintetizzare velocemente i dati sia o, ove necessario, di risalire alla loro versione disaggregata per comprendere le origini di valori "di interesse". Nella ricerca di schemi sospetti possono essere di grande aiuto le tecniche di data mining che tali sistemi in genere hanno.

L'utilizzo di tali sistemi consente di agevolare notevolmente il lavoro dell'organismo di vigilanza e di renderlo molto più efficace ed efficiente, alleggerendo spesso i responsabili di funzione dal fornire dati aggregati in quanto si interfacciano direttamente, in molti casi, con il sistema informativo aziendale esistente, riutilizzando in automatico banche dati e reportistiche già presenti.

Analogamente, l'attività dell'organismo di vigilanza, se tracciata in un apposito sistema informatico (quale ad esempio un classico sistema di trouble ticketing), può essere facilmente sintetizzata sempre con sistemi di business intelligence che consentono di avere, praticamente in tempo reale, quadri sinottici e relazioni riepilogative, oltre all'aggiornamento delle azioni aperte in corso.

Sebbene l'utilizzo di software di project management consenta di automatizzare il processo di pianificazione delle attività dell'organismo, se ne sconsiglia l'utilizzo e si suggerisce, invece, un sistema per l'automazione dei sistemi di gestione. Questo software consente sia di generare le checklist degli audit, sia di gestire i report conseguenti, come tutta la pianificazione delle attività e la relativa gestione.

Conclusioni

Le considerazioni sopra esposte ci portano a dover sottolineare l'importanza dei flussi informativi nei confronti dell'organismo di vigilanza così come di quelli tra l'organismo di vigilanza e i vertici societari o gli organismi di controllo.

Allo scopo di ridurre i costi dell'organismo di vigilanza è più sensato dotarsi di un apposito software che ridurre i flussi informativi o il numero di componenti l'organismo stesso.

Da non sottovalutare poi, l'interazione con i sistemi di gestione già esistenti.

Articolo redatto dall’ing. Questo indirizzo email è protetto dagli spambots. E' necessario abilitare JavaScript per vederlo.