nel sistema di prevenzione

Il ruolo dell’Organismo di Vigilanza nel sistema di prevenzione

ex D.Lgs. 231/2001

Bergamo, 06/12/2013 Antonio Candotti

INDICE

IL QUADRO GIURIDICO DI RIFERIMENTO

• Il D.Lgs. 231/2001

• I soggetti destinatari e quelli esclusi

• Il catalogo dei reati

• La responsabilità dell’ente

• L’esclusione dalla responsabilità per l’ente

• OdV: principali caratteristiche - rinvio

• La composizione dell’OdV – rinvio

L’ORGANISMO DI VIGILANZA (OdV)

• Funzioni

• Compiti e poteri

STATUTO E REGOLAMENTO INTERNO

• Caratteristiche generali

• Esemplificazione dei contenuti del Regolamento Interno

I FLUSSI INFORMATIVI

• Caratteristiche generali

• Flussi verso l’OdV

• Flussi dall’OdV

IL PROGRAMMA ANNUALE DELL’ATTIVITA’ DELL’OdV

IL VERBALE DELLE RIUNIONI DELL’OdV

Il quadro giuridico di riferimento Il D.Lgs. 231/2001

Introduce un regime di responsabilità amministrativa a carico degli enti collettivi per alcuni tipi di reato tassativamente previsti dallo stesso Decreto, commessi nell’interesse o a vantaggio dell’ente da parte di:

• persone che rivestono funzioni di rappresentanza, amministrazione o direzione dell’ente, nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso («soggetti apicali»)

• persone sottoposte alla direzione o vigilanza di uno dei soggetti di cui sopra («soggetti subordinati»)

La responsabilità ex D.Lgs. 231/2001 si affianca alla responsabilità penale

della persona fisica che ha commesso il reato.

Il quadro giuridico di riferimento

I soggetti destinatari e quelli esclusi

SOGGETTI DESTINATARI

(D.Lgs. 231 + recente e consolidato orientamento giurisprudenziale) Società di persone e di capitali (art. 1, comma 2, D.Lgs. 231/2001)

Società cooperative e Consorzi (art. 1, comma 2, D.Lgs. 231/2001)

Associazioni con o senza personalità giuridica e Fondazioni (art. 1, comma 2, D.Lgs.

231/2001 e Tribunale di Milano, sentenza del 22/03/2011)

Società partecipate, in tutto o in parte, da enti pubblici (Corte di Cassazione, Sez. II Penale, sentenza n. 28699/2010)

Imprese individuali (Corte di Cassazione, sentenza n. 15657 del 20/04/2011) Studi professionali in forma societaria(Cassazione Penale, 7/02/2012 n. 4703) Banche e Gruppi di società (per i gruppi di imprese: Cassazione Penale, Sez. V, n.

24583/2011.

Enti di diritto pubblico che hanno come compito esclusivo o principale l’esercizio di attività di impresa (Corte di Cassazione, Sez. II Penale, sentenza n. 28699/2010)

Società estere operanti in Italia, anche in assenza di una sede sul territorio nazionale (Tribunale di Milano, ordinanza del 13.06.2007)

SOGGETTI ESCLUSI

(art. 1, comma 3, D.Lgs. 231/2001)

Stato

Enti pubblici territoriali Enti pubblici non economici

Enti che svolgono funzioni di rilevo costituzionale (es. sindacati)

Altri enti che esercitano pubblici poteri Enti di diritto pubblico che esercitano un pubblico servizio, perseguendo fini e interessi propri dello Stato (es. Inps, Inail, scuole, università statali, aziende sanitarie locali)

4

Il quadro giuridico di riferimento

Il catalogo dei reati ^(1/2)

Giugno 2001: Reati contro la Pubblica Amministrazione (artt. 24 e 25 D.Lgs. 231/2001)

Settembre 2001: Falsità in monete, in carte di pubblico credito e in valori di bollo (art. 25-bis D.Lgs. 231/2001) Aprile 2002: Reati societari (art. 25-ter D.Lgs. 231/2001)

Gennaio 2003: Delitti con finalità di terrorismo o di eversione dell’ordine democratico (art. 25-quater D.Lgs. 231/2001) Agosto 2003: Delitti contro la personalità individuale (art. 25 quinquies D.Lgs. 231/2001)

Aprile 2005: Reati di abuso di mercato (art. 25-sexies D.Lgs. 231/2001)

Gennaio 2006: Pratiche di mutilazione degli organi genitali femminili (art. 25-quater.1 D.Lgs. 231/2001) Marzo 2006: Reati transnazionali (artt.3 e 10 L. 146/2006)

Aprile 2006: Abbandono di rifiuti (art. 192 D.Lgs. 152/2006)

Agosto 2007: Omicidio colposo o lesioni colpose gravi o gravissime (art. 25-septies D.Lgs. 231/2001)

Novembre 2007: Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (art. 25-octies D.Lgs.

231/2001)

Marzo 2008: Delitti informatici e trattamento illecito dei dati (art. 24-bis D.Lgs. 231/2001)

Luglio 2009: Delitti di criminalità organizzata, delitti contro l’industria e il commercio, delitti in materia di violazione del diritto d’autore (artt. 24-ter, 25-bis.1, 25-novies D.Lgs. 231/2001)

Agosto 2009: Induzione a non rendere o a rendere dichiarazioni mendaci all’autorità giudiziaria (art. 25-decies D.Lgs.

231/2001)

Il quadro giuridico di riferimento

Il catalogo dei reati ^(2/2)

Agosto 2011: Reati ambientali (art. 25-undecies D.Lgs. 231/2001)

Agosto 2012: Impiego di cittadini di Paesi terzi il cui soggiorno è irregolare (art. 25-duodecies D.Lgs. 231/2001) Novembre 2012: Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella P.A. (L.

190/2012, che ha modificato alcuni reati contro la P.A. di cui agli artt. 24 e 25 D.Lgs. 231/2001)

NUOVI REATI PRESUPPOSTO previsti dalla «LEGGE ANTICORRUZIONE» (Legge 6 novembre 2012 n. 190):

• Reato di corruzione tra privati (art. 2635 Codice Civile, come modificato dalla L. 190/2012): la responsabilità

amministrativa scatta nei confronti dell’ente cui fa parte la persona che ha dato o promesso denaro o altra utilità ai direttori generali, amministratori dell’altra impresa

• Reato di induzione indebita a dare o promettere utilità (art. 319-quater Codice Penale)

La ratifica della CONVENZIONE DI LANZAROTE (L. 1° ottobre 2012, n. 172) per la protezione dei minori dall’abuso e dallo sfruttamento sessuale, ha comportato alcune modifiche al Codice Penale che incidono sull’ambito di operatività degli artt. 24-ter e 25-quinquies del D.Lgs. 231/2001)

6

Il quadro giuridico di riferimento

La responsabilità dell’ente

COMMISSIONE DEL REATO

Reato compreso nel CATALOGO DEI REATI del D.Lgs. 231/2001

Reato commesso da SOGGETTI EX ART. 5 DECRETO

Reato commesso NELL’INTERESSE O A VANTAGGIO

DELL’ENTE

Responsabilità PENALE della PERSONA FISICA

Responsabilità AMMINISTRATIVA dell’ ENTE

Coesistono e si affiancano

SANZIONI

• PECUNIARIA (da 25.823 € a 1.549.371 €)

• INTERDITTIVA (durata: da 3 mesi a 2 anni)

Interdizione dall’esercizio dell’attività

Sospensione/revoca di autorizzazioni/licenze/concessioni Divieto di contrarre con la P.A.

Esclusione da agevolazioni/finanziamenti/contributi e revoca di quelli concessi

Divieto di pubblicizzare beni o servizi

• CONFISCA del PROFITTO

• PUBBLICAZIONE DELLA SENTENZA

Il quadro giuridico di riferimento

L’esclusione dalla responsabilità per l’ente

(ART. 6, comma 1, lett. a, b, c, d D.Lgs. 231/2001)

L’ENTE NON e’ RESPONSABILE se:

Ha ADOTTATO ed EFFICACEMENTE ATTUATO, prima della commissione del fatto, MODELLI DI ORGANIZZAZIONE E DI GESTIONE idonei a PREVENIRE REATI della SPECIE di quello verificatosi

Ha affidato ad un ORGANISMO dotato di autonomi poteri di iniziativa e di controllo (OdV) il compito di VIGILARE sul funzionamento e sull’osservanza dei modelli e di curare il loro aggiornamento

NON c’è stata OMESSA o INSUFFICIENTE VIGILANZA da parte dell’OdV Le persone fisiche che hanno commesso il reato hanno ELUSO FRAUDOLENTEMENTE i MODELLI DI ORGANIZZAZIONE E GESTIONE volti a prevenire i reati

N.B.: In mancanza dell’Organismo di Vigilanza (OdV) anche il più completo Modello di Organizzazione, Gestione e Controllo (MOGC) non è in grado di evitare le sanzioni a carico dell’ente

8

Il quadro giuridico di riferimento

OdV: principali caratteristiche ^{- RINVIO -}

• Nominato dal vertice dell’ente («organismo dell’ente»)

• Mono o pluri-soggettivo

• Dotato di autonomia, di poteri d’inziativa e di controllo L’OdV è «…un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo…»

- Art. 6, comma 1, lett. b) D.Lgs. 231/2001 -

Le linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 elaborate da Confindustria hanno dato maggiore significato e contenuto a quanto espresso dalla norma parlando di:

• AUTONOMIA: autonomia decisionale nell’esercizio dei poteri di ispezione e vigilanza. L’Odv deve essere estraneo ad ogni forma di interferenza/pressione da parte dei vertici dell’ente

• INDIPENDENZA: all’OdV non devono essere attribuiti compiti operativi che ne minerebbero l’obiettività di giudizio. L’OdV deve possedere requisiti soggettivi formali (es.: onorabilità, assenza di conflitti di interessi, …)

• PROFESSIONALITA’: l’OdV deve possedere strumenti e tecniche specialistiche proprie di chi svolge attività

«ispettiva» e di analisi dei sistemi di controllo e di tipo giuridico

• CONTINUITA’ D’AZIONE: l’attività dell’OdV deve essere svolta in modo regolare e costante nel tempo, in continuo contatto col management aziendale e con un’adeguata presenza

Caratteristiche dell’OdV

10

Potenziale componente

Punti di forza Punti di debolezza

Indipendenza Competenze sul SCI Competenze

giuridiche Continuità d’azione Conoscenza della Società

Mancanza di indipendenza

Mancanza della continuità d’azione

Non completa conoscenza della

Società

Dirigente interno* (es. Resp Int Audit;

Resp. Uff. Legale) Da valutare Da valutare

√ √

Membro del collegio sindacale**

√ √ √ √

Consulente esterno

(con competenze su tematiche di

sistema di controllo interno)

√ √

Consulente esterno

(con competenze su tematiche

giuridiche)

√ √

Componente Consiglio di Amministrazione (es:membro

Comitatao di Controllo Interno) Da valutare Da valutare Da valutare

√

* Per quanto riguarda il dirigente interno, la mancanza di indipendenza è tanto maggiore quanto più ampie sono le responsabilità operative dello stesso nella gestione della Società

** Per quanto riguarda il membro del collegio sindacale, parte della dottrina evidenzia un possibile conflitto “controllore/controllato”.

Il quadro giuridico di riferimento

La composizione dell’OdV ^{- RINVIO -}

L’Organismo di Vigilanza (OdV) Funzioni ^(1/2)

In base all’art. 6, comma 1, lett. b) D.Lgs. 231/2001, all’OdV è richiesto di:

«…vigilare sul funzionamento e l’osservanza dei Modelli, di curare il loro aggiornamento…»

La prassi (

) ha tradotto tale indicazione normativa in TRE MACRO ATTIVITA’:

• ANALISI, VIGILANZA E CONTROLLO

• AGGIORNAMENTO DEL MODELLO

• FORMAZIONE

(1) Sia nello sviluppo del Modello, sia nella regolamentazione dell’OdV, è stata posta particolare attenzione alle best practices in materia di sistemi di organizzazione e controllo e alle normative di autoregolamentazione di settore in tale ambito. Tra le principali linee guida e best practices segnaliamo:

LG di Confindustria, LG di Confcommercio, Position Papers dell’AIIA, Federal Sentencing Giuidelines, CoSO Model, LG Regionali

L’Organismo di Vigilanza (OdV)

Funzioni ^(2/2)

• Verifica dell’ADEGUATEZZA del Modello

• Verifica della COERENZA tra Modello e comportamenti effettivi (EFFETTIVITA’ del Modello)

• Verifica dell’EFFICACIA del Modello (capacità del Modello di prevenire comportamenti illeciti)

• In presenza di modifiche dell’assetto interno della società che impattano sul profilo di rischio di commissione dei reati

• A seguito di modifiche normative (nuove fattispecie di reato)

• A seguito di elementi di debolezza emersi attraverso l’attività di vigilanza o casi di violazione del Modello

• Per una ADEGUATA CONOSCENZA e CORRETTA IMPLEMENTAZIONE del modello

• Promozione di iniziative per la formazione e la comunicazione del Modello

• Pianificazione di sessioni formative e informative

ANALISI, VIGILANZA E CONTROLLO del MOGC

AGGIORNAMENTO del MOCG

FORMAZIONE sul MOGC

(a cura dall’organo amministrativo dell’ente)

12

L’organismo di vigilanza (OdV)

Compiti e poteri

VIGILANZA SUL FUNZIONAMENTO E SULL’OSSERVANZA DEL MODELLO

ADATTAMENTO E AGGIORNAMENTO DEL MODELLO

SEGNALAZIONE DI EVENTUALI VIOLAZIONI DEL MODELLO

INFORMAZIONE SULL’ATTIVITA’ SVOLTA ALL’ORGANO DI GESTIONE

INIZIATIVE IN CASO DI «INCIDENTE»

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(1/9)

L’OdV deve vigilare:

• Sull’adeguatezza rispetto all’organizzazione e le

dimensioni dell’ente e sul corretto funzionamento del Modello

• Sulla coerenza del Modello, verificando che vi sia rispondenza dei comportamenti aziendali al Modello predisposto

• Sulla corretta attuazione del Modello, in termini di rispetto di quando ivi previsto, attraverso verifiche periodiche e mirate

• Sull’idoneità a prevenire la commissione dei reati previsti dal Decreto quando comunque non vi sia un fraudolento raggiro del Modello da parte dell’agente

Al fine di effettuare le dovute verifiche, l’OdV:

• Può richiedere l’assistenza di funzioni aziendali che garantiscano le competenze e l’indipendenza necessarie (ad es. l’Internal Audit) o richiedere l’intervento di soggetti qualificati esterni nel caso in cui in azienda non siano a disposizione tali risorse

• Ha accesso, o può richiedere a tutto il personale dipendente e a tutti i soggetti esterni tenuti all’osservanza del Modello, tutte le

informazioni concernenti le attività a rischio di reato

• Riceve periodicamente i flussi di informazione stabiliti dal Modello o dall’Organismo stesso attraverso una procedura specifica che indica le informazioni richieste alle varie funzioni aziendali (ad es. KPI, exception reports, operazioni sopra soglie determinate, …)

Nell’ambito dei procedimenti di accertamento delle infrazioni al Modello, attivati in particolare da eventuali segnalazioni, l’OdV deve garantire la tutela dell’anonimato a chi ha segnalato l’illecito

Nella definizione di «Modello» sono ricompresi anche tutti i protocolli e le procedure operative adottati dall’ente mediante i quali lo stesso opera (sistema di controllo)

14

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(2/9)

Tutti i soggetti/organi che partecipano alla gestione o al controllo dell’ente sono tenuti a garantire la massima cooperazione con l’OdV trasmettendogli, obbligatoriamente, ogni informazione utile per l’espletamento delle funzioni che gli sono proprie

Obbligo di scambio di informazioni

• AD/CONSIGLIO DI

AMMINISTRAZIONE 1. Informazioni dall’OdV verso l’organo amministrativo dell’ente Tre linee di report:

• Informazione di carattere continuativo: scambio di informazioni in merito all’attività svolta

• Informazione di carattere periodico:

- all’inizio di ogni esercizio, per comunicare il piano delle attività,

- su base semestrale, per comunicare il contenuto delle verifiche e l’esito delle stesse e rendere noto al vertice dell’ente il livello di osservanza delle procedure adottate con il Modello

• Informazione di carattere immediato aventi ad oggetto:

- ogni problematica/criticità significativa scaturita dall’attività svolta - comportamenti/azioni non in linea con le procedure aziendali - necessità di procedere all’aggiornamento del Modello

2. Informazioni verso l’OdV

• Aspetti gestionali ed operativi dell’attività dell’ente

• Procedimenti disciplinari avviati o archiviati in relazione alle violazioni del Modello

• Informazioni su operazioni a rischio/comportamenti anomali

• Modifiche apportate al sistema delle deleghe di funzioni

• Variazioni nell’assetto societario

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(3/9)

16

Obbligo di scambio di informazioni

1. Informazioni dall’OdV verso gli organi di controllo interno

• Modello organizzativo adottato dall’ente e suo funzionamento

• Adeguatezza del Modello e sua efficace attuazione

2. Informazioni dagli organi di controllo interno verso l’OdV

• Piani d’azione, controlli effettuati, profili di problematicità

• Relazioni da cui possono emergere fatti, atti, eventi od omissioni con profili di criticità rispetto alle norme del Decreto

• Esistenza di attività risultate prive di ogni regolamentazione

• Informazioni sulla possibile commissione di reati o violazioni del Modello

• REVISORE/SOCIETA’ DI REVISIONE

Il Modello organizzativo soggetto alle attività di verifica dell’OdV è parte del sistema di controllo interno di cui il Collegio Sindacale (o gli altri organi di controllo interno) valuta l’adeguatezza

1. Informazioni dall’OdV verso la società di revisione

• Relazione periodica sull’attuazione del Modello 2. Informazioni verso l’OdV

• Ogni informazione ritenuta rilevante ai fini

dell’attuazione del Modello e del rispetto del D.Lgs.

231/2001

L’irrogazione di una sanzione ex D.Lgs. 231/2001 mette in luce l’insufficienza del controllo interno, che ha effetti anche sul giudizio complessivo di

attendibilità del bilancio

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(4/9)

L’attività di vigilanza è resa più efficace attraverso l’obbligo di informazione all’Organismo stesso da parte di:

RESPONSABILI DELLE FUNZIONI AZIENDALI La periodicità e le tipologie di informazioni da fornire all’OdV sono stabilite attraverso la procedura «Flussi informativi all’OdV» o specifiche disposizioni comunicate ai responsabili delle funzioni da parte dell’Organismo stesso

• Le risultanze periodiche dell’attività di controllo delle stesse, posta in essere per dare attuazione ai Modelli (report riepilogativi dell’attività svolta, attività di monitoraggio, indici consuntivi, …si pensi ad esempio alle verifiche fatte dalle funzioni HSE, Internal audit, Resp. Qualità e Ambiente…)

• Le anomalie o atipicità riscontrate nell’ambito delle informazioni disponibili (anche attraverso l’uso di KPI e indicatori di anomalia)

• I casi di deroga al Modello nell’ambito della gestione delle attività sensibili A titolo esemplificativo, i responsabili delle

funzioni aziendali sono tenuti a fornire:

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(5/9)

RESPONSABILI DELLE FUNZIONI AZIENDALI

Le informazioni trasmesse possono riguardare i seguenti aspetti:

 Le decisioni relative alla richiesta, erogazione, ed utilizzo di finanziamenti pubblici

 Le richieste di assistenza legale inoltrate dai dirigenti e/o dai dipendenti nei confronti dei quali la Magistratura procede per i reati previsti dalla richiamata normativa

 I provvedimenti e/o notizie provenienti da qualsiasi autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati di cui al D.Lgs. 231/2001

 Le commissioni di inchiesta o relazioni interne dalle quali emergano responsabilità per le ipotesi di reato di cui al D.Lgs. 231/2001

 Le notizie relative alla effettiva attuazione del Modello, con evidenza dei procedimenti disciplinari svolti e delle eventuali sanzioni irrogate ovvero dei provvedimenti di archiviazione di tali procedimenti

 I prospetti riepilogativi degli appalti affidati a seguito di gare a livello nazionale e europeo, ovvero a trattativa privata

 Le notizie relative a commesse attribuite da enti pubblici o soggetti che svolgano funzioni di pubblica utilità

18

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(6/9)

L’attività di vigilanza è resa più efficace attraverso l’obbligo di informazione all’Organismo stesso da parte di:

DIPENDENTI che vengono in possesso di notizie relative alla commissione dei reati in specie all’interno dell’ente o a

«pratiche» non in linea con le norme di comportamento

Devono informare l’OdV delle presunte violazioni attraverso un framework definito dal Modello che deve esplicitare:

• L’assicurazione assoluta di riservatezza e salvaguardia del personale che ha fatto la segnalazione

• Sanzioni per chi effettua segnalazioni calunniose, qualora queste non siano fatte in buona fede

• Un canale diretto che consenta la possibilità di inoltrare le segnalazioni al di fuori della c.d. linea gerarchica

• L’impegno specifico che chiunque effettuerà segnalazioni non subirà conseguenze negative sulla propria posizione e carriera lavorativa

• L’impegno ad esaminare in maniera adeguata ogni segnalazione e a procedere nei confronti di chi ha violato il Modello con azioni specifiche

Regolamentando l’informativa verso l’OdV da parte dei dipendenti si ottengono due risultati principali:

• Consentire al personale di riferire casi di violazione di norme da parte di altri all’interno dell’ente, senza timore di ritorsioni

• Preparare l’organizzazione alla gestione dei c.d. rumors interni

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(7/9)

Le attività che l’OdV intende svolgere nel corso dell’anno devono essere riportate in un documento, solitamente denominato Piano di Azione o Piano Operativo dell’Organismo di Vigilanza, che:

• Definisce le attività ispettive da effettuare nel corso dell’anno (possibile pianificazione pluriennale)

• Ne fornisce una pianificazione temporale

• Identifica le funzioni o processi coinvolti, le attività che saranno svolte e i risultati attesi

• Definisce le risorse necessarie (budget dell’OdV)

• Segnala l’esigenza di aggiornamento del MOGC e contribuisce alla pianificazione

L’OdV può avvalersi della funzione di Internal Auditing, nel quadro di un approccio integrato al sistema di controllo interno.

Sia l’Internal Audit sia l’OdV orientano la propria attività attraverso un approccio risk based e le modalità di esecuzione dei controlli e della relativa reportistica conclusiva sono assimilabili.

L’OdV può contribuire alla definizione dei piani di audit dell’IA per identificare le aree di comune interesse da sottoporre a controllo ed evitare duplicazioni di controlli.

L’OdV può avvalersi dei risultati degli audit sui sistemi certificati (qualità, ambiente sicurezza) e dialogare con i relativi responsabili aziendali per impostare in modo efficiente l’attività di vigilanza L’OdV, se e quando lo ritiene opportuno, ha la facoltà di condurre indagini per proprio conto o avvalendosi di esterni, utilizzando il budget posto a disposizione dell’ente.

Il Piano Operativo può, laddove ritenuto opportuno dall’OdV, essere presentato agli amministratori, ma non è necessaria un’approvazione formale, che potrebbe minare l’autonomia dell’iniziativa di controllo e l’indipendenza dell’OdV stesso

20

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(8/9)

L’approccio risk based dovrebbe tenere conto di:

Livelli di rischio inerente, di controllo e di rischio residuo nell’ambito delle attività sensibili, identificate attraverso il RSA (Risk Self Assessment)

Risultati di indagini, controlli e verifiche effettuati da altre funzioni o soggetti terzi indipendenti (es. revisori o consulenti esterni)

Casi passati, eventi o circostanze particolari che possano influire sui livelli di rischio o sono rilevanti in termini di impatto sul business in caso di illecito

L’approccio risk based deve prevedere una definizione ex ante e uniforme della metodologia per la quantificazione del

rischio inerente, dei controlli e del rischio residuo nell’ambito della valutazione delle attività

Compiti e poteri

Vigilanza sul funzionamento e l’osservanza del Modello ^(9/9)

L’evoluzione della cultura aziendale in materia di controllo interno, e il sempre maggior numero di soggetti interni-esterni coinvolti, sta portando l’attenzione verso logiche di efficienza ed integrazione («Entreprise risk management») tra i diversi livelli di controllo. L’AIIA (Associazione Italiana Internal Auditors) ha descritto tale metodologia in un documento (position paper)

«Approccio integrato al sistema di controllo interno ai fini di un efficace ed efficiente governo dell’impresa»

ORGANI DI CONTROLLO E DI VIGILANZA

• Consiglio di Amministrazione

• Comitato per il Controllo Interno

• Collegio Sindacale

• Organismo di Vigilanza ai sensi del D.Lgs. 231/2001 CONTROLLO DI SECONDO LIVELLO

• Risk Management e Funzione Compliance

• Funzioni aziendali che supportano direttamente il Dirigente Preposto per la redazione dei documenti contabili societari (es. controllo di gestione)

• Altre funzioni di controllo di secondo livello (es. qualità, sicurezza, …)

CONTROLLO/ASSURANCE DI TERZO LIVELLO

Internal Audit (identificabile anche come «preposto al controllo interno» nelle società quotate). Si relaziona con l’OdV attraverso:

• L’individuazione dei processi sensibili ai fini del Decreto

• Il supporto all’OdV nella definizione del piano di attività e di verifica che riguarda le aree di rischio reato D.Lgs. 231/2001, a supporto dei compiti di vigilanza dell’Organismo stesso

22

Compiti e poteri

Adattamento e aggiornamento del Modello

L’OdV deve curare il processo di manutenzione del Modello, proponendo all’organo dirigente i necessari adattamenti o aggiornamenti, quando ravvisi:

• Cambiamenti nell’organizzazione o nella struttura aziendale

• Evoluzioni o mutamenti delle attività sensibili precedentemente identificate

• Modificazioni delle normative vigenti di riferimento

• Nuove o diverse esigenze di prevenzione nell’ambito delle attività sensibili

• Inidoneità del Modello a prevenire i reati previsti dal Decreto e rilevanti per l’ente

E’ l’organo dirigente ad avere la responsabilità esclusiva di ogni decisione in merito ad eventuali integrazioni o modifiche del Modellosu proposta dell’OdV

• I cambiamenti nell’organizzazione possono riguardare la decisione di affidare in outsourcing delle attività, di migrare processi o di attribuire la responsabilità a soggetti diversi

• Le evoluzioni o mutamenti delle attività sensibili possono riguardare l’avvio o la cessazione di nuove iniziative

imprenditoriali i cui rischi devono essere valutati e analizzati

• Le modificazioni legislative possono determinare

un’applicazione ipso iure di nuove disposizioni che incidono sulle modalità di svolgimento del business sia in termini strettamente operativi che di formale compliance

• Esigenze di prevenzione possono sorgere quando le attività sensibili, per effetto di eventi interni o esterni, possono configurare un rischio di «reato 231» superiore o di diversa natura per cui necessitano di presidi di controllo integrativi o alternativi

• L’inidoneità può essere ravvisata in presenza di palesi violazioni del Modello rilevate in ritardo o non rilevate dal sistema di controllo interno ma contestate (ad es.

dall’Autorità Giudiziaria)

Compiti e poteri

Segnalazione di eventuali violazioni del Modello

L’OdV deve:

• Segnalare alla funzione aziendale competente, titolare del potere disciplinare, ogni eventuale violazione accertata del Modello, al fine di attivare i provvedimenti sanzionatori nei confronti di coloro che hanno commesso l’illecito

Nel momento in cui l’OdV viene a conoscenza di infrazioni al Modello informa le funzioni o l’organo aziendale competente al fine di valutare l’eventuale applicazione dei provvedimenti disciplinari, applicabili in base a quanto previsto dal sistema sanzionatorio del MOGC.

Nell’ambito del procedimento, l’OdV e gli altri organi/funzioni coinvolti, garantiscono la riservatezza delle informazioni trattate in relazione ai soggetti destinatari del procedimento e agli eventuali illeciti contestati.

A titolo esemplificativo, costituiscono infrazioni al Modello:

• La messa in atto di azioni o comportamenti non conformi alle prescrizioni del Modello, ovvero l’omissione di azioni o comportamenti prescritti dal Modello che:

 espongano l’ente ad una situazione oggettiva di rischio di commissione di uno dei reati contemplati dal D.Lgs. 231/2001;

 e/o siano diretti in modo univoco al compimento di uno o più reati contemplati;

 e/o tali da determinare l’applicazione a carico dell’ente di sanzioni previste

• La messa in atto di azioni o comportamenti non conformi ai principi contenuti nel Codice Etico

24

Compiti e poteri

Informazione sull’attività svolta all’organo di gestione

L’OdV deve:

• Riportare all’organo di gestione, attraverso relazioni periodiche, i risultati del proprio lavoro e il rendiconto delle spese sostenute

• Comunicare all’organo di gestione le risultanze di interventi e controlli specifici su operazioni rilevanti, o di indagini di approfondimento

• Informare, attraverso incontri periodici e ogni qualvolta lo ritenga opportuno, gli organi sociali in merito a circostanze e fatti significativi o eventuali urgenti criticità del Modello emerse nell’attività di vigilanza

Le relazioni periodiche predisposte dall’OdV sono redatte anche al fine di consentire all’organo di gestione di effettuare le valutazioni necessarie per apportare eventuali aggiornamenti al Modello e devono quanto meno contenere:

• Il riepilogo delle attività svolte dall’OdV nel periodo considerato ed il relativo costo, incluso quello relativo a soggetti terzi

eventualmente coinvolti

• eventuali problematiche sorte riguardo alle modalità di attuazione del MOGC e delle procedure ad esso collegate

• il resoconto delle segnalazioni ricevute da soggetti interni ed esterni in ordine alla possibile violazione del Modello

• le procedure disciplinari e le sanzioni eventualmente applicate dall’ente, con riferimento esclusivo a violazioni nell’ambito delle attività a rischio

• una valutazione complessiva sul funzionamento del Modello con eventuali indicazioni per integrazioni, correzioni o modifiche

• l’intervento di mutamenti nel sistema normativo o

nell’organizzazione e nell’attività aziendale, che impattano sulla valutazione dei rischi nell’ambito delle attività sensibili

Compiti e poteri

Iniziative in caso di «incidente» ^(1/2)

Nel caso in cui ad un soggetto apicale o subordinato dell’ente venga contestato un reato presupposto ai sensi del D.Lgs. 231/2001, l’OdV dovrà attivarsi immediatamente, eventualmente convocando una riunione straordinaria, per compiere le seguenti attività e quanto altro previsto dalla procedura di «gestione delle crisi»:

• Provvedere a raccogliere la documentazione rilevante a seconda del soggetto e della funzione (attività di controllo eseguite, provvedimenti adottati dalla società, ecc.) cui è stato contestato il reato

• Intervistare il/i soggetto/i cui è stato contestato il reato e raccogliere informazioni dai dipendenti dell’ente

appartenenti alla funzione in cui è avvenuta tale contestazione e da ogni soggetto che potrebbe essere informato sui fatti

• Verificare se il Modello organizzativo adottato dall’ente necessita di un aggiornamento o di una modifica, al fine di colmare eventuali «gap» che hanno facilitato il compimento di reati o adottare possibili interventi migliorativi emersi a seguito della contestazione di reato

Al fine di svolgere l’attività di raccolta delle informazioni e della documentazione, è importante che l’OdV tenga traccia di ogni intervento svolto, di ogni controllo eseguito, di ogni proposta rivolta all’organo dirigente, al fine di mantenere un riscontro oggettivo dell’attività svolta e dei provvedimenti adottati dall’ente

26

Compiti e poteri

Iniziative in caso di «incidente» ^(2/2)

L’OdV deve quindi:

• Riportare all’organo di gestione i risultati del proprio lavoro, delle verifiche svolte, delle informazioni raccolte e di eventuali segnalazioni da parte dei dipendenti dell’ente

• Proporre all’organo di gestione eventuali modifiche o aggiornamenti del Modello

• Eventualmente, provvedere a richiedere l’erogazione di sanzioni disciplinari a dipendenti dell’ente nel caso in cui, dalle verifiche svolte, siano emerse violazioni del Modello organizzativo o delle

• In ogni caso, l’OdV deve mantenere traccia delle attività svolte, anche nel caso di una situazione di emergenza

• L’OdV, al pari di ogni altro organo aziendale, dovrà fornire all’autorità giudiziaria ogni informazione richiesta, al fine di dimostrare che l’ente si è impegnato attivamente per prevenire la commissione di reati che possano comportarne la responsabilità amministrativa

• L’organo dirigente e le funzioni aziendali devono

collaborare con l’OdV e provvedere a segnalare eventuali

informazioni che potrebbero essere rilevanti. Va sempre

garantita la riservatezza di chiunque fornisca informazioni

all’OdV

Statuto e Regolamento interno Caratteristiche generali

STATUTO

• Approvato dall’organo dirigente (o comunque dall’organo che adotta il modello ex D.Lgs. 231/2001)

• E’ PARTE INTEGRANTE del Modello adottato dall’ente

CONTENUTO:

• Composizione dell’OdV

• Compiti e poteri dell’OdV

• Requisiti di professionalità, onorabilità, indipendenza e continuità d’azione dei componenti dell’OdV

• Nomina, durata, revoca o sostituzione dei componenti dell’OdV

• Modalità di convocazione delle riunioni dell’OdV (diritto di voto, validità delle delibere,…)

REGOLAMENTO INTERNO (Disciplina di I° livello)

(Disciplina di II° livello)

• E’ espressione dell’autonomia e della libertà d’azione dell’OdV

• Approvato dallo stesso OdV e comunicato all’organo amministrativo

CONTENUTO:

• Forme di verbalizzazione delle sedute dell’OdV

• Pianificazione e regolamento delle attività dell’OdV (risorse finanziarie, consulenti esterni, …)

• Cadenze temporali dei controlli da eseguire

• Individuazione dei criteri delle procedure di analisi ²⁸

Statuto e Regolamento interno

Esemplificazione dei contenuti del Regolamento Interno

Scopo e ambito di applicazione del Regolamento (finalità, periodicità delle riunioni, verbalizzazione delle sedute, disciplina dell’attività, …)

Convocazione dell’OdV (modalità di convocazione e tempistiche)

Validità delle riunioni (modalità di tenuta delle riunioni, maggioranze richieste per la loro validità)

Svolgimento delle riunioni (possibile presenza alle riunioni di persone estranee all’OdV, modalità di trattazione degli argomenti posti all’ordine del giorno, …)

Decisioni (validità delle decisioni, astensione dal voto di membri in conflitto di interessi, …) Verbalizzazione delle riunioni (validità dei verbali, modalità di conservazione, …)

Modalità di svolgimento delle attività (pianificazione delle attività dell’OdV, previsione di eventuali verifiche straordinarie, elaborazione del budget dei costi, …)

Flussi informativi da e verso l’OdV (per regolamentare i flussi informativi) Gestione delle segnalazioni e/o violazioni connesse al Modello 231

Segretario (elenco delle funzioni attribuite al Segretario, nominato dallo stesso OdV)

Obblighi di riservatezza (in merito alle notizie e informazioni acquisite nell’esercizio delle loro funzioni dai membri

dell’OdV e dal Segretario, fatti salvi i flussi informativi previsti dal Modello e i legittimi ordini dell’Autorità Giudiziaria)

Modifiche e integrazioni del Regolamento (apportabili solo per mezzo di decisioni validamente adottate dall’OdV)

Raccolta e conservazione delle informazioni (come e dove tenere l’archivio della documentazione)

I flussi informativi

Caratteristiche generali ^(1/2)

Art.6 c.2 lett.d) D.Lgs. 231/2001 OBBLIGHI DI INFORMAZIONE: FLUSSI INFORMATIVI BIDIREZIONALI (definiti in base alle esigenze dell’ente, così come emergenti dall’attività di risk assessment)

OdV

FUNZIONI AZIENDALI

ORGANO DI CONTROLLO e

ORGANO DIRIGENTE

Ne INDIRIZZA L’AZIONE in base alle evidenze emerse dall’attività di ispezione e controllo

Trasmissione di ogni INFORMAZIONE UTILE

Informazioni in merito ai FATTI che potrebbero comportare una RESPONSABILITA’ dell’ENTE e a tutte le INFORMAZIONI UTILI per l’attività dell’OdV

Riferisce sull’ATTIVITA’ SVOLTA e sulla presenza di IRREGOLARITA’

o SITUAZIONI DI RISCHIO

30

I flussi informativi

Caratteristiche generali ^(2/2)

Secondo accreditata dottrina, i flussi informativi verso l’OdV, per poter essere considerato idonei, devono avere le seguenti caratteristiche:

SELETTIVITA’ NEL CONTENUTO DELLE INFORMAZIONI

• All’OdV devono pervenire solo le informazioni rilevanti (sulla base di criteri definiti ex ante e specificati nel Modello)

TEMPESTIVITA’ DELLE INFORMAZIONI

• Le informazioni devono pervenire tempestivamente, secondo quanto stabilito nel Modello o in base a quanto richiesto dall’OdV

AGGIORNAMENTO DELLE INFORMAZIONI

• L’OdV deve disporre di informazioni recenti

ACCURATEZZA DELLE INFORMAZIONI

• Le notizie fornite devono essere esatte

ACCESSIBILITA’ DELLE INFORMAZIONI

I flussi informativi

verso l’OdV

Flussi informativi da attivare al VERIFICARSI DI PARTICOLARI EVENTI (violazioni conclamate o sospette)

Flussi informativi PERIODICI (con cadenza almeno SEMESTRALE)

• Fatti o notizie di eventi che potrebbero, anche solo potenzialmente, determinare la responsabilità della società

• Avvio di procedimenti giudiziari a carico di dirigenti/dipendenti, se concernono i reati ex D.Lgs. 231/2001

• Violazioni del Modello o del Codice Etico

• Anomalie rispetto ai principi affermati nel Modello

• Delibere che comportano modiche dell’assetto societario

L’obbligo grava su CHIUNQUE sia a conoscenza dei fatti/notizie sopra riportati. La violazione dell’obbligo di informare l’OdV deve essere prevista come illecito disciplinare da sanzionare.

1

2

Da parte di tutti le figure aziendali con funzioni di responsabilità nei processi «sensibili», per:

• Attestare il livello di attuazione del Modello

• Indicare il rispetto dei principi di controllo e comportamento

• Segnalare le variazioni intervenute nei processi e nelle procedure

• Sottolineare eventuali criticità nei processi gestiti

• Fornire informazioni sulla gestione aziendale (attraverso incontri periodici con i manager e acquisizione di informazioni e documentazione specifica per funzione aziendale; possono essere previsti specifici indicatori di anomalia «KPI»)

32

I flussi informativi

dall’OdV

Flussi informativi da effettuarsi al VERIFICARSI DI PARTICOLARI EVENTI (violazioni conclamate o sospette)

1

E’ una comunicazione ad hoc, nei confronti del soggetto che ha commesso la violazione.

Ha un contenuto diversificato in relazione al soggetto destinatario

Flussi informativi PERIODICI

2

Relazioni annuali (o semestrali) nei confronti degli organi di amministrazione e controllo

RILEVANZA dei FLUSSI INFORMATIVI

• PREVENZIONE della commissione dei reati

• VIGILANZA sulla compagine sociale

• ACCERTAMENTO a posteriori delle CAUSE che hanno reso possibile il verificarsi dei REATI

Il Programma annuale dell’attività dell’OdV Esemplificazione ^(1/4)

- Approvato dall’OdV

- Redatto in coerenza con il MOGC

- Redatto considerando l’attività di risk assessment e le informazioni acquisite tramite i flussi informativi

PUNTI DEL PROGRAMMA CONTENUTI

Vigilanza operativa Indicare le attività sulle quali verranno effettuati gli interventi di controllo previsti dall’OdV e le tempistiche

«Autocertificazione»: richiesta di conferma al management

L’OdV richiede semestralmente ai manager della società un’attestazione che confermi:

• La ricezione e la conoscenza del MOGC

• Il rispetto del MOGC

• L’intervento nel caso di violazioni del MOGC

Interventi di controllo non programmati

Da effettuarsi nel caso di segnalazioni di reato, di tentato reato o di violazione del Codice Etico e del MOGC

34

Esemplificazione (2/4)

PUNTI DEL PROGRAMMA CONTENUTI

Flussi informativi verso l’OdV

L’OdV dovrà ricevere la seguente informativa:

• segnalazioni pervenute direttamente alla società/ente

• comunicazioni da parte di enti di controllo in merito a reati/infrazioni

• informativa semestrale in merito alla gestione delle risorse finanziarie

• esiti delle certificazioni e i relativi follow-up periodici

• rapporti di audit ed i relativi follow-up

• provvedimenti disciplinari adottati nei confronti del personale dipendente

• informativa in merito ai cambiamenti organizzativi ed elenco normative adottate

• programma di formazione in ambito 231, Anticorruzione e HSE

• eventuali ulteriori informazioni (verbali degli organi societari, relazione del management, relazioni della società di revisione, ecc.)

Esemplificazione (3/4)

PUNTI DEL PROGRAMMA CONTENUTI

Flussi informativi dall’OdV

Verso i membri del Consiglio di Amministrazione:

• rapporto semestrale relativo all’attività svolta Verso l’Amministratore Delegato

• comunicazioni ai fini dell’implementazione/aggiornamento del MOGC

• programma di vigilanza e relativo Budget dei costi

• monitoraggio sulle carenze rilevate durante le attività di aggiornamento del MOGC e vigilanza

• rilievi emersi dalle proprie attività di supporto e vigilanza

• eventuali fatti di particolare significatività

Verso gli organi sociali, i dirigenti, i Responsabili di Unità:

• comunicazione di aggiornamento del MOGC

36

Esemplificazione (4/4)

PUNTI DEL PROGRAMMA CONTENUTI

Incontri periodici

• Sono previsti incontri semestrali con l’Amministratore Delegato ed il Collegio Sindacale

• In qualche caso possono essere previsti incontri con responsabili di processi aziendali di particolare rilevanza rispetto alle finalità del MOGC

Aggiornamento del Modello

• Segnalazione all’AD della società della necessità di aggiornamento del Modello (per novità normative, modifiche della struttura organizzativa, …)

• Organizzazione dell’attività di aggiornamento (coinvolgimento di un soggetto esterno)

Budget dei costi dell’attività • Viene presentato il budget dei costi relativi all’attività di vigilanza.

• In qualche caso è incluso anche quello per l’aggiornamento del Modello Formazione sul Modello • Promozione di iniziative per la formazione e la comunicazione del Modello

• Pianificazione di sessioni formative e informative

Il Verbale delle riunioni dell’OdV Esemplificazione

Struttura del VERBALE dell’OdV

Data, ora, luogo della riunione

Membri dell’Odv presenti alla riunione Ordine del giorno:

- Approvazione del Regolamento dell’OdV

- Definizione delle attività sensibili da sottoporre agli interventi di vigilanza dell’OdV - Illustrazione del Programma di vigilanza per l’anno in corso

- Presentazione del budget delle spese necessarie per lo svolgimento dell’attività dell’OdV Constatazione della validità della riunione

Esame degli argomenti posti all’ordine del giorno

Sottoscrizione del verbale da parte dei membri dell’Odv presenti

esemplificazione

38

Il ruolo dell’Organismo di Vigilanza nel sistema di prevenzione

ex D.Lgs. 231/2001

Grazie per l’attenzione

Antonio Candotti