Il presente contributo tratta dei benefici di un sistema di compliance integrata che comprenda il modello organizzativo ex D.Lgs. 231/2001 ed il sistema whistleblowing.
1. Introduzione
La corporate compliance rappresenta un fenomeno articolato, definibile come adesione alla norma da parte di attori economici organizzati[1], laddove per “norma” deve intendersi sia quella che ciascun ente si impone internamente per regolare i suoi processi sia quella di derivazione statale.
Ne segue un panorama sempre più variegato in cui le norme (di qualsiasi derivazione esse siano) – e i conseguenti sistemi di controllo interno – hanno ormai raggiunto ogni ambito dell’attività di impresa: salute e sicurezza sul lavoro, food safety, protezione ambientale, sostenibilità, anticorruzione, contrattazione pubblica, adempimenti tributari, contrasto allo sfruttamento lavorativo e alla violazione dei diritti umani nelle supply chain, sicurezza informatica, antiriciclaggio, trasparenza finanziaria, contrasto agli abusi di mercato[2] non rappresentano nemmeno tutte le materie in cui si annoverano forme più o meno cogenti di compliance.
Tradizionalmente, la gestione dei numerosi obblighi di compliance è caratterizzata da una pluralità di processi, da informazioni potenzialmente incoerenti e da controlli non sempre ottimizzati, con il rischio di risultati insoddisfacenti in termini di costi e coerenza dei sistemi[3].
Di conseguenza, si assiste sempre di più alla definizione di modelli di gestione integrata dei rischi a presidio dei “pericoli” che l’attività aziendale inevitabilmente comporta, una compliance integrata che entra nell’organizzazione e la influenza, andando a regolamentare comportamenti e decisioni che mirano al rispetto delle norme esterne, così come alla definizione di presidi e procedure interne; un modello strutturato di flussi informativi, documenti e protocolli comuni volti a disciplinare con metodologia unitaria diverse aree di rischio aziendale, secondo un approccio più snello ed efficiente che consente non solo di ridurre i costi, ma anche di evitare sovrapposizioni di ruoli e/o duplicazioni di verifiche, favorendo l’uniformità delle procedure aziendali e potenziando le sinergie tra i processi[4]. L’analisi dei rischi potrebbe pertanto essere costruita in modo da evidenziare per ciascuna area/ciascun processo tutti i punti di interesse e definire un sistema capace di rispondere in maniera efficace alle diverse istanze di compliance; allo stesso modo, nelle procedure aziendali potrebbero confluire non solo i presidi di prevenzione del rischio di commissione reati, ma altresì misure volte a prevedere e mitigare gli impatti avversi su ambiente, diritti umani e sistema di governance, in ottica di implementazione della responsabilità sociale d’impresa e dei fattori ESG, sempre più protagonisti del mondo economico-imprenditoriale[5].
Integrare tra loro le componenti afferenti a settori diversi, quali quello antinfortunistico, antiriciclaggio o anticorruzione, permette di pensare a un sistema coerente e sinergico di controllo interno e gestione del rischio in grado di affrontare in modo efficace le sfide di conformità normativa e sostenibilità aziendale[6], anche in linea con gli obiettivi dell’Agenda 2030[7] e con la normativa europea.
È la stessa Confindustria, nell’ultima versione delle proprie Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo approvate nel giugno 2021, a riassumere i benefici di una gestione integrata dei rischi: “(i) razionalizzare le attività (in termini di risorse, persone, sistemi, ecc.); (ii) migliorare l’efficacia ed efficienza delle attività di compliance; (iii) facilitare la condivisione delle informazioni attraverso una visione integrata delle diverse esigenze di compliance, anche attraverso l’esecuzione di risk assessment congiunti, e la manutenzione periodica dei programmi di compliance (ivi incluse le modalità di gestione delle risorse finanziarie, in quanto rilevanti ed idonee ad impedire la commissione di molti dei reati espressamente previsti come fondanti la responsabilità degli enti)”. In estrema sintesi la parola chiave è “semplificazione”, pur nella valorizzazione delle necessità proprie di ciascun sistema di compliance[8].
I benefici, dunque, non mancano. Quello che occorre comprendere, allora, è come sia concretamente possibile raggiungere una simile forma di integrazione.
2. Il ruolo del modello organizzativo ex D.Lgs. 231/2001 nella definizione di una compliance integrata
Ad oggi, il modello organizzativo ex D.Lgs. 231/2001, volto alla prevenzione degli illeciti nell’ambito delle organizzazioni, rappresenta senz’altro uno degli strumenti del nostro ordinamento che più si prestano alle esigenze di integrazione alla base dell’idea di compliance integrata.
Considerato il numero sempre crescente di illeciti presupposto, la necessaria ampiezza del sistema 231 permette infatti una mappatura e un monitoraggio dei rischi aziendali assai estesi, “senza dimenticare che il modello 231, per sua natura, costituisce occasione e strumento di diffusione all’interno del contesto aziendale e a tutti i livelli dello stesso, della cultura della legalità e di responsabilizzazione e sensibilizzazione alla stessa di tutti i propri interlocutori, interni (dipendenti, apicali e non) ed esterni (collaboratori, consulenti, fornitori e terzi in genere)”[9].
A ciò si aggiunga che il modello 231 ha la capacità di coinvolgere attivamente diverse funzioni aziendali nell’analisi delle attività d’impresa e nella definizione delle regole, delle norme interne e delle strutture operative più adeguate alla prevenzione dei reati, anche al fine di promuovere la corretta identificazione e valorizzazione degli scopi aziendali[10] e dei principi etici cui si ispira il business dell’impresa, come formalizzati nel Codice Etico, elemento costitutivo di ogni sistema 231 che possa ritenersi completo e rispondente alle esigenze della normativa. D’altra parte, lo stesso Codice Etico può già considerarsi la più “primitiva” forma di compliance integrata[11], in quanto fonte di tutti i sistemi di compliance normativa e sintesi delle relative diverse finalità.
Paradigmatiche infine appaiono le esigenze d’integrazione con il modello organizzativo avanzate da altri sistemi di compliance previsti dal nostro ordinamento, quali i piani di prevenzione della corruzione imposti dalla L. 190/2012 alle società in controllo pubblico, gli obblighi antiriciclaggio ai sensi del D.Lgs. 231/2007 per banche e intermediari finanziari, i sistemi di tax control ex D.Lgs. 128/2015 per le società di maggiori dimensioni, il programma di ottemperanza antitrust o il sistema whistleblowing (su cui infra). Gli esempi potrebbero continuare e non si esauriscono nemmeno nel perimetro degli strumenti di compliance resi obbligatori da specifiche disposizioni normative[12].
Ciò a riprova del fatto che il modello 231, pur guardando specificamente alla prevenzione dei reati, “riunisce al proprio interno varie necessità di efficientamento del sistema, ivi accomunate dallo scopo ultimo dell’impedimento di condotte illecite”[13], costituendo uno dei possibili strumenti di gestione integrata dei rischi.
3. Il sistema whistleblowing come “facilitatore” di compliance integrata
Parlando di compliance integrata, è di particolare interesse l’analisi dei sistemi di whistleblowing, che paiono tradurre – più o meno consapevolmente – in procedure operative esigenze di integrazione dettate sia dall’ampiezza del possibile oggetto di segnalazione sia dai potenziali attori coinvolti sia, se parliamo di sistemi di segnalazioni italiani, dal richiamo al D.Lgs. 231/2001 già sopra anticipato e su cui si tornerà tra poco.
Nonostante il sistema di whistleblowing attualmente previsto nel nostro ordinamento trovi la sua fonte nelle previsioni contenute nel recentissimo D.Lgs. 24/2023 di recepimento della Direttiva (UE) 2019/1937[14], esso non rappresenta certo una novità. Altri ordinamenti, specialmente quelli anglofoni, riconoscono da molto tempo[15] la possibilità di effettuare segnalazioni in ambito lavorativo tramite programmi di speak-up, motivo per cui la maggior parte delle società italiane appartenenti a gruppi internazionali ha dovuto affrontare la sfida di conciliare la nuova normativa italiana con quanto già esistente a livello di gruppo, con non pochi problemi applicativi e di coordinamento interno. Peraltro, l’oggetto delle segnalazioni nell’ambito delle procedure di gruppi internazionali appare di frequente più ampio di quanto previsto dalla legislazione italiana, andando ad esempio ad abbracciare comportamenti giudicati “non etici”, anche a prescindere dalla violazione di una specifica normativa.
Già da questi pochi cenni è possibile intuire come i sistemi di whistleblowing si trovino necessariamente a dover soddisfare esigenze di integrazione, dando impulso ad una compliance integrata che, in alcuni casi, può travalicare i confini nazionali per diventare inevitabilmente transnazionale.
Andando ad analizzare più in dettaglio la normativa italiana, ai sensi dell’art. 2, lett. a) del D.Lgs. 24/2023, le segnalazioni whistleblowing possono avere ad oggetto:
- illeciti amministrativi, contabili, civili o penali (per i soli soggetti del settore pubblico);
- condotte illecite rilevanti ai sensi del D.Lgs. 231/2001 (per i soggetti del settore pubblico e per quelli del settore privato, qualora abbiano adottato un proprio sistema 231);
- violazioni del diritto dell’Unione Europea[16] (per i soggetti del settore pubblico e quelli del settore privato, nel caso in cui abbiano raggiunto nell’ultimo anno una media di almeno cinquanta lavoratori subordinati con contratti di lavoro a tempo indeterminato o determinato).
Limitandoci alle realtà private, per le società con una media annuale di almeno cinquanta dipendenti l’ambito di applicazione appare dunque più ampio rispetto alle sole violazioni del D.Lgs. 231/2001 e del modello 231 eventualmente adottato. Da un punto di vista di compliance integrata, una simile previsione può comportare quantomeno due rilievi.
Da un lato, qualora le società abbiano adottato un proprio modello 231, l’art. 4, comma 1 del D.Lgs. 24/2023 prevede che sia proprio tale documento a dover contemplare “i canali di segnalazione interna di cui al […] Decreto”. Inevitabile, in tale ipotesi, una “integrazione” tra sistema 231 e gli ulteriori ambiti del diritto europeo su cui può vertere la segnalazione – quali gli appalti pubblici, i servizi, prodotti e mercati finanziari, la sicurezza e conformità dei prodotti, la tutela dell’ambiente e della salute pubblica, la protezione dei consumatori, la tutela della vita privata e la protezione dei dati personali –, settori a loro volta assai eterogenei e non sempre corrispondenti a specifici reati presupposto ex D.Lgs. 231/2001.
D’altro canto, il D.Lgs. 24/2023 impone alle società menzionate l’adozione di un sistema di gestione delle segnalazioni anche a prescindere dall’implementazione di un modello 231. Ciò implica che esse siano chiamate ad approcciare un sistema di gestione integrato del rischio (i.e., di gestione della segnalazione di irregolarità) quantomeno per quelle materie richiamate dal Decreto attinenti, come appena visto, a settori estremamente variegati, genericamente qualificabili come “violazioni del diritto dell’Unione Europea”.
In entrambi i casi, l’immediata conseguenza è il necessario coinvolgimento di figure – interne o esterne all’azienda – dotate di competenze differenti, capaci di “abbracciare” complessivamente i vari ambiti di applicazione del D.Lgs. 24/2023. Istanze di protezione differenti quali quelle rivolte alla sostenibilità, alla privacy, alle condotte anticorruzione e antiriciclaggio o ai modelli fiscali possono (o meglio, devono) essere gestite in maniera integrata e coordinata, evitando duplicazioni e inefficienze, nell’ambito di un unico sistema di segnalazione – il sistema whistleblowing, da regolamentare all’interno di una specifica policy –.
In definitiva, se il modello organizzativo rappresenta, nei termini anzidetti, uno dei possibili strumenti di gestione integrata dei rischi, è altrettanto vero che il whistleblowing può costituire – per così dire – un valido “facilitatore” di compliance integrata, andando a ricomprendere in un unico canale materie eterogenee, in alcuni casi afferenti addirittura a ordinamenti diversi. Entrambi i sistemi, tra loro complementari e non escludenti, possono dunque portare a una maggiore razionalizzazione della valutazione e gestione del rischio nelle organizzazioni complesse, ottimizzando i controlli interni e permettendo così ai vari attori aziendali di muoversi all’interno di un contesto più chiaro e lineare, dove ruoli e responsabilità siano definiti con maggiore coerenza e contribuiscano, di conseguenza, ad un’organizzazione più efficiente ed efficace.
4. I rapporti tra gli attori aziendali per una compliance integrata
Cercando di portare a termine il ragionamento svolto e di individuare spunti concreti di miglioramento della conformità aziendale in ottica integrata, occorre sottolineare come la condivisione delle informazioni e l’interazione tra gli attori aziendali – nel rispetto delle loro prerogative, competenze e responsabilità – non può che contribuire a “evitare o a ridurre sovrapposizioni di ruoli e duplicazioni di adempimenti, migliorando la gestione dei rischi, riducendo il rischio di commissione di reati presupposto, consentendo l’esecuzione di verifiche ed azioni correttive maggiormente efficaci, ed infine permettendo al sistema di compliance così opportunamente integrato di rimanere aderente all’agire dell’impresa”[17].
Per poter gestire in maniera integrata i rischi aziendali, occorre dunque definire specifici strumenti di collaborazione tra i principali attori interessati, tra cui si possono annoverare[18]:
- il Consiglio di Amministrazione, a cui spetta la gestione e la valutazione dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile dell’impresa (artt. 2380 bis, 2381 e 2086, comma 2 c.c.), compreso il sistema di compliance;
- l’eventuale Comitato Controllo e Rischi, interno all’organo amministrativo, con il compito di supportarne valutazioni e decisioni relative al sistema di controllo interno e gestione dei rischi e all’approvazione delle relazioni periodiche di carattere finanziario e non finanziario;
- il Collegio Sindacale, tenuto a vigilare sull’osservanza delle leggi e dello statuto, andando a verificare la conformità delle scelte gestionali ai principi di prudenza e corretta amministrazione, nonché l’adeguatezza dell’assetto organizzativo, amministrativo e contabile, del sistema di controllo interno e dell’attività svolta della funzione di compliance;
- l’Organismo di Vigilanza, il quale vigila sull’efficace attuazione, sull’osservanza e sull’aggiornamento del modello organizzativo exLgs. 231/2001;
- l’eventuale Funzione Compliance, che presidia il processo di individuazione, valutazione, gestione e controllo dei rischi legati all’operatività, garantendone la coerenza rispetto agli obiettivi aziendali;
- l’eventuale Funzione di Internal Audit, che verifica da un punto di vista indipendente il funzionamento del complessivo sistema di controllo;
- i Process Owner di riferimento, per la vigilanza dei relativi processi.
Affinché i vari soggetti sopra menzionati possano governare in maniera efficiente ed efficace i rischi afferenti la propria attività, è fondamentale una costante collaborazione tra loro. Ciò può avvenire, ad esempio, tramite:
- lo scambio di flussi informativi orizzontali e verticali (verso altri organi e/o funzioni aziendali e verso i propri superiori gerarchici e/o l’organo amministrativo), in base alle risultanze delle rispettive attività di verifica, al fine di individuare tempestivamente l’esistenza o l’insorgenza di situazioni di criticità e consentire così un monitoraggio costante di potenziali red flag;
- la progettazione di un piano di verifica comune, tramite la collaborazione nelle attività di controllo che comportino punti di contatto tra le rispettive aree di competenza.
Occasione di incontro e di scambio tra diversi attori può essere anche il già citato sistema whistleblowing. Se ci soffermiamo infatti sulla figura del Gestore della segnalazione, il quale è opportuno che possegga – soprattutto nelle realtà complesse e più strutturate, a maggior ragione nei gruppi di società – competenze diversificate, sì da essere in grado di analizzare segnalazioni contenutisticamente differenti, notiamo come sia sempre più frequente la costituzione di Comitati – citati sia dalle Linee guida di ANAC[19] sia dalla Guida operativa di Confindustria[20] – composti da soggetti dotati di competenze differenti, eventualmente afferenti anche ai diversi ordinamenti in cui la realtà aziendale si trova ad operare. Ciò al fine di permettere una più agile analisi del maggior numero di segnalazioni e un abbattimento dei costi aziendali, evitando il ricorso ad eventuali consulenti esterni.
A ciò si aggiunga che, qualora venga segnalata una violazione del modello 231 o del D.Lgs. 231/2001 e l’OdV (o un suo componente) non risulti già Gestore della segnalazione, l’Organismo dovrà essere adeguatamente informato, in modo da poter dialogare con il Gestore, apprendere l’esito dell’istruttoria e assumere eventuali decisioni conseguenti[21]. Allo stesso modo, qualora la materia coinvolga altri soggetti aziendali che non hanno partecipato all’istruttoria, essi dovranno essere adeguatamente informati dell’esito del processo valutativo svolto dal Gestore della segnalazione.
5. Conclusioni
I principali benefici di un sistema di compliance integrata possono essere così riassunti[22]:
- visione integrata del rischio, allineata alle dinamiche aziendali;
- riduzione dei costi di gestione dei rischi di non conformità;
- mappatura trasversale dei sistemi di controllo.
L’approccio integrato rappresenta senz’altro un’occasione per costruire documenti omogenei di analisi di rischi che, se non sempre coincidenti, appaiono quantomeno tra loro complementari e integrati. Spetta quindi a una buona governance il compito di decidere da dove iniziare e come raggiungere i propri obiettivi, “sapendo di poter contare sul supporto di diversi strumenti messi a disposizione dal legislatore e volutamente interconnessi”[23].
Nelle realtà più semplici, le esigenze di integrazione risultano naturalmente spesso poco cogenti, anche perché gli attori coinvolti sono meno numerosi e le aree di competenza appaiono già “cumulate” in capo ai medesimi soggetti. D’altra parte, le organizzazioni più strutturate, soprattutto se facenti parte di grandi gruppi multinazionali, si stanno muovendo con sempre maggiore decisione verso un approccio integrato del rischio e della compliance, con l’intento di sfruttare sinergie e punti di contatto tra i diversi attori, così da ottimizzare i costi e risultare nel complesso più efficaci, anche attraverso l’utilizzo di tool e gestionali sempre più sofisticati. Questo comporta per le aziende l’opportunità di strutturare team multidisciplinari composti da diverse professionalità, interne e/o esterne all’azienda, che possano offrire tutte le competenze necessarie alla costruzione di un completo ed efficiente sistema di compliance integrata.
[1] S. Manacorda, La dinamica dei programmi di compliance aziendale: declino o trasfigurazione del diritto penale dell’economia?, in Soc., 4/2015, p. 474.
[2] L’elenco è ripreso da V. Mongillo, Presente e futuro delle compliance penale. Riflessioni a margine di Stefano Manacorda e Francesco Centonze (a cura di), Corporate Compliance on a Global Scale. Legitimacy and Effectiveness, 2022, in Sist. pen., 11 gennaio 2022, p. 8.
[3] Come è stato efficacemente osservato da V. Mongillo, Presente e futuro delle compliance penale, cit., p. 13, “la compliance ha già sperimentato un lungo rodaggio, scandito da prove ed errori, avanzamenti e successive sintesi. In tal modo, si è progressivamente costruita la sua identità. Tuttavia, intesa come scienza o anche solo come tecnica, essa da un lato sconta la faticosa sedimentazione di un patrimonio cognitivo ed esperienziale diffusamente accreditato e dall’altro si trova sospesa su una fitta trama di strumenti di hard law e soft law, di fonte pubblica o privata, nazionale o sovranazionale, giuridica o tecnica (es. le norme ISO), che proliferano a ogni piè sospinto, in modo persino alluvionale in alcuni settori, ad esempio l’anticorruzione”.
[4] Così A. Laudati, A. Adotti, Le nuove Linee guida di Confindustria per i modelli 231: analisi delle novità introdotte e approfondimento sulla tematica della compliance integrata, in Resp. amm. soc. enti, 4/2021, p. 284.
[5] Ad oggi, alle organizzazioni complesse viene chiesto di rispettare standard di sostenibilità che vanno ad aggiungersi, e in parte a sovrapporsi, alla più specifica richiesta di prevenzione reati di cui al D.Lgs. 231/2001. Ciò è dimostrato, da ultimo, dall’approvazione del D.Lgs. 125/2024 sulla dichiarazione di sostenibilità, in recepimento della Direttiva (UE) 2022/2464.
[6] Cfr. G. Putzu, A.R. Carnà, Gli indicatori ESG e il D.Lgs. 231/2001. L’integrazione dei presidi di controllo a servizio della sostenibilità e della prevenzione del rischio-reato, in Resp. amm. soc. enti, 1/2022, p. 100 ss.
[7] Assemblea Generale delle Nazioni Unite, Transforming Our World: The 2030 Agenda for Sustainable Development, 25 settembre 2015.
[8] Così F. Sardella, Le nuove Linee Guida 231. Principi consolidati e rilevanti novità nell’edizione 2021, in Ius Penale, 9 settembre 2021.
[9] M. Moretti, P. Silvestri, ESG. Tra sistema integrato e autonomia dei suoi componenti, in Riv. amm. soc., 2/2022, p. 85.
[10] Per le PMI, in particolare, l’idea di concepire un unitario sistema di compliance all’interno del modello organizzativo può rappresentare un punto di forza: tramite l’adozione del documento, queste imprese intraprendono un passo significativo verso la cultura della legalità e di controllo del rischio, che consente loro di “valutare e gestire le opportunità e i rischi dei profili ESG e digitali rispetto alla propria attività, proporzionalmente alle dimensioni e alla natura dell’impresa, senza creare sovrastrutture organizzative inefficienti”. Cfr. Rapporto di Giunta Assonime, L’evoluzione dell’organo amministrativo tra sostenibilità e trasformazione digitale, 1/2023.
[11] Cfr. F. Arecco, G. Catellani, Compliance, ambiente, sostenibilità, in Amb. svil., 12/2021, p. 894; E. Bertolli, C. Guizzetti, ESG, sviluppo sostenibile e modello 231 tra opportunità e integrazione, in Resp. amm. soc. enti, 2/2023, p. 181 ss.; L. Catalano, M.P. Sacco, Modelli 231 e proposta di direttiva sulla corporate sustainability due diligence: quali possibili interazioni?, in Resp. amm. soc. enti, 3/2022, p. 313.
[12] V. Mongillo, Presente e futuro delle compliance penale, cit., p. 10.
[13] F. Sardella, Le nuove Linee Guida 231, cit.
[14] D.Lgs. 24 del 10 marzo 2023, recante “Attuazione della Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”. Per un approfondimento sulla disciplina relativa al canale interno di segnalazione J. Romano, C. Pontiggia, P. Boccaccini, G. Lovecchio Musti, Whistleblowing e il canale interno di segnalazione. Perché, quando e (soprattutto) come farlo?, in questa rivista, 7 dicembre 2023.
[15] Risale al 1863 il False Claim Act statunitense, volto a proteggere coloro che avessero segnalato licenziamenti ingiusti, molestie e declassamento professionale, incoraggiandoli altresì a denunciare le truffe tramite la promessa di una percentuale sul denaro recuperato.
[16] Da intendersi come: a) illeciti che rientrano nell’ambito di applicazione degli atti dell’Unione Europea relativi ai seguenti settori: appalti pubblici; servizi, prodotti e mercati finanziari e prevenzione del riciclaggio e del finanziamento del terrorismo; sicurezza e conformità dei prodotti; sicurezza dei trasporti; tutela dell’ambiente; radioprotezione e sicurezza nucleare; sicurezza degli alimenti e dei mangimi e salute e benessere degli animali; salute pubblica; protezione dei consumatori; tutela della vita privata e protezione dei dati personali e sicurezza delle reti e dei sistemi informativi; b) atti od omissioni che ledono gli interessi finanziari dell’Unione Europea, nonché quelli riguardanti il mercato interno, comprese le violazioni delle norme dell’Unione Europea in materia di concorrenza e di aiuti di Stato, nonché le violazioni riguardanti il mercato interno connesse ad atti che violano le norme in materia di imposta sulle società o i meccanismi il cui fine è ottenere un vantaggio fiscale che vanifica l’oggetto o la finalità della normativa applicabile in materia di imposta sulle società (art. 2, comma 1, n. 5); c) atti o comportamenti che vanificano l’oggetto o la finalità delle disposizioni di cui agli atti dell’Unione Europea nei settori sopra indicati.
[17] M. Maspero, Fattori ESG e impresa. Spunti per una discussione fra il rischio 231 di reati ambientali e la compliance integrata, fra assetti societari adeguati e le responsabilità gestorie, in Resp. amm. soc. enti, 4/2023, p. 62.
[18] Per un maggiore approfondimento P. Vernero, B. Parena, Collaborazione tra le funzioni di internal audit, risk e compliance manager e OdV; evoluzione delle attività in risposta ai fattori ESG, in Riv. amm. soc. enti, 2/2024, p. 171 ss.; R. Drisaldi, Modelli 231 e assetti adeguati: integrazioni e ruolo dei gatekeepers, in Bilancio e Revisione, 12/2021, p. 62 ss.
[19] ANAC, Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne, approvate con delibera n. 311 del 12 luglio 2023, p. 38.
[20] Confindustria, Nuova disciplina “whistleblowing”. Guida operativa per gli enti privati, ottobre 2023, pp. 14-15.
[21] Così si esprime la Guida operativa di Confindustria sul punto (p. 15): “In ogni caso, anche laddove non fosse incaricato dei compiti di gestione delle segnalazioni, è opportuno che l’OdV venga comunque coinvolto nel processo di gestione delle segnalazioni whistleblowing regolamentando i necessari flussi informativi, nel rispetto degli obblighi di riservatezza, alla luce della rilevanza, anche ai fini 231, delle violazioni segnalabili ai sensi del Decreto. In particolare, qualora l’OdV non sia individuato come gestore dovrà ricevere: immediata informativa su segnalazioni rilevanti in termini 231 affinché, nell’esercizio della sua attività di vigilanza, possa condividere le proprie eventuali osservazioni e partecipare all’istruttoria o comunque seguirne l’andamento; un aggiornamento periodico sull’attività complessiva di gestione delle segnalazioni, anche non 231, al fine di verificare il funzionamento del sistema whistleblowing e proporre all’ente eventuali necessità di suo miglioramento. A tal fine, nel Modello Organizzativo 231 dovranno essere procedimentalizzati i predetti flussi informativi”.
[22] Così A. Laudati, A. Adotti, Le nuove Linee guida di Confindustria per i modelli 231, cit., p. 284.
[23] P. Vernero, B. Parena, Collaborazione tra le funzioni, cit., pp. 192-193.