01. Come gestire un’investigazione interna
Cominciamo ad approfondire come condurre un’investigazione interna in modo efficace per l’azienda, seguendo le indicazioni della ISO/TS 37008:2023, “Internal Investigations of Organizations – Guidance” (di seguito “ISO 37008” o “Standard”).
In assenza di una norma giuridica che disciplini in modo specifico le investigazioni interne aziendali, questa norma tecnica rappresenta oggi un punto di riferimento prezioso. Anche se non è obbligatoria né certificabile, la ISO 37008 raccoglie, infatti, le migliori prassi internazionali e fornisce una bussola per orientarsi nello svolgimento delle internal investigations.
Lo Standard evidenzia che non esiste un solo modo per condurre una investigazione interna: ogni caso è unico, come lo è ogni organizzazione. L’approccio investigativo, pertanto, dovrebbe essere specifico rispetto al caso concreto, dinamico e flessibile così da adattarsi al contesto in continua evoluzione.
Secondo la ISO 37008, di regola, il processo investigativo si articola nelle seguenti tappe fondamentali:
- Alert: il c.d. campanello d’allarme da cui può sorgere l’esigenza di avviare un’investigazione.
- Nomina del team investigativo e definizione della linea di reporting: la scelta del/dei soggetto/soggetti chiamato/chiamati a svolgere l’investigazione e del/dei soggetto/soggetti destinatario/destinatari dei flussi informativi relativi all’investigazione medesima.
- Preliminary Assessment: valutazione del perimetro normativo dell’investigazione e dei rischi connessi al suo svolgimento.
- Piano di investigazione: definizione delle attività investigative da compiere sulla base dei risultati del Preliminary Assessment.
- Istruttoria: il cuore operativo dell’investigazione.
- Reporting: il racconto finale dei fatti e delle evidenze raccolte e l’evidenziazione delle eventuali carenze del sistema di controllo interno riscontrate.
- Remediation: le azioni correttive da intraprendere per mitigare il rischio del ripetersi di fatti analoghi.
Questo numero è dedicato a due delle tappe sopra elencate: l’Alert e il Preliminary Assessment: saper riconoscere quando si è in presenza di un campanello d’allarme che richiede l’avvio di una investigazione interna e compiere una corretta valutazione preliminare di tale segnale è indispensabile per poi svolgere un’investigazione efficace.
02. Quando suona l’allarme
Un’investigazione interna parte sempre da un campanello d’allarme (c.d. “alert”): può essere una segnalazione whistleblowing, una anomalia rilevata in occasione di un audit, una notizia di stampa o un’inchiesta giornalistica da cui emerge la commissione di un illecito nel contesto aziendale, una comunicazione di un’autorità di vigilanza o, ancora, la notizia della pendenza di un procedimento penale che coinvolge la
società o i soggetti che vi operano.
In ogni caso, deve trattarsi di un campanello d’allarme che fa sorgere per l’azienda l’esigenza di accertare uno o più fatti specifici; ciò in conformità alla stessa definizione di investigazione interna fornita dalla ISO 37008 quale processo di accertamento di fatti (letteralmente “professional fact-finding process”).
Chi può ricevere e cogliere questi segnali? Dipende dal tipo di alert e dal livello di complessità dell’organizzazione aziendale: il gestore delle segnalazioni whistleblowing, l’Organismo di Vigilanza istituito ai sensi del d.lgs. 231/2001, il Compliance Officer, l’Internal Audit o anche direttamente l’organo amministrativo.
Una volta che è suonato il campanello di allarme, è fondamentale non agire d’impulso ed effettuare un primo esame critico dell’alert.
È opportuno avviare un’investigazione? Quali sono i rischi connessi?
Indipendentemente dalla natura dell’alert, è fondamentale svolgere un’analisi preliminare per delineare il perimetro normativo in cui ci si trova (e, dunque, la natura della possibile non conformità da accertare) e per valutare sin da subito i rischi connessi. In altre parole, occorre ponderare attentamente gli elementi a favore e quelli contrari all’avvio di un’investigazione, facendo una comparazione tra rischi e opportunità e un’analisi costi-benefici.
Si tratta di un passaggio strategico che evita investigazioni inutili o, al contrario, omissioni pericolose.
Gestire bene questa fase significa infatti:
- prevenire danni reputazionali e legali;
- rafforzare i sistemi interni di controllo;
- diffondere la cultura della trasparenza e della compliance nel contesto aziendale.
03. Focus: Whistleblowing
L’esperienza pratica dimostra come il più frequente alert da cui scaturisce l’esigenza di svolgere una investigazione interna è rappresentato dalle segnalazioni whistleblowing, vale a dire le segnalazioni di illeciti commessi nel contesto aziendale che l’ente riceve sul proprio canale di segnalazione interna istituito ai sensi del d.lgs. 24/2023 (c.d. Decreto whistleblowing).
Più nello specifico, per “segnalazione whistleblowing” si intende la comunicazione spontanea da parte di un individuo di specifiche violazioni o comportamenti illeciti riscontrati all’interno di un ente pubblico o privato, di cui il segnalante (il cosiddetto whistleblower) sia venuto a conoscenza nell’ambito della propria attività lavorativa.
In Italia, il sistema di trasmissione e gestione delle segnalazioni è regolato dal Decreto whistleblowing e dalle Linee Guida adottate dall’ANAC (Autorità Nazionale Anticorruzione). Un ulteriore supporto interpretativo è stato fornito da Confindustria che, nell’ottobre 2023, ha pubblicato una Guida Operativa dedicata alla disciplina del whistleblowing nel settore privato.
La normativa punta a favorire l’emersione degli illeciti, garantendo un’adeguata protezione a chi decide di segnalare irregolarità di cui è stato testimone o di cui ha avuto conoscenza, sia nel settore pubblico che in quello privato. Gli strumenti individuati a tal fine sono canali di segnalazione riservati e sicuri, oltre a misure specifiche di tutela del segnalante contro eventuali discriminazioni e ritorsioni.
La segnalazione whistleblowing, dunque, rappresenta un possibile “alert” che può dar luogo all’attivazione di un’investigazione interna finalizzata alla verifica dei fatti segnalati. La ISO 37008, del resto, individua espressamente le segnalazioni whistleblowing tra i principali alert suscettibili di determinare l’avvio di una investigazione interna volta a verificare la fondatezza della segnalazione medesima e a definire le azioni correttive da adottare. La norma tecnica prevede altresì che l’ente adotti una specifica procedura che disciplini il processo di investigazione interna definendo, tra le altre cose, un raccordo chiaro con la procedura di gestione delle segnalazioni whistleblowing o con la speak-up policy (“politica delle segnalazioni”) dell’organizzazione.
Quando l’alert da cui scaturisce l’esigenza investigativa è costituito da una segnalazione whistleblowing, dunque, il processo di investigazione si integra funzionalmente con il sistema whistleblowing della società, configurandosi come lo strumento mediante il quale il gestore adempie all’obbligo di assicurare un “diligente seguito” alle segnalazioni ricevute.
In virtù di detta integrazione, il processo investigativo si adatta e tiene conto della specifica disciplina normativa dettata per il whistleblowing con la conseguenza che in tal caso:
- l’avvio dell’investigazione non è rimesso alla discrezionalità dell’azienda ma richiede una valutazione preliminare della segnalazione secondo parametri rigorosi fissati dalla legge, in termini di procedibilità (ovvero verifica dell’esistenza dei presupposti oggettivi e soggettivi per qualificare la segnalazione come whistleblowing) e ammissibilità (ossia la presenza di informazioni sufficientemente chiare e dettagliate da consentire lo svolgimento delle investigazioni): se la segnalazione è procedibile e ammissibile, dare diligente seguito alla stessa (e, quindi, svolgere una verifica dei fatti) è obbligatorio;
- i tempi di svolgimento dell’investigazione non sono solo quelli dettati dalle esigenze investigative ma sono quelli fissati dal dettato normativo (di regola entro tre mesi da quando si è dato l’avviso di ricevimento della segnalazione al whistleblower);
- il Preliminary Assessment non riguarda il bilanciamento tra rischi e opportunità per l’ente ma si concentra sulla sussistenza dei presupposti oggettivi e soggettivi richiesti dalla legge per poter considerare la segnalazione procedibile e ammissibile e sulla concreta possibilità di procedere all’accertamento dei fatti, con l’obiettivo primario di tutelare il segnalante e favorire l’emersione degli illeciti;
- il soggetto chiamato a svolgere l’investigazione è il gestore del canale di segnalazione interna istituito dall’ente il quale può richiedere il supporto di consulenti esterni (con la formazione del “team investigativo” menzionato dalla ISO 37008) in possesso di specifiche competenze necessarie in base all’oggetto della segnalazione;
- gli obblighi di riservatezza assumono dei contenuti e delle modalità di adempimento specifiche che sono quelle delineate dal Decreto whistleblowing.
04. Conclusioni
In definitiva, l’avvio di un’investigazione interna rappresenta un momento cruciale per l’azienda: è il primo passo per affrontare con consapevolezza situazioni di rischio e rafforzare i presidi di controllo. Come abbiamo visto, la valutazione dell’alert è determinante per decidere se avviare l’investigazione e come impostare il processo investigativo.
Seguire un approccio strutturato, ancorato alle best practice e rispettoso delle norme di volta in volta applicabili, significa non solo prevenire errori e inefficienze, ma anche costruire valore attraverso una gestione matura e responsabile delle criticità.
Se desideri approfondire l’argomento o ricevere una consulenza personalizzata, non esitare a contattarci.
Alla prossima edizione!
