Il ruolo dell’organismo di vigilanza nel processo di acquisto di servizi professionali

Premessa
Come indicato all’Art. 6, comma 1, lett. b) D.Lgs. 231/2001 (“Decreto”), l’Organismo di Vigilanza (“OdV”) è “…un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo… ” che ha il compito di “vigilare sul funzionamento e sull’osservanza dei Modelli, di curare il loro aggiornamento…”, con una finalità sia preventiva – limitare il rischio che siano commessi reati -, sia esimente – dimostrare che l’impresa abbia posto in essere le necessarie misure di controllo e che l’OdV abbia correttamente adempiuto al suo compito.

La prassi ha tradotto tale indicazione normativa in una serie di attività che devono caratterizzare l’azione dell’OdV, con riferimento al Decreto e al Modello di Organizzazione, Controllo e Gestione (“Modello”) previsto dal Decreto stesso:

• Il controllo sulla coerenza tra il Modello e l’organizzazione aziendale
• Il controllo sull’effettività del Modello, cioè sul funzionamento e sull’osservanza dello stesso
• Il controllo sull’efficacia (la qualità del Modello), cioè sull’idoneità dello stesso a prevenire i reati “presupposto”
• Le iniziative per l’adattamento e l’aggiornamento del Modello
• La segnalazione di eventuali violazioni
• Le iniziative da intraprendere nel caso di apertura di un procedimento per notizia di reato su persona fisica e/o società
• Il controllo delle attività di comunicazione, diffusione e formazione sul Modello
• Lo scambio periodico sull’attività svolta con gli organi di governo e controllo della Società

L’acquisto dei servizi professionali: le fasi del processo
Prima di analizzare le attività che caratterizzano l’azione dell’OdV con riferimento al processo di acquisto di servizi professionali, è opportuno precisare che le fasi operative di tale processo non sono assolutamente dissimili da quelle che caratterizzano in generale il processo degli approvvigionamenti. Ci si aspetta quindi che:

• sia definito il budget annuale della funzione
• sia prevista una richiesta formalizzata
• esista una modalità di identificazione della controparte
• siano previste la definizione e formalizzazione del contratto
• esista la verifica della prestazione resa
• si proceda alla contabilizzazione delle transazioni
• sia prevista l’autorizzazione al pagamento.

Le diverse fasi del processo devono essere correttamente strutturate in modo da garantire un adeguato livello di trasparenza e di separazione dei compiti e la tracciabilità delle singole transazioni.

Volendo declinare tali standard generali di controllo all’interno del processo, occorre prevedere un adeguato livello di separazione tra i soggetti che richiedono, autorizzano e definiscono il contratto, verificano l’esecuzione del servizio, contabilizzano e effettuano il pagamento. Inoltre, deve essere formalizzata la richiesta del servizio da parte della funzione richiedente. La scelta della controparte deve avvenire attraverso una procedure di qualifica e selezione (devono essere accertati i requisiti tecnico-professionali, di onorabilità, di indipendenza della controparte) e si deve poi procedere attraverso un’analisi comparativa (svolgimento di una procedura competitiva tra più controparti potenziali). Il contratto deve essere perfezionato in tutte le sue parti, prevedendo l’oggetto, la modalità di effettuazione della prestazione, il corrispettivo, le clausole etico-comportamentali, il riferimento al Modello e al codice etico della società. L’approvazione, sia in fase di richiesta, sia in fase di verifica del servizio reso, deve essere formalizzata e deve essere prevista l’archiviazione della documentazione a supporto, che consenta di ricostruire il processo ed i livelli di responsabilità nelle diverse fasi dello stesso. 

Il processo d’acquisto di servizi professionali nell’ambito del Decreto
Entrando nel vivo dell’argomento occorre innanzi tutto precisare che l’approvvigionamento di servizi professionali rientra tra i processi «a rischio 231», in quanto le attività che lo caratterizzano possono essere strumento attraverso il quale generare fondi da utilizzare per il compimento di reati quali:

• corruzione, anche tra privati, concussione, malversazione, induzione indebita;
• delitti con finalità di terrorismo, di eversione dell’ordine democratico, di riciclaggio e impiego dei proventi di attività criminose e autoriciclaggio;
• delitti di criminalità organizzata, reati transazionali e di intralcio alla giustizia;
• reati societari.

In tale ambito le fasi del processo che risultano maggiormente rilevanti sono l’accreditamento e la qualifica della controparte, l’assegnazione dell’incarico e la gestione del rapporto.

L’OdV, con riferimento alle suddette fasi, deve attivare tutti gli strumenti di conoscenza e di verifica a sua disposizione per appurare che siano stati previsti e attivati i necessari presidi e strumenti di controllo, accertandone la qualità e l’efficacia.

Il primo compito dell’OdV, da effettuarsi nel momento in cui entra in carica e periodicamente, è di verificare come è stato impostato il Modello e quindi analizzare il processo di risk assessment. Attraverso tale processo infatti vengono identificate le attività sensibili ed i rischi reato correlati, oltre che valutati i rischi potenziali ed il contributo del sistema di controllo interno alla copertura degli stessi. Se tale attività con riferimento al processo di acquisto dei servizi professionali è stata effettuata correttamente, il Modello, nella “Parte Speciale” (NOTA: La Parte Speciale del Modello è quella in cui sono riportati i reati astrattamente applicabili – “reati presupposto” -, con l’indicazione delle attività sensibili e dei relativi presidi di controllo) fornirà indicazioni complete e corrette in merito alle attività sensibili che caratterizzano la società, ai relativi rischi ed ai presidi necessari per prevenirli. Nel caso in cui da questa attività di controllo preliminare l’OdV dovesse rinvenire delle carenze del Modello, dovrà immediatamente intervenire segnalando ai vertici della società i necessari interventi correttivi.

L’OdV nello svolgimento del suo incarico deve quindi procedere nell’espletamento delle attività di vigilanza impostando il proprio programma annuale finalizzato:

• alla verifica dell’adeguatezza e dell’efficacia del Modello in relazione alle specificità e alle caratteristiche organizzative della Società che si riflettono sulle attività sensibili e sui rischi «mappati» in fase di risk assessment;
• alla verifica della coerenza tra quanto previsto dal Modello e le procedure ed il sistema dei controlli aziendali;
• alla verifica dell’applicazione delle procedure e dei controlli finalizzati a ridurre il rischio di commissione dei reati «presupposto».

Per raggiungere tali obiettivi con riferimento al processo di acquisto dei servizi, l’OdV dovrà definire il piano annuale dei controlli, che potranno riguardare sia la modalità di definizione della procedure (verifica del “disegno della procedura”), al fine di verificare che le stesse prevedano punti di controllo completi ed efficaci rispetto ai rischi da presidiare, sia la verifica che le procedure siano applicate e che tali punti di controllo siano effettivamente rispettati (test su un campione di transazioni). Nel caso specifico l’OdV, attraverso i suddetti controlli, dovrà riscontrare i presidi posti in essere dalla società con riferimento a:

ACCREDITAMENTO/QUALIFICA DEI FORNITORI

• Definizione dei requisiti per l’accreditamento/qualifica.
• Modalità e criteri per l’attribuzione, modifica, sospensione e revoca dell’accreditamento/qualifica.
• Verifica nel tempo del mantenimento dei relativi requisiti.

ASSEGNAZIONE DELL’INCARICO

• Richiesta della funzione
• Modalità di assegnazione
• Formalizzazione del rapporto
• Autorizzazione

GESTIONE DEL RAPPORTO

• Rispetto del contratto
• Verifica del servizio reso
• Autorizzazione al pagamento

Un altro strumento operativo a disposizione dell’OdV sono i cosiddetti “flussi informativi”. La società si dovrebbe dotare di una procedura interna che riassuma le regole che disciplinano le modalità di generazione, accesso e reporting delle informazioni rilevanti al fine di rendere disponibili in tempi ragionevoli all’OdV le informazioni necessarie per orientare l’attività di vigilanza. Con riferimento al processo che stiamo analizzando, sarà determinante per l’OdV identificare quali informazioni richiedere periodicamente ai soggetti che lo presidiano al fine di acquisire notizie utili e/o segnali di anomalie o di fatti rilevanti, nell’ambito dei servizi professionali (ed esempio: prestazioni di servizi assegnate senza la formalizzazione del contratto; incarichi attribuiti senza una adeguata fase di identificazione della controparte, o con attribuzione diretta, senza procedure competitive; incarichi assegnati con “procedura d’urgenza”, senza rispettare il normale iter processuale e autorizzativo; incarichi attribuiti a società/persone fisiche operanti in Paesi a rischio; incarichi con corrispettivi significativamente superiori/inferiori ai prezzi di mercato…).

A supporto del flusso di informazioni e per una miglior conoscenza del processo, l’OdV potrà procedere con incontri periodici con i vertici aziendali ed i responsabili del processo.

Tra gli strumenti essenziali per favorire un buon funzionamento del Modello vi è poi la competenza delle persone che lo gestiscono ed è per tale motivo che l’OdV è chiamato a presidiare l’efficacia degli strumenti di informazione e formazione: solo persone adeguatamente formate, che abbiano adeguata consapevolezza del rischio di commettere reati nello svolgimento della propria attività e degli obiettivi di controllo correlati possono gestire correttamente il processo acquisti.

È evidente che l’articolazione del processo di gestione e controllo degli acquisti di servizi professionali si scontra con l’esigenza di non “appesantire” l’operatività dell’azienda, né di incrementarne il costo, soprattutto se si considera che spesso il processo di cui parliamo e gestito ai più alti livelli dell’organizzazione, con obiettivi di massima flessibilità e rapidità e con controparti spesso legate alla società da rapporti fiduciari e consolidati, che portano spesso all’assegnazione diretta dell’incarico.

In alcuni casi si cerca di ricorrere a controlli di tipo «compensativo» come ad esempio l’Advisory List, periodicamente controllata e autorizzata dal vertice aziendale.

La sfida «culturale» che ha di fronte l’OdV è di contribuire a far maturare la consapevolezza interna alla struttura aziendale che un processo adeguato, che preveda controlli efficaci, snelli ed efficienti, contribuisce a ridurre i comportamenti che possono integrare la commissione dei reati “presupposto”, tutelando sia le persone, sia la società. Ciò tra l’altro si concretizza in una migliore gestione aziendale, con un correlato beneficio nei costi.