Fraud, audit, auditor.

L’organismo di vigilanza previsto dal d. lgs. 231/2001: ennesimo attore del sistema dei controlli o effettivo coprotagonista del presidio dei rischi?

22 febbraio 2017

di Giuseppe NUCCI

A chiunque operi nell’ambito dei controlli interni, appare quasi normale chiedersi se la più seria difficoltà sia costituita dall’implementazione efficace della propria funzione oppure dalla costruzione di un sistema in grado di assicurare una effettiva coerenza e sinergia alle diverse attività poste in essere dai diversi “attori del controllo” (internal audit, compliance, risk management, controllo di gestione, collegio sindacale, collegio dei revisori, comitato per i controlli interni e rischi, dirigente preposto alla redazione dei documenti contabili societari e – per le amministrazioni e società pubbliche – responsabile anticorruzione e trasparenza). 


Nelle esperienze aziendali, il problema delle sovrapposizioni, delle attività ridondanti, dei “vuoti informativi” e, cioè, in definitiva, dell’assenza di un coordinamento efficace, coinvolge non solo le strutture “funzionali” ma anche quelle più evolute. “La mano destra non sa cosa fa quella sinistra” è un detto molto risalente ma non per questo inattuale. Il sistema dei controlli non fa eccezione e, ritenendo che questa criticità meriti qualche considerazione, a titolo esemplificativo vorrei prendere in considerazione le dinamiche che interessano, nell’ambito del sistema, l’organismo di vigilanza, anche per il crescente rilievo che riveste nelle aziende (ricordiamo che nell’ambito degli enti pubblici è previsto solo per quelli economici).

Questo organismo è previsto dal decreto legislativo 8 giugno 2001, n. 231 con il quale è stata adeguata la normativa italiana in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali alle quali l’Italia aveva da tempo aderito, quali la convenzione di Bruxelles del 26 luglio1995 sulla tutela degli interessi finanziari delle comunità europee, la convenzione del 26 maggio 1997, anch’essa firmata a Bruxelles, sulla lotta alla corruzione nella quale sono coinvolti funzionari della comunità europea o degli stati membri e la convenzione Ocse del 17 dicembre 1997 sulla lotta alla corruzione dei pubblici ufficiali stranieri nelle operazioni economiche internazionali.

La portata innovativa del decreto è data dal fatto che, per la prima volta, in Italia è stata introdotta la responsabilità “amministrativa” dell’Ente in aggiunta a quella “penale” della persona fisica che ha commesso determinati reati nell’interesse o a vantaggio degli enti stessi. Deve peraltro precisarsi che “soggetto attivo” non è qualsiasi dipendente ma solo le persone che:
• rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’Ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale;
• esercitano, anche di fatto, la gestione o il controllo dell’Ente;
• sono sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati.

In questo contesto assume fondamentale rilievo la previsione secondo la quale la responsabilità dell’ente è esclusa (o limitata) al verificarsi di determinate condizioni, tra le quali assume primaria importanza quella che prevede che l’ente stesso dimostri di aver adottato e attuato efficacemente “Modelli di organizzazione, gestione e controllo” idonei a prevenire il catalogo dei reati indicati nel decreto.
Ma chi valuta l’idoneità dei modelli? Secondo l’art. 6 è l’organismo di vigilanza che ha appunto il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento, attraverso autonomi poteri di iniziativa e di controllo.

E qui sorge il problema! In che modo si estrinsecano i poteri di iniziativa e di controllo? È indubbio che, in molti casi, le attività da svolgere, le tecniche e le modalità da utilizzare, gli input e gli output, le interazioni infraorganizzative sono le stesse delle altre tipologie di controllo e ciò provoca spesso disarmonie che impattano negativamente sui parametri di efficacia (non si raggiungono i risultati prefissati) e di efficienza (si registrano sprechi) del sistema di controllo.

Un esempio per tutti: le mappe dei processi e dei rischi. Per entrambe, non raramente si registra, nella medesima organizzazione, una pluralità di mappe redatte da diverse funzioni aziendali (organizzazione, controllo di gestione, internal audit, qualità, risk management, ecc.). Si tratta di una situazione che evoca ciò che accade nel mondo dell’ICT tra i c.d. “sistemi proprietari”: impossibilità o, nel migliore dei casi, interazione difficoltosa attraverso sovrastrutture e protocolli comunque molto onerosi in termini economici e di dispendio di energie.

In definitiva, il problema sollevato per l’organismo di vigilanza – e cioè se tale soggetto possa fornire un valore aggiunto al sistema dei controlli anziché costituirne un costo a “ridotta utilità” – appare comune agli altri protagonisti del controllo.
Per risolvere tale problema esistono soluzioni che non possono avere una valenza generalizzata – dovendosi riferire alle caratteristiche specifiche di ciascuna realtà aziendale – ma devono comunque individuarsi nell’ambito di tre specifici ambiti di intervento: organizzativo, processuale/procedurale e informatico.

Ma questa è una tematica che, ritengo, richieda una riflessione autonoma che questo sito sicuramente potrà stimolare….



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *