GESTIONE DELLE ATTIVITA' SENSIBIL - POSSIBILE REATO CONNESSO (Fattispecie Prevalenti)

POSSIBILE REATO CONNESSO (Fattispecie Prevalenti)

R. GESTIONE DELLE ATTIVITA' SENSIBIL

Associazione per delinquere Associazione di tipo mafioso

È opportuno inoltre precisare che non sono stati valutati i rischi di commissione dei reati di seguito riportati in quanto ritenuti irrilevanti e non ipotizzabili in GEAL:

- i reati connessi a “pratiche di mutilazione degli organi genitali femminili” in quanto non sono astrattamente ipotizzabili nella realtà aziendale;

- i delitti “contro la personalità individuale” previsti negli articoli 25 quater, 25 quater.1 e 25 quinquies per le ragioni di cui al punto precedente;

- “delitti con finalità di terrorismo o eversione dell’ordine democratico”;

- i reati “transnazionali” introdotti dalla Legge 146/2006 artt. 3 e 10, a prescindere da una possibile lettura “nell’interesse o a vantaggio dell’ente” dei suddetti reati, è stata ravvisata la difficoltà di conciliare tale tipologia di reato con l’esercizio di pubblico servizio svolta esclusivamente su base locale, quale attività tipica di GEAL SpA, essendo finalizzata alla realizzazione dell’interesse pubblico;

- il reato di “omessa comunicazione del conflitto di interessi” ex art. 25-ter.1. r, non risulta configurabile in quanto relativo esclusivamente alle società con titoli quotati in mercati regolamentati italiani o di altro Stato dell’Unione europea o diffusi tra il pubblico in misura rilevante;

- i reati inerenti i delitti contro l’industria ed il commercio;

- i delitti in materia di violazione del diritto d’autore, in quanto non ipotizzabili nell’ambito delle attività svolte dalla società, ad eccezione dei reati di “abusiva duplicazione di programmi per elaboratore al fine di trarne profitto”;

- i delitti di criminalità organizzata, ad eccezione dei reati di “associazione per delinquere” e “associazione di tipo mafioso” ipotizzabili per una pluralità di attività aziendali già soggette ai reati espressamente previsti dal Decreto, sia per quelle riconducibili a qualsiasi delitto. Il rischio di coinvolgimento della società in un

procedimento penale in relazione ai menzionati reati associativi può essere considerato legato al rischio di commissione dei reati presupposto già oggetto di mappatura. Pertanto tutte le misure e procedure organizzative gestionali e di controllo adottate da GEAL per contrastare la realizzazione mono soggettiva dei reati oggetto di mappatura, sono utili e necessarie a minimizzare il rischio di commissione degli stessi da parte di più persone stabilmente associate;

- in relazione ai reati ambientali sono considerati esclusi i reati di uccisione, distruzione, cattura, prelievo, detenzione di esemplari di specie animali o vegetali selvatiche protette, distruzione o deterioramento di habitat all’interno di un sito protetto, poiché non esistono siti protetti nell’area gestita dalla Società in esame. Sono poi esclusi i reati relativi allo scarico di sostanze o materiali in acque del mare, commercio di specie animali e vegetali in via di estinzione in violazione delle norme internazionali ed inquinamento provocato da navi ed infine i reati di violazione delle misure a tutela dell’ozono stratosferico e dell’ambiente in quanto non ipotizzabili nell’ambito delle attività aziendali.

Come si evince dalla tabella sopra riportata, che espone le categorie di aree di attività a rischio (già evidenziate dalla precedente revisione 2014), sono stati messi in evidenza le fattispecie di reato presupposto oggetto di analisi.

Nel Modello di Organizzazione di GEAL in seguito alla revisione svolta, sono state spiegate brevemente le diverse attività sensibili che caratterizzano le varie categorie a rischio reato. In questa tesi prenderemo in considerazione soltanto le attività sensibili inerenti ai nuovi reato presupposto analizzati.

Tra gli “eco reati ambientali” sono risultate rilevanti (come già precedentemente detto) le fattispecie di reato “inquinamento ambientale” (art. 452-bis c.p.) e “disastro ambientale” (art. 452-quater c.p.), che sono stati inseriti nella categoria di attività “G- Gestione aspetti ambientali”: l’attività sensibile a questi correlata consiste nell’assicurare la corretta conduzione degli impianti di fognatura e depurazione e di effettuare idonea manutenzione degli stessi in modo da evitare emissioni in atmosfera, inquinamento delle acque e inquinamento del suolo, fuori dai limiti previsti. Aspetti molto importanti anche dal punto di vista dell’immagine aziendale.

L’Azienda potrebbe infatti voler conseguire risparmi di spesa rinunciando, per esempio a ripristinare un guasto o un malfunzionamento agli impianti.

Il reato di “autoriciclaggio” (art. 648-ter c.p.) è stato aggiunto nella già presente classe “Q - Gestione ciclo passivo su beni, servizi e lavori”: l’attività sensibile fa riferimento alla non conformità, all’inesistenza o alla falsa rappresentazione della gestione degli acquisti di beni, servizi e lavori. Potrebbe verificarsi una falsa rappresentazione di scritture contabili, la non presentazione di dichiarazione IVA obbligatoria, il rilascio di fatture o altri documenti per operazioni inesistenti, l’occultamento di scritture contabili in modo da non poter ricostruire il reddito o il volume di affari. Essendo nel campo di applicazione del Decreto della 231, tutte queste attività devono essere svolte a vantaggio della Società.

Il reato di “intermediazione illecita e sfruttamento del lavoro” (art. 603-bis c.p) è stato aggiunto sia nella categoria “E - Gestione del sistema di sicurezza ai sensi del D.Lgs 81/2008”, in relazione alla prevenzione e la salute dei lavoratori che potrebbero essere assunti non rispettando gli standard imposti dal Decreto 81/200863 a tutela dei lavoratori. L’Azienda potrebbe reclutare manodopera allo scopo di destinarla a lavoro presso terzi, sfruttandola e approfittando del suo stato di bisogno non garantendo quanto richiesto in termini di sicurezza del lavoro.

L’illecito in questione è stato anche inserito nella categoria “I- Gestione degli adempimenti in materia di assunzioni, cessazione del rapporto di lavoro, retribuzioni, ritenute fiscali e contributi previdenziali e assistenziali, relativi a dipendenti e collaboratori” in riferimento alla violazione di determinati requisiti, regole relative all’attività di assunzione e gestione del personale. GEAL potrebbe non fare riferimento alle regole del contratto collettivo nazionale (CCNL) in termini di retribuzione, in termini di orario di lavoro, periodo di riposo, ferie e potrebbe sottoporre il lavoratore a condizioni di lavoro degradanti.

Una volta compreso il contesto di attività dei nuovi reati presupposto è risultato indispensabile, al fine di evidenziare la rilevanza che questi reati hanno all’interno di GEAL Spa, andare a definire la loro esposizione al rischio e quindi misurare la loro gravità tramite la metodologia di misurazione adottata in GEAL.

Misurare il rischio di un evento significa analizzare la probabilità che tale evento possa verificarsi all’interno dell’organizzazione e la sua gravità ovvero gli effetti concreti di tale evento o comportamento: in definitiva si può affermare che il rischio costituisce il

D.Lgs 9 aprile 2008, n. 81 Attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, in materia di tutela della salute e della sicurezza nei luoghi di lavoro.

prodotto delle variabili probabilità e gravità (o impatto)64. Per implementare il sistema di pesatura del risk assessment, il punto di partenza è una matrice impatto/probabilità all’interno della quale è possibile poter classificare i rischi riscontrati all’interno dell’azienda.

Il risultato di questo prodotto determina appunto il grado di rischio definito preliminare (o ex ante), in quanto questo non considera l’efficacia del sistema di controllo interno già presente in azienda. Risulta quindi importante andare a definire idonee pesature per definire le due variabili, che vanno a delineare l’esposizione, in modo da poter affidare a queste un valore da 0 a 5 (molto basso- molto alto).

Per valutare l’impatto che un particolare reato può avere sull’azienda si opera innanzitutto valutando i due aspetti che il Decreto 231 utilizza e per le quali definisce il loro ammontare, ovvero le sanzioni amministrative (o pecuniarie) e quelle interdittive; si considera inoltre il rischio reputazionale, di immagine, derivante dall’eventuale commissione del reato. In base a queste tipologie di sanzioni sarà appunto classificata l’attività a rischio reato in un rating di rischio diviso in cinque classi:

1 (Molto basso)

I parametri utilizzati per definire l’esposizione al rischio sono stati presi dal documento interno di GEAL “metodologia analisi dei rischi ai fini del Decreto Legislativo 231/2001”

2 (Basso) 3 (Medio) 4 (Alto) 5 (Molto Alto)

Per quanto riguarda la pesatura della probabilità, si deve invece fare riferimento a 5 parametri giudicati particolarmente indicativi per la sua valutazione:

- frequenza, per valutare se l’attività sensibile viene svolta raramente o in modo costante incidendo appunto sulla diminuzione/aumento della probabilità;

- rilevanza, per valutare la significatività dell’attività sensibile a cui il rischio è correlato in relazione agli obiettivi dell’Azienda;

- rapporti con la Pubblica Amministrazione, parametro che serve per valutare la frequenza dei contatti con la Pubblica Amministrazione in riferimento all’attività sensibile;

- poteri e deleghe, per identificare il grado di autonomia (disponibilità di risorse, poteri decisionali) dei soggetti coinvolti nell’esecuzione dell’attività sensibile al rischio reato;

- precedenti accadimenti, per misurare la presenza di precedenti eventi in relazione all’attività sensibile di riferimento.

Ciascuno di questi parametri riferiti alla probabilità, è declinato in sotto-valori: si va da 0 (nel caso in cui uno di questi parametri non esista), al caso si assegnazione del valore 1 (nel caso di radicata presenza del parametro in azienda), passando per valori intermedi regolati ogni 0.2.

Il grado complessivo di probabilità sarà dato dalla somma dei valori dei 5 parametri in modo da verificare a quale grado di probabilità (da molto alto a molto basso) corrisponde il valore risultante dall’analisi dei parametri.

Una volta andato a definire il metodo per la valutazione della probabilità e dell’impatto, e una volta identificato il valore del rischio preliminare come prodotto tra probabilità e impatto, e quindi come intersezione della matrice precedentemente esposta, è importante effettuare l’analisi di un altro aspetto strategico: quello relativo al Sistema di Controllo Interno (S.C.I.), ossia all’insieme di procedure già in essere all’interno dell’Azienda che possono mitigare l’ammontare del rischio preliminare precedentemente identificato, al fine di arrivare al rischio residuo (post attività di

100

controllo). La valutazione del sistema di controllo interno deve riguardare sia l’adeguatezza del controllo (disegno del controllo rispetto al rischio) sia il suo funzionamento effettivo.

Anche in questo caso sono cinque i parametri da analizzare per poter definire il livello di controllo e nello specifico sono66:

- esistenza ed aggiornamento delle procedure/regolamenti, per identificare la presenza o meno di regolamenti e procedure per lo svolgimento del processo; - conoscenza e comunicazione, parametro utilizzato per misurare il grado di

conoscenza da parte del personale delle procedure/regolamenti e l’efficacia del sistema di comunicazione interno;

- segregazione dei compiti, per poter misurare l’entità della separazione dei compiti tra chi richiede, autorizza, esegue, contabilizza in modo da poter controllare meglio lo svolgimento dell’attività sensibile;

- controllo di processo (operativi), ossia l’entità dei controlli svolti all’interno del processo, fatti direttamente dalle funzioni operative;

- controllo di secondo e terzo livello, ossia controlli fatti dalle funzioni preposte al controllo (Audit, Organismo di Vigilanza 231, Collegio Sindacale, Società di revisione…).

Ciascuno di questi parametri è valutato secondo una scala: si va dal valore 0 (caso peggiore, ovvero parametro non controllato), al valore 1 (caso migliore, ovvero ottimi controlli e facilità di rilevazione), passando per valori intermedi regolati ogni 0.2: i valori dei parametri vengono sommati in modo da verificare a quale grado di controllo corrispondono (da molto basso a molto alto).

A questo punto il valore del rischio residuo (post livello di controllo) sarà ottenuto riducendo il valore del rischio preliminare (ex- ante) in misura proporzionale alla forza del sistema di controllo interno che caratterizza l’attività in questione. Il livello di rischio residuo sarà dunque definito da:

RISCHIO RESIDUO = RISCHIO PRELIMINARE – (RISCHIO

PRELIMINARE*LIVELLO DI CONTROLLO)

Anche i parametri per la definizione del livello di controllo sono stati presi dal documento interno di GEAL “metodologia analisi dei rischi ai fini del Decreto legislativo 231/2001”.

101

Una volta definito l’ammontare di rischio residuo dovrà essere valutato se questo risulta essere accettabile per l’organizzazione aziendale e nel caso non fosse idoneo, adottare specifiche misure per la riduzione dello stesso.

L’analisi sopra descritta per identificare probabilità, impatto, livello di controllo, esposizione al rischio, viene realizzata e documentata attraverso la compilazione da parte di ciascun responsabile di funzione individuato in GEAL, delle schede di valutazione di propria competenza. Al termine della raccolta delle schede compilate dai responsabili, e della successiva fase di analisi e valutazione, è stato predisposto il documento di analisi dei rischi finale nel quale si sono riportati gli esiti delle valutazioni secondo la seguente scheda, nella quale i giudizi dei singoli responsabili sono stati calcolati come valori medi.

Esempio scheda di valutazione67:

67_{La scheda riportata sotto è stata ripresa dalla reale scheda che ogni responsabile di GEAL ha compilato per la valutazione delle}

attività più sensibili di propria competenza.

Area di attività a rischio Reato Attività sensibili FUNZIONI Aziendali coinvolte Modalità operative Principali autorità coinvolte Possibili finalità di realizzazione del reato

Esempi possibili modalità di realizzazione

102

Secondo il ragionamento sopra descritto, sono stati valutati i nuovi reati presupposto in riferimento al D.Lgs 231/2001 da inserire per l’aggiornamento dell’analisi dei rischi in GEAL. Questi sono stati infatti aggiunti nel foglio di lavoro Excel “Documento analisi dei rischi” già presente in azienda, conservato dall’ufficio Internal Auditing, e composto da diverse colonne distinte, che vanno a riassumere il lavoro di analisi svolto, grazie allo studio delle suddette schede di valutazione68.

Si parte infatti dalla prima colonna che va ad identificare le aree di attività a rischio e le attività sensibili a queste correlate; si identifica la modalità operativa dell’attività mettendo in luce il possibile reato connesso e il suo riferimento nel Decreto 231/2001. Si procede indicando la possibile finalità di commissione di reato, mettendo in luce il vantaggio che l’Azienda, in questo caso GEAL potrebbe ottenere, e gli esempi di possibile modalità di commissione. Si passa poi ad identificare quelle colonne che riassumono i valori quantitativi presenti nelle schede compilate riguardanti l’impatto, la probabilità, il rischio preliminare, il livello di controllo e il rischio residuo e quindi il loro indice corrispondente (da molto alto a molto basso). Verrà quindi compilata la colonna del piano di azione per la riduzione del rischio solo nel caso (secondo il criterio utilizzato da GEAL Spa) in cui il rischio residuo risulti essere Alto o Molto Alto, in quanto gli altri livelli di rischio sono considerati accettabili e vengono soltanto

68_{Il “Documento analisi dei rischi” è composto da diverse colonne che combaciano con le richieste emerse dalla scheda di}

103

monitorati attraverso la normale attività di Audit dell’Organismo di Vigilanza e degli altri organi di controllo. Nel caso in cui invece la misura venga posta in essere, dovranno essere identificati i responsabili delle azioni proposte, le relative tempistiche di azione e la stima del rischio post misure attuate.

In base all’analisi svolta sulle attività sensibili in relazione ai nuovi reati presupposto, non si sono riscontrate problematiche evidenti (come meglio dettagliato in seguito); pertanto le stesse non necessitano di azioni mirate per ridurre il rischio residuo.

- Gli “eco reati ambientali” considerati nell’analisi ossia “inquinamento ambientale” (art 452-bis c.p.) e “disastro ambientale” (art 452-quater c.p.) come precedentemente detto vengono inseriti nella medesima riga di analisi del file Excel, al fine di assicurare la corretta conduzione degli impianti di fognatura e depurazione e di effettuare idonea manutenzione degli stessi in modo da evitare emissioni in atmosfera, inquinamento alle acque e inquinamento del suolo. Nel caso in cui GEAL non voglia spendere per la manutenzione degli impianti in essere, cercando di ottenere come vantaggio un risparmio di spesa, si potrebbero verificare eventi rischiosi correlati alle attività in questione dell’illecito “inquinamento ambientale”: il rischio di inquinamento atmosferico potrebbe essere legato al cattivo funzionamento di impianti di aspirazione, il rischio di inquinamento idrico potrebbe generarsi in caso di guasti o cattivo funzionamento dell’impianto di depurazione. Inoltre altri casi di rischio di inquinamento delle acque e del suolo potrebbero essere legati alla rottura della vasca di contenimento e a sversamenti. Fino ad oggi non si sono verificati in Azienda casi che suggeriscano lo scorretto utilizzo degli impianti a scapito del rispetto ambientale. Per quanto riguarda l’inquinamento atmosferico il responsabile dell’attività di depurazione spiega che per il contenimento dei cattivi odori sono previsti dei trattamenti specifici e dei controlli analitici e ciò porta a non considerare di entità significativa le emissioni prodotte dall’impianto, riducendo in questo caso la probabilità di accadimento. Per l’inquinamento delle acque e del suolo la manutenzione degli impianti è gestita sia internamente che esternamente facendo controlli sulle acque e sui sedimenti a monte e a valle, garantendo una separazione dei compiti che riduce anche in questo caso la probabilità di accadimento. Anche il rischio reato “disastro ambientale” è considerato accettabile per le motivazioni di cui sopra. Nonostante queste tipologie di rischio reato nel caso si verificassero,

104

porterebbero ad un impatto reputazionale consistente, quanto detto sopra garantisce un livello complessivo di rischio residuo pari a basso. Ciò comporta il non dover adottare alcun tipo di misura aggiuntiva ma solo un’azione di monitoraggio al fine di far rimanere l’attività sensibile entro il livello di rischio accettabile per GEAL Spa.

- Il reato di “autoriciclaggio” (art. 648 ter. 1 c.p.), va a modificare l’art. 25-octies del D.Lgs 231/2001 e viene inserito nel file Excel dell’analisi dei rischi. Questo può portare alla falsa rappresentazione e alla non conformità circa la gestione del ciclo di acquisto di beni, servizi e lavori. In particolare le possibili finalità di commissione del reato sono:

• “dichiarazione fraudolenta mediante uso di fatture o di altri documenti per operazioni inesistenti” (art. 2, commi 1 e 2, D.Lgs. 74/200069): il processo a rischio è il ciclo passivo e l’attività consiste nella ricezione e rilevazione di fatture da fornitori. L’unità organizzativa a rischio è l’ufficio acquisti e l’ufficio amministrativo. Esiste separazione dei compiti tra chi emette l’ordine e chi riceve la fattura; per ciascuna fattura viene richiamato a sistema l’ordine richiesto e il DDT (Documento di trasporto) con blocco immediato del pagamento nel caso di inesistenza del relativo ordine. Il responsabile del settore che ha richiesto l’ordine, dovrà inoltre controllare la fattura per garantire all’ufficio amministrativo che la stessa possa essere pagata. Tenendo conto dei controlli sopra descritti, l’Organismo di Vigilanza, in qualità di organo di controllo, ritiene il presente reato a basso rischio in GEAL;

• “dichiarazione fraudolenta mediante altri artifici” (art. 3, D.Lgs. 74/2000): il processo a rischio è il ciclo passivo ed il ciclo attivo e l’attività principale a rischio consiste nella mancata fatturazione di prestazioni di servizi. Anche in questo caso a fronte anche dei controlli suddetti, il rischio che si verifichi il reato sopra descritto viene ritenuto basso;

• “dichiarazione infedele” (art. 4, D.Lgs. 74/2000): in questo caso l’attività a rischio riguarda la determinazione della base imponibile su cui calcolare l’IVA, l’IRES e l’IRAP. Tenuto conto anche dei controlli aggiuntivi degli

69_{Decreto Legislativo 10 marzo 2000, n.74 Nuova disciplina dei reati in materia di imposte sui redditi e sul valore aggiunto, a}

norma dell'articolo 9 della legge 25 giugno 1999, n. 205.

105

organi societari quali il Collegio Sindacale e la Società di Revisione, il rischio per questo reato è considerato basso;

• “dichiarazione omessa” (art. 5, D.Lgs. 74/2000): la dichiarazione viene presentata dall’ufficio amministrazione con il consulente esterno (che si occupa della parte fiscale) e controllata dal Collegio Sindacale: grazie alla separazione dei compiti e ai controlli aggiuntivi, il rischio è definito remoto; • “emissione di fatture o altri documenti per operazioni inesistenti” (art. 8, D.Lgs. 74/2000): in base all’attività aziendale di GEAL il presente rischio è da considerare remoto;

• “occultamento o distruzione di documenti contabili” (art. 10, D.Lgs. 74/2000): l’archiviazione in GEAL dei documenti contabili viene svolta manualmente (ad eccezione delle fatture elettroniche emesse alla Pubblica Amministrazione) con possibilità di un maggior controllo in corso d’opera: il rischio viene catalogato come basso;

• “omesso versamento di Iva” (art. 10-ter, D.Lgs. 74/2000): in base ai controlli rispetto ai rischi sopra elencati la rischiosità dell’attività è ritenuta bassa.

In conclusione, per quanto riguarda il reato di “autoriciclaggio” all’interno del contesto aziendale di GEAL Spa, non si riscontrano particolari problematiche e questo implica il non dover effettuare misure aggiuntive a fronte di un’esposizione finale del rischio pari a medio.

- ultimo illecito inserito nell’aggiornamento dell’analisi dei rischi è il reato di “intermediazione illecita e sfruttamento del lavoro” (art. 603 bis c.p.); come precedentemente detto, questo è stato aggiunto in due aree di attività di rischio distinte, in quanto ritenuto rilevante per entrambe. Nell’area relativa all’attiva di assunzione e gestione del personale (sezione I), in cui GEAL potrebbe assumere lavoratori, sottoponendoli a sfruttamento del lavoro, approfittando del loro stato di bisogno e non tenendo conto di regole di assunzione e gestione del personale circa la retribuzione, il riposo, le ferie. Il tutto per cercare di ottenere un vantaggio a livello di azienda. L’illecito viene anche inserito nell’area relativa

Nel documento LA PREVENZIONE DEI RISCHI DI COMPLIANCE: IL CASO GEAL SPA (pagine 99-124)