Il ruolo dell’Organismo di Vigilanza nel sistema di prevenzione
ex D.Lgs. 231/2001
Bergamo, 06/12/2013 Antonio Candotti
INDICE
IL QUADRO GIURIDICO DI RIFERIMENTO
• Il D.Lgs. 231/2001
• I soggetti destinatari e quelli esclusi
• Il catalogo dei reati
• La responsabilità dell’ente
• L’esclusione dalla responsabilità per l’ente
• OdV: principali caratteristiche - rinvio
• La composizione dell’OdV – rinvio
L’ORGANISMO DI VIGILANZA (OdV)
• Funzioni
• Compiti e poteri
STATUTO E REGOLAMENTO INTERNO
• Caratteristiche generali
• Esemplificazione dei contenuti del Regolamento Interno
I FLUSSI INFORMATIVI
• Caratteristiche generali
• Flussi verso l’OdV
• Flussi dall’OdV
IL PROGRAMMA ANNUALE DELL’ATTIVITA’ DELL’OdV
IL VERBALE DELLE RIUNIONI DELL’OdV
2Il quadro giuridico di riferimento Il D.Lgs. 231/2001
Introduce un regime di responsabilità amministrativa a carico degli enti collettivi per alcuni tipi di reato tassativamente previsti dallo stesso Decreto, commessi nell’interesse o a vantaggio dell’ente da parte di:
• persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso («soggetti apicali»)
• persone sottoposte alla direzione o vigilanza di uno dei soggetti di cui sopra («soggetti subordinati»)
La responsabilità ex D.Lgs. 231/2001 si affianca alla responsabilità penale
della persona fisica che ha commesso il reato.
Il quadro giuridico di riferimento
I soggetti destinatari e quelli esclusi
SOGGETTI DESTINATARI
(D.Lgs. 231 + recente e consolidato orientamento giurisprudenziale) Società di persone e di capitali (art. 1, comma 2, D.Lgs. 231/2001)
Società cooperative e Consorzi (art. 1, comma 2, D.Lgs. 231/2001)
Associazioni con o senza personalità giuridica e Fondazioni (art. 1, comma 2, D.Lgs.
231/2001 e Tribunale di Milano, sentenza del 22/03/2011)
Società partecipate, in tutto o in parte, da enti pubblici (Corte di Cassazione, Sez. II Penale, sentenza n. 28699/2010)
Imprese individuali (Corte di Cassazione, sentenza n. 15657 del 20/04/2011) Studi professionali in forma societaria(Cassazione Penale, 7/02/2012 n. 4703) Banche e Gruppi di società (per i gruppi di imprese: Cassazione Penale, Sez. V, n.
24583/2011.
Enti di diritto pubblico che hanno come compito esclusivo o principale l’esercizio di attività di impresa (Corte di Cassazione, Sez. II Penale, sentenza n. 28699/2010)
Società estere operanti in Italia, anche in assenza di una sede sul territorio nazionale (Tribunale di Milano, ordinanza del 13.06.2007)
SOGGETTI ESCLUSI
(art. 1, comma 3, D.Lgs. 231/2001)
Stato
Enti pubblici territoriali Enti pubblici non economici
Enti che svolgono funzioni di rilevo costituzionale (es. sindacati)
Altri enti che esercitano pubblici poteri Enti di diritto pubblico che esercitano un pubblico servizio, perseguendo fini e interessi propri dello Stato (es. Inps, Inail, scuole, università statali, aziende sanitarie locali)
4
Il quadro giuridico di riferimento
Il catalogo dei reati (1/2)
Giugno 2001: Reati contro la Pubblica Amministrazione (artt. 24 e 25 D.Lgs. 231/2001)
Settembre 2001: Falsità in monete, in carte di pubblico credito e in valori di bollo (art. 25-bis D.Lgs. 231/2001) Aprile 2002: Reati societari (art. 25-ter D.Lgs. 231/2001)
Gennaio 2003: Delitti con finalità di terrorismo o di eversione dell’ordine democratico (art. 25-quater D.Lgs. 231/2001) Agosto 2003: Delitti contro la personalità individuale (art. 25 quinquies D.Lgs. 231/2001)
Aprile 2005: Reati di abuso di mercato (art. 25-sexies D.Lgs. 231/2001)
Gennaio 2006: Pratiche di mutilazione degli organi genitali femminili (art. 25-quater.1 D.Lgs. 231/2001) Marzo 2006: Reati transnazionali (artt.3 e 10 L. 146/2006)
Aprile 2006: Abbandono di rifiuti (art. 192 D.Lgs. 152/2006)
Agosto 2007: Omicidio colposo o lesioni colpose gravi o gravissime (art. 25-septies D.Lgs. 231/2001)
Novembre 2007: Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (art. 25-octies D.Lgs.
231/2001)
Marzo 2008: Delitti informatici e trattamento illecito dei dati (art. 24-bis D.Lgs. 231/2001)
Luglio 2009: Delitti di criminalità organizzata, delitti contro l’industria e il commercio, delitti in materia di violazione del diritto d’autore (artt. 24-ter, 25-bis.1, 25-novies D.Lgs. 231/2001)
Agosto 2009: Induzione a non rendere o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 25-decies D.Lgs.
231/2001)
Il quadro giuridico di riferimento
Il catalogo dei reati (2/2)
Agosto 2011: Reati ambientali (art. 25-undecies D.Lgs. 231/2001)
Agosto 2012: Impiego di cittadini di Paesi terzi il cui soggiorno è irregolare (art. 25-duodecies D.Lgs. 231/2001) Novembre 2012: Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella P.A. (L.
190/2012, che ha modificato alcuni reati contro la P.A. di cui agli artt. 24 e 25 D.Lgs. 231/2001)
NUOVI REATI PRESUPPOSTO previsti dalla «LEGGE ANTICORRUZIONE» (Legge 6 novembre 2012 n. 190):
• Reato di corruzione tra privati (art. 2635 Codice Civile, come modificato dalla L. 190/2012): la responsabilità
amministrativa scatta nei confronti dell’ente cui fa parte la persona che ha dato o promesso denaro o altra utilità ai direttori generali, amministratori dell’altra impresa
• Reato di induzione indebita a dare o promettere utilità (art. 319-quater Codice Penale)
La ratifica della CONVENZIONE DI LANZAROTE (L. 1° ottobre 2012, n. 172) per la protezione dei minori dall’abuso e dallo sfruttamento sessuale, ha comportato alcune modifiche al Codice Penale che incidono sull’ambito di operatività degli artt. 24-ter e 25-quinquies del D.Lgs. 231/2001)
6
Il quadro giuridico di riferimento
La responsabilità dell’ente
COMMISSIONE DEL REATO
Reato compreso nel CATALOGO DEI REATI del D.Lgs. 231/2001
Reato commesso da SOGGETTI EX ART. 5 DECRETO
Reato commesso NELL’INTERESSE O A VANTAGGIO
DELL’ENTE
Responsabilità PENALE della PERSONA FISICA
Responsabilità AMMINISTRATIVA dell’ ENTE
Coesistono e si affiancano
SANZIONI
• PECUNIARIA (da 25.823 € a 1.549.371 €)
• INTERDITTIVA (durata: da 3 mesi a 2 anni)
Interdizione dall’esercizio dell’attività
Sospensione/revoca di autorizzazioni/licenze/concessioni Divieto di contrarre con la P.A.
Esclusione da agevolazioni/finanziamenti/contributi e revoca di quelli concessi
Divieto di pubblicizzare beni o servizi
• CONFISCA del PROFITTO
• PUBBLICAZIONE DELLA SENTENZA
Il quadro giuridico di riferimento
L’esclusione dalla responsabilità per l’ente
(ART. 6, comma 1, lett. a, b, c, d D.Lgs. 231/2001)
L’ENTE NON e’ RESPONSABILE se:
Ha ADOTTATO ed EFFICACEMENTE ATTUATO, prima della commissione del fatto, MODELLI DI ORGANIZZAZIONE E DI GESTIONE idonei a PREVENIRE REATI della SPECIE di quello verificatosi
Ha affidato ad un ORGANISMO dotato di autonomi poteri di iniziativa e di controllo (OdV) il compito di VIGILARE sul funzionamento e sull’osservanza dei modelli e di curare il loro aggiornamento
NON c’è stata OMESSA o INSUFFICIENTE VIGILANZA da parte dell’OdV Le persone fisiche che hanno commesso il reato hanno ELUSO FRAUDOLENTEMENTE i MODELLI DI ORGANIZZAZIONE E GESTIONE volti a prevenire i reati
N.B.: In mancanza dell’Organismo di Vigilanza (OdV) anche il più completo Modello di Organizzazione, Gestione e Controllo (MOGC) non è in grado di evitare le sanzioni a carico dell’ente
8
Il quadro giuridico di riferimento
OdV: principali caratteristiche - RINVIO -
• Nominato dal vertice dell’ente («organismo dell’ente»)
• Mono o pluri-soggettivo
• Dotato di autonomia, di poteri d’inziativa e di controllo L’OdV è «…un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo…»
- Art. 6, comma 1, lett. b) D.Lgs. 231/2001 -
Le linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 elaborate da Confindustria hanno dato maggiore significato e contenuto a quanto espresso dalla norma parlando di:
• AUTONOMIA: autonomia decisionale nell’esercizio dei poteri di ispezione e vigilanza. L’Odv deve essere estraneo ad ogni forma di interferenza/pressione da parte dei vertici dell’ente
• INDIPENDENZA: all’OdV non devono essere attribuiti compiti operativi che ne minerebbero l’obiettività di giudizio. L’OdV deve possedere requisiti soggettivi formali (es.: onorabilità, assenza di conflitti di interessi, …)
• PROFESSIONALITA’: l’OdV deve possedere strumenti e tecniche specialistiche proprie di chi svolge attività
«ispettiva» e di analisi dei sistemi di controllo e di tipo giuridico
• CONTINUITA’ D’AZIONE: l’attività dell’OdV deve essere svolta in modo regolare e costante nel tempo, in continuo contatto col management aziendale e con un’adeguata presenza
Caratteristiche dell’OdV
10
Potenziale componente
Punti di forza Punti di debolezza
Indipendenza Competenze sul SCI Competenze
giuridiche Continuità d’azione Conoscenza della Società
Mancanza di indipendenza
Mancanza della continuità d’azione
Non completa conoscenza della
Società
Dirigente interno* (es. Resp Int Audit;
Resp. Uff. Legale) Da valutare Da valutare
√ √
Da valutareMembro del collegio sindacale**
√ √ √ √
Consulente esterno
(con competenze su tematiche di
sistema di controllo interno)
√ √
Da valutare Da valutare Da valutare Da valutareConsulente esterno
(con competenze su tematiche
giuridiche)
√ √
Da valutare Da valutare Da valutare Da valutareComponente Consiglio di Amministrazione (es:membro
Comitatao di Controllo Interno) Da valutare Da valutare Da valutare
√
Da valutare Da valutare* Per quanto riguarda il dirigente interno, la mancanza di indipendenza è tanto maggiore quanto più ampie sono le responsabilità operative dello stesso nella gestione della Società
** Per quanto riguarda il membro del collegio sindacale, parte della dottrina evidenzia un possibile conflitto “controllore/controllato”.
Il quadro giuridico di riferimento
La composizione dell’OdV - RINVIO -
L’Organismo di Vigilanza (OdV) Funzioni (1/2)
In base all’art. 6, comma 1, lett. b) D.Lgs. 231/2001, all’OdV è richiesto di:
«…vigilare sul funzionamento e l’osservanza dei Modelli, di curare il loro aggiornamento…»
La prassi (
1) ha tradotto tale indicazione normativa in TRE MACRO ATTIVITA’:
• ANALISI, VIGILANZA E CONTROLLO
• AGGIORNAMENTO DEL MODELLO
• FORMAZIONE
(1) Sia nello sviluppo del Modello, sia nella regolamentazione dell’OdV, è stata posta particolare attenzione alle best practices in materia di sistemi di organizzazione e controllo e alle normative di autoregolamentazione di settore in tale ambito. Tra le principali linee guida e best practices segnaliamo:
LG di Confindustria, LG di Confcommercio, Position Papers dell’AIIA, Federal Sentencing Giuidelines, CoSO Model, LG Regionali
L’Organismo di Vigilanza (OdV)
Funzioni (2/2)
• Verifica dell’ADEGUATEZZA del Modello
• Verifica della COERENZA tra Modello e comportamenti effettivi (EFFETTIVITA’ del Modello)
• Verifica dell’EFFICACIA del Modello (capacità del Modello di prevenire comportamenti illeciti)
• In presenza di modifiche dell’assetto interno della società che impattano sul profilo di rischio di commissione dei reati
• A seguito di modifiche normative (nuove fattispecie di reato)
• A seguito di elementi di debolezza emersi attraverso l’attività di vigilanza o casi di violazione del Modello
• Per una ADEGUATA CONOSCENZA e CORRETTA IMPLEMENTAZIONE del modello
• Promozione di iniziative per la formazione e la comunicazione del Modello
• Pianificazione di sessioni formative e informative
ANALISI, VIGILANZA E CONTROLLO del MOGC
AGGIORNAMENTO del MOCG
FORMAZIONE sul MOGC
(a cura dall’organo amministrativo dell’ente)
12
L’organismo di vigilanza (OdV)
Compiti e poteri
VIGILANZA SUL FUNZIONAMENTO E SULL’OSSERVANZA DEL MODELLO
ADATTAMENTO E AGGIORNAMENTO DEL MODELLO
SEGNALAZIONE DI EVENTUALI VIOLAZIONI DEL MODELLO
INFORMAZIONE SULL’ATTIVITA’ SVOLTA ALL’ORGANO DI GESTIONE
INIZIATIVE IN CASO DI «INCIDENTE»
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (1/9)
L’OdV deve vigilare:
• Sull’adeguatezza rispetto all’organizzazione e le
dimensioni dell’ente e sul corretto funzionamento del Modello
• Sulla coerenza del Modello, verificando che vi sia rispondenza dei comportamenti aziendali al Modello predisposto
• Sulla corretta attuazione del Modello, in termini di rispetto di quando ivi previsto, attraverso verifiche periodiche e mirate
• Sull’idoneità a prevenire la commissione dei reati previsti dal Decreto quando comunque non vi sia un fraudolento raggiro del Modello da parte dell’agente
Al fine di effettuare le dovute verifiche, l’OdV:
• Può richiedere l’assistenza di funzioni aziendali che garantiscano le competenze e l’indipendenza necessarie (ad es. l’Internal Audit) o richiedere l’intervento di soggetti qualificati esterni nel caso in cui in azienda non siano a disposizione tali risorse
• Ha accesso, o può richiedere a tutto il personale dipendente e a tutti i soggetti esterni tenuti all’osservanza del Modello, tutte le
informazioni concernenti le attività a rischio di reato
• Riceve periodicamente i flussi di informazione stabiliti dal Modello o dall’Organismo stesso attraverso una procedura specifica che indica le informazioni richieste alle varie funzioni aziendali (ad es. KPI, exception reports, operazioni sopra soglie determinate, …)
Nell’ambito dei procedimenti di accertamento delle infrazioni al Modello, attivati in particolare da eventuali segnalazioni, l’OdV deve garantire la tutela dell’anonimato a chi ha segnalato l’illecito
Nella definizione di «Modello» sono ricompresi anche tutti i protocolli e le procedure operative adottati dall’ente mediante i quali lo stesso opera (sistema di controllo)
14
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (2/9)
Tutti i soggetti/organi che partecipano alla gestione o al controllo dell’ente sono tenuti a garantire la massima cooperazione con l’OdV trasmettendogli, obbligatoriamente, ogni informazione utile per l’espletamento delle funzioni che gli sono proprie
Obbligo di scambio di informazioni
• AD/CONSIGLIO DI
AMMINISTRAZIONE 1. Informazioni dall’OdV verso l’organo amministrativo dell’ente Tre linee di report:
• Informazione di carattere continuativo: scambio di informazioni in merito all’attività svolta
• Informazione di carattere periodico:
- all’inizio di ogni esercizio, per comunicare il piano delle attività,
- su base semestrale, per comunicare il contenuto delle verifiche e l’esito delle stesse e rendere noto al vertice dell’ente il livello di osservanza delle procedure adottate con il Modello
• Informazione di carattere immediato aventi ad oggetto:
- ogni problematica/criticità significativa scaturita dall’attività svolta - comportamenti/azioni non in linea con le procedure aziendali - necessità di procedere all’aggiornamento del Modello
2. Informazioni verso l’OdV
• Aspetti gestionali ed operativi dell’attività dell’ente
• Procedimenti disciplinari avviati o archiviati in relazione alle violazioni del Modello
• Informazioni su operazioni a rischio/comportamenti anomali
• Modifiche apportate al sistema delle deleghe di funzioni
• Variazioni nell’assetto societario
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (3/9)
16
Obbligo di scambio di informazioni
• ORGANO DI CONTROLLO INTERNO (Collegio Sindacale, Consiglio di Sorveglianza, Comitato per il controllo sulla gestione)1. Informazioni dall’OdV verso gli organi di controllo interno
• Modello organizzativo adottato dall’ente e suo funzionamento
• Adeguatezza del Modello e sua efficace attuazione
2. Informazioni dagli organi di controllo interno verso l’OdV
• Piani d’azione, controlli effettuati, profili di problematicità
• Relazioni da cui possono emergere fatti, atti, eventi od omissioni con profili di criticità rispetto alle norme del Decreto
• Esistenza di attività risultate prive di ogni regolamentazione
• Informazioni sulla possibile commissione di reati o violazioni del Modello
• REVISORE/SOCIETA’ DI REVISIONE
Il Modello organizzativo soggetto alle attività di verifica dell’OdV è parte del sistema di controllo interno di cui il Collegio Sindacale (o gli altri organi di controllo interno) valuta l’adeguatezza
1. Informazioni dall’OdV verso la società di revisione
• Relazione periodica sull’attuazione del Modello 2. Informazioni verso l’OdV
• Ogni informazione ritenuta rilevante ai fini
dell’attuazione del Modello e del rispetto del D.Lgs.
231/2001
L’irrogazione di una sanzione ex D.Lgs. 231/2001 mette in luce l’insufficienza del controllo interno, che ha effetti anche sul giudizio complessivo di
attendibilità del bilancio
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (4/9)
L’attività di vigilanza è resa più efficace attraverso l’obbligo di informazione all’Organismo stesso da parte di:
RESPONSABILI DELLE FUNZIONI AZIENDALI La periodicità e le tipologie di informazioni da fornire all’OdV sono stabilite attraverso la procedura «Flussi informativi all’OdV» o specifiche disposizioni comunicate ai responsabili delle funzioni da parte dell’Organismo stesso
• Le risultanze periodiche dell’attività di controllo delle stesse, posta in essere per dare attuazione ai Modelli (report riepilogativi dell’attività svolta, attività di monitoraggio, indici consuntivi, …si pensi ad esempio alle verifiche fatte dalle funzioni HSE, Internal audit, Resp. Qualità e Ambiente…)
• Le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili (anche attraverso l’uso di KPI e indicatori di anomalia)
• I casi di deroga al Modello nell’ambito della gestione delle attività sensibili A titolo esemplificativo, i responsabili delle
funzioni aziendali sono tenuti a fornire:
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (5/9)
RESPONSABILI DELLE FUNZIONI AZIENDALI
Le informazioni trasmesse possono riguardare i seguenti aspetti:
Le decisioni relative alla richiesta, erogazione, ed utilizzo di finanziamenti pubblici
Le richieste di assistenza legale inoltrate dai dirigenti e/o dai dipendenti nei confronti dei quali la Magistratura procede per i reati previsti dalla richiamata normativa
I provvedimenti e/o notizie provenienti da qualsiasi autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati di cui al D.Lgs. 231/2001
Le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al D.Lgs. 231/2001
Le notizie relative alla effettiva attuazione del Modello, con evidenza dei procedimenti disciplinari svolti e delle eventuali sanzioni irrogate ovvero dei provvedimenti di archiviazione di tali procedimenti
I prospetti riepilogativi degli appalti affidati a seguito di gare a livello nazionale e europeo, ovvero a trattativa privata
Le notizie relative a commesse attribuite da enti pubblici o soggetti che svolgano funzioni di pubblica utilità
18
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (6/9)
L’attività di vigilanza è resa più efficace attraverso l’obbligo di informazione all’Organismo stesso da parte di:
DIPENDENTI che vengono in possesso di notizie relative alla commissione dei reati in specie all’interno dell’ente o a
«pratiche» non in linea con le norme di comportamento
Devono informare l’OdV delle presunte violazioni attraverso un framework definito dal Modello che deve esplicitare:
• L’assicurazione assoluta di riservatezza e salvaguardia del personale che ha fatto la segnalazione
• Sanzioni per chi effettua segnalazioni calunniose, qualora queste non siano fatte in buona fede
• Un canale diretto che consenta la possibilità di inoltrare le segnalazioni al di fuori della c.d. linea gerarchica
• L’impegno specifico che chiunque effettuerà segnalazioni non subirà conseguenze negative sulla propria posizione e carriera lavorativa
• L’impegno ad esaminare in maniera adeguata ogni segnalazione e a procedere nei confronti di chi ha violato il Modello con azioni specifiche
Regolamentando l’informativa verso l’OdV da parte dei dipendenti si ottengono due risultati principali:
• Consentire al personale di riferire casi di violazione di norme da parte di altri all’interno dell’ente, senza timore di ritorsioni
• Preparare l’organizzazione alla gestione dei c.d. rumors interni
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (7/9)
Le attività che l’OdV intende svolgere nel corso dell’anno devono essere riportate in un documento, solitamente denominato Piano di Azione o Piano Operativo dell’Organismo di Vigilanza, che:
• Definisce le attività ispettive da effettuare nel corso dell’anno (possibile pianificazione pluriennale)
• Ne fornisce una pianificazione temporale
• Identifica le funzioni o processi coinvolti, le attività che saranno svolte e i risultati attesi
• Definisce le risorse necessarie (budget dell’OdV)
• Segnala l’esigenza di aggiornamento del MOGC e contribuisce alla pianificazione
L’OdV può avvalersi della funzione di Internal Auditing, nel quadro di un approccio integrato al sistema di controllo interno.
Sia l’Internal Audit sia l’OdV orientano la propria attività attraverso un approccio risk based e le modalità di esecuzione dei controlli e della relativa reportistica conclusiva sono assimilabili.
L’OdV può contribuire alla definizione dei piani di audit dell’IA per identificare le aree di comune interesse da sottoporre a controllo ed evitare duplicazioni di controlli.
L’OdV può avvalersi dei risultati degli audit sui sistemi certificati (qualità, ambiente sicurezza) e dialogare con i relativi responsabili aziendali per impostare in modo efficiente l’attività di vigilanza L’OdV, se e quando lo ritiene opportuno, ha la facoltà di condurre indagini per proprio conto o avvalendosi di esterni, utilizzando il budget posto a disposizione dell’ente.
Il Piano Operativo può, laddove ritenuto opportuno dall’OdV, essere presentato agli amministratori, ma non è necessaria un’approvazione formale, che potrebbe minare l’autonomia dell’iniziativa di controllo e l’indipendenza dell’OdV stesso
20
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (8/9)
L’approccio risk based dovrebbe tenere conto di:
Livelli di rischio inerente, di controllo e di rischio residuo nell’ambito delle attività sensibili, identificate attraverso il RSA (Risk Self Assessment)
Risultati di indagini, controlli e verifiche effettuati da altre funzioni o soggetti terzi indipendenti (es. revisori o consulenti esterni)
Casi passati, eventi o circostanze particolari che possano influire sui livelli di rischio o sono rilevanti in termini di impatto sul business in caso di illecito
L’approccio risk based deve prevedere una definizione ex ante e uniforme della metodologia per la quantificazione del
rischio inerente, dei controlli e del rischio residuo nell’ambito della valutazione delle attività
Compiti e poteri
Vigilanza sul funzionamento e l’osservanza del Modello (9/9)
L’evoluzione della cultura aziendale in materia di controllo interno, e il sempre maggior numero di soggetti interni-esterni coinvolti, sta portando l’attenzione verso logiche di efficienza ed integrazione («Entreprise risk management») tra i diversi livelli di controllo. L’AIIA (Associazione Italiana Internal Auditors) ha descritto tale metodologia in un documento (position paper)
«Approccio integrato al sistema di controllo interno ai fini di un efficace ed efficiente governo dell’impresa»
ORGANI DI CONTROLLO E DI VIGILANZA
• Consiglio di Amministrazione
• Comitato per il Controllo Interno
• Collegio Sindacale
• Organismo di Vigilanza ai sensi del D.Lgs. 231/2001 CONTROLLO DI SECONDO LIVELLO
• Risk Management e Funzione Compliance
• Funzioni aziendali che supportano direttamente il Dirigente Preposto per la redazione dei documenti contabili societari (es. controllo di gestione)
• Altre funzioni di controllo di secondo livello (es. qualità, sicurezza, …)
CONTROLLO/ASSURANCE DI TERZO LIVELLO
Internal Audit (identificabile anche come «preposto al controllo interno» nelle società quotate). Si relaziona con l’OdV attraverso:
• L’individuazione dei processi sensibili ai fini del Decreto
• Il supporto all’OdV nella definizione del piano di attività e di verifica che riguarda le aree di rischio reato D.Lgs. 231/2001, a supporto dei compiti di vigilanza dell’Organismo stesso
22
Compiti e poteri
Adattamento e aggiornamento del Modello
L’OdV deve curare il processo di manutenzione del Modello, proponendo all’organo dirigente i necessari adattamenti o aggiornamenti, quando ravvisi:
• Cambiamenti nell’organizzazione o nella struttura aziendale
• Evoluzioni o mutamenti delle attività sensibili precedentemente identificate
• Modificazioni delle normative vigenti di riferimento
• Nuove o diverse esigenze di prevenzione nell’ambito delle attività sensibili
• Inidoneità del Modello a prevenire i reati previsti dal Decreto e rilevanti per l’ente
E’ l’organo dirigente ad avere la responsabilità esclusiva di ogni decisione in merito ad eventuali integrazioni o modifiche del Modellosu proposta dell’OdV
• I cambiamenti nell’organizzazione possono riguardare la decisione di affidare in outsourcing delle attività, di migrare processi o di attribuire la responsabilità a soggetti diversi
• Le evoluzioni o mutamenti delle attività sensibili possono riguardare l’avvio o la cessazione di nuove iniziative
imprenditoriali i cui rischi devono essere valutati e analizzati
• Le modificazioni legislative possono determinare
un’applicazione ipso iure di nuove disposizioni che incidono sulle modalità di svolgimento del business sia in termini strettamente operativi che di formale compliance
• Esigenze di prevenzione possono sorgere quando le attività sensibili, per effetto di eventi interni o esterni, possono configurare un rischio di «reato 231» superiore o di diversa natura per cui necessitano di presidi di controllo integrativi o alternativi
• L’inidoneità può essere ravvisata in presenza di palesi violazioni del Modello rilevate in ritardo o non rilevate dal sistema di controllo interno ma contestate (ad es.
dall’Autorità Giudiziaria)
Compiti e poteri
Segnalazione di eventuali violazioni del Modello
L’OdV deve:
• Segnalare alla funzione aziendale competente, titolare del potere disciplinare, ogni eventuale violazione accertata del Modello, al fine di attivare i provvedimenti sanzionatori nei confronti di coloro che hanno commesso l’illecito
Nel momento in cui l’OdV viene a conoscenza di infrazioni al Modello informa le funzioni o l’organo aziendale competente al fine di valutare l’eventuale applicazione dei provvedimenti disciplinari, applicabili in base a quanto previsto dal sistema sanzionatorio del MOGC.
Nell’ambito del procedimento, l’OdV e gli altri organi/funzioni coinvolti, garantiscono la riservatezza delle informazioni trattate in relazione ai soggetti destinatari del procedimento e agli eventuali illeciti contestati.
A titolo esemplificativo, costituiscono infrazioni al Modello:
• La messa in atto di azioni o comportamenti non conformi alle prescrizioni del Modello, ovvero l’omissione di azioni o comportamenti prescritti dal Modello che:
espongano l’ente ad una situazione oggettiva di rischio di commissione di uno dei reati contemplati dal D.Lgs. 231/2001;
e/o siano diretti in modo univoco al compimento di uno o più reati contemplati;
e/o tali da determinare l’applicazione a carico dell’ente di sanzioni previste
• La messa in atto di azioni o comportamenti non conformi ai principi contenuti nel Codice Etico
24
Compiti e poteri
Informazione sull’attività svolta all’organo di gestione
L’OdV deve:
• Riportare all’organo di gestione, attraverso relazioni periodiche, i risultati del proprio lavoro e il rendiconto delle spese sostenute
• Comunicare all’organo di gestione le risultanze di interventi e controlli specifici su operazioni rilevanti, o di indagini di approfondimento
• Informare, attraverso incontri periodici e ogni qualvolta lo ritenga opportuno, gli organi sociali in merito a circostanze e fatti significativi o eventuali urgenti criticità del Modello emerse nell’attività di vigilanza
Le relazioni periodiche predisposte dall’OdV sono redatte anche al fine di consentire all’organo di gestione di effettuare le valutazioni necessarie per apportare eventuali aggiornamenti al Modello e devono quanto meno contenere:
• Il riepilogo delle attività svolte dall’OdV nel periodo considerato ed il relativo costo, incluso quello relativo a soggetti terzi
eventualmente coinvolti
• eventuali problematiche sorte riguardo alle modalità di attuazione del MOGC e delle procedure ad esso collegate
• il resoconto delle segnalazioni ricevute da soggetti interni ed esterni in ordine alla possibile violazione del Modello
• le procedure disciplinari e le sanzioni eventualmente applicate dall’ente, con riferimento esclusivo a violazioni nell’ambito delle attività a rischio
• una valutazione complessiva sul funzionamento del Modello con eventuali indicazioni per integrazioni, correzioni o modifiche
• l’intervento di mutamenti nel sistema normativo o
nell’organizzazione e nell’attività aziendale, che impattano sulla valutazione dei rischi nell’ambito delle attività sensibili
Compiti e poteri
Iniziative in caso di «incidente» (1/2)
Nel caso in cui ad un soggetto apicale o subordinato dell’ente venga contestato un reato presupposto ai sensi del D.Lgs. 231/2001, l’OdV dovrà attivarsi immediatamente, eventualmente convocando una riunione straordinaria, per compiere le seguenti attività e quanto altro previsto dalla procedura di «gestione delle crisi»:
• Provvedere a raccogliere la documentazione rilevante a seconda del soggetto e della funzione (attività di controllo eseguite, provvedimenti adottati dalla società, ecc.) cui è stato contestato il reato
• Intervistare il/i soggetto/i cui è stato contestato il reato e raccogliere informazioni dai dipendenti dell’ente
appartenenti alla funzione in cui è avvenuta tale contestazione e da ogni soggetto che potrebbe essere informato sui fatti
• Verificare se il Modello organizzativo adottato dall’ente necessita di un aggiornamento o di una modifica, al fine di colmare eventuali «gap» che hanno facilitato il compimento di reati o adottare possibili interventi migliorativi emersi a seguito della contestazione di reato
Al fine di svolgere l’attività di raccolta delle informazioni e della documentazione, è importante che l’OdV tenga traccia di ogni intervento svolto, di ogni controllo eseguito, di ogni proposta rivolta all’organo dirigente, al fine di mantenere un riscontro oggettivo dell’attività svolta e dei provvedimenti adottati dall’ente
26
Compiti e poteri
Iniziative in caso di «incidente» (2/2)
L’OdV deve quindi:
• Riportare all’organo di gestione i risultati del proprio lavoro, delle verifiche svolte, delle informazioni raccolte e di eventuali segnalazioni da parte dei dipendenti dell’ente
• Proporre all’organo di gestione eventuali modifiche o aggiornamenti del Modello
• Eventualmente, provvedere a richiedere l’erogazione di sanzioni disciplinari a dipendenti dell’ente nel caso in cui, dalle verifiche svolte, siano emerse violazioni del Modello organizzativo o delle
• In ogni caso, l’OdV deve mantenere traccia delle attività svolte, anche nel caso di una situazione di emergenza
• L’OdV, al pari di ogni altro organo aziendale, dovrà fornire all’autorità giudiziaria ogni informazione richiesta, al fine di dimostrare che l’ente si è impegnato attivamente per prevenire la commissione di reati che possano comportarne la responsabilità amministrativa
• L’organo dirigente e le funzioni aziendali devono
collaborare con l’OdV e provvedere a segnalare eventuali
informazioni che potrebbero essere rilevanti. Va sempre
garantita la riservatezza di chiunque fornisca informazioni
all’OdV
Statuto e Regolamento interno Caratteristiche generali
STATUTO
• Approvato dall’organo dirigente (o comunque dall’organo che adotta il modello ex D.Lgs. 231/2001)
• E’ PARTE INTEGRANTE del Modello adottato dall’ente
CONTENUTO:
• Composizione dell’OdV
• Compiti e poteri dell’OdV
• Requisiti di professionalità, onorabilità, indipendenza e continuità d’azione dei componenti dell’OdV
• Nomina, durata, revoca o sostituzione dei componenti dell’OdV
• Modalità di convocazione delle riunioni dell’OdV (diritto di voto, validità delle delibere,…)
REGOLAMENTO INTERNO (Disciplina di I° livello)
(Disciplina di II° livello)
• E’ espressione dell’autonomia e della libertà d’azione dell’OdV
• Approvato dallo stesso OdV e comunicato all’organo amministrativo
CONTENUTO:
• Forme di verbalizzazione delle sedute dell’OdV
• Pianificazione e regolamento delle attività dell’OdV (risorse finanziarie, consulenti esterni, …)
• Cadenze temporali dei controlli da eseguire
• Individuazione dei criteri delle procedure di analisi 28
Statuto e Regolamento interno
Esemplificazione dei contenuti del Regolamento Interno
Scopo e ambito di applicazione del Regolamento (finalità, periodicità delle riunioni, verbalizzazione delle sedute, disciplina dell’attività, …)
Convocazione dell’OdV (modalità di convocazione e tempistiche)
Validità delle riunioni (modalità di tenuta delle riunioni, maggioranze richieste per la loro validità)
Svolgimento delle riunioni (possibile presenza alle riunioni di persone estranee all’OdV, modalità di trattazione degli argomenti posti all’ordine del giorno, …)
Decisioni (validità delle decisioni, astensione dal voto di membri in conflitto di interessi, …) Verbalizzazione delle riunioni (validità dei verbali, modalità di conservazione, …)
Modalità di svolgimento delle attività (pianificazione delle attività dell’OdV, previsione di eventuali verifiche straordinarie, elaborazione del budget dei costi, …)
Flussi informativi da e verso l’OdV (per regolamentare i flussi informativi) Gestione delle segnalazioni e/o violazioni connesse al Modello 231
Segretario (elenco delle funzioni attribuite al Segretario, nominato dallo stesso OdV)
Obblighi di riservatezza (in merito alle notizie e informazioni acquisite nell’esercizio delle loro funzioni dai membri
dell’OdV e dal Segretario, fatti salvi i flussi informativi previsti dal Modello e i legittimi ordini dell’Autorità Giudiziaria)
Modifiche e integrazioni del Regolamento (apportabili solo per mezzo di decisioni validamente adottate dall’OdV)
Raccolta e conservazione delle informazioni (come e dove tenere l’archivio della documentazione)
I flussi informativi
Caratteristiche generali (1/2)
Art.6 c.2 lett.d) D.Lgs. 231/2001 OBBLIGHI DI INFORMAZIONE: FLUSSI INFORMATIVI BIDIREZIONALI (definiti in base alle esigenze dell’ente, così come emergenti dall’attività di risk assessment)
OdV
FUNZIONI AZIENDALI
ORGANO DI CONTROLLO e
ORGANO DIRIGENTE
Ne INDIRIZZA L’AZIONE in base alle evidenze emerse dall’attività di ispezione e controllo
Trasmissione di ogni INFORMAZIONE UTILE
Informazioni in merito ai FATTI che potrebbero comportare una RESPONSABILITA’ dell’ENTE e a tutte le INFORMAZIONI UTILI per l’attività dell’OdV
Riferisce sull’ATTIVITA’ SVOLTA e sulla presenza di IRREGOLARITA’
o SITUAZIONI DI RISCHIO
30
I flussi informativi
Caratteristiche generali (2/2)
Secondo accreditata dottrina, i flussi informativi verso l’OdV, per poter essere considerato idonei, devono avere le seguenti caratteristiche:
SELETTIVITA’ NEL CONTENUTO DELLE INFORMAZIONI
• All’OdV devono pervenire solo le informazioni rilevanti (sulla base di criteri definiti ex ante e specificati nel Modello)
TEMPESTIVITA’ DELLE INFORMAZIONI
• Le informazioni devono pervenire tempestivamente, secondo quanto stabilito nel Modello o in base a quanto richiesto dall’OdV
AGGIORNAMENTO DELLE INFORMAZIONI
• L’OdV deve disporre di informazioni recenti
ACCURATEZZA DELLE INFORMAZIONI
• Le notizie fornite devono essere esatte
ACCESSIBILITA’ DELLE INFORMAZIONI
I flussi informativi
verso l’OdV
Flussi informativi da attivare al VERIFICARSI DI PARTICOLARI EVENTI (violazioni conclamate o sospette)
Flussi informativi PERIODICI (con cadenza almeno SEMESTRALE)
• Fatti o notizie di eventi che potrebbero, anche solo potenzialmente, determinare la responsabilità della società
• Avvio di procedimenti giudiziari a carico di dirigenti/dipendenti, se concernono i reati ex D.Lgs. 231/2001
• Violazioni del Modello o del Codice Etico
• Anomalie rispetto ai principi affermati nel Modello
• Delibere che comportano modiche dell’assetto societario
L’obbligo grava su CHIUNQUE sia a conoscenza dei fatti/notizie sopra riportati. La violazione dell’obbligo di informare l’OdV deve essere prevista come illecito disciplinare da sanzionare.
1
2
Da parte di tutti le figure aziendali con funzioni di responsabilità nei processi «sensibili», per:
• Attestare il livello di attuazione del Modello
• Indicare il rispetto dei principi di controllo e comportamento
• Segnalare le variazioni intervenute nei processi e nelle procedure
• Sottolineare eventuali criticità nei processi gestiti
• Fornire informazioni sulla gestione aziendale (attraverso incontri periodici con i manager e acquisizione di informazioni e documentazione specifica per funzione aziendale; possono essere previsti specifici indicatori di anomalia «KPI»)
32
I flussi informativi
dall’OdV
Flussi informativi da effettuarsi al VERIFICARSI DI PARTICOLARI EVENTI (violazioni conclamate o sospette)
1
E’ una comunicazione ad hoc, nei confronti del soggetto che ha commesso la violazione.
Ha un contenuto diversificato in relazione al soggetto destinatario
Flussi informativi PERIODICI
2
Relazioni annuali (o semestrali) nei confronti degli organi di amministrazione e controllo
RILEVANZA dei FLUSSI INFORMATIVI
• PREVENZIONE della commissione dei reati
• VIGILANZA sulla compagine sociale
• ACCERTAMENTO a posteriori delle CAUSE che hanno reso possibile il verificarsi dei REATI
Il Programma annuale dell’attività dell’OdV Esemplificazione (1/4)
- Approvato dall’OdV
- Redatto in coerenza con il MOGC
- Redatto considerando l’attività di risk assessment e le informazioni acquisite tramite i flussi informativi
PUNTI DEL PROGRAMMA CONTENUTI
Vigilanza operativa Indicare le attività sulle quali verranno effettuati gli interventi di controllo previsti dall’OdV e le tempistiche
«Autocertificazione»: richiesta di conferma al management
L’OdV richiede semestralmente ai manager della società un’attestazione che confermi:
• La ricezione e la conoscenza del MOGC
• Il rispetto del MOGC
• L’intervento nel caso di violazioni del MOGC
Interventi di controllo non programmati
Da effettuarsi nel caso di segnalazioni di reato, di tentato reato o di violazione del Codice Etico e del MOGC
34
Esemplificazione (2/4)
PUNTI DEL PROGRAMMA CONTENUTI
Flussi informativi verso l’OdV
L’OdV dovrà ricevere la seguente informativa:
• segnalazioni pervenute direttamente alla società/ente
• comunicazioni da parte di enti di controllo in merito a reati/infrazioni
• informativa semestrale in merito alla gestione delle risorse finanziarie
• esiti delle certificazioni e i relativi follow-up periodici
• rapporti di audit ed i relativi follow-up
• provvedimenti disciplinari adottati nei confronti del personale dipendente
• informativa in merito ai cambiamenti organizzativi ed elenco normative adottate
• programma di formazione in ambito 231, Anticorruzione e HSE
• eventuali ulteriori informazioni (verbali degli organi societari, relazione del management, relazioni della società di revisione, ecc.)
Esemplificazione (3/4)
PUNTI DEL PROGRAMMA CONTENUTI
Flussi informativi dall’OdV
Verso i membri del Consiglio di Amministrazione:
• rapporto semestrale relativo all’attività svolta Verso l’Amministratore Delegato
• comunicazioni ai fini dell’implementazione/aggiornamento del MOGC
• programma di vigilanza e relativo Budget dei costi
• monitoraggio sulle carenze rilevate durante le attività di aggiornamento del MOGC e vigilanza
• rilievi emersi dalle proprie attività di supporto e vigilanza
• eventuali fatti di particolare significatività
Verso gli organi sociali, i dirigenti, i Responsabili di Unità:
• comunicazione di aggiornamento del MOGC
36
Esemplificazione (4/4)
PUNTI DEL PROGRAMMA CONTENUTI
Incontri periodici
• Sono previsti incontri semestrali con l’Amministratore Delegato ed il Collegio Sindacale
• In qualche caso possono essere previsti incontri con responsabili di processi aziendali di particolare rilevanza rispetto alle finalità del MOGC
Aggiornamento del Modello
• Segnalazione all’AD della società della necessità di aggiornamento del Modello (per novità normative, modifiche della struttura organizzativa, …)
• Organizzazione dell’attività di aggiornamento (coinvolgimento di un soggetto esterno)
Budget dei costi dell’attività • Viene presentato il budget dei costi relativi all’attività di vigilanza.
• In qualche caso è incluso anche quello per l’aggiornamento del Modello Formazione sul Modello • Promozione di iniziative per la formazione e la comunicazione del Modello
• Pianificazione di sessioni formative e informative
Il Verbale delle riunioni dell’OdV Esemplificazione
Struttura del VERBALE dell’OdV
Data, ora, luogo della riunione
Membri dell’Odv presenti alla riunione Ordine del giorno:
- Approvazione del Regolamento dell’OdV
- Definizione delle attività sensibili da sottoporre agli interventi di vigilanza dell’OdV - Illustrazione del Programma di vigilanza per l’anno in corso
- Presentazione del budget delle spese necessarie per lo svolgimento dell’attività dell’OdV Constatazione della validità della riunione
Esame degli argomenti posti all’ordine del giorno
Sottoscrizione del verbale da parte dei membri dell’Odv presenti
esemplificazione
38