Come Inarcassa gestisce e previene il rischio corruzione
La globalizzazione e i danni finanziari e di reputazione associati alla corruzione hanno spinto le organizzazioni, sia nel settore pubblico, sia in quello privato, a innalzare il livello di guardia. Negli anni, l’evoluzione della normativa nazionale e internazionale ha spinto le società e gli enti pubblici e privati a diventare sempre più consapevoli del fenomeno della corruzione e a concentrarsi sulle misure di contenimento come componenti essenziali dei meccanismi volti alla protezione della propria reputazione e degli interessi degli stakeholder.
Esistono numerose normative (di diversa emanazione), nazionali e internazionali, che si occupano del tema anti-corruzione e antifrode, che possono costituire una base per la definizione di un modello.
Un’efficiente azione di contrasto della corruzione richiede un approccio integrato che affianchi alla criminalizzazione e alla sanzione delle condotte illecite l’adozione di adeguate misure di prevenzione. La disciplina della responsabilità amministrativa degli enti ha rappresentato il primo passo in questa direzione.
IL RISCHIO CORRUZIONE E IL D.LGS. 231/2001 Il D.Lgs. 231/2001 nasce, su impulso dell’Unione Europea e dell’OCSE, e si è ispirato al Foreign Corrupt Practices Act degli USA (1977), come strumento per diffondere la cultura della trasparenza e del rispetto delle regole all’interno dell’impresa, incentivando quest’ultima – attraverso il beneficio dell’esenzione da responsabilità – ad adottare presidi organizzativi e procedure idonee a intercettare e gestire il rischio di corruzione. Successivamente si estende a ulteriori rischi di reato, depotenziandone in parte l’efficacia. Il D.Lgs. 231/2001 ha costituito una fonte di ispirazione per la legge 190/2012 (anticorruzione) la quale ha introdotto modelli di risk management e controlli interni alla Pubblica Amministrazione volti a prevenire fatti di corruzione, che richiamano modalità e termini propri del decreto 231/2001.
La disciplina dell’anticorruzione – che si compone della legge 190, dei suoi decreti attuativi, del Piano Nazionale Anticorruzione e delle Linee guida Anac – è un sistema complesso di recente adozione e in continua evoluzione e contiene indicazioni specifiche sugli obblighi cui sono soggette la PA, le società e gli enti soggetti a controllo pubblico, nonché sulle modalità applicative. Questo grado di specificità della disciplina anticorruzione deriva anche dal fatto che il legislatore del 2012 trova un contesto più maturo, in cui molti presidi organizzativi con finalità preventiva sono già stati vagliati dalla giurisprudenza e dalle prassi nel corso di un decennio di applicazione del D.Lgs. 231/2001.
L’EVOLUZIONE: LA LEGGE 190/2012 La legge 190/2012 rappresenta un’evoluzione della disciplina 231 e le indicazioni contenute possono essere un nuovo punto di riferimento anche per le società che adottano modelli organizzativi idonei a prevenire il rischio del reato di corruzione nei rapporti con la PA. La legge anti-corruzione ha dato vita a una strategia integrata di prevenzione dei fenomeni corruttivi. In questo terreno comune l’anti-corruzione e la trasparenza si interconnettono alla disciplina della responsabilità amministrativa degli enti ex D.Lgs. 231/2001 conservando una propria autonomia. Di recente, soprattutto mediante interventi dell’Anac, si è voluta superare la separazione strutturale dei modelli, mirando a creare sinergie e ad aumentare i punti di tangenza tra le due discipline. Il processo di integrazione, attualmente in fase sperimentale, presenta rilevanti difficoltà applicative. Allo stesso tempo, però, si riescono ad intravedere interessanti prospettive evolutive.
L’ambito soggettivo di applicazione delle due discipline è sicuramente un elemento di congiunzione. Gli enti pubblici economici e gli enti privati/società in controllo pubblico hanno l’obbligo di integrare, qualora sia stato adottato, il Modello di Organizzazione, Gestione e Controllo D.Lgs. 231/2001 (di seguito MOG 231) con misure idonee a prevenire anche i fenomeni di corruzione e illegalità in coerenza con le finalità della legge 190/2012 inserendole in una apposita sezione del documento del MOG 231 o allegando a questo un piano anti-corruzione ad hoc. Nel caso in cui non sia stato implementato il MOG 231, oltre all’obbligo di darne motivazione, è previsto comunque l’obbligo di adottare un Piano di Prevenzione della Corruzione e della Trasparenza (PPCT).
LA NORMATIVA PER LE CASSE DI PREVIDENZA Le società a partecipazione pubblica, le associazioni, le fondazioni e gli enti di diritto privato anche privi di personalità giuridica, con bilancio superiore a 500 mila euro che esercitano funzioni amministrative, produzione di beni e servizi a favore della PA o gestione di servizi pubblici (Casse di Previdenza), non sono considerati in controllo pubblico. Tuttavia in considerazione delle finalità istituzionali perseguite non viene meno l’interesse generale alla prevenzione della corruzione. La norma prevede che sia compito delle amministrazioni che a essi affidano lo svolgimento di attività di interesse pubblico, promuovere l’eventuale adozione del MOG 231 e delle misure per la prevenzione della corruzione previste dalla Legge 190/2012, da definire attraverso la stipula di appositi Protocolli di legalità. Per le Casse di Previdenza i Ministeri Vigilanti hanno ritenuto che l’adozione del decreto interministeriale in materia di investimento delle risorse finanziarie degli enti previdenziali, dei conflitti di interesse e di banca depositaria, ancora in attesa di approvazione, rappresenti l’atto propedeutico alla predisposizione dei protocolli anti-corruzione.
Inarcassa, in attesa dell’adozione dei protocolli di legalità, ha ritenuto comunque opportuno abbracciare, sin dal 2015, lo spirito della legge e cogliere l’occasione per dare avvio al proprio interno ad un processo di gestione del rischio di corruzione e relativa predisposizione del Piano di Prevenzione della Corruzione e della Trasparenza (PPCT) e dei successivi aggiornamenti annuali.
Gli enti in controllo pubblico o “partecipati” dalla PA che hanno già sviluppato un MOG 231 o sono intenzionati a implementarlo devono valutare le necessarie integrazioni del modello rispetto alle previsioni della legge 190/2012. È necessario pertanto adottare una metodologia integrata di risk assessment che tenga in considerazione le peculiarità dei due framework normativi. Devono però essere tenute in debita considerazione le due principali differenze ovvero l’assenza nell’impianto normativo previsto dalla legge anti-corruzione del concetto di interesse dell’ente che è invece l’elemento centrale nella qualificazione della sua responsabilità amministrativa ai sensi del decreto 231. La legge 190/2012 dà inoltre al concetto di corruzione un’accezione ampia includendo tutte le situazioni nelle quali, a prescindere dalla rilevanza penale, si evidenzi un malfunzionamento dell’amministrazione. Infine va considerato il diverso perimetro di intervento del framework 231 che non si limita al rischio corruttivo ma si estende a molteplici altre categorie di reato presupposto (reati societari, ambientali, sicurezza nei luoghi di lavoro, ecc.).
IL MODELLO ANTI-CORRUZIONE DI INARCASSA L’adozione dell’approccio preventivo alla lotta alla corruzione ha implicato pertanto l’avvio di un processo di risk management applicato al fenomeno basato sui principali modelli di gestione integrata del rischio a livello internazionale.
Il Framework ERM 2004 attribuisce alla funzione di gestione del rischio un ruolo fondamentale nell’efficacia del sistema di controllo interno dell’ente ed è alla base anche del Piano di Audit risk based predisposto annualmente dalla funzione di Internal Auditing di Inarcassa. Il modello è il frutto di un insieme di regole e controlli che, al fine di salvaguardare le risorse e il patrimonio aziendale, contribuisce a: individuare gli eventi o circostanze interne ed esterne all’ente che generano rischi e opportunità, valutare le probabilità e l’eventuale impatto del loro accadimento, in correlazione con il livello di accettabilità da parte dell’ente, e stabilire le strategie di risposta e monitoraggio del fenomeno, mantenendo, al contempo, l’intera organizzazione aziendale costantemente orientata alla creazione di valore.
Il Framework ERM 2004 è rappresentato graficamente da un cubo definito “Coso Cube” (vedi immagine di seguito). Il cubo evidenzia l’interrelazione esistente tra le quattro categorie di obiettivi/rischi aziendali ( strategici, operativi, reporting, compliance), i quattro possibili livelli organizzativi delle imprese (Ente, Direzioni/ Funzioni, Unità di business e Controllate) e gli otto componenti dell’ERM, come descritti nel grafico a fianco. Il piano anti-corruzione si instilla come un vero e proprio obiettivo di Inarcassa integrato in ogni livello e in ogni componente.
L’ERM permette al management di affrontare in maniera efficace le incertezze e i conseguenti rischi/ opportunità, accrescendo la capacità di generare valore attraverso il conseguimento dell’equilibrio ottimale tra gli obiettivi ed i rischi conseguenti.
Nelle organizzazioni in cui il Sistema di Controllo Interno e di Gestione dei Rischi (SCIGR) non è integrato i diversi assurance provider (funzioni di controllo) adottano una propria metodologia di assessment e di valutazione dei rischi, producono propri report e forniscono informazioni specifiche sulla attività svolte (cosiddetta gestione per “silos”).
L’approccio metodologico utilizzato nella fase di risk assessment è basato su una attività di autodiagnosi caratterizzata da un’attiva partecipazione del management (c.d. Control Risk Self Assessment, CRSA) effettuata sulla base delle citate best practice in materia di risk management. La metodologia CSRA ha consentito ai manager e ad altri soggetti operativi di ogni unità organizzativa, funzione o processo, attraverso un processo strutturato e guidato, di:
• identificare gli obiettivi di business e di governo prioritari e i relativi rischi che costituiscono minacce al loro conseguimento; • valutare i processi di controllo finalizzati a mitigarli e gestirli; • sviluppare piani d’azione per ridurre il rischio corruzione che è emerso nel corso dell’autodiagnosi; • determinare il livello accettabilità dei rischi residui ai fini del conseguimento degli obiettivi.
Si delinea cosi una “impalcatura” su cui definire uno strumento che, partendo da un risk assessment impostato secondo le peculiarità metodologiche e normative del D.Lgs. 231 e della l. 190 porti alla costruzione di un unico sistema di controllo interno costituito dall’organizzazione, dai principi, dalle regole di comportamento e operative e dalle procedure aventi lo scopo di monitorare il conseguimento delle seguenti finalità:
• individuazione delle aree che presentano rischi di commissione di condotte corruttive, che includano, ma non si limitino, a quelle previste nell’art. 1, comma 16, della L. 190/2012; • programmazione della formazione, con focus sulle aree a maggior rischio di corruzione; • implementazione di procedure per l’attuazione delle decisioni dell’ente in relazione al rischio di fenomeni corruttivi; • individuazione di modalità di gestione delle risorse umane e finanziarie idonee ad impedire la commissione dei reati; • previsione dell’adozione di un Codice di comportamento che includa la regolazione dei casi di conflitto di interesse; • regolazione di procedure per l’aggiornamento del Modello, comprese le misure per la prevenzione dei rischi in ambito L. 190/2012; • previsione di obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli; • regolazione di un sistema informativo idoneo a consentire il monitoraggio sull’implementazione del Modello da parte dell’amministrazione controllante/ partecipante; • introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello, anche in riferimento al mancato rispetto delle misure finalizzate alla mitigazione dei rischi in “ambito 190”.
Gli elementi del Sistema di Controllo sopra elencati presentano una duplice valenza nella prevenzione delle condotte corruttive, anche quando queste non siano commesse nell’interesse o a vantaggio dell’ente.
Generalmente, i documenti in cui sono sintetizzati questi elementi sono il Codice Etico, il Modello di organizzazione, gestione e controllo redatto ai sensi del D.Lgs. 231/2001, il PPCT, che costituisce parte del Modello, le procure e le deleghe in capo ai vari esponenti aziendali, le disposizioni organizzative, con cui vengono definite, comunicate e attuate le scelte inerenti all’assetto organizzativo aziendale, le procedure e le istruzioni operative, che disciplinano singole attività o processi.
Le principali misure adottate nel PPCT di Inarcassa trasversali a tutte le aree di rischio sono:
• Trasparenza; • Accesso civico semplice e generalizzato; • Codice etico; • Conflitto di interessi; • Inconferibilità e incompatibilità incarichi ex D.Lgs. 39/2013; • Attività successive alla cessazione del servizio (pantouflage/revolving doors); • Formazione del personale; • Adozione Patto di integrità negli affidamenti • Whistleblowing.
A queste si aggiungono le misure specifiche applicate alle singole aree di rischio (verifiche di audit, procedure, segregation of duties, digitalizzazione dei servizi e implementazione delle misure di sicurezza IT, indagini customer satisfation iscritti, ecc.).
Per quanto riguarda il framework 231, che al momento Inarcassa sta valutando di introdurre, va considerato che la sua adozione comporta altresì un miglioramento di efficacia e trasparenza nel funzionamento dell’ente prevenendo fenomeni di opacità informativa e possibili utilizzi impropri della struttura per fini illegali contribuendo in definitiva alla diffusione di una cultura della legalità all’interno dell’Associazione.
Il decreto legislativo 8 giugno 2001 n. 231 disciplina la “ responsabilità degli enti per gli illeciti amministrativi dipendenti da reato”, che si applica agli enti dotati di personalità giuridica e alle società e associazioni anche prive di personalità giuridica. Il Decreto ha introdotto la detta responsabilità amministrativa degli enti in aggiunta alla responsabilità penale della persona fisica che ha commesso il reato. Secondo la disciplina introdotta dal decreto, infatti, gli enti possono essere ritenuti responsabili per alcuni reati commessi o tentati, nell’interesse o a vantaggio degli stessi enti, da esponenti dei vertici aziendali, in posizione apicale, e da coloro che sono sottoposti alla direzione o vigilanza dei primi e, quindi, sono soggetti, in via diretta e autonoma, a determinate sanzioni amministrative in relazione ai reati ascritti ai citati soggetti.
Le sanzioni applicabili all’ente sono di tipo interdittivo e di tipo pecuniario. L’adozione di un specifico MOG 231, benché non resa obbligatoria dalla norma, può tuttavia costituire una sorta di “scudo aziendale” in grado di esimere dalla responsabilità amministrativa. Infatti in caso di un evento illecito 231 l’ente è esente da responsabilità se prova di avere adottato ed efficacemente attuato un Modello di organizzazione e gestione idonei a prevenire la commissione dei reati, se prova di avere affidato ad un proprio organismo interno, dotato di autonomi poteri di iniziativa e di controllo, il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento costante dei modelli. Ma anche se prova la commissione del reato con elusione fraudolenta del MOG, e se è presente una adeguata vigilanza da parte dell’OdV.
Il d.lgs. 231/01 ha pertanto attribuito rilevanza giuridica al MOG 231. In caso di reato commesso l’ente è esente da responsabilità qualora abbia adottato il modello organizzativo, salvo che venga provata dal giudice l’inidoneità del modello a prevenire reati, ovvero la sua inefficace attuazione.
Il MOG 231 è un complesso di regole, strumenti e condotte funzionale a dotare l’Ente di un efficace sistema organizzativo e di gestione (ragionevolmente) idoneo a individuare e prevenire le condotte penalmente rilevanti poste in essere dall’Ente stesso o dai soggetti sottoposti alla sua direzione e/o vigilanza.
L’ORGANO DI VIGILANZA Il D.Lgs. 231/01 prevede quale condizione che esime l’ente dalla responsabilità amministrativa, oltre che l’adozione di validi modelli di organizzazione, gestione e controllo, anche la costituzione di un apposito Organismo di Vigilanza, deputato al controllo dell’effettivo funzionamento dei modelli di gestione adottati.
La realizzazione di una simile funzione impone quindi il monitoraggio continuo delle aree a rischio, dell’effettiva adozione e messa in pratica del modello, della regolare tenuta dei documenti prescritti, dell’efficienza ed effettivo funzionamento delle misure e cautele previste dal modello. 
L’Organismo di Vigilanza ha potere di verifica e intervento immediato nel caso di segnalazione di irregolarità. Effettuate le verifiche del caso, in genere affidate all’internal auditing, l’organo di vigilanza riferisce dell’avvenuta infrazione all’organo amministrativo, proponendo la misura sanzionatoria all’uopo prevista dal sistema disciplinare adottato nell’ente. Interviene in funzione propositiva e consultiva, ma non nei processi decisionali dell’ente. All’Organismo di Vigilanza spettano inoltre poteri ispettivi che riguardano la vigilanza sull’effettiva applicazione e adeguatezza del modello prescelto. Il D.Lgs. 231/01 contempla l’obbligo di prevedere nei modelli organizzativi dei flussi informativi nei confronti dell’Organismo di Vigilanza.
Anche se l’ente è libero di scegliere la composizione dell’Organismo che può identificarsi con organi già esistenti all’interno dell’ente, l’esperienza maturata nel corso di questi anni e talune indicazioni in sede giurisprudenziale fanno propendere per un organismo specifico creato appositamente, preferibilmente in forma collegiale, con apposite garanzie di autonomia, indipendenza, professionalità ed efficienza. La composizione è estremamente eterogenea, a causa dell’assenza di qualsiasi indicazione in proposito da parte della normativa. L’Organismo di Vigilanza ha un numero di componenti variabile tra uno (composizione monocratica) e sette, ma è prevalente il modello composto da tre membri, riscontrabile nell’80% dei casi. Quanto alla loro composizione, gli Organismi sono strutturati da un mix di risorse interne (Responsabile dell’internal auditing presente nel 60% dei casi, a cui seguono il Responsabile della Funzione Legale, gli amministratori indipendenti, per chiudere con il 20%, i componenti del collegio sindacale) ed esterne (consulenti legali, esperti organizzazione aziendale ecc.) in genere con il ruolo di Presidente. La funzione di Internal Auditing, se presente, indipendentemente dalla composizione dell’organo, rappresenta il braccio operativo ideale per l’Organismo di Vigilanza, svolgendo un’attività che presenta caratteristiche tali da assicurare il conseguimento di gran parte degli obiettivi di vigilanza sul modello organizzativo.
Nell’ottica integrata della governance aziendale si evidenzia che i punti cardine del MOG 231 anche se mirati ad aree definite come reati dalla legislazione vigente, costituiscono un vero e proprio sistema di controllo interno e di gestione dei rischi.
Le principali attività sensibili rilevanti per le Casse di Previdenza sono:
• Gestione dei rapporti con la Pubblica Amministrazione; • Reati societari, inclusa la corruzione tra privati; • Reati di ricettazione, riciclaggio e autoriciclaggio; • Gestione dei rapporti con l’Autorità di vigilanza; • Gestione del patrimonio immobiliare; • Gestione delle procedure acquisitive di beni/servizi; • Gestione del processo di selezione e assunzione del personale; • Gestione di contenziosi e accordi transattivi; • Tenuta della contabilità e redazione del bilancio; • Gestione dei rapporti con il Collegio Sindacale e la Società di revisione; • Gestione finanziaria delle risorse patrimoniali; • Delitti informatici e di trattamento illecito dei dati; • Gestione degli adempimenti in materia di salute e sicurezza sul lavoro e di tutela ambientale; • Gestione degli adempimenti fiscali.
VERSO UNA REVISIONE ORGANICA E L’OBBLIGATORIETÀ Si parla ormai da anni di revisione organica del D.Lgs. 231/2001 e l’interesse è sempre più vivo in quanto l’obbligatorietà del modello, ancorché non contemplata ex lege, è stata spesso fortemente suggerita attraverso fonti di svariata natura, norme regionali, atti di natura regolamentare, provvedimenti emanati da autorità di vigilanza, che investono particolari tipologie di enti. Va anche considerato il contributo della giurisprudenza che, colmando lacune interpretative connesse ad alcune zone “grigie”, nel corso del tempo ha ampliato il novero dei destinatari della normativa. In altre parole, a dispetto dell’assenza di un espresso obbligo di legge, l’attuale sistema dimostra con evidenza che l’adozione di un modello organizzativo e la nomina di un organismo di vigilanza già configurano in qualche modo un dovere per moltissimi enti. In questo senso sono orientate proposte di legge come il recente disegno di legge n. 726, finalizzato a introdurre l’obbligatorietà del MOG 231 e dell’organismo di vigilanza per le società che superano determinati parametri connessi, nel caso di specie, ai ricavi di vendita. Proposte come quella accennata sembrano prendere atto dell’esigenza di rendere maggiormente efficaci i presidi contemplati dal D.Lgs. 231/2001, ufficializzandone l’obbligatorietà. Prima ancora di intervenire su questi aspetti occorrerebbe, tuttavia, interrogarsi in merito alla adeguatezza della norma rispetto al contesto di riferimento nel quale opera. Così, scorrendo l’elenco dei punti rispetto ai quali il decreto 231 ha mostrato alcune criticità, rileva in primis la constatazione che i modelli organizzativi adottati hanno raramente superato il vaglio di idoneità giudiziale, non consentendo agli enti chiamati nel giudizio penale di evitare le incisive sanzioni pecuniarie e interdittive contemplate dalla norma. È evidente che questa circostanza non ha di certo giovato alla diffusione dei modelli, in molti casi considerati dalla platea dei loro potenziali destinatari come un onere al quale non corrisponde alcun visibile beneficio. In questo senso è stato più volte auspicato il ripristino dell’ordinario meccanismo dell’onere della prova che attualmente, nell’ipotesi di reato commesso da un soggetto apicale, è “invertito”, nel senso che grava esclusivamente sull’ente. Invero, si tratta solo di uno dei tanti aspetti procedurali della normativa che, se rivisti, consentirebbero di rendere molto più appetibile la compliance. Al medesimo obiettivo potrebbe essere improntata la previsione di meccanismi premiali nei confronti di chi adotta un modello organizzativo, ad esempio attribuendo un maggior vigore operativo ai rating di legalità e d’impresa. Da ultimo, una maggiore considerazione in sede giudiziale dell’adozione e del rispetto di standard riconosciuti, nonché di principi condivisi regolanti l’elaborazione e l’efficace attuazione dei modelli, avrebbe risvolti sicuramente positivi: rendere più certa la possibilità che l’introduzione del modello possa escludere la responsabilità dell’ente, ovvero svolgere una funzione esimente, o comunque incidere sulla sanzione inflitta (solo pecuniaria con esclusione di quelle interdittive) rappresenterebbe una forma di persuasione efficace per le imprese nell’ottica di una valutazione tra costi e benefici fondata non solo su aspetti di tipo monetario, ma anche organizzativo e culturale e, più in generale, su una maggiore attenzione alla gestione dei rischi. È opportuna l’adozione di Linee guida per i fondi pensione, le Casse professionali e i fondi sanitari.
Inoltre, l’introduzione di un MOG 231/01 permette di sviluppare sinergie con i Sistemi di Gestione (ISO 9001:2015 qualità, OHSAS 18001/ISO 45001 salute e sicurezza sul lavoro; ISO 14001 ambientale, ISO 26000 responsabilità sociale, ISO 27001 sicurezza IT, ISO 37001 corruzione, ecc.) che pur con obiettivi diversi (la certificazione non costituisce a oggi un esimente) presentano, con le varianti necessarie, svariati profili di intersezione, sovrapposizione e complementarietà. In alcuni casi, un MOG 231 conforme ai requisiti per lo standard OHSAS 18001/ISO 45001, si presume, per le parti corrispondenti, conforme anche ai requisiti del D.Lgs 81/2008 “Testo Unico sulla Sicurezza”. È possibile per esempio sfruttare la certificazione del Sistema ISO 37001 come “rafforzamento” qualora ci fosse necessità di esibire sia il MOG 231 in giudizio per l’esonero della responsabilità amministrativa sia il PPCT per le responsabilità previste dalla Legge 190/12 (anche se non si può parlare di una vera e propria “legal defense”). Si potrà inoltre procedere nel MOG 231 con un’analisi del “As is” e con l’identificazione dei disallineamenti ( gap analysis) tra i presidi anti-corruzione in essere e le misure previste dallo standard.
tra quelli più cercati
