Archivi categoria: Archivio News

RISK ASSESSMENT E MAPPATURA DEI RISCHI-REATO: DUE METODICHE NON SURROGABILI.

Pubblicato il da
Rispondi

In un’epoca di globalizzazione, contraddistinta dalle incertezze e complessità, risulta amplificata l’esigenza dell’impresa di prevenire e gestire le minacce al raggiungimento degli obiettivi aziendali.

Negli ultimi anni Sistemi di Risk Assessment, sempre più evoluti, sensibili e poliedrici, sono divenuti lo strumento indispensabile alla conduzione e alla salvaguardia del business d’impresa.

Lo S.C.I. – Sistema di controllo integrato (con i famosi framework, come il Co.So. Report e le successive elaborazioni, come l’E.R.M.) é il prototipo del sistema di gestione e controllo di molteplici ed eterogenei fattori di rischio aziendale, tanto interdipendenti e correlati, da poter condizionare o nullificare le performances ed il raggiungimento dei target di periodo.

A ben vedere, però, trattasi di sistemi gestionali – ormai informatizzati e sofisticati – la cui ratio riposa nella gestione di fattori di rischiosità aziendale, che tecnicamente vengono definiti quali “esternalità negative del ciclo d’impresa“. Fattori di rischio, o meglio variabili – sempre presenti e insiti nella conduzione dell’impresa – che devono essere rilevati, mappati e gestiti nella loro complessità ed interdipendenza, proprio al fine di poter realizzare il risultato favorevole nel business intrapreso.

Una domanda allora sorge spontanea: quando occorra rilevare, identificare e graduare non una rischiosità aziendale, quanto la verificabilità di un evento negativo ed eccezionale, qual’é la commissione di un reato (rectius, di un  “reato presupposto” di cui al catalogo ex d.lgs. n. 231/2001), può detto framework di stampo squisitamente aziendalistico realizzare tale obiettivo ? E realizzare compiutamente i risultati all’uopo richiesti dall’art. 6, d.lgs. n. 231/2001 ?

In altri termini, l’art. 6 richiede che venga rilevata, censita e graduata l’effettiva potenzialità commissiva di un fatto di reato tipico presso la specifica realtà aziendale, alla luce dei caratteri peculiari di essa.

Valutazione questa di stampo propriamente giuridico-penalistico (più che economico), che involge principi e categorie giuridiche – come la natura “propria” o “comune” del reato; l’elemento soggettivo (dolo o colpa) in capo all’autore, ecc.- e una sensibilità non propriamente “aziendalistica”. Percorso valutativo questo, che deve essere condotto rispetto alle (ormai) centinaia di fattispecie di reato ricomprese nel catalogo “mobile” ex 231.

A marcare la differenza concettuale e funzionale tra le due distinte tipologie di Risk Mapping muove anche la considerazione che  i fattori di ponderazione del processo di Assessment aziendale – ossia: i) la “Probabilità dell’evento” e ii) il suo “Impatto economico” – non sembrano coerenti e funzionali a tal fine.

A ben vedere, la verificazione di un rischio aziendale compromette in varia misura l’obiettivo economico, ma resta possibile resettare il sistema, tarare nuovamente e diversamente il fattore di rischio ignorato o non correttamente gestito e centrare l’obiettivo successivamente, es. nel prossimo esercizio sociale. Diversamente, la verificazione di un reato configura la realizzazione di un evento di carattere illecito dagli effetti irrevocabili per l’ente.

Basti pensare al sanzionamento dell’ente, alla compromissione della sua affidabilità ed immagine commerciale, alla sottoposizione dell’ente ad un procedimento giudiziale, all’impatto sulla struttura organizzativa ed operativa, oltre al nocumento e al danno prodotto in capo ai terzi (il mercato e/o la collettività).

Detto ciò, una rilevazione e graduazione del rischio-reato, ove risulti inaffidabile, non corretta, non esaustiva, approssimativa, diciamo effettuata con strumenti non idonei e congruenti, impedirà altresì l’elaborazione di efficaci ed effettive misure penal-preventive idonee a nullificare o a ridurre ad un livello “accettabile” il rischio precedentemente mappato.

Alla luce di quanto sopra, ciò che da tempo vado sostenendo é che la frequente applicazione “surrogata” della metodica del Risk Assessment in chiave di costruzione del Modello organizzativo ai sensi del decreto legislativo 231/2001 – i.e. della Mappatura dei rischi-reato – può dar luogo a (tendenziali) incongruenze, disfunzionalità, non conformità, se non anche sviamenti rispetto alla prevenzione del “reato”, allorché si intenda equipollente alla propria operazione di Mappatura dellle potenzialità commissive di un reato tipico.

Approccio questo divenuto oggi frequente. E peggio, portato di una semplificazione e pericolosa omogeneizzazione  di due tecniche intrinsecamente “infungibili” per diversità dei criteri valutativi, della natura del rischio valutato, della finalità perseguita.

CASS. PEN. SS.UU. SENT. 18 SETTEMBRE 2014 n. 38.343 (c. Thyssen Krupp)

Pubblicato il da
Rispondi

L’importante pronuncia dei Giudici togati sul noto disastro della Thyssen Krupp riveste un importante rilievo per i profili trattati in materia di d.lgs. n. 231/2001.
Infatti, fissa definitivamente alcuni importanti principi: la natura personale della responsabilità “amministrativa” imputabile all’ente collettivo a titolo di deficit organizzativo, quindi, responsabilità propria, diversa ed ulteriore rispetto a quella propriamente penale dell’autore del reato-presupposto.
Poi, la rilevanza del nesso oggettivo di imputabilità dell’ente (“interesse/vantaggio”) rispetto alla tipologia di reati colposi come, appunto, quelli di cui all’art. 25 septies.
Da ultimo, l’identificazione del profitto economico maturato dal soggetto metagiuridico a fronte della commissione del reato colposo.
Ciò nondimeno, a parere di chi scrive, la stessa pronuncia offre almeno due spunti di riflessione aggiuntivi rispetto a quelli finora evidenziati dai primi commentatori.
Il primo riguarda la dichiarata illusorieta’ dell’assunto secondo cui il governo del rischio di reato – in specie colposo – sia incentrato nella conformazione alle (sole) regole legali precostituite.
Rispetto a rischi rari e complessi ciò che riveste un rilievo centrale è invece l’auto-normazione. Che deve attingere anche al sapere extragiuridico, allo sviluppo delle conoscenze ed alla tecnologia al momento disponibili.
Affermazione questa che ritengo impatti sulla “super-valutazione” della tecnica del Risk Assessment, la cui applicazione è frequentemente traslata dal campo propriamente aziendalistico a quello della prevenzione del reato, ove risulta incentrata nel checking della Compliance.
Tale verifica non può risultare esaustiva ai fini della Mappatura ove si limiti a verificare la conformità dell’agire al dettato normativo relativo (ad oggi) ad oltre 200 fattispecie di reato-presupposto. Fattispecie astratte, che non esplicitano le variegate modalità attuative la cui individuazione rispetto all’ente empirico definisce e perimetra lo specifico rischio-reato. Permettendo, altresì, l’approntamento di una concreta ed efficace azione special-preventiva per mezzo del Protocolli comportamentali.
Il secondo passaggio che ritengo meriti di essere evidenziato riguarda la valutazione del deficit di autonomia ed indipendenza del membro dell’OdV, giacchè responsabile aziendale di altre funzioni.
La prevalenza dell’aspetto sostanziale su quello formale in punto di requisiti dell’OdV trova cosi’ ennesima conferma dopo la recente pronuncia della Cass. Pen. sul noto caso Impregilo.
Al di la della compatibilita’ formale del profilo dell’Organismo, situazioni di coincidenza del ruolo di “controllante/controllato” in capo al componente dell’OdV inficiano irrimediabilmente l’effettivita’ del Modello 231 adottato.
Conclusione questa che ravviva la polemica su alcune recenti novellazioni legislative, come quella che ha introdotto la discutibile figura dell’”Organismo sindacale” (art. 6, comma 4 bis, d.lgs. cit.).

LINEE GUIDA CONFINDUSTRIA 2014. NOTE MINIME

Pubblicato il da
Rispondi

Tra le interessanti integrazioni apportate con la recente revisione del testo vogliamo evidenziarne un paio, quanto mai opportune.

A nostro parere, la prima necessaria raccomandazione rivolta agli enti collettivi associati ha ad oggetto la procedura di Mappatura delle potenzialità commissive di reato presupposto. Stante la numerosità ed eterogeneità delle fattispecie attualmente ricomprese nel catalogo “mobile” viene raccomandato che l’operazione di rilevazione, ponderazione graduazione del rischio abbia “riguardo ad ogni singola fattispecie di reato cui si applica il decreto 231, quale sia il rischio specifico di commettere qual determinato reato ed introdurre principi etici ad hoc”.

Affermazione questa che evoca, in un sol colpo, prassi invalse e frequenti errori frutto di superficialità ed approssimazione, come la mappatura delle sole macro-categorie di reato, nonché la valutazione del rischio effettuata ignorando i requisiti soggettivi ed oggettivi richiesti dal cod. pen. per ciascuna fattispecie di reato. Errori questi che impattano, inesorabilmente, nella correlata azione special-preventiva attuata mediante l’elaborazione dei Protocolli comportamentali.

Altra direttiva degna di nota riguarda l’elaborazione del Sistema disciplinare. Richiamando la Giurisprudenza consolidatasi, si ricorda (pag. 50) che il Modello 231 non è idoneo alla concessione del beneficio d’esimente qualora non preveda l’espressa declinazione di sanzioni disciplinari per ciascuna tipologia di violazione ed, in particolare, nei confronti dei soggetti apicali.

E’ invero frequente riscontrare nel Modelli implementati anche da importanti gruppi e imprese una puntuale regolamentazione sanzionatoria dei comportamenti, attivi o omissivi, di dipendenti e quadri, mentre un’opaca e sfuggente previsione sanzionatoria caratterizza i comportamenti indebiti di organi sociali e top management.

Sub Cap IV, in tema di Organismo di Vigilanza, risulterà sicuramente interessante l’indicazione data dalle Guidelines (pag. 60) – sebbene con specifico riguardo alle strutture organizzative complesse – della possibilità di istituire una ”struttura dedicata”, interna ed a tempo pieno, a supporto dell’OdV.

Struttura coincidente con l’Organismo quando composto da membri endo-aziendali, da identificabile con una Segreteria tecnica, nel caso di OdV a composizione esterna.

Ebbene, siamo dell’avviso che tale supporto – paragonabile ad una Segreteria societaria in staff al bord – pur quando privo di mansioni operative, se venga legittimato ad espletare una funzione consultiva (pur non vincolante) e pareristica in merito alla costruzione del Modello, esorbiti dalle proprie competenze e incida sulle funzioni peculiari ed esclusive dell’Organismo di Vigilanza.

Se poi le competenze debbano estendersi alla review periodica del Compliance Program e/o al coordinamento dell’erogazione dei Moduli formativi “231” o, ancora, al coordinamento con organi e responsabili aziendali, c’è da ritenere che la richiesta “inerenza” (art. 6) venga ad essere declinata in termini di sostanziale internalizzazione della funzione dell’OdV, riservando all’ufficio collegiale un mero ruolo di supervisore esterno della vigilanza.