«Il contributo dell’Organismo di Vigilanza ai fini del valore «esimente»
del Modello di Organizzazione Gestione e Controllo ai sensi del D.Lgs.
231/01»
2
Programma:
Premessa
Ruolo dell’OdV nella normativa di riferimento
Riferimenti operativi dell’OdV
Verifica dell’attuazione del Modello
Possibili sinergie
Giovedì 1 Dicembre 2016
Auditorium Collegio Sant’Alessandro
PREMESSA
Il Decreto Legislativo 8 Giugno 2001, n. 231 (di seguito anche «il D.Lgs. 231/2001» o «il Decreto») ha introdotto nell’ordinamento giuridico italiano la responsabilità amministrativa degli enti per determinati reati, espressamente previsti dal Decreto, commessi a loro
vantaggio o nel loro interesse da (art. 5 del Decreto):
persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’Ente o da chi esercita, anche di fatto, funzioni di direzione e controllo («soggetti apicali»)
persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto precedente («soggetti subordinati»)
L’Ente non risponde del reato se (art. 6, co.1 del Decreto):
si è dotato di un Modello di Organizzazione, Gestione e Controllo (di seguito anche
«Modello» o «Modello 231») prima della commissione del reato. Tale Modello deve essere efficace ed attuato
ha costituito un Organismo di Vigilanza (di seguito anche «OdV») con il compito di vigilare sul funzionamento, l’osservanza e l’aggiornamento del Modello
la commissione del reato è stata realizzata eludendo fraudolentemente il Modello
«non vi è stata omessa o insufficiente vigilanza da parte dell’organismo» di Vigilanza (art. 6, comma 1, lettera d, D.Lgs. 231/2001)
RUOLO DELL’ODV NELLA NORMATIVA DI RIFERIMENTO (1/2)
L’Organismo di Vigilanza ha un ruolo sempre più centrale nell’ambito della disciplina della responsabilità amministrativa di Società ed enti di cui al D.Lgs. 231/2001:
sia a livello «interno» delle singole Società ed enti
sia a livello «esterno» nel contesto del processo penale In particolare, l’OdV entra in gioco con due funzioni:
preventiva, per limitare il rischio che siano commessi reati
esimente, per sollevare dalle responsabilità l’azienda, nel caso i reati siano commessi, dimostrando che sono state messe in atto tutte le misure di vigilanza
4
RUOLO DELL’ODV NELLA NORMATIVA DI RIFERIMENTO (2/2)
L’ente deve:
Aver preventivamente adottato ed efficacemente attuato un Modello di Organizzazione, Gestione e Controllo idoneo ad individuare e prevenire reati;
Aver costituito un organismo con il compito di vigilare sul
funzionamento e l’osservanza del Modello e di curarne
l’aggiornamento;
Dimostrare la diligenza
dell’Organismo di Vigilanza e dei soggetti incaricati della gestione e del controllo.
1. Mappatura processi «a rischio»
2. Elenco rischi potenziali per processo
3. Analisi del sistema di controllo preventivo
4. Valutazione dei rischi residui 5. Adeguamento del sistema di
controllo preventivo
Sistema di controllo Poteri autorizzativi di firma
Comunicazione al
personale Procedure Manuali ed informatiche Codice Etico Sistema Org.vo
Adempimenti organizzativi Linee Guida
RIFERIMENTI OPERATIVI DELL’ODV:
RISK ASSESSMENT E GAP ANALYSIS (1/4)
L’OdV deve procedere all’esame e valutazione del Modello e di tutti i suoi componenti, al fine di verificare che non sia debole o lacunoso sin dalla sua elaborazione, sia al suo insediamento sia successivamente, con cadenza periodica.
Se necessario suggerisce modifiche e/o integrazioni
Dovrà quindi stimolare/effettuare una verifica periodica, a partire dalla mappatura dei processi sensibili
6
RIFERIMENTI OPERATIVI DELL’ODV:
RISK ASSESSMENT E GAP ANALYSIS (2/4)
E’ fondamentale:
Individuare preliminarmente le attività c.d. «sensibili» o «a rischio» nel cui ambito possono essere potenzialmente commessi i reati c.d. «presupposto» di cui al Decreto
Valutare il livello di rischiosità potenziale per ciascuna attività sensibile
Valutare l’efficacia e l’efficienza del Sistema di Controllo Interno (SCI) posto a presidio delle aree a rischio e gli opportuni punti di miglioramento
Valutare il livello di rischiosità residua Attività a
rischio Rischio
potenziale
Sistema di Controllo
Interno
Rischio residuo
RIFERIMENTI OPERATIVI DELL’ODV:
RISK ASSESSMENT E GAP ANALYSIS (3/4)
CARENZE DEL SCI
Potrebbero significare carenze del Modello nel prevenire i reati di cui
al D.Lgs. 231/2001
Il Sistema di Controllo Interno è delineato anche attraverso i contenuti del Modello
Verifica periodica del Sistema di Controllo Interno al fine di individuare e colmare eventuali carenze
8
RIFERIMENTI OPERATIVI DELL’ODV:
RISK ASSESSMENT E GAP ANALYSIS (4/4)
La gap analysis consiste nella valutazione del sistema di controllo esistente all’interno dell’Ente per la prevenzione dei reati ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati.
Sotto il profilo concettuale, ridurre un rischio comporta di dover intervenire, congiuntamente o disgiuntamente, su due fattori determinanti:
la probabilità di accadimento dell’evento e
l’impatto dell’evento stesso
Il sistema delineato, per operare efficacemente, deve tradursi in un processo continuo, o comunque svolto con una periodicità adeguata, da rivedere con particolare attenzione in presenza di cambiamenti aziendali (ad es. apertura di nuove sedi, ampliamento di attività, acquisizioni, riorganizzazioni, modifiche della struttura organizzativa, ecc.), ovvero di introduzione di nuovi reati presupposto della responsabilità dell’Ente in via normativa.
RIFERIMENTI OPERATIVI DELL’ODV:
ESEMPI DI ATTIVITÀ SENSIBILI
Alcuni Esempi:
• Richiesta e gestione di finanziamenti pubblici
• Selezione, assunzione e gestione delle risorse umane
• Gestione dei flussi finanziari
• Approvvigionamento di beni e servizi
• Assegnazione e gestione incarichi di consulenza
• Gestione del contenzioso
• Contabilità e bilancio
• Adempimenti in materia di Salute e sicurezza sul lavoro
• Adempimenti in materia di Ambiente
• Ecc.
10
RIFERIMENTI OPERATIVI DELL’ODV:
ESEMPIO DI VALUTAZIONE DEL RISCHIO
Attività
sensibili Reato Esempio di possibile comportamento
illecito
Rischio
potenziale Valutazione del
sistema di controllo Rischio residuo
Gestione delle verifiche ispettive da parte della PA
Gestione dei flussi
finanziari
Reati contro la PA
Ricettazione riciclaggio, impiego di denaro,beni o utilità di provenienza illecita
Promessa e/o offerta di denaro ad un rappresentante della PA affinché
quest’ultimo, avendo rilevato delle
irregolarità in sede di ispezione, non emetta un verbale
Acquisto di beni provenienti da delitto non colposo con la consapevolezza di tale provenienza illecita al fine di occultare tale provenienza o di far conseguire un profitto alla Società
A
M
B
M
A
M M
RIFERIMENTI OPERATIVI DELL’ODV:
MODELLO 231 (1/4)
Finalità del Modello:
fornire un’adeguata informazione dei Dipendenti e di coloro che agiscono su mandato della Società, o sono legati alla Società da rapporti rilevanti;
diffondere una cultura di impresa improntata alla legalità;
diffondere una cultura del controllo;
attuare un’efficiente ed equilibrata organizzazione dell’impresa, con particolare riguardo alla formazione delle decisioni e alla loro trasparenza, alla previsione di controlli, preventivi e successivi, nonché alla gestione dell’informazione interna ed esterna;
attuare misure idonee ad eliminare tempestivamente, nei limiti del possibile, eventuali situazioni di rischio di commissione dei reati.
12
RIFERIMENTI OPERATIVI DELL’ODV:
MODELLO 231 (2/4)
Il Modello è un
complesso di regole, strumenti e condotte
funzionali a dotare l’Ente: di un efficace sistema organizzativo e di gestione
(ragionevolmente) idoneo a individuare e prevenire le condotte penalmente rilevanti poste in essere dall’Ente stesso o dai soggetti sottoposti alla sua direzione e/o vigilanza
Il Modello deve rispondere alle seguenti esigenze (art. 6 D.Lgs. 231/2001):
individuare le cd. «attività sensibili» nel cui ambito possono essere commessi i reati
prevedere specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell‘Ente in relazione ai reati da prevenire
individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati
prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza del Modello
RIFERIMENTI OPERATIVI DELL’ODV:
MODELLO 231 (3/4)
L’OdV può essere coinvolto nelle determinazione delle modalità di comunicazione del Modello ai soggetti esterni alla Società destinatari del Modello.
L’attività di formazione sul Decreto e sui contenuti del Modello adottato da ciascun Ente è promossa e supervisionata e può anche essere svolta dall’Organismo di Vigilanza della Società, che a seconda delle singole realtà potrà avvalersi del supporto operativo delle funzioni aziendali
competenti o di consulenti esterni. 14
Vigilanza sull’effettività del Modello, cioè sul fatto che i comportamenti aziendali siano concreti con quanto previsto dal Modello
Esame dell’adeguatezza del Modello, che deve tener conto delle specificità e delle caratteristiche
organizzative della Società
Esame dell’efficacia del Modello, che deve consentire di prevenire comportamenti illeciti
Verifica il mantenimento nel tempo dei requisiti di solidità e funzionalitàdel Modello
Promuovere l’aggiornamento del Modello, qualora dalle analisi svolte emerga la necessità di effettuare correzione ed adeguamenti
RIFERIMENTI OPERATIVI DELL’ODV:
MODELLO 231 (4/4)
Inoltre, l’efficace attuazione del Modello richiede:
una verifica periodica e l'eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell'organizzazione o nell'attività
un sistema disciplinare che sia idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello, con particolare attenzione all’obbligo di gestione dei flussi informativi verso l’OdV. Che sia, poi, differenziato per le diverse categorie e ruoli, includendo anche collaboratori esterni, agenti, contrattisti, consulenti – Operai, impiegati, dirigenti, membri del CdA -
RIFERIMENTI OPERATIVI DELL’ODV:
CODICE ETICO (1/3)
«L’Organismo di Vigilanza è l’ente garante del rispetto e della corretta attuazione di quanto enunciato nel Codice Etico».
All’Organismo di Vigilanza competono i seguenti compiti in merito all’attuazione del Codice Etico:
monitorare l’applicazione del Codice Etico da parte dei soggetti interessati, attraverso l’applicazione di specifici piani di audit interni e accogliendo eventuali segnalazioni fornite dai portatori d’interesse interni ed esterni
trasmettere al
management
aziendale e agli organi amministrativi la richiesta di applicazione di eventuali sanzioni, per violazioni al presente Codice Etico relazionare periodicamente al Consiglio di Amministrazione sui risultati dell’attività svolta, segnalando eventuali violazioni del Codice Etico di significativa rilevanza
esprimere pareri in merito alla revisione delle più rilevanti politiche e procedure, allo scopo di garantirne la coerenza con il Codice Etico
provvedere, ove necessario, alla proposta di revisione periodica del Codice Etico.
16
RIFERIMENTI OPERATIVI DELL’ODV:
CODICE ETICO (2/3)
Il ruolo del Codice Etico è quello di assicurare che le attività e le operazioni aziendali siano svolte secondo standard di comportamento e modalità statuiti e non in contrasto con norme di legge o deontologiche.
Il Codice Etico rappresenta la carta valori, la carta comportamentale che la Società vuole comunicare sia internamente ai propri dipendenti, che esternamente agli stakeholder/attori coinvolti dai processi aziendali (Fornitori, Clienti, Partner commerciali, Pubblica Amministrazione, ecc.).
Il raccordo con quanto previsto dal Decreto si ottiene esplicitando i principi comportamentali che devono ispirare tutti coloro che agiscono in nome e per conto dell’azienda.
A titolo esemplificativo:
• divieto di corrompere funzionari della Pubblica Amministrazione
• rispetto dell’Ambiente
• salute e sicurezza nell’ambiente di lavoro
RIFERIMENTI OPERATIVI DELL’ODV:
CODICE ETICO (3/3)
Struttura del Codice Etico
Carta Etica
Formalizzazione della Mission della Società e dei Valori che costituiscono il fondamento della cultura della Società stessa
Principi di comportamento
Individuazione delle responsabilità e dei comportamenti che destinatari del Codice Etico devono tenere nei confronti delle diverse categorie di stakeholders per essere conformi al Codice Etico della Società
Modalità di attuazione e rispetto del Codice Etico
Identificazione dei responsabili dell’attuazione del Codice Etico.
Attività di controllo, segnalazioni di violazioni, azioni conseguenti e definizione del sistema disciplinare.
18
RIFERIMENTI OPERATIVI DELL’ODV:
PROCEDURE AZIENDALI
Le procedure aziendali rappresentano le modalità operative formalizzate con le quali le Società svolgono i processi e le attività «a rischio» ai sensi del Decreto.
Trattandosi, inoltre, di protocolli di gestione del rischio, le procedure aziendali non si devono limitare ai soli processi autorizzativi e decisionali, ma devono individuare uno schema idoneo a prevenire il verificarsi dei reati presupposto mediante:
segregazione delle funzioni
sistema di deleghe e procure
tracciabilità delle operazioni
adeguati flussi informativi continui
L’Organismo di Vigilanza, nel vigilare sull’effettività del Modello, effettua un controllo sull’adeguatezza dei controlli preventivi e quindi anche sulle procedure aziendali.
«Sempre maggiore attenzione da parte dei giudici sull’adeguatezza delle procedure aziendali»
VERIFICA DELL’ATTUAZIONE DEL MODELLO
E’ opportuno prevedere incontri periodici tra l’Organismo di Vigilanza e gli organi sociali cui l’Organismo riferisce in relazione, ad esempio, ai seguenti aspetti:
• Formulazione delle proposte all’organo dirigente per gli eventuali aggiornamenti e adeguamenti del Modello
• Segnalazione all’organo dirigente, ai fini degli opportuni provvedimenti, di quelle violazioni accertate dal Modello che possano comportare all’insorgere di una responsabilità in capo all’Ente
• Formulazione delle proposte riguardo alle attività di vigilanza (ad es. audit, follow-up, ecc.) da svolgere
• Formulazione di indirizzi comuni riguardo alle attività di vigilanza
L’attività di verifica dell’idoneità e dell’effettiva attuazione del Modello non può prescindere da:
Incontri periodici con il CdA, il Collegio Sindacale, altri organi di controllo obbligatori o volontari, nonché con i responsabili delle funzioni aziendali
Audizioni dei responsabili di determinate funzioni o processi sensibili (es. RSPP, ecc.)
20
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (1/8)
Art. 6, comma 2, D.Lgs. 231/2001
«
[…] i Modelli di cui alla lettera a), del comma 1, devono rispondere alle seguenti esigenze: […]
d) prevedere obblighi di informazione nei confronti dell'organismo deputato a vigilare sul funzionamento e l'osservanza dei Modelli.»
Gli obblighi informativi si realizzano attraverso FLUSSI INFORMATIVI verso l’OdV, definiti in base alle esigenze
dell’ente, così come emergenti dall’attività di risk assessment
I flussi informativi possono riguardare:
• Flussi «ad hoc» di segnalazione di violazioni conclamate o sospette
• Flussi di reporting periodico da e verso l’OdV
L’ente si dovrebbe dotare di una procedura interna che riassuma le regole che disciplinano modalità di generazione, accesso e reporting delle informazioni rilevanti ai fini di un’efficace vigilanza sulle attività sensibili identificate nel Modello, anche al fine di rendere disponibili in tempi ragionevoli, all’OdV, le informazioni necessarie per la prevenzione dei reati definiti dal Decreto.
ORGANI E SOGGETTI tenuti ad informare l’OdV
FUNZIONI AZIENDALI: in particolare le funzioni con ruoli di
«controllo»:
Compliance, Internal Audit e Risk Management
RESPONSABILI DELLE FUNZIONI CHE OPERANO NELL’AMBITO DI ATTIVITÁ SENSIBILI (CFO, Acquisti, Vendite, RSPP, HR, IT, Legale,
…): possono fornire dati utili per monitorare i processi a rischio
MEMBRI DEGLI ORGANI SOCIALI (assemblea dei soci, organo di controllo e organo dirigente): devono riportare all’OdV segnalazioni di comportamenti non corretti in violazione del Modello
PERSONALE DIPENDENTE e COLLABORATORI: chiamati a
segnalare atti, comportamenti o eventi che potrebbero determinare una violazione o elusione del Modello e delle procedure da esso richiamate
SOGGETTI ESTERNI ALL’ENTE: l’OdV dovrebbe costituire un riferimento credibile anche per i soggetti esterni che vogliano rivolgersi all’OdV per segnalare comportamenti in contrasto con il
Modello 22
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (2/8)
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (3/8)
La periodicità del reporting verso l’OdV e il contenuto minimo sono funzione del settore in cui opera l’ente, delle sue dimensioni, della sua articolazione e complessità organizzativa e del processo/funzione aziendale.
L’OdV può richiedere, contestualmente alle informazioni contenute nei flussi, una
«dichiarazione» di conformità alle prescrizioni dettate dal Modello da parte del management;
responsabilità del management è infatti anche quella di istituire un concreto processo di
“auto-valutazione” del sistema di controllo interno.
Al fine di ottenere informazioni sintetiche, precise, puntuali e non ridondanti, è necessario che l’OdV:
Identifichi chiaramente i responsabili dei flussi informativi
Determini un’efficace periodicità dei flussi
Determini indicatori, non solo di ricognizione di potenziali violazioni del Modello, ma anche per verificare l’efficacia del Modello stesso
Flussi informativi periodici:
ATTIVITA’ SENSIBILE REATI KPI per OdV
Acquisto di beni e servizi
• Societari
• Criminalità organizzata
• Ricettazione e riciclaggio
• Elenco degli acquisti oltre soglia
• Elenco degli acquisti a prezzi anomali rispetto al mercato
Gestione delle nota spese Societari Elenco periodico delle nota spese oltre soglia di importo o con anomalie
Gestione delle
comunicazioni esterne
Delitti in materia di violazione del diritto d’autore
Utilizzi di immagini, filmati, composizioni musicali, ..
Tutelati dal diritto d’autore
Gestione di marchi e brevetti
• Delitti in materia di violazione del diritto d’autore
• Falsità in monete
Elenco periodico delle
richieste di registrazione di marchi e brevetti
Elenco dei provvedimenti per violazioni connesse alla
gestione di marchi e brevetti
24
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (4/8)
ATTIVITA’ SENSIBILE REATI KPI per OdV
Rapporti con l’autorità giudiziaria
Elenco periodico dei soggetti che entrano in contatto con l’autorità giudiziaria (giudici, PM, CTU, .. )
Pubblica
Amministrazione
Negoziazione e stipula dei
contratti con la P.A. Pubblica
Amministrazione Elenco periodico dei contratti stipulati con la P.A.
Gestione delle verifiche
ispettive da parte di autorità pubbliche di vigilanza (INPS, ASL, Ispettorato del lavoro, GdF, Carabinieri, Vigili del fuoco, ..)
Pubblica
Amministrazione
Elenco periodico delle
verifiche ispettive subite, con relativi esiti
Gestione delle risorse finanziarie
• Pubblica
Amministrazione
• Societari
Elenco periodico dei
movimenti bancari e di cassa oltre una determinata soglia
Flussi informativi periodici – esempi di KPI (Indicatori di performance) da inoltrare all’OdV
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (5/8)
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (6/8)
Flussi informativi «ad hoc»:
Sono relativi alla specifica attività di analisi svolta dall’OdV a seguito della segnalazione di anomalie, atipicità, violazioni conclamate o sospette.
A titolo esemplificativo:
Fatti o notizie di eventi che potrebbero, anche solo potenzialmente, determinare la responsabilità della società
Avvio di procedimenti giudiziari a carico di dirigenti/dipendenti, se concernono i reati ex D.Lgs. 231/2001
Violazioni del Modello o del Codice Etico
Anomalie rispetto ai principi affermati nel Modello
Delibere che comportano modifiche dell’assetto societario
26
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (7/8)
Nel caso in cui l’Ente venga a conoscenza di violazioni del Modello o delle procedure aziendali esistenti, deve informare tempestivamente l’OdV.
L’OdV si attiverà per:
Verificare se la contestazione riguarda aree sensibili mappate e presidiate o meno
Stimare l’effettivo rischio 231 (es. considerazioni in merito all’interesse o vantaggio per l’Ente e alla posizione ricoperta dalla persona che ha violato il Modello e/o la procedura aziendale)
Coordinarsi con il referente legale ed eventuali funzioni aziendali coinvolte (es. RSPP per infortuni sul lavoro, ecc.)
Rivedere la mappatura delle attività sensibili per accertarne la completezza
Suggerire all’Ente di aprire un procedimento disciplinare
Occorre conoscere e intervenire tempestivamente L’Ente è poi responsabile delle iniziative conseguenti
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI VERSO L’ODV (8/8)
Flussi informativi «ad hoc» dai singoli («whisteblowing»):
Si riferiscono a segnalazioni provenienti generalmente da singoli, anonimi o meno, dall’interno o dall’esterno della struttura (c.d. «
whisteblowing
»).Con Ordinanza 20 settembre – 9 novembre 2004 del GIP presso il Tribunale di Milano, la giurisprudenza ha sottolineato l’insufficienza di prescrizioni generiche, ravvisando «un obbligo per i dipendenti, i direttori, gli amministratori della Società di riferire all’OdV notizie rilevanti e relative alla vita dell’Ente, a violazioni del Modello o alla consumazione di reati».
Soprattutto nelle grandi organizzazioni può essere prevista un’apposita procedura in base alla quale ogni soggetto che riceve segnalazioni, qualunque sia l’oggetto, deve inviarne copia all’OdV.
** Con la Determinazione n. 6 del 2015 l'ANAC ha approvato le "Linee Guida in materia di tutela del dipendente pubblico che segnala illeciti". Proposta di legge A.C. n. 1751 "Disposizioni per la protezione degli autori di segnalazioni di reati o irregolarità nell'interesse pubblico" e sua trasposizione nel settore privato, in risposta alle sollecitazioni degli organismi internazionali.
Audizione parlamentare di Confindustria sul tema il 29 ottobre 2015 (Commissioni riunite Giustizia e Lavoro pubblico e privato).
28
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI DALL’ODV (1/3)
Flussi periodici - oggetto dell’informativa:
funzionamento complessivo del Modello
aggiornamento del Modello
fatti di rilievo emersi dall’attività di controllo
Su base semestrale/annuale: relazione informativa sulle attività di verifica, sui test effettuati e sul loro esito e sullo stato dell’attuazione del Modello
All’inizio di ogni esercizio (o al termine di quello precedente): piano delle attività che si intende svolgere nel corso dell’anno, con specificazione della cadenza temporale e dell’oggetto della verifica
In assenza di disposizioni in materia, la frequenza minima di tale attività di reporting deve essere definita in relazione allo specifico profilo di rischio dell’azienda in esame.
Tuttavia, nella prassi, le relazioni periodiche vengono presentate con cadenza semestrale o al massimo annuale.
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI DALL’ODV (2/3)
Flussi «ad hoc» - oggetto dell’informativa:
L’OdV deve porre in atto flussi informativi «
ad hoc
» in presenza di criticità rilevanti.Tali flussi avranno come oggetto:
informazioni, fatti o eventi di notevole gravità, emersi nel corso dell’attività svolta e riferiti ad eventuali comportamenti o azioni non in linea con le procedure aziendali
Inoltre, i flussi informativi potranno riguardare anche fatti o comportamenti che
coinvolgono direttamente componenti degli organi sociali e/o eventuali ritardi o inerzie del vertice aziendale a fronte di segnalazioni ricevute dall’OdV.
Il flusso informativo può dover essere diversificato a seconda del soggetto che ha commesso la violazione.
30
Modalità di gestione dei flussi informativi dall’OdV verso le strutture aziendali:
Verbali
Relazione periodica (semestrale/annuale)
Incontri con l’Amministratore Delegato
Report di chiusura di eventuali segnalazioni
VERIFICA DELL’ATTUAZIONE:
I FLUSSI INFORMATIVI DALL’ODV (3/3)
VERIFICA DELL’ATTUAZIONE:
ATTIVITÀ DI VIGILANZA (1/5)
L’attività dell’OdV riguardante la vigilanza sul Modello consiste:
nella verifica dell’adeguatezza del Modello in relazione alle specificità e alle caratteristiche organizzative della Società che si riflettono sulle attività sensibili e sui rischi «mappati» in fase di risk assessment
nella verifica della coerenza tra le procedure ed il sistema dei controlli aziendali e quanto previsto nel Modello
nella verifica dell’applicazione delle procedure e sistemi di controllo finalizzati a ridurre il rischio di commissione dei reati di cui al Decreto
La pianificazione delle attività, di norma, si sviluppa su due livelli:
pluriennale
annuale
32
Al fine di effettuare le dovute verifiche, l’OdV:
può richiedere l’assistenza di funzioni aziendali che garantiscano le competenze e l’indipendenza necessarie (ad es. l’Internal Audit) o richiedere l’intervento di soggetti qualificati esterni, nel caso in cui in azienda non siano a disposizione tali risorse
ha accesso, o può richiedere a tutto il personale dipendente e a tutti i soggetti esterni tenuti all’osservanza del Modello, tutte le informazioni concernenti le attività a rischio di reato
VERIFICA DELL’ATTUAZIONE:
ATTIVITÀ DI VIGILANZA (2/5)
L’OdV svolge attività di verifica che prevedono lo svolgimento di appositi controlli:
sulle aree sensibili mappate nel Modello adottato
sul disegno delle procedure aziendali
Esame critico della mappatura delle attività a rischio reato:
• Verifica della corretta individuazione
• Adeguatezza delle aree sensibili individuate rispetto all’attività della Società.
assessmentRisk
Procedure
Esame critico delle procedure esistenti inerenti le attività a rischio reato:
• Adeguatezza e coerenza delle operazioni
• Tracciamento documentale
• Segregazione dei compiti
34
VERIFICA DELL’ATTUAZIONE:
ATTIVITÀ DI VIGILANZA (3/5)
Gli audit svolti dall’Organismo di Vigilanza rappresentano uno strumento fondamentale per apprezzare il livello di efficacia del Modello.
Gli audit hanno la finalità di testare la capacità cautelare dei processi sensibili in relazione a quanto specificato nel Modello e nella mappa dei rischi.
Inoltre, nel caso di «non aggiornamento» della mappatura dei reati e/o del Modello, gli audit sono indispensabili momenti di
«self-assessment»
per comprendere l’effettivo grado di esposizione al rischio (e la relativa tolleranza).VERIFICA DELL’ATTUAZIONE:
ATTIVITÀ DI VIGILANZA (4/5)
L’attività di verifica/controllo dell’OdV può essere suddivisa in tre macro-azioni principali:
PIANIFICAZIONE
• Raccolta delle evidenze
• Carte di lavoro
• Reporting
• Conclusioni e raccomandazioni
• Meeting di pianificazione interno
• Pianificazione delle risorse umane
• Comunicazione di avvio
• Definizione del Programma di Audit
• Rapporto di Audit
• Raccomandazioni e/o piani d’azione
36
VERIFICA DELL’ATTUAZIONE:
ATTIVITÀ DI VIGILANZA (5/5)
Fattori che influenzano il follow-up:
significatività dei rilievi
difficoltà e costi da sostenere per correggere i rilievi
evidenziati
impatto della non effettuazione delle azioni correttive
periodo di tempo coinvolto ESECUZIONE
COMUNICAZIONE DEI RISULTATI
Il Consiglio di Amministrazione ha competenza esclusiva per l’adozione, la modifica e l’integrazione del Modello.
Il Modello deve essere tempestivamente modificato o integrato dal Consiglio di Amministrazione, anche su proposta dell’Organismo di Vigilanza, quando:
siano intervenute violazioni o elusioni delle prescrizioni in esso contenute, che ne abbiano dimostrato l’inefficacia o l’incoerenza ai fini della prevenzione dei reati;
siano intervenuti mutamenti significativi nel quadro normativo, nell’organizzazione o nell’attività della Società;
in tutti gli altri casi in cui si renda necessaria o utile la modifica del Modello.
VERIFICA DELL’ATTUAZIONE:
AGGIORNAMENTO DEL MODELLO (1/2)
L’aggiornamento è l’atto con cui il Modello stesso si allinea, nel tempo, alle necessità riscontrate durante la sua applicazione, in una sorta di nuova e sempre più adeguata adozione.
L’operatività dell’OdV in questo ambito si incentra sulla vigilanza a che l’organo dirigente mantenga adeguato nel tempo il Modello formulando proposte per i suoi eventuali aggiornamenti ed adeguamenti, da realizzarsi mediante le modifiche e/o integrazioni che si dovessero rendere necessarie.
È quella parte di attività di vigilanza dell’OdV che potremmo definire ex post, provocata cioè da esiti di attività di controllo o dall’emergere di criticità o violazioni.
All’Organismo di Vigilanza, pertanto, oltre al compito di vigilare sul funzionamento e sull’osservanza del Modello e di curarne il relativo aggiornamento, spetta la sfida, unitamente al
management
aziendale, di saper trasformare i requirements normativi in opportunità di miglioramento dell’efficacia e dell’efficienza del Sistema di Controllo Interno dell’Ente.38
VERIFICA DELL’ATTUAZIONE:
AGGIORNAMENTO DEL MODELLO (2/2)
Le molteplici figure di garanzia previste dalla normativa vigente possono
comportare, in alcuni casi, una
sovrapposizione di funzioni. Il D.Lgs.
231/2011 nulla dice su come coordinare l’attività dell’OdV con quella svolta dai diversi soggetti aventi compiti di vigilanza (collegio sindacale, revisore/società di revisione, internal audit, risk manager, dirigente preposto, responsabile della sicurezza, enti certificatori esterni, …).
Evitare una sovrapposizione dei diversi soggetti nello svolgimento di verifiche sulla medesima operazione è essenziale per:
o Ridurre i costi
o Utilizzare in modo efficiente le risorse interne
o Evitare inefficienze nei controlli
E’ importante che gli organi di controllo operino in un contesto di
collaborazione, integrando
reciprocamente le loro attività in modo da poter rendere all’ente il miglior
servizio possibile in tema di controllo interno e di sicurezza operativa in
riferimento ai rischi aziendali, creando un «sistema integrato di controlli».
È opportuno definire procedure interne univoche e complete, a presidio di tutte le aree di rischio mappate, anche tramite il coordinamento dei diversi soggetti
deputati allo svolgimento dell’attività di controllo, in senso ampio, all’interno dell’ente.
POSSIBILI SINERGIE CON L’ATTIVITÀ SVOLTA DA ALTRI ORGANISMI
DI CONTROLLO (1/2)
POSSIBILI SINERGIE CON L’ATTIVITÀ SVOLTA DA ALTRI ORGANISMI DI CONTROLLO: SCHEMA DEL SISTEMA DI CONTROLLO INTERNO (2/2)
CONTROLLI DI LINEA CONTROLLI DI PRIMO
LIVELLO
• Consistono nelle verifiche svolte sia da chi mette in atto una determinata attività, sia da chi ne ha la responsabilità di supervisione, generalmente nell’ambito della stessa unità organizzativa o funzione
GESTIONE DEI RISCHI, CONTROLLI DI CONFORMITÀ, CONTROLLI DEL DIRIGENTE PREPOSTO
CONTROLLI DI SECONDO LIVELLO
• GESTIONE DEI RISCHI: individua, misura, controlla e gestisce tutti i rischi connessi alle attività, ai processi e ai sistemi dell’impresa
• CONTROLLI DI CONFORMITÁ: finalizzati a verificare l’osservanza del rispetto degli obblighi di etero e auto-regolamentazione
• CONTROLLI DEL DIRIGENTE PREPOSTO: volti ad attestare/dichiarare l’informativa contabile societaria secondo quanto previsto dalla Legge
CONTROLLO INTERNO CONTROLLI DI TERZO
LIVELLO
• Funzione di Internal Audit (valuta la completezza, la funzionalità e l’adeguatezza dei sistemi e delle procedure, anche di controllo)
40
GRAZIE DELL’ATTENZIONE
STUDIO CANDOTTI
RISK COMPLIANCE & SUSTAINABILITY
