Corporate Governance Compliance

Modelli Organizzativi 231

Adozione ed attuazione dei modelli organizzativi 231: l’approccio metodologico di RSM

Il Modello Organizzativo 231, in passato considerato un mero costo a cui non ci si poteva sottrarre, si sta oggi affermando sempre di più come un’opportunità organizzativa da cui l’azienda può trarre grandi benefici.

RSM ha fatto suo questo nuovo approccio metodologico, che vede la centralità dei processi aziendali e delle persone, ed è in grado di affiancare i suoi clienti durante l’intero processo di adozione dei Modelli Organizzativi.

I LIMITI DI UN APPROCCIO FOCALIZZATO SUL REATO

Il D.lgs. 231 è stato pubblicato il 19 giugno 2001.

La prescrizione del Modello di Organizzazione, Gestione e Controllo in esso contenuta ha vissuto fasi alterne, passando dall’essere reputata una inutile facoltà, ad essere ritenuta un adempimento vivamente consigliato con il precipuo scopo di evitare la mannaia dei Tribunali, che avevano gioco troppo facile nell’estendere agli enti la responsabilità amministrativa per i reati commessi dai loro apicali e sottoposti. Ancora oggi, dopo tutto questo tempo, il Modello Organizzativo viene nella maggior parte dei casi della sua applicazione considerato come un male necessario, un adempimento formale e costoso, da affrontare nel modo più economico possibile.

Come naturale conseguenza, l’approccio metodologico nell’attuazione ed adozione dei Modelli Organizzativi si è fino ad oggi basato su presupposti prettamente giuridici che hanno dato vita a procedure di risk assessment focalizzate sul reato, anziché sui processi aziendali e sulle persone.

La carenza principale di un modello organizzativo basato sulla centralità del reato è che non intercetta i processi aziendali nella loro completezza, lasciando di fatto scoperte e non presidiate molte aree di contiguità tra i meccanismi che sovraintendono al funzionamento aziendale e i reati che possono essere commessi nel loro svolgimento.

Risultato pratico: ad oggi pochi Modelli Organizzativi sono in grado di dimostrare che l’azienda è in possesso di uno strumento completo ed efficace nella prevenzione e controllo della commissione dei reati contenuti nel catalogo 231.

Verso una nuova vision: processi aziendali al centro

Recentemente, grazie alla spinta di un’onda fortemente etica provocata sia dal legislatore che da vari enti preposti ai controlli ed alla vigilanza su vari settori dell’economia, la vision della norma è cambiata:

• i Modelli organizzativi sono visti non solo come meri strumenti atti a prevenire e controllare la commissione dei reati da parte dei responsabili delle varie funzioni aziendali, ma anche come strumenti per la revisione e razionalizzazione dei meccanismi operativi che sottendono al funzionamento di tutta l’organizzazione;

• l’adozione e attuazione dei Modelli Organizzativi non viene più vissuta come mero “obbligo normativo”, ma come reale opportunità organizzativa, ovvero come imperdibile occasione per analizzare e, se necessario, ridisegnare l’intero sistema di funzionamento della macchina aziendale.

L’OFFERTA DI RSM

Un nuovo approccio metodologico che ha ribaltato la logica operativa e che RSM ha fatto suo: il punto di partenza non è più il reato, ma il processo aziendale che assume il suo naturale ruolo di perno attorno al quale ruota sia la procedura di risk assessment che la progettazione del Modello Organizzativo 231.

Un approccio che consente di affiancare l’azienda nel percorso completo, oppure dare supporto nell’ambito di ciascuna singola fase in funzione di specifiche esigenze.

RSM si avvale di professionisti multidisciplinari: revisori, aziendalisti, ingegneri di processo, esperti di audit e risk management, esperti di compliance, avvocati e consulenti di sistema in grado di coadiuvare il processo di risk assessment utilizzando tecniche sia tradizionali che innovative quali la gamification.

IL PROCESSO DI PROGETTAZIONE ED IMPLEMENTAZIONE DEI MODELLI ORGANIZZATIVI SECONDO L’APPROCCIO DI RSM

La metodologia applicativa di RSM per la progettazione e implementazione dei modelli 231 si basa su tre processi modulari consequenziali, ma funzionalmente indipendenti.

Il primo processo è quello di Risk Assessment, che ha l’obiettivo di conoscere e fotografare l’azienda, evidenziando le aree organizzative di maggior interesse ai fini della progettazione e implementazione del modello.

Il secondo processo è quello di Progettazione e Implementazione vera e propria del Modello 231.

Infine, il terzo processo è quello di Controllo e Monitoraggio del Modello attraverso la verifica della sua costante adeguatezza nonché dei flussi informativi provenienti dai presidi di controllo. Vediamole nel dettaglio.

L’ATTIVITÀ DI RISK ASSESSMENT

1. Inquadramento generale dell’azienda: ha l’obiettivo di raccogliere informazioni per arrivare al disegno del ciclo attivo e del ciclo passivo aziendale. Il grado di dettaglio con cui si realizza il disegno dei processi dipende ovviamente dal grado di formalizzazione dell’impianto organizzativo aziendale.
2. Assessment sul personale: ovvero individuazione dei soggetti apicali e sottoposti, con raccolta di informazioni e documenti (deleghe, procure, job description, regolamenti interni, compliance, ecc.) che il modello tiene costantemente monitorati e aggiornati.
3. Assessment sui reati: ovvero analisi del rischio inerente della possibilità da parte di apicali e sottoposti di commettere i reati di cui al D.Lgs. 231/2001. Obiettivo principale dell’analisi è la valutazione, con riferimento ai reati che risultano con rischio medio/alto, dei presidi di controllo esistenti e di confrontarli con quelli idealmente necessari per prevenire e controllare le condotte criminose.

4. Action Plan. Viene fornita all’ente una visione dello status quo nonché un dettaglio delle attività necessarie per la progettazione ed implementazione del Modello 231. Ci sono realtà con funzioni di audit talmente efficienti da necessitare di pochi interventi. Esistono altresì realtà per le quali è necessario strutturare i processi e formalizzare i sistemi di controllo.
5. Produzione del documento eseguibile. Si tratta della fornitura di un piano esecutivo che può anche essere messo in atto “stand alone”, seguendo le linee guida in esso contenute.

L’ATTIVITÀ DI PROGETTAZIONE E IMPLEMENTAZIONE DEL MODELLO 231

1. Setup organizzativo. Si tratta di eseguire gli interventi organizzativi che emergono dalla GAP analysis di cui al punto 2 del Risk Assessment. Ad esempio una revisione delle deleghe, delle procure o delle job description. O molto più semplicemente l’istituzione o l’abolizione di funzioni o di processi o fasi di processi.
2. Setup dei presidi di controllo. La prevenzione ed il controllo di alcuni reati prevede l’implementazione di presidi di controllo obbligatori per Legge. Si pensi ad esempio alla sicurezza sul lavoro o ai reati ambientali, o ai reati di riciclaggio per gli operatori finanziari o infine alla data protection. Altri reati hanno invece bisogno della istituzione di presidi di controllo su base volontaria. Si pensi ad esempio ai reati societari o tributari. Obiettivo di questa attività è, sulla base della Gap Analysis di cui alla fase 3 del Risk Assessment, quello di implementare i presidi necessari a prevenire e controllare la commissione dei reati 231.
3. Setup degli strumenti di prevenzione. Questa è l’attività con la quale, tipicamente, si approntano il codice etico e quello disciplinare. Inoltre, si procede alla programmazione ed attuazione dell’attività di formazione continua a tutto il personale dipendente.
4. Il risultato finale è il Modello organizzativo 231. Fornito non solo come output digitale interattivo ma anche, e soprattutto, come insieme di procedure atte a prevenire e controllare la commissione dei reati di cui al D.Lgs. 231 da parte di Apicali e Sottoposti.

L’ATTIVITÀ DI MONITORAGGIO

L’Organismo di Vigilanza ha due funzioni principali: ricevere dai presidi di controllo appositamente istituiti alert sulle variazioni delle potenzialità di rischio; monitorare lo stato di adeguatezza “continua” del modello.

1. Monitoraggio sull’aggiornamento del modello. Molto concretamente, consiste nel far “girare” periodicamente la procedura di risk assessment per verificare se vi sono variazioni organizzative, o di Legge, che impongono rettifiche e/o aggiornamenti al modello.
2. Monitoraggio dei flussi informativi. I presidi di controllo vengono progettati ed implementati per fornire appositi report semestrali (o anche trimestrali se necessario) sullo stato di  rischio inerente di commissione dei reati e sulle eventuali azioni intraprese dalle funzioni preposte per il contrasto alle relative condotte.

Crediti deteriorati

Il ruolo di RSM a supporto dei gestori di crediti deteriorati utp unlikely to pay 

L’Italia è stato uno degli ultimi paesi industrializzati ad emanare una legge per la regolamentazione dello smobilizzo dei crediti deteriorati detenuti dal sistema bancario.

Era il 1999 quando fu approvata la Legge 130 (Legge sulla cartolarizzazione) che stabiliva precise regole di trasferimento e di gestione di detti crediti, garantendo protezione dell’investimento e segregazione a favore dei finanziatori. I primi operatori del settore andarono a ricoprire i ruoli operativi previsti dalla norma.

• Quello di Originator (ovvero il cedente del credito),
• quello di acquirente dei crediti, ovvero i veicoli di cartolarizzazione o SPV,
• quello di obbligazionisti finanziatori del veicolo, ovvero gli acquirenti effettivi,
• quello di servicer, ovvero di soggetto vigilato dalle autorità che ha l’onere di controllare la legalità dei veicoli SPV ed intrattenere un determinato scambio di informazioni con la Banca d’Italia,
• quindi quello di Subservicer, incaricato con contratto specifico della collection dei crediti.

Da allora di strada ne è stata fatta. Una strada che è andata via via arricchendosi di nuove figure sia nell’ambito della consulenza (come ad esempio i subservicer “non vigilati”) che degli investitori, con la comparsa in massa dei fondi di investimento. Ma soprattutto, si è ampliata la platea dei crediti target oggetto di interesse.

In principio, a riguardare il settore erano soprattutto i cosiddetti crediti in sofferenza: ovvero tutte le attività vantate verso soggetti debitori che si trovano in stato d'insolvenza o in situazioni sostanzialmente equiparabili, indipendentemente dalle eventuali previsioni di perdita formulate dal creditore.

Recentemente, anche grazie alle sostanziose modifiche introdotte nel 2019 alla Legge 130, sono diventate di particolare interesse le cosiddette inadempienze probabili o UTP, ovvero crediti per i quali le banche giudichino improbabile che il debitore adempia integralmente alle sue obbligazioni creditizie. Solitamente si tratta di crediti di aziende in difficoltà che possono essere anche riportate in bonis. Proprio le aziende che, tra l’altro, hanno maggiormente subito gli effetti negativi delle restrizioni economiche imposte dal Covid 19. Soggetti ancora in grado, se adeguatamente supportate, non solo di restituire il debito, ma di diventare ottime clienti.

Cosa e come si propone RSM nei processi di acquisizione e gestione delle posizioni UTP?

RSM mette al servizio di operatori e consulenti la sua pluriennale esperienza nel settore della revisione contabile e della consulenza amministrativa, fiscale, finanziaria, legale e organizzativa, per affiancarli nei processi di acquisizione e/o gestione dei crediti UTP la cui collection è strettamente dipendente dalla capacità di restituzione (e quindi di fare impresa) del debitore.

I processi che caratterizzano il ciclo del business sono due e sono sequenziali:

• Un processo di acquisition, che dura dai 4 ai 6 mesi, e che porta l’investitore dal momento della manifestazione di interesse all’acquisizione vera e propria (in proprietà o in service) delle posizioni debitorie;

• Un processo di collection, che può durare anche anni, e che porta dalla presa in carico delle posizioni alla riscossione dei crediti. I tempi di esecuzione di questa seconda fase determinano talvolta il deterioramento di posizioni che passano da essere UTP ad essere vere e proprie sofferenze.

RSM può supportare l’operatore/investitore in entrambi i processi. Vediamo.

Le attività tipiche che caratterizzano la prima fase (fino all’acquisizione sono le seguenti):

In questa prima fase RSM può supportare l’investitore nell’analisi meritoria dei debitori.

Il processo prevede classicamente la fornitura delle informazioni possedute dall’originator al buyer in due tranches. Una prima fornitura di informazioni grezze ed una seconda fornitura più completa.

La prima fornitura deve essere solitamente trattata con strumenti che consentano di arricchire il set di dati con tutte le informazioni presenti nel sistema. L’obiettivo è quello di fornire una prima misurazione dello stato di salute del debitore oltre che della sua capacità di poter gestire in continuità l’attività di impresa. RSM mette a disposizione dei suoi clienti un nuovo strumento derivato da anni di esperienza nel processo di risk assessment per i clienti audit, in grado di trattare in modo automatizzato milioni di informazioni reperibili nella rete libera.

Dopo questa prima attività, il Buyer è in grado di emettere una prima offerta per poter trattare in esclusiva l’acquisto dei crediti e quindi poter procedere ad una due diligence più dettagliata. L’originator mette quindi a disposizione dell’offerente tutte le informazioni a sua disposizione. A volte esaustive, a volte comunque incomplete.

RSM può supportare l’investitore in queste ulteriori verifiche affinando le analisi e le valutazioni eseguite nella prima fase di indagine.

Se le valutazioni sono positive e dalle stesse scaturisce una offerta definitiva, l’epilogo potrebbe essere quello dell’acquisizione del portafoglio in proprietà, o in gestione con un contratto di subservicing in outsourcing o in-house. In questo secondo caso, la scelta organizzativa con cui gestire le posizioni dipende molto dalla tipologia di prosecuzione contrattuale che l’originator vuole intrattenere con i debitori ceduti. Ricordiamo infatti che, a differenza dei crediti in sofferenza, gli UTP continuano a godere del rapporto contrattuale con l’originator.

Le attività tipiche della fase di gestione delle posizioni UTP sono:

In questa seconda fase il supporto di RSM può essere molto più preponderante in quanto si basa principalmente su interventi organizzativi in casa del debitore o a favore del debitore.

Dando per scontato il potenziale supporto di RSM in tutte le attività a contenuto contabile, fiscale e amministrativo, si vuole in questa sede evidenziare il supporto di RSM nelle attività di affiancamento del debitore (e di conseguenza anche del buyer) nelle seguenti attività:

• Costruzione del piano industriale e del conseguente piano finanziario, utile alla eventuale ristrutturazione del debito e/o alla semplice tempificazione della sua collection;

• Interventi strutturali organizzativi orientati a disegnare (o ridisegnare) le funzioni aziendali di gestione della finanza, della tesoreria e dell’amministrazione in genere. In questa sede RSM può fornire anche supporto organizzativo nella progettazione di tutti i processi di Audit compreso i modelli organizzativi 231.

• Assistenza ai processi ristrutturati. RSM può con sue persone coadiuvare i debitori nella gestione dei suddetti processi sia in outsourcing che in-house.

• Assistenza a favore del buyer in tutte le attività di monitoraggio delle funzioni aziendali prodromiche alla restituzione del debito e quindi al rispetto del piano industriale e finanziario.

Guarda il video

Crediti Deteriorati - Il supporto di RSM agli operatori specializzati del settore

Con Giovanni Taliento (Partner RSM) e Andrea Tresoldi (Intrum Group)

Fraud Risk Management Program

Rischio di frode all’interno delle organizzazioni: il Fraud Risk Management Program.

1. La governance del rischio di frode
2. I 5 principi per la gestione del rischio di frode
3. Sistemi antifrode e anticorruzione in azienda: l’offerta RSM
4. Le funzioni aziendali coinvolte nel sistema antifrode
5. I nostri servizi antifrode e anticorruzione

1. La governance del rischio di frode

Tutte le organizzazioni sono soggette al rischio di frode. Di conseguenza, tutti i livelli organizzativi di un’azienda quali ad esempio l’organo amministrativo, il top management, il personale operativo, i soggetti incaricati del controllo interno, sono i potenziali destinatari, sia in qualità di gestori che di soggetti monitorati, delle procedure e dei meccanismi operativi antifrode e anticorruzione. Al fine di prevenire o identificare tempestivamente eventuali comportamenti fraudolenti all’interno delle organizzazioni, è necessario procedere all’implementazione di un adeguato sistema antifrode e anticorruzione: il «Fraud Risk Management Program» (FRMP).

2. I 5 principi per la gestione del rischio di frode

Per perseguire le finalità sopra enunciate, RSM offre ai propri clienti servizi antifrode e anticorruzione, il cui approccio si basa sulla revisione del framework contenuto nel «COSO Report». In particolare, nel settembre 2016 la ricerca condotta dal COSO ha portato alla definizione di 5 principi da osservare nella gestione del rischio di frode all’interno di un’organizzazione:

1. Fraud Risk Governance: Definire e comunicare i principali contenuti del Fraud Risk Management Program da parte dei vertici aziendali.
2. Fraud Risk Assessment: Eseguire la valutazione del rischio di frode attraverso un adeguato fraud risk assessment.
3. Fraud Control Activity: Selezionare, sviluppare e implementare preventivamente i controlli aziendali da sottoporre all’attività di investigazione.
4. Fraud Investigation and Corrective Action: Definire il sistema di reporting delle attività eseguite sui controlli ed il necessario coordinamento con le azioni correttive da porre in essere.
5. Fraud Risk Management Monitoring Activities: Monitorare il processo di gestione del rischio di frode, verificare i risultati emersi nel reporting e migliorare il processo.

3. Sistemi antifrode e anticorruzione in azienda: l’offerta RSM

Il team dedicato di RSM vanta un’esperienza significativa nella gestione di sistemi antifrode e anticorruzione presso aziende leader di mercato e gruppi internazionali. Grazie alle conoscenze e competenze distintive maturate sul campo, siamo in grado di identificare in anticipo i rischi di frode e predisporre le azioni di risposta antifrode, fornendo ai nostri clienti gli strumenti necessari per valutare preventivamente e mitigare tali rischi in base al settore di riferimento, al business o anche a singole operazioni di carattere commerciale o finanziario intrattenute con terze parti.

4. Le funzioni aziendali coinvolte nel sistema antifrode

L’azione di RSM volta alla risoluzione delle problematiche del cliente coinvolge 4 aree: Consulting, Audit, Investigation, DueDiligence. In particolare:

Consulting

• Offrire supporto nella definizione dei controlli da porre in essere per l’implementazione di sistemi antifrode e anticorruzione nell’ambito del Fraud Risk Management Program;
• Effettuare una valutazione preventiva del design dei controlli antifrode e anticorruzione e della loro capacità di garantire il presidio degli obiettivi prefissati all’interno del Fraud Risk Management Program definito da vertici aziendali;
• Prevedere eventuali miglioramenti derivanti dall’esperienza forensic in contesti/settori simili a quelli nei quali opera l’organizzazione.

Audit

• Pianificare le verifiche da svolgere nell’ambito del Fraud Risk Management Program definito dai vertici aziendali;
• Esaminare risultati rinvenienti dal sistema di controllo e dal reporting;
• Prevedere le azioni correttive e i miglioramenti da apportare al sistema di controllo ed al reporting.

Investigation

• Effettuare investigazioni specifiche sui processi o sulle procedure aziendali attenzionate dall’organo amministrativo o dall’organo di controllo aziendale, anche a supporto delle verifiche demandate all’Internal Audit o all’Organismo di Vigilanza (ove previsti ed operativi);
• Effettuare investigazioni sui dati contabili e finanziari generati internamente (reportistica e analisi dei dati prodotti dalla Direzione AFC, Vendite & Marketing, Personale e così via) o trasmessi da terze parti in virtù degli accordi stipulati (contratti di licensing/merchandising, contratti di agenzia e/o di consulenza, contratti di finanziamento legati alla realizzazione di un singolo progetto e così via);
• Rappresentare i risultati emersi nel corso delle investigazioni al fine di proporre in essere i miglioramenti necessari.

Due Diligence

• Effettuare verifiche sullo status creditizio e reputazionale di terze parti che intervengono nelle operazioni di gestione ordinaria (es. accordi commerciali e finanziari di breve termine) e straordinaria (es. operazioni di aggregazione e/o riorganizzazione aziendale, cessione di business unit o di singoli asset, formazione di una joint-venture, ecc.)
• Effettuare verifiche sul piano di investimento e sulle prospettive di mercato legate all’attività da svolgere con le terze parti.

5. I nostri servizi antifrode e anticorruzione

Il nostro supporto è tipicamente finalizzato allo svolgimento dei seguenti servizi professionali:

• Antifrode: prevenzione del rischio di frode all’interno dell’azienda, con una valutazione preventiva del design dei controlli e con delle investigazioni specifiche sui processi o sulle procedure aziendali e sui dati contabili e sulla reportistica generata internamente, includendo altresì il monitoraggio delle verifiche forensic condotte (“fraud prevention & detection”);
• prevenzione dei rischi di integrità, reputazione e immagine che possono coinvolgere il cliente, inteso sia come persona fisica che giuridica, nei rapporto con le terze parti commerciali e/o finanziarie (“integrity due diligence & corporate intellingence”);
• Anticorruzione: prevenzione del rischio di corruzione legato all’area geografica di riferimento nella quale l’azienda opera, al mercato di riferimento, al modello di business adottato ed all’efficacia delle funzioni di controllo interno (“anti-corruption due diligence”), includendo altresì i servizi legati allo svolgimento di verifiche secondo quanto previsto dal Foreign Corrupt Practices Act (FCPA) e dal Bribery Act;
• tutela dei diritti della proprietà intellettuale (“intellectual property protection”) che possono costituire il patrimonio personale della persona fisica (diritti di immagine, prestatore d’opera, ecc.) o dell’azienda (beni immateriali, know-how, ecc.).