Embed Size (px)
Citation preview
Modello di OrganizzazioneGestione e Controllo:un approccio sistematicodi Alberto Pesenato (*) Elisa Pesenato (**)
L’estensore del «Modello» si trova di fronte alla scelta dei principi a cui fare riferimento econseguentemente quale metodologia usare e quali strumenti adottare per la costruzione dellostesso affinche questo produca gli effetti desiderati. I documenti CoSO I e III integrati dai principidi revisione ISA riferiti a rischi di illeciti, frodi ed errori sono un sicuro riferimento in tal senso.
Metodologie per la realizzazionedel Modello
Come accennato nel contributo preceden-te (1) tutte le aziende senza esclusione (Ta-vola 1) sono poste davanti all’incombenza diapplicare il Decreto 231/2001 e quindi al di-lemma di come gli organi aziendali debbanoorganizzare pianificare ed eseguire il propriointervento e «con quali strumenti» l’Organodi Vigilanza debba effettuare la funzione adesso demandata (2).L’estensore del Modello (3) si trova di frontealla scelta dei principi a cui fare riferimentoe conseguentemente a quale metodologiausare per la costruzione del modello e qualistrumenti impiegare perche questo producagli effetti desiderati.In proposito vi sono due metodologie cui fa-re riferimento:1) CoSO II La gestione del rischio aziendale(ERM Entreprise Risk Management);2) CoSO Report (I) Il sistema di controllointerno - Un modello integrato per la gestio-ne dei rischi aziendali - Progetto CorporateGovernance per l’Italia (2008); CoSO Report(III). Il controllo interno per l’attendibilitadel Financial Reporting (2009).In questa seconda metodica i due documentivanno corroborati dai principi di revisioneISA riferiti a rischi ed illeciti nonche dalla pra-tica professionale in materia di revisione con-tabile riferita alla costruzione del miglior con-trollo interno e delle procedure piu efficienti.Si analizzano qui nel dettaglio.
Sub 1) CoSO II La gestione del rischioaziendale (ERM Entreprise RiskManagement)
Secondo questo metodo, che fa riferimentoai rischi strategici della gestione aziendale,gli obiettivi aziendali possono essere cosı in-dividuati (4):– strategici: sono espressi in termini generalie devono essere allineati alla mission azienda-le e la devono supportare. Riflettono la sceltadel management di come l’azienda si adoperaper creare valore per i suoi stakeholders;– operativi: riguardano l’efficacia e l’efficienzadelle operazioni aziendali. E necessario cheriflettano l’ambiente micro - macro economi-co nel quale l’azienda opera. Il managementdeve assicurarsi che gli obiettivi siano reali,riflettano le esigenze del mercato e sianoespressi nei giusti termini al fine di consentireun’attendibile valutazione della performance;– di reporting: riguardano le informazioni,
Note:(*) Revisore legale, Consulente Area D. Lgs. 231/2001, Dottorecommercialista in Verona(**) Auditor (SCI) Sistema di Controllo Interno - ConsulenteArea 231/2001(1) Si veda a cura degli stessi autori «Modello di Organiz-zazione Gestione e Controllo: quali riferimenti concreti perla redazione?» in Amministrazione&Finanza n. 7/2011.(2) L’Art. 6 del Decreto stabilisce che vi sia un Organismodeputato alla vigilanza del funzionamento del modello.(3) Si veda la III edizione del volume Il modello di organiz-zazione gestione e controllo ex D. Lgs.231/2001»(4) «La gestione del rischio aziendale ERM Enterprise RiskManagement (CoSO II)» Il Sole 24Ore - Pagg. 3, 4, 22, 23.
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/201138
che devono essere accurate, complete e coe-renti con i fini perseguiti;– di conformita: le aziende devono condurrele loro attivita (e spesso assumere provvedi-menti particolari) in conformita alle leggi eai regolamenti in vigore.Lo studio (ERM) ha identificato otto compo-nenti del sistema di controllo tra loro inter-connessi. Questi componenti sono:
– ambiente interno: il management formulala filosofia di base e determina il livello diaccettabilita del rischio. Determina, in termi-ni generali, i modi in cui il rischio e conside-rato e affrontato dalle persone che operanoin azienda;– definizione degli obiettivi: gli obiettivi de-vono essere fissati prima di procedere all’i-dentificazione degli eventi che possono pre-giudicare il loro conseguimento;– identificazione degli eventi: devono essereidentificati gli eventi che possono avere unimpatto sull’attivita aziendale. Comporta l’i-dentificazione di fatti potenziali di origineinterna e esterna che possono pregiudicareil conseguimento degli obiettivi. E necessa-rio distinguere gli eventi che rappresentanorischi da quelli che rappresentano opportu-nita;– valutazione del rischio: i rischi identificati(rischi di gestione) sono analizzati al fine dideterminare come devono essere gestiti. I ri-schi sono collegati agli obiettivi e possonopregiudicarne il raggiungimento. I rischi so-no valutati sia in termini di rischio ineren-te (5) (qui inteso come rischio in assenza diqualsiasi intervento) sia di rischio residuo(rischio dopo aver attivato interventi per ri-durlo), determinando la probabilita che il ri-schio si verifichi e il relativo impatto;– risposta al rischio: il management identifi-ca e valuta le risposte possibili al rischio, chepotrebbero essere: evitare, accettare, ridurree compartecipare il rischio. Seleziona unaserie di azioni per allineare i rischi emersicon la tolleranza al rischio e al rischio accet-tabile;– attivita di controllo: devono essere definitee realizzate politiche e procedure per assicu-rare che le risposte al rischio siano efficace-mente eseguite;– informazioni e comunicazione: le informa-zioni pertinenti devono essere identificate,raccolte e diffuse nella forma e nei tempiche consentano alle persone di adempiere al-le proprie responsabilita. Si devono attivare
Tavola 1 - Estensione dell’ambito di applicazionedel D.Lgs: n. 231/2001
Corte di Cassazione - Sentenza 18941/2011: «...peraltroe indubbio che la disciplina dettata dal decreto 231/2001sia senz’altro applicabile alle societa a. responsabilitalimitata c.c. ‘‘unipersonali’’ cosı come e notorio che mol-te imprese individuali ricorrono ad una organizzazioneinterna complessa che prescinde dal sistematico inter-vento del titolare dell’impresa per la soluzione di deter-minate problematiche che puo spesso involgere la re-sponsabilita di soggetti diversi dall’imprenditore mache operano nell’interesse della persona individuale.Ed allora una lettura costituzionalmente orientata dellanorma in esame dovrebbe conferire al disposto di cui alcomma 2 dell’articolo 1 del decreto in parola una portatapiu ampia, tanto piu che non cogliendosi nel testo alcuncenno riguardante le imprese individuali, la loro manca-ta indicazione non equivale a un’esclusione, ma, semmaia un’implicita inclusione nell’area dei destinatari dellanorma.Si ricorda qui che nel 2004 la stessa Corte di Cassazioneaveva sostenuto che la responsabilita amministrativapoteva essere applicata solo agli enti dotati di persona-lita giuridica che siano strutturati in forma societaria opluripersonale.»
Legge regionale 27 maggio 2011 n. 15. In vigore dalloscorso 9 giugno, la legge impone agli enti dipendenti estrumentali della Regione Abruzzo, con o senza perso-nalita giuridica, ai consorzi, alle agenzie e alle azienderegionali, nonche alle societa controllate e partecipatedalla Regione ad esclusione degli enti pubblici non eco-nomici, di conformarsi al DLgs. 231/2001. Detto obbligoe motivato dal riconoscimento dell’importanza dei prin-cipi di legalita, trasparenza, eticita, lealta e correttezzanell’affidamento, esercizio ed espletamento dei servizidi pubblica utilita e della normativa in materia di sicu-rezza del lavoro. Nel testo normativo si legge che, ‘‘alfine di realizzare i presupposti per l’esenzione della re-sponsabilita amministrativa per gli illeciti amministratividipendenti da reato’’, i soggetti elencati dovranno adot-tare entro sei mesi i modelli di cui agli artt. 6 e 7 delDLgs. 231/2001 che prevedono, in relazione alla naturadei servizi e delle attivita svolte e alla dimensione del-l’organizzazione, misure idonee a garantire il rispettodella legalita, dell’eticita e della trasparenza, nonche aindividuare e ad eliminare preventivamente e tempesti-vamente eventuali situazioni a rischio.
Nota:(5) Si fa notare come nella pratica professionale per ladeterminazione del «Rischio di Infrazione» il Rischio Ineren-te o Intrinseco abbia come significato che i fatti aziendaliovvero le operazioni registrate possano contenere opera-zioni cosiddette «sensibili».
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/2011 39
comunicazioni efficaci in modo che questefluiscano per l’intera struttura organizzativa:verso il basso, verso l’alto e trasversalmente.– monitoraggio: l’intero processo deve esseremonitorato e modificato se necessario. Ilmonitoraggio si concretizza in interventicontinui, integrati nella normale attivita ope-rativa aziendale, in valutazioni oppure inuna combinazione dei due metodi.In definitiva questo approccio determina gliobiettivi, identifica gli eventi ed affronta l’e-ventuale rischio aziendale che e essenzial-mente un rischio di gestione che dipende dal-la strategia adottata dal CdA.In effetti gli eventi che si devono analizzaredai quali discendono i possibili rischi deriva-no dai seguenti fattori (6):1) fattori esterni:– l’economia: oscillazione prezzi, disponibili-ta capitale, liquidita, concorrenza, disoccu-pazione;– l’ambiente: inondazioni, incendi, terremo-ti, inquinamento, rifiuti, energia, svilupposostenibile;– la politica: cambiamenti del contesto poli-tico, legislazione, politiche pubbliche, rego-lamentazione;– il sociale: terrorismo, demografici, dei co-stumi ed abitudini, privacy;– la tecnologia: cambiamenti tecnologici,commercio elettronico, tecnologia emergen-te;2) fattori interni:– le infrastrutture: investimenti per realizza-re un programma di manutenzione, un callcenter;– il personale: scioperi, risorse umane, salutee sicurezza;– i processi: tutto cio che puo causare perditedelle quote di mercato, inefficienze ecc;– la tecnologia: integrita dei dati, scelte disistema, sviluppo, diffusione.Con questa metodologia si analizzano i fat-tori e conseguentemente si identificano glieventi che possono pregiudicare il consegui-mento degli obiettivi aziendali (7).Come si puo notare questo approccio si basasul «Rischio di Gestione» che dipende dallastrategia aziendale e che ben poco ha a chevedere con uno specifico diretto ed univocorischio di commissione degli illeciti o reatiprevisti dal D.Lgs. 231/2001 se non nei fattoriinterni riguardanti il personale ed i processi.
Nell’ambito di questo «Rischio di Gestione»vengono definite le aree e le procedure damonitorare ed inseguito i protocolli da con-sigliare per impedire la commissione dell’il-lecito o reato.
Sub 2) - CoSO Report (I) Il sistemadi controllo interno - Un modello integratoper la gestione dei rischi aziendali -Progetto Corporate Governance per l’Italia(2008) - CoSO Report (III). Il controllointerno per l’attendibilita del FinancialReporting (2009)In questa seconda metodica che meglio siadatta a societa non quotate e PMI i due do-cumenti CoSO I e III vanno corroborati daiprincipi di revisione ISA riferiti a rischi diilleciti, reati ed errori, nonche dalla praticaprofessionale in materia di revisione conta-bile riferita alla costruzione del miglior con-trollo interno e delle procedure piu efficienti.Tale metodo si basa, innanzitutto, su altridue studi della Commissione CoSO (Commi-tee of Sponsoring Organizations of the Tread-way Commission):– il CoSO I tratta del miglior sistema per co-struire un adeguato ed efficiente sistema dicontrollo interno per la gestione dei rischiaziendali;– il CoSO III si concentra sulle Smaller Com-pany anche qui indicando la metodologia mi-gliore per produrre dei financial reporting at-tendibili (si intende come financial reportingquanto viene presentato dall’azienda comebilancio e relativa informativa economico fi-nanziaria).Orbene si puo affermare che se un buon con-trollo interno produce una corretta informa-tiva economico finanziaria esso puo confor-tare il management su una regolare esecuzio-ne delle procedure e che sia di conseguenzaefficace nel controllo dell’operato delle UnitaOperative.Ne risulta che i fatti di gestione sono corret-
Note:(6) «La gestione del rischio aziendale ERM Enterprise RiskManagement (CoSO II)» Il Sole 24Ore - Pagg. 48 - 49 - 53(7) Le tecniche per la identificazione degli eventi sonostate esposte nella Tavola 1 del contributo dello stessoautore «Modello di Organizzazione Gestione e Controllo:quali riferimenti concreti per la redazione?» in Amministra-zione&finanza n. 7/2011.
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/201140
tamente riportati nelle scritture contabili maanche che derivano da procedure statuite ve-rificate da piu persone competenti e per que-sto motivo non soggette a ledere l’aziendaproducendo un illecito o reato.Ecco che l’intervento che qui si propone con-siste nella verifica innanzitutto della morali-ta del management e nella sua capacita ditrasmettere la stessa a tutti i collaboratorinonche nella rigorosa applicazione dei colla-boratori nel seguire le procedure (quei speci-fici protocolli indicati dall’art. 6).Ne consegue che e l’attenzione che porral’Organo di Vigilanza (8) nel creare, affinareed aggiornare i necessari metodi di contrastoda inserire negli usuali processi operativi chedeterminera il costante carattere esimentedel modello nelle parti operative degli organidi governance e nelle unita operative.Sono le voci del bilancio conseguenti alla re-gistrazioni contabili, prodotte dai fatti di ge-stione, rilevate nel corso dell’anno (esercizio)che possono contenere fatti di gestione «sen-sibili» o illeciti.E nel bilancio che devono principalmente es-sere ricercate, nel corso delle verifiche pro-prie dell’Organo di Vigilanza, le eventualicommissioni dell’illecito o reato previsto dalDecreto 231/2001.La ricerca dovra partire, in primis, dalle tran-sazioni finanziarie (9) ed eventualmente daaltri comportamenti o carenze di regole chepossono portare alla commissione di illecitio reati in altri settori che non riguardanodirettamente transazioni finanziarie (i.e. si-curezza sul lavoro, rifiuti, diritti d’autore,false dichiarazioni).Come gia detto il sistema che qui si proponefa riferimento ai documenti CoSO I e III ed einoltre derivato dalla metodologia e bestpractice in materia di revisione contabileper determinazione del cosiddetto Rischiodi Revisione che puo ben facilmente essereinterpretato come «Rischio di Infrazio-ne» (10) che e sicuramente di conforto nelleoperazione di mappatura delle aree a rischioreato.Nell’eseguire i controlli l’OdV dovra porreparticolare attenzione ad eventi o transazio-ni significative.Un fatto di gestione significativo puo essereespressione di un’operazione irregolare, ille-cita o essere manifestazione di un reato ed e
per questo motivo che queste transazioni de-vono essere verificate sia nella loro legittimi-ta sia nel merito.Si ricorda qui che i principi di revisione in-ternazionali hanno avuto nell’ultimo decen-nio due fondamentali adeguamenti:– il primo (ISA conformed) ha comportato unaggiornamento di tutti i principi di revisionealla luce di due nuovi principi (l’ISA 315 el’ISA 330) sulla centralita della valutazionedel rischio di frodi ed errori significativi, laconformita a leggi ed a regolamenti e sulleconseguenti risposte nel processo di revisio-ne;– il secondo progetto, chiamato Clarity Pro-ject, e stato ultimato nel corso del 2009 con lariedizione di tutti i principi di revisione eriguarda la struttura del principio ora suddi-viso in introduzione, obiettivi, definizioni,regole, linee guida.La metodologia proposta fa riferimento aidocumenti CoSO I e CoSO III, mutua il co-siddetto metodo del risk approach indicatocome best practice internazionale nella deter-minazione del rischio di operazioni in bilan-cio non conformi a leggi e regolamenti, allapossibile esistenza di errori e frodi e si riferi-sce a quei principi di revisione che diretta-mente trattano di detti rischi e che quindivanno ad integrare i documenti CoSO soprarichiamati:– 240: la responsabilita del revisore nel valu-tare la possibile esistenza di frodi ed errori;– 250: gli effetti connessi alla conformita aleggi ed a regolamenti;– 315: la comprensione dell’impresa ed il suocontesto e la valutazione dei rischi di errorisignificativi;
Note:(8) Per approfondimenti sul tema si veda a cura dello stes-so autore: «L’Organo di Vigilanza: cardine del modello diorganizzazione e controllo» in Amministrazione&finanza 1/2009; «Organo di Vigilanza: archivi storici per ottenere ilcarattere esimente» in Amministrazione&finanza 2/2009;«Organo di Vigilanza: le check list per organizzare l’attivi-ta» in Amministrazione&finanza 2/2009; «La lettera di atte-stazione garantisce l’Organo di Vigilanza» in Amministra-zione&finanza 1/2010.(9) Si escludono tutti quei reati che non comportano tran-sazione finanziaria come quelli riferiti alla sicurezza sul la-voro, parte dei diritti d’autore, parte dei reati informatici,reati contro la personalita individuale e cosı via(10) Op. cit. Cap. 7.
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/2011 41
– 330: le procedure di revisione in funzionedi rischi identificati;– 440: valutazione degli errori identificati nelcorso della revisione contabile.Oltre al rischio di commissioni di operazioniimproprie vi sono principi di revisione cheriguardano situazioni che per loro naturapossono portare alla commissioni di azioni«improprie» quali quelle che possono esseresvolte con parti correlate altre poste in esserequando la continuita aziendale e incerta eche quindi possono portare a comportamentinon conformi alla corretta amministrazione,altre che per i motivi sopra descritti possonoessere compiute nell’esercizio successivo aquello esaminato;– 550: le parti correlate;– 560: eventi successivi;– 570: continuita aziendale e corretta ammi-nistrazione;– 1010: considerazione delle questioni am-bientali nella revisione del bilancio.A tutti questi principi (11) per altro richia-mati dal CoSO Report (I) fa riferimento ilmetodo seguito.Il Rischio di Infrazione (12) determina l’am-piezza e la misura della significativita e leconseguenti procedure di verifica che il Or-gano di Vigilanza andra ad applicare.In senso contabile un fatto e significativo sela sua omissione o indicazione errata puodistorcere il risultato economico del bilancioin esame.Un fatto di gestione significativo puo essereespressione di una operazione irregolare, il-lecita o essere manifestazione di un reato ede per questo motivo che questo importanteconcetto viene trattato e sviluppato (13).Nella pianificazione delle verifiche dell’OdVla significativita deve essere definita sia a li-vello di bilancio sia a livello delle singole vocida verificare.Il concetto di significativita non e definito edil principio di revisione 320 (14) non fornisceindicazioni specifiche in merito alla determi-nazione della soglia di significativita.La metodologia proposta si rivolge principal-mente al Organo di Vigilanza operante in so-cieta di medio/grandi dimensioni non quota-te nonche nelle PMI dove, per consuetudineprofessionale, il Rischio di Infrazione e laconseguente determinazione della significa-tivita possono essere determinate dal Organo
di Vigilanza dopo aver utilizzato i questiona-ri e le check lists proposte ed aver determina-to tramite la propria personale esperienza esensibilita professionale sia l’uno sia l’altrautilizzando appropriate metodologie.E il «senso critico» corroborato dallo scetti-cismo professionale maturato dall’Organo diVigilanza che sono di supporto nella deter-minazione del Rischio di Infrazione determi-nato dal contesto economico in cui opera l’a-zienda, dalla conoscenza dell’attivita dellastessa (rischio intrinseco), dall’analisi delleasserzioni derivanti dai questionari e checklists adottati e dall’uso del metodo del walkthrough per verificare che tali asserzioni cor-rispondano alla realta (rischio di controllo) edal conseguente livello di individuazione.I metodi statistici non sono applicabili inrealta aziendali dove si possono verificarecon facilita le transazioni piu rilevanti ed an-che importi significativi (15) ed individuarele aree e le operazioni sensibili.La stima della significativita varia a secondadella dimensione dell’azienda, e un concettorelativo ai dati a cui si riferisce e dipende
Note:(11) I principi di riferimento per la costruzione del modellosono:– il Codice di Autodisciplina di Borsa Italiana SpA;– le Linee Guida di Confindustria;– l’indagine condotta dal Comitato per l’Area D.Lgs 231/2001 dell’Associazione Italiana Internal Auditors (AIIA);– il CoSO Report (I) Il sistema di controllo interno) - Unmodello integrato per la gestione dei rischi aziendali -Progetto Corporate Governance per l’Italia (2008).– i Principi di Revisione, I.S.A.. (International Standards onAuditing) (2009);– la pratica professionale in materia di revisione richiama-ta dai documenti CoSO sopra indicati;– ha come riferimento anche– il CoSO Report III (Il controllo interno per l’attendibilitadel Financial Reporting) - Strumenti di riferimento per ilmanagement (2008).(12) Si riportano qui alcuni sinonimi del termine «infrazione»che possono ampliare il significato che qui si e voluto da-re: Violazione, trasgressione, inosservanza, illegalita, illeci-to, disubbidienza, contravvenzione,colpa, inosservanza.(13) Op. cit. Cap. 7.(14) P.R. 320 - Il concetto di significativita nella revisione.(15) Si pensi ad entita aziendali dove con facilita si posso-no verificare tutte le transazioni oltre un certo importo (peresempio: la totalita da 10.000 ed oltre) e con scelta ca-suale a campione altre sotto tale cifra avendo confortoinoltre dalle usuali verifiche di sostanza quali la circolariz-zazione dei saldi e le verifiche fisiche).
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/201142
dall’esperienza e dal giudizio professionale esenso critico di chi la determina.E in definitiva una valutazione soggettiva.La significativita e determinata nella fasepreliminare delle verifiche svolte dall’Organodi Vigilanza e viene rivista in corso d’operase emergono elementi che richiedano un ag-giornamento della stessa.
Il Rischio di Infrazione e le suecomponenti
Con il termine «Rischio di Infrazione» si puodefinire il rischio che l’Organo di Vigilanzanon individui un’area, un settore e all’internodi queste una procedura in cui si sia prodottauna falla o una incrinatura nella quale si pos-sa incuneare un insieme di azioni sensibiliche possono permettere il compiersi di unillecito o di un reato. Le componenti del Ri-schio di Infrazione sono tre: il Rischio Intrin-seco, il Rischio di Controllo e il (Rischio)Livello di Individuazione.1. II «Rischio Intrinseco» e la possibilita chei fatti di gestione contenuti in un saldo di unconto o di una classe di operazioni possanoessere inesatti e includere operazioni «sensi-bili» ai fini della commissione dei reati edilleciti di cui al Decreto quindi contenereoperazioni conseguenti ad azioni illecite, ecio indipendentemente dalla presenza o me-no di adeguati controlli interni relativi a taliconti o classi di operazioni;2. il «Rischio di Controllo» e il rischio cheun’operazione sensibile che potrebbe esserestata registrata in contabilita o in una classedi operazioni e che potrebbe essere indicati-va di un comportamento illecito, individual-mente considerata o sommata ad altre tran-sazioni dello stesso tipo, non sia scoperta ocomunque tempestivamente individuata edeliminata rimuovendo contestualmente lapossibilita di ripeterla.L’OdV deve analizzare gli elementi caratteri-stici della societa che possono influire sullapossibilita dell’esistenza di operazioni sensi-bili. L’OdV rileva un rischio di controllo bas-so se decide di dare affidabilita al sistema dicontrollo interno dell’azienda cliente cio av-viene dopo aver completato i questionari edeseguito un attento Walk Through, cio avvie-ne per ogni singolo ciclo;3. il «(Rischio) Livello di Individuazione o
Riconoscimento» e il rischio che le procedu-re di conformita e di validita eseguite dal-l’OdV non evidenzino un comportamento«sensibile».E proporzionale all’efficacia delle proceduredi verifica pianificate ed adottate.L’OdV valutera nei vari cicli operativi se ap-plicare la metodologia qui esposta o in alter-nativa altra piu pertinente al caso specifico.E il senso critico corroborato dallo scettici-smo professionale maturato dal Organo diVigilanza che e di supporto nella definizionedella migliore metodologia da applicare de-rivante dal contesto economico in cui operal’azienda, dalla conoscenza dell’attivita dellastessa, dall’analisi delle asserzioni derivantidai questionari e check lists adottati e dall’u-so del metodo del walk through per verificareche tali asserzioni corrispondano alla realta.
Individuazione o «mappatura»delle aree a rishio reato
La determinazione della significativita delletransazioni da verificare, sposata con la me-todologia dell’utilizzo dei questionari e checklists utili per conoscere nel dettaglio le pro-cedure permette all’OdV di determinare ilrange di operazioni da verificare.Con l’ausilio di appropriati questionari echeck lists l’OdV e in grado di identificare e«mappare» (16) le Aree a rischio reato e de-terminare adeguate procedure di controllopreventivo e successivo.Come piu volte espresso in precedenza nonvi sono solo le aree a rischio reato riferite afatti di gestione che si concludono con tran-sazioni finanziarie, ma anche aree a rischioche non hanno come conclusione una tran-sazione finanziaria quali per esempio:– reati di omicidio colposo e lesioni gravi ogravissime commesse con la violazione dellenorme antinfortunistiche e sulla tutela dell’i-giene e della salute sul lavoro (art. 25-septiesdel Decreto e D.Lgs. n. 81 del 9 aprile 2008 es.m.i.);– parte dei Delitti informatici e trattamentoillecito di dati (art. 24-bis del Decreto);
Nota:(16) Art: 6 Comma 2 lettera a) individuare le attivita nelcui ambito possono essere commessi reati.
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/2011 43
In questo caso la mappatura dovra essere ef-fettuata anche rivolgendosi ad esperti e aprofessionalita esterne.In generale, pero, sono quelle operazioni diconfine o boundary, sia significative nel loroammontare sia non, che possono essere sen-sibili e contenenti reati ed illeciti.
Tali fatti di gestione usualmente sono ogget-to di una transazione finanziaria il cui iternon ha avuto adeguati controlli di merito alsuo sorgere da parte degli organi di gover-nance e successivamente insufficienti e ina-deguate verifiche e riscontri all’atto della lo-ro manifestazione finanziaria finale.
D.Lgs. 231/2001
Govern
od’im
pre
sa
8/201144
