CAPITOLO II - La creazione del Modello di organizzazione, gestione e controllo, ex D.Lgs. 231/1, nel gruppo Alfa S.p.A.

CAPITOLO II - La creazione del Modello di organizzazione, gestione e controllo, ex D.Lgs. 231/1, nel gruppo Alfa S.p.A.

Sommario:

II.1Breve introduzione del gruppo societario oggetto di studio – Alfa S.p.A.; II.2 L’implementazione del modelloII.3Approccio metodologico alla creazione del Modello; II.4Il Risk assessment; II.5 Definizione del Modello “a tendere” !II.6 Attuazione del modello.!

64

II.1 Breve introduzione del gruppo societario oggetto di studio - Alfa S.p.A.

Contesto aziendale gruppo Alfa S.p.A.

Il gruppo Alfa s.p.a. è un produttore di fucinati e di anelli laminati, in acciaio e leghe non ferrose, destinati soprattutto ai mercati della Generazione di Energia, dell' Oil & Gas, dei Cuscinetti e delle Trasmissioni.

Grazie alla presenza in oltre 25 paesi ed agli stabilimenti in Italia, Francia, India e Cina, il Gruppo è un leader globale nelle tecnologie di Fucinatura e di Laminazione circolare.

Le attività svolte dal gruppo Alfa s.p.a. sono suddivise in due principali produzioni:

1. Forgings Division 2. Rings Division

Forgings Division

La Forgings Division del Gruppo, con stabilimenti in Italia e in India, è leader mondiale nella fornitura di fucinati di elevata integrità, che sono richiesti nelle macchine e impianti più sollecitati che esistano. Temperatura, pressione, stress meccanici sono sempre contenuti e controllati da fucinati che rappresentano il cuore ed il componente più sollecitato in impianti come le turbine, a gas o a vapore, i reattori e i generatori nucleari, le valvole che operano con valori critici di temperatura, pressione, ecc..

In queste condizioni la qualità, che deve essere sempre al massimo, la puntualità di consegna e la velocità di reazione sono le principali esigenze del mercato.

Rings Division

La Rings Division è l’unione di due entità all’interno del Gruppo: la Large Rings e la Small Rings. Con le sempre più esigenti richieste del mercato, i due team commerciali si sono strutturati in modo da poter offrire una gamma di anelli che parte da 150 mm fino a raggiungere i 7.000 di diametro.

66

La Large Rings Division è leader nel mercato degli anelli laminati di alta qualità. L'elevata flessibilità del processo produttivo consente la produzione di anelli in piccole serie pur mantenendo un alto livello di produttività insieme ad una eccellenza nelle lavorazioni meccaniche, così da essere in grado di fornire settori industriali particolarmente esigenti come la Generazione di Energia, l' Oil & Gas e i Riduttori per le Turbine Eoliche.

Questa Divisione è in grado di produrre fino a 60.000 tonnellate/anno di anelli di diametro fino a 7000 mm, di altezza fino a 1.200 mm e di peso unitario fino a 14 tonnellate. (la sede di Bay Forge in India è in grado di produrre anelli fino a 20 tonnellate).

La Small Rings Division produce in Italia, Francia e Cina (dal giugno 2008) anelli, in prevalenza profilati, per i principali fabbricanti mondiali di Cuscinetti e di Trasmissioni.

Un'eccezionale combinazione di know-how tecnico e di una grande professionalità nel gestire problemi.

Mission del gruppo

Mssione di Alfa s.p.a. è quella di produrre forgiati di alta qualità, in qualsiasi tipo di acciaio o lega non ferrosa, per gli utilizzi più diversi nel campo della “power generation” e di altri settori con esigenze comparabili.

Il costante monitoraggio di tutte le fasi di lavorazione, a partire dalla selezione meticolosa dei materiali e dei loro fornitori fino ad arrivare alle procedure di controllo dei prodotti venduti, ha come finalità di garantire sempre il massimo grado di affidabilità in linea con le richieste dei clienti e dei loro più alti standard.

Struttura del gruppo

La struttura societaria italiana risulta così suddivisa:

Sintesi principali dati economico finanziari

Di seguito un riepilogo dei principali indicatori economici del gruppo Alfa S.p.A.

ALFA S.p.a.

Forging division &

Holding

Beta S.p.a

Forgings & Ring division

Gamma S.r.l.

Ring division Small ring

Omega S.p.a.

Ring division Large ring

68 Organigramma aziendale

La Società è organizzata secondo un organigramma per funzioni evoluto presenta una maggiore esplosione di funzioni, come avviene di norma in un’azienda di dimensioni medio grandi_.

Il modello di amministrazione e controllo della Alfa s.p.a rispecchia il modello tradizionale che prevede:

• organo di gestione, nel caso in esame l’Alfa s.p.a. prevede all’interno del proprio statuto che la gestione sia di competenza di un consiglio di amministrazione⁴⁴ che ad oggi è composto da sei membri nominati dall’Assemblea degli azionisti.

• organo di controllo a cui compete la funzione di vigilanza è rappresentato da un da un Collegio Sindacale⁴⁵ composto da cinque membri tre con funzioni effettive e due con funzioni di supplenti, anch’essi nominati dall’Assemblea degli azionisti.

44 artt. 2380 – 2409 novesdeciem del Titolo V del Libro V del Codice Civile normativa relativa agli amministratori delle società per azioni.

45 Artt. 2397- 2409 del Titolo V del Libro V del Codice Civile normativa relativa al collegio sindacale

70

II.2 L’implementazione del modello

La politica d’impresa dell’Alfa S.p.A. (di seguito anche la “Società” o la

“Capogruppo”) mira ad attuare interventi ed iniziative volte a sensibilizzare tutti gli stakeholder ad una gestione trasparente e corretta delle attività societarie al rispetto delle norme giuridiche vigenti e dei fondamentali principi di etica degli affari nel perseguimento dell’oggetto sociale.

In considerazione degli interventi legislativi che hanno portato all’introduzione nel nostro ordinamento giuridico del D.Lgs. 231/01, per consentire un allineamento con le politiche aziendali il Consiglio di Amministrazione della Società ha deciso di dotarsi di un Modello di organizzazione e di gestione così come dettato dal Decreto.

Attraverso l’implementazione del Modello nella Capogruppo e nelle società del gruppo, il Consiglio di Amministrazione intende assicurare, per quanto possibile, la prevenzione della commissione di illeciti, anche penali, nell’ambito del perimetro societario.

ALFA S.p.A., grazie all’assistenza di un team consulenziale, in grado di assistere il management nell’introduzione di un modello organizzativo, in ottemperanza con le prescrizioni previste del Decreto che possa, successivamente, essere adattato ed adottato da tutte le società del Gruppo ALFA (nel seguito anche il “Gruppo”), ha ritenuto prioritario svolgere un esame della propria organizzazione alla luce delle disposizioni del suddetto Decreto, al fine di identificare e di attuare le misure, necessarie ed opportune, per una più efficace tutela delle attività svolte rispetto al rischio di illeciti, in ottemperanza a quanto previsto dalla normativa.

Risulta quindi necessario predisporre validi strumenti che permettano un’implementazione efficace del modello approvato dalla Capogruppo in grado, allo stesso tempo, e con i relativi adeguamenti di essere valido anche per tutte le società del Gruppo.

Per assicurare l’efficace attuazione di tali protocolli, è prevedibile che:

• le problematiche rilevanti ai fini del Decreto siano esaminate ed affrontate in modo adeguato ai rischi, misurando il rischio sia sotto il profilo della probabilità di accadimento che sotto quello del potenziale impatto; da questo punto di vista, la

tipologia di sviluppo del lavoro avrà la caratteristica del risk management⁴⁶, all’interno del quale gli aspetti di compliance con la normativa in esame si dovranno caratterizzare per la loro effettiva applicabilità, non soltanto sotto l’aspetto giuridico e formale ma con una proiezione realistica dei fenomeni aziendali;

• al fine di non essere destinata a costituire o venire giudicata dall’Autorità Giudiziaria un adempimento di natura esclusivamente burocratica e quindi inefficace e inefficiente⁴⁷ ai fini della prevenzione effettiva delle attività a rischio reato, ogni procedura (organizzativa e gestionale) sarà creata ed integrata nel quadro degli esistenti sistemi di controllo interno⁴⁸ e di gestione già in essere all’interno della Società quali sistema della qualità ISO 9001 etc.

Per poter procedere alla corretta creazione del Modello bisognerà quindi focalizzare l’analisi su:

• le modalità con le quali la Società svolge le attività a rischio di commissione dei reati previsti dal Decreto;

• le aree suscettibili di potenziali miglioramenti, prendendo come punto di riferimento le best practice di settore;

• lo stato degli esistenti sistemi, sia di controllo interno che di gestione, siano essi in formato scritto o solo prassi aziendale, utilizzati o suscettibili di essere utilizzati dal Gruppo.

Durante l’espletamento di tali analisi, considerata la peculiarità e l’elevato livello di approfondimento delle stesse, sarà necessaria la stretta collaborazione dei vertici aziendali, del top management e dei process owner delle attività a rischio reato in modo da permettere di:

• prevenire o mitigare ogni forma od ipotesi di attività a rischio che possa concretizzarsi in uno dei reati contemplati dal Decreto;

46 Per approfondimenti cfr. G. D’Onza, Il sistema di controllo interno nella prospettiva del risk management, Milano, Giuffrè, 2008.

47 G. D’Onza, Il sistema di controllo interno nella prospettiva del risk management, Milano, Giuffrè, 2008

48 L. Marchi, Revisione aziendale e sistemi di controllo interno, Milano, GIUFFRE', 2008.

72

• costituire valide evidenze probatorie al fine di esimere la responsabilità societaria nel caso tali irregolarità siano commesse da parte di rappresentanti della società in modo fraudolento;

• assicurare l’efficienza, l’efficacia e la trasparenza della gestione nei confronti delle controparti istituzionali (es. funzionari di Amministrazioni Pubbliche, Autorità Giudiziaria inquirente e giudicante, etc.) e private (rappresentanti, sub-appaltatori, partner commerciali, etc.).

II.3 Approccio metodologico alla creazione del Modello

Per poter eseguire l’implementazione del Modello possono essere utilizzate varie modalità di esecuzione, in questo caso l’approccio utilizzato dal team consulenziale si sviluppa lungo tre step, meglio descritti nel paragrafo successivo, in modo tale da permette di raggiungere nel breve periodo l’obiettivo primario, ovvero dotare la Capogruppo di un modello organizzativo, in ottemperanza del Decreto e definire un benchmark, per tutto il Gruppo in modo da poter dotare, successivamente, le altre società del Gruppo di un modello organizzativo adeguato alle diverse realtà.

Eventuali problematiche saranno affrontate nel rispetto del Decreto e delle altre norme e regolamenti applicabili al Gruppo e per gli aspetti non regolamentati, al rispetto dei principi di “best practice” nazionale ed internazionale elaborati da varie istituzioni quali :

• C.O.S.O. Report⁴⁹.

• Standard Professionali IIA - Institute of Internal Auditors.

• Consiglio Nazionale dei Dottori Commercialisti e degli Esperti Contabili.⁵⁰

• Linee guida Associazioni di categoria.⁵¹

49 CoSo Report, (Committee of Sponsoring Organizations of the Treadway Commission), 1992

50 CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI E DEGLI ESPERTI CONTABILI, Linee guida sul Modello Organizzativo ex D.Lgs. 231/01 per le imprese industriali, Documento n.1, 17 giugno 2009.

51 Per l’azienda in esame sono state utilizzate le linee guida pubblicate da Confindustria, Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo, 31 marzo 2008.

Tra l’altro, tali regole, secondo il “position papers” sul Decreto dell’ottobre 2001 emesso dall’AIIA⁵², costituiscono il riferimento autorevole più qualificante in tema di valutazione della responsabilità societaria e sono state esplicitamente prese in considerazione dal legislatore italiano, come risulta dalla relazione governativa⁵³ al Decreto stesso.

La metodologia di lavoro utilizzata nell’ambito del progetto, ha quindi previsto lo svolgimento di una serie di attività, necessarie per la corretta introduzione del Modello nella realtà aziendale in modo condiviso.

Di seguito si riporta un breve riepilogo delle attività operative, messe in atto, per la creazione dell’ambiente di lavoro condiviso con management e proprietà:

• kick off meeting con il quale è stato ufficialmente dato avvio al progetto e al quale hanno partecipato il team consulenziale e la struttura dirigenziale della Società e del Gruppo;

• nomina, da parte della Società, di un coordinatore interno di progetto;

• analisi della documentazione delle società oggetto di analisi (organigrammi, sistema delle deleghe e delle procure, policy, procedure e disposizioni di servizio esistenti, documentazione per il rispetto della normativa prevista dal D. Lgs. 81/01⁵⁴ e successive modifiche, Codice etico di condotta, visura camerale, statuto, ecc.);

• predisposizione di una mappatura preliminare delle attività a rischio di ogni società sulla base dell’analisi documentale e di interviste preliminari con i responsabili dei processi aziendali coinvolti;

• compilazione assistita di questionari di autovalutazione dei rischi e dei controlli da parte dei soggetti coinvolti, volti ad analizzare le aree a rischio di irregolarità e l’attuale sistema di controllo interno rispetto ad un modello di riferimento.

Il coinvolgimento del management è avvenuto attraverso incontri individuali necessari per il team consulenziale per poter:

52 ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, Position Paper D.Lgs. 231/01, Responsabilità amministrativa delle società: modelli organizzativi, di prevenzione e controllo, Milano, 2001

53 Relazione Ministeriale al Decreto Legislativo 231/01 in Guida al diritto, n.26 del 2001.

54 Testo unico in materia di salute e sicurezza nei luoghi di lavoro TUSL Decreto Legislativo 9 aprile 2008 n.

81

74

• comprendere le attività svolte da ciascuno degli intervistati e identificare preliminarmente le attività sensibili per la Società e il Gruppo ai fini del Decreto;

• individuare, attraverso indicazione da parte degli stessi soggetti intervistati, le attività sensibili da loro gestite;

• compilare, attraverso la nostra facilitazione, questionari di autovalutazione dei rischi e dei controlli per ciascuna attività sensibile.

L’approccio metodologico ha previsto l’esecuzione dei lavori sviluppata su tre step principali come di seguito riepilogato:

Step.1 RISK ASSESSMENT

Durante questa fase è stata eseguita un’attività di valutazione dei processi di analisi e gestione dei rischi⁵⁵ nelle società incluse nel perimetro di riferimento⁵⁶. L’analisi dei rischi derivanti dallo scenario ambientale e dal contesto interno all’organizzazione effettuata in questa fase, è stata effettuata periodicamente dal management, al fine di formulare e rivedere gli obiettivi strategici e organizzativi del Gruppo. In questa fase è di fondamentale importanza il contributo offerto dal management e dai process owner per individuare ed incrementare l’efficacia del sistema di risk analysis. L’analisi sviluppata durante questa fase ha permesso di approfondire i seguenti aspetti:

• attori e aree aziendali coinvolte;

• obiettivi perseguiti dal management;

• fattori critici di successo;

• riflessi in termini di rischio reato ex D.Lgs. 231/2001.

55ASSOCIAZIONE ITALIANA INTERNAL AUDITORS e PRICEWATWERHOUSECOOPERS, La gestione del rischio aziendale, ERM -Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative. Il Sole 24 Ore, Milano, 2002.

56 Società del gruppo: Alfa s.p.a. cfr. § II.1 Struttura del gruppo.

ALFA S.p.a.

Forging division &

Holding

Beta S.p.a

Forgings & Ring division

Gamma S.r.l.

Ring division Small ring

Omega S.p.a.

Ring division Large ring

Dopo l’analisi preliminare e il coinvolgimento del management, il team di consulenza è stato in grado di redigere una Gap analysis completa di action plan per la realizzazione del Modello “a tendere” per ALFA S.p.A..

Tali attività sulla Capogruppo sono state completate con l’estensione dell’analisi di risk assessment e di potenziali irregolarità a tutti i settori di attività e alle principali società del Gruppo. In modo di identificate le attività ed i processi che le società dovrebbero riesaminare, ai fini del Decreto, per quanto riguarda gli esistenti sistemi di controllo interno e di corporate governance⁵⁷.

In particolare, come desunto dall’organigramma di Gruppo, le società oggetto dell’incarico per le quali è stata effettuata

l’attività di risk assessment sono le seguenti:

• Beta S.p.A.;

• Gamma S.r.l.;

• Omega S.p.A.

L’attività di risk assessment è stata espletata attraverso differenti attività indispensabili per ottenere il maggior numero di dati ed informazioni, necessarie per l’ottimale implementazione del modello

ATTIVITA’ DI RISK ASSESSMENT Analisi delle attività e della struttura del Gruppo

Interviste al top management

Identificazione dei processi per la prevenzione delle irregolarità

Identificazione dei responsabili di processo/funzione/ente (Società e Gruppo)

Analisi delle deleghe e procure

Personalizzazione ed invio di circa 50 questionari Elaborazione e scoring dei risultati dei questionari

57 L. Marchi, Revisione aziendale e sistemi di controllo interno, Milano, GIUFFRE', 2008.

76

Definizione e condivisione del piano di lavoro con i process owner di riferimento

Il corretto espletamento delle operazioni previste durante questa fase, hanno permesso di ottenere la base informativa necessaria per implementare l’intero modello, riassumibile in tre principali documenti:

1. Una efficiente mappatura dei processi/attività a rischio (Società e Gruppo).

2. Sintesi della Gap Analysis, a fronte dei gap rilevati “a livello entity”, cioè considerando la Società nel complesso, e “a livello attività sensibile”, cioè considerando ciascuna delle attività sensibili identificate attraverso il risk assessment , sono stati formulati alcuni suggerimenti per rafforzare il sistema di controllo interno. L’implementazione delle azioni correttive per incrementare l’efficacia del sistema di controllo interno sarà responsabilità della dirigenza della Società attraverso la definizione di un adeguato piano di azione correttivo.

3. Action Plan dettagliato contenente risorse, tempi e responsabilità per la realizzazione del modello “a tendere”

Step.2 Definizione del modello organizzativo “a tendere”

Sulla base dell’action plan di cui allo step precedente per Alfa S.p.A. e applicabile successivamente, anche al perimetro di società del Gruppo, si è proceduto alla definizione del modello di organizzazione, gestione e controllo verso cui tendere, in compliance con le prescrizioni del Decreto.

Necessario per il corretto espletamento delle operazioni previste nel presente step sono state: la predisposizione e l’approvazione un secondo piano di azione necessario per la condivisione e il coinvolgimento del management così da poter identificare:

• attività/compiti;

• risorse a disposizione;

• responsabilità interne;

• timing per attuare il modello in Alfa S.p.A.;

• definizione del piano di azione benchmark necessario per estendere il modello “a tendere” alle altre società del Gruppo.

La definizione del modello “a tendere” è stata attuata attraverso le fasi sintetizzate nella seguente tabella:

DEFINIZIONE DEL MODELLO “A TENDERE” BENCHMARK

Definizione del Modello “a tendere” sulla base del risk assessment e approvazione da parte del CdA di AlfaS.p.A.

Creazione del codice Codice Etico

Creazione del Regolamento dell’Organismo di Vigilanza

Indicazioni sulle procedure aziendali necessarie emerse dalla gap analysis

Il corretto espletamento delle operazioni previste durante questa fase, hanno permesso di ottenere i seguenti deliverables sottoposti all’approvazione del Consiglio di amministrazione:

1. Il Modello “a tendere”

2. Il Codice Etico

3. Il regolamento dell’Organismo di Vigilanza

4. Piano di azione per l’implementazione nelle società del Gruppo

Step.3 Attuazione del modello

Attuazione del modello a tendere sulla Capogruppo e successiva diffusione del modello “a tendere” quale benchmark per le società del Gruppo. L’attività è legata alla predisposizione di strumenti necessari a comporre il modello organizzativo della Capogruppo (codice etico di Gruppo, analisi critica dei protocolli e delle procedure esistenti, rivisitazione del modello organizzativo, del regolamento società di Vigilanza e del sistema disciplinare).

Il terzo step è attuato attraverso le fasi sintetizzate nella seguente tabella e analizzate nel dettaglio nel prossimo paragrafo:

78

ATTUAZIONE DEL MODELLO

Identificazione dei dati e delle informazioni per la predisposizione dei protocolli mancanti nella Capogruppo

Rivisitazione del Sistema disciplinare e sanzionatorio

Al termine delle suddette operazioni è stato quindi possibile assistere il management aziendale nella:

• attuazione del Modello in Alfa S.p.A.;

• diffusione del Modello “a tendere” e delle linee guida applicative alle società del Gruppo.

Considerata la tipologia di attività svolta dalla Società e le numerose fattispecie di reato previste dal Decreto, per la realizzazione dei tre step la tempistica di svolgimento del lavoro ha coperto un arco temporale di tre mesi così come riepilogato nel diagramma di Gantt di progetto riportato di seguito.

Gantt progetto

II.4 Il Risk assessment

L’attività di risk assessment necessita di una serie di informazioni e documenti ottenuti grazie ad un’analisi preliminare necessaria per poter comprendere al meglio la realtà aziendale. L’analisi preliminare prevede infatti la raccolta della documentazione e delle informazioni necessarie per conoscere al meglio l’attività e l’organizzazione della Capogruppo e delle società del Gruppo. Il ventaglio di informazioni ottenuto è utile per avviare le successive attività di risk assessment e per l’individuazione delle aree a rischio (mappatura dei rischi).

Obiettivo principale di questa fase preliminare è l’analisi di tutte le informazioni utili per identificare:

Struttura della Società e delle società del Gruppo, i paesi ed i settori economici in cui opera direttamente o tramite proprie società controllate, accordi di partnership, patti parasociali, joint-ventures, uffici di rappresentanza, etc.

Tipologia di relazioni e di attività (es. commerciale, finanziaria, di controllo regolamentare, di rappresentanza, di contrattazione collettiva, etc.) intrattenute con pubbliche amministrazioni, italiane, straniere o sovranazionali.

Situazione passata analisi incidentale diagnostica di eventuali casi di irregolarità presunte avvenute in passato.⁵⁸

Attività di risk assessment e di controllo interno, con i relativi risultati, svolta dagli organi preposti.⁵⁹

58 A titolo esemplificativo con riferimento ai reati di omicidio colposo e lesioni gravi o gravissime sono state prese in considerazione le statistiche predisposte dalla Società sugli infortuni registrati negli ultimi tre anni.

59 Con riferimento ai reati di omicidio colposo e lesioni gravi o gravissime sono stati acquisiti i documenti di individuazione e valutazione dei fattori di rischio, come richiesto dal D.Lgs. 81/08 e l’eventuale ulteriore documentazione richiesta dalle altre norme di riferimento.

80

Per raggiungere gli obiettivi summenzionati è stato necessario procedere alla raccolta ed analisi delle seguenti tipologie di documentazione societaria:

• organigramma della Società e delle altre società controllate incluse nel perimetro, con l’identificazione delle funzioni, dei principali processi svolti e dei soggetti preposti alle funzioni apicali;

• il quadro normativo e procedurale aziendale, in relazione ai principi di controllo interno adottati, ai criteri di delega di funzioni, alle disposizioni organizzative in essere, manuali qualità, certificazioni ambientali, ecc.

• documentazione quale ordini di servizio, comunicazioni interne, schemi organizzativi, contratti, accordi ed ogni altra evidenza documentale utile alla migliore comprensione delle attività svolte e del sistema organizzativo aziendale.

Con riferimento ai reati di omicidio colposo e lesioni gravi o gravissime⁶⁰ sono state prese in considerazione le procedure aziendali emesse in attuazione dei sistemi di gestione della salute e sicurezza adottati dalla Società. In particolare si è proceduto ad analizzare:

- le misure preventive e protettive adottate; i sistemi di controllo di tali misure;

- le procedure di sicurezza per le varie unità aziendali;

- i programmi di informazione e formazione dei lavoratori;

- le riunioni periodiche di debriefing con gli attori del processo (datore di lavoro, RSPP⁶¹, medico, rappresentate per la sicurezza);

- l’informativa ai lavoratori da parte del datore di lavoro (rischi connessi all’attività d’impresa, misure di protezione e prevenzione, rischi specifici e relativa normativa, pericoli connessi all’uso di sostanze e materiali specifici, pronto soccorso, antincendio ed evacuazione, RSPP e il medico competente);

Sulla base delle informazioni ottenute dall’esame della documentazione sopra descritta è stato possibile avviare l’attività di risk assessment mediante interviste ai membri degli

60 Art. 25 septies D.Lgs. 231/01.

61 Il responsabile del servizio di prevenzione e protezione (RSPP) disciplinato dal D.Lgs. 81/2008.

organi societari e ai responsabili di processo, finalizzate all’identificazione dei processi e delle aree aziendali maggiormente esposti al rischio di irregolarità, con valutazione di priorità commisurate all’intensità del rischio rilevato.

Le interviste hanno coinvolto circa 15 membri dell’alta direzione e degli organi societari di controllo del Gruppo. Con riferimento ai reati di omicidio colposo e lesioni gravi o gravissime, si sono intervistati i soggetti che, secondo la definizione del D.Lgs. 81/08, ricoprono presso le unità produttive della Società, il ruolo di datore di lavoro, responsabile del servizio di prevenzione e protezione, medico competente, rappresentante dei lavoratori per la sicurezza.

L’analisi di dettaglio avviata durante le interviste e la somministrazione assistita di questionari di autovalutazione, delle aree a rischio di irregolarità, preliminarmente identificate, ha permesso di:

- identificare i segnali premonitori di potenziali irregolarità;

- rilevare i controlli e le procedure amministrative e di gestione, che siano efficaci per la prevenzione delle irregolarità e per costituire valide prove in sede giudiziaria;

- identificare le modifiche organizzative necessarie ed opportune ai fini del Decreto, per una più efficace tutela rispetto ai rischi rilevati.

I questionari sottoposti al personale aziendale hanno permesso di fare emergere aspetti quali :

• caratteristiche del’intervistato, con riferimento, a titolo esemplificativo, a Società/Divisione/Funzione di appartenenza, posizione organizzativa, localizzazione geografica etc.;

• tipologia delle relazioni con pubbliche amministrazioni;

• ente pubblico con il quale è intrattenuta la relazione;

• frequenza delle relazioni con l’ente pubblico;

• esistenza di intermediari nella relazione con l’ente pubblico;

• natura del coinvolgimento del rispondente in termini gestionali o di autorizzazione;

• altri soggetti coinvolti;

• caratteristiche delle deleghe di poteri e di procure ricevute;

• identificazione di segnali premonitori di eventuali irregolarità;

82

• rilevanza della relazione, in termini di entità dell’investimento e/o delle risorse finanziarie impiegate e di visibilità ed importanza attribuita rispetto al raggiungimento degli obiettivi aziendali.

I questionari di autovalutazione dei rischi e dei controlli sono stati articolati in due sezioni:

1) Sezione generale 2) Sezione speciale

La sezione generale⁶²: mediante l’elaborazione delle risposte fornite alle domande contenute nel questionario generale viene rilevata, in termini percentuali, la forza del sistema di controllo interno in essere della Società con riferimento a ciascuna delle otto componenti del modello di Integrity Risk Management predisposto dal team consulenziale⁶³.

Il modello di Integrity Risk Management, utilizzato come riferimento per l’analisi e la valutazione di adeguatezza dei sistemi di controllo interno, finalizzati a prevenire la commissione dei reati previsti nel Decreto, include una metodologia di identificazione di processi e procedure di controllo per la prevenzione delle irregolarità, classificati e valutati in base ad otto componenti:

62 Il questionario sulla parte generale è stato somministrato a tutto il management intervistato.

63 Approccio metodologico Integrity Risk Management Kpmg Advisor S.p.A.

Governo In questo ambito sono esaminate le modalità di attribuzione delle competenze degli organi interessati alla gestione dei sistemi di controllo interno:

• chi è responsabile dell’approvazione del Modello;

• chi attribuisce le funzioni apicali all’interno della Società e con quali modalità;

• chi è responsabile dello sviluppo di procedure operative idonee alla prevenzione di irregolarità per la Società ed all’interno di ciascun processo;

• chi ha la responsabilità di compliance normativa del Modello;

• chi ha la responsabilità di assicurare l’applicazione operativa del Modello all’interno delle funzioni/processi a rischio; chi ha la responsabilità di svolgere i controlli sull’osservanza e sull’idoneità del Modello in generale (c.d. compliance program);

• chi ha la responsabilità di gestione delle violazioni del Modello;

• chi ha la responsabilità di un’idonea gestione delle risorse umane;

• chi ha la responsabilità di un’idonea gestione delle risorse finanziarie.

Codice etico e procedure operative si riferiscono alla definizione (formale e sostanziale) e all’adeguatezza di:

• principi e presupposti etici e legali del codice di condotta;

• procedure operative coerenti con i processi di risk assessment di potenziali irregolarità (reati, funzioni e processi coinvolti, monitoraggio segnali premonitori, ecc.), con riferimento a:

contributo fornito dalle funzioni operative e dai responsabili di processo;

contributo fornito dall’Internal Audit e dagli altri organi di controllo;

contributo fornito dalla gestione delle risorse umane;

• aggiornamento delle procedure operative (violazioni, quadro giuridico, scorpori, acquisizioni, sviluppo mercati, partnership, ecc.);

• compliance normativa delle procedure operative.

Comunicazione In tale ambito è esaminato il sistema di comunicazione interna in relazione agli elementi del modello e, in particolare, all’adeguatezza di:

84

• contenuti e sufficienza delle comunicazioni inerenti al Modello (principi e presupposti etici e legali, metodologia di risk assessment, procedure operative, principi di reporting e di salvaguardia della confidenzialità, ecc.);

• canali di comunicazione utilizzati e loro adeguatezza (codice etico, bilancio sociale, bilancio d’esercizio, training, booklet, newsletter, manuali, meeting, circolari, help- line, ecc.);

• linguaggio usato e sua comprensibilità ed adeguatezza;

• frequenza e diffusione interna ed esterna;

• adeguata differenziazione per tipologia di controparte esterna e gerarchia, funzione e livelli di rischio interni.

Formazione in tale ambito sono esaminate le procedure utilizzate per la formazione del personale sull’applicazione del modello nel quadro di:

• programmi di training generale e loro adeguatezza;

• programmi di training dedicati ai temi etici e loro adeguatezza;

• programmi di training specifici per gli addetti alle aree di rischio e loro adeguatezza;

• programmi di training specifici ai responsabili della vigilanza sul Modello e loro adeguatezza;

• frequenza e qualità dei programmi di training e loro programmazione;

• controlli di frequenza e di qualità della partecipazione ai programmi di training;

• controlli sul livello qualitativo (assessment, test, dilemmi etici, ecc.).

Risorse umane e valutazione delle performance in tale ambito sono esaminate le procedure utilizzate per la gestione delle risorse umane nel regolare i principali aspetti del rapporto di lavoro dipendente:

• esistenza di procedure di selezione e di dismissal del personale focalizzate alla riduzione dei rischi di irregolarità e la loro efficacia;

• esistenza di sistemi d’incentivazione allo sviluppo del Modello e al comportamento coerente, proprio degli amministratori, dei dirigenti e dei sottoposti, e la loro efficacia;

• esistenza di sistemi disciplinari per i mancati contributi attivi e per le violazioni, proprio degli amministratori, dei dirigenti e dei sottoposti, e la loro efficacia;

• esistenza di una procedura di gestione delle segnalazioni e di allontanamento del personale a rischio e la loro efficacia.

Controllo e monitoraggio in tale ambito sono esaminate le procedure utilizzate per le attività di controllo e/o internal audit di monitoraggio delle performance degli elementi del modello:

• programmi di controllo sui processi di mappatura delle aree di rischio e dei segnali premonitori di potenziali irregolarità (risk assessment);

• programmi di revisione operativa interna od esterna su segnalazione o su segnali premonitori (audit di processo);

• programmi di revisione operativa interna od esterna periodica o a sorpresa sulle aree o processi a rischio (audit di performance);

• programmi di revisione operativa interna ed esterna di compliance al modello organizzativo (audit del modello o compliance program).

Informazione e OdV in tale ambito sono esaminate le caratteristiche e le modalità di generazione, accesso e reporting direzionale delle informazioni necessarie per una efficace vigilanza sui rischi da parte degli organismi interessati e, in primo luogo, da parte dell’Organismo di Vigilanza. Pertanto sarà analizzata:

• la disponibilità dei dati necessari per l’esercizio di un’efficace vigilanza preventiva e successiva sulle attività a rischio;

• l’esistenza di canali di comunicazione preferenziali per la segnalazione di operazioni esposte a rischio, sia da parte di terzi che da parte del personale (c.d. help line);

• la tempestiva segnalazione del cambiamento dei profili dei rischi (es. nuove normative, acquisizioni di nuove attività, violazioni del sistema dei controlli interni, accessi ed ispezioni da parte di enti supervisori, ecc.);

• la regolare registrazione e reporting degli eventi sopradescritti, con le relative azioni successive implementate e l’esito dei controlli svolti.

86 Violazioni in questo ambito sono analizzate:

• le caratteristiche e le modalità di effettuazione delle attività di audit e/o di investigazione interna ed esterna, al fine di verificarne l’efficacia sia in termini di standard professionali e/o qualitativi, sia in termini di effetto sull’aggiornamento degli elementi del sistema di controllo interno e di corporate governance;

• è valutata l’efficacia delle procedure in essere di fronte a situazioni di rischio conclamato o possibile, come, ad esempio, investigazioni da parte della Magistratura o da parte di altri organi di controllo, segnalazioni di gravi irregolarità, azioni legali da parte di terzi o casi analoghi;

• si valuteranno se le attuali procedure di gestione dei casi di crisi permettono la formazione di prove valide nei confronti dei dipendenti e degli organi di controllo.

Sezione speciale⁶⁴: per tutte le attività sensibili individuate, il management è stato invitato ad esprimersi in merito al livello di:

- rischio inerente, ovvero il livello di rischio associato all’attività in oggetto a prescindere dall’azione del sistema di controllo interno posto in essere;

- adeguatezza del sistema di controllo in essere.

64 I questionari connessi con le differenti parti speciali sono stati somministrati esclusivamente ai responsabili delle attività sensibili identificate a rischio reato.

Esempio riepilogo questionari somministrati alle varie funzioni aziendali⁶⁵

Per ciascuno degli elementi del Modello, i questionari hanno previsto una checklist di controllo dell’esistenza e dell’adeguatezza dei controlli preventivi necessari per l’identificazione e la prevenzione delle irregolarità.

Di seguito un esempio del contenuto previsto in un questionario generale

QUESTIONARIO PARTE GENERALE

soggetto intervistato luogo/data

1 La Società ha adottato un Modello di organizzazione e gestione ai sensi del D.Lgs. 231/01?

si no non so

2 Il Modello è stato comunicato all'interno della sua Funzione? se si domanda 1 si no

3 Sono state rilevate e valutate per tutti i reati presupposto, le attività a rischio ai sensi del D.Lgs. 231/01?

si in parte no non so

65 Gen: questionario generale, Pa: questionario sezione speciale riferito a reati contro la Pubblica amministrazione, SOC: questionario sezione speciale riferito a reati societari, TER: questionario sezione speciale riferito a reati terrorismo; RIC: questionario sezione speciale riferito a reati di riciclaggio; SSL:

questionario sezione speciale riferito a reati di omicidio colposo

88

4 Esistono responsabilità organizzativo-funzionali formalmente attribuite nella governance del Modello (ad esempio chi ha la responsabilità di inviare flussi informativi all'OdV, chi ha la responsabilità di svolgere controlli sull'osservanza e sull'idoneità del Modello)? se si domanda 1 si in parte no non so

5 Esistono organigrammi formalizzati in azienda? si in parte no non so

6 Sono comunicati? se 'in parte' e 'si' domanda 5 si in parte no non so

7 Sono aggiornati? se 'in parte' e 'si' domanda 5 si in parte no non so

8 Esistono responsabilità organizzativo-funzionali formalmente attribuite (es. job description, disposizioni organizzative, deleghe funzionali, funzionigrammi, ecc.)? si in parte no non so

9 È destinatario di poteri di firma, verso terzi ? si no

10 Tali poteri sono stati formalizzati attraverso procure, delibere cda, deleghe bancarie, ecc.? se si

domanda 9 si no

11 Tali poteri sono adeguati? se si domanda 9 e 10 si no

12 Prevedono dei limiti? se si domanda 9 e 10 si no

13 Richiedono la firma congiunta? se si domanda 9 e 10 si no

14 E’ stata formalizzata una procedura per l’attribuzione dei poteri e delle deleghe (organizzative e verso l’esterno) e per la revoca delle stesse? si no non so

15 La Società ha formalmente adottato un Codice Etico? si no non so

16 Il Codice Etico fa riferimento ai reati richiamati dal D.Lgs. 231? se si domanda 15 si in

parte no non so

17 Il Codice Etico è stato da Lei accettato formalmente? se si domanda 15 si no non

ricordo

18 I contratti con le terze parti (es. consulenti, clienti, fornitori, ecc.) prevedono l’obbligo del rispetto del

Codice Etico? se si domanda 15 si no non so

19 Le attività svolte dalla sua Funzione sono disciplinate da specifiche procedure di controllo, dal punto di vista etico, tecnico e amministrativo? si in parte no

20 E' stato predisposto un Sistema disciplinare interno, ai fini del D.Lgs. 231, che integri quello previsto dal Contratto Collettivo Nazionale, finalizzato a sanzionare la violazione delle norme di legge, dei regolamenti e delle procedure aziendali da parte degli amministratori, dei dirigenti e del personale? si no

non so

21 Il Modello prevede modalità di comunicazione dei contenuti in esso trattati ai suoi diversi destinatari? se

si domanda 1 si no non so

22 Sono adeguate le attività di comunicazione del Codice Etico? se si domanda 15 si in

parte no non so

23 Sono adeguate le attività di comunicazione delle normative? si in parte no non so

24 Sono adeguate le attività di comunicazione delle procedure aziendali? si in parte

no non so

25 Sono adeguati, da un punto di vista formale, di completezza, adeguatezza e tracciabilità, i canali e gli strumenti adottati dalla società per la comunicazione interna (es. ordini di servizio, comunicazioni organizzative, intranet, e-mail, meeting, ecc.)? si in parte no non so

26 Sono adeguati, da un punto di vista formale, di completezza, adeguatezza e tracciabilità, i canali e gli strumenti adottati dalla società per la comunicazione verso soggetti esterni (es. internet, e-mail, comunicati

stampa, ecc.)? si in parte no non so

27 Il Sistema disciplinare interno è stato adeguatamente comunicato agli amministratori, ai dirigenti e al personale aziendale? se si domanda 20 si in parte no non so

28 Il Modello prevede principi, contenuti, destinatari e modalità formalizzate di erogazione della

formazione? se si domanda 1 si no non so

29 Esiste un piano di formazione per la sua Funzione? si in parte no non so

N/A

30 E' stato formalizzato? se si domanda 29 si in parte no non so

31 E' adeguato? se si domanda 29 si in parte no

32 Qual è il suo grado di conoscenza dei Modelli organizzativi di prevenzione dei reati ex D.Lgs. 231?

buono medio insufficiente

33 La società eroga periodicamente/fa frequentare corsi di formazione? si no

34 Esiste un sistema di rilevazione delle presenze durante i corsi di formazione? se si domanda 33 si

in parte no non so

35 Esiste un sistema di valutazione dei corsi da parte dei partecipanti? se si domanda 33 si in

parte no non so

36 Esiste una metodologia atta a valutare a posteriori il livello di apprendimento dei partecipanti ai corsi?

se si domanda 33 si in parte no non so

37 Il processo di selezione del personale è regolamentato da procedure aziendali volte a garantire obiettività e trasparenza (es. presenza di test attitudinali, formalizzazione delle interviste svolte con i candidati, tabulazione delle candidature)? si in parte no non so

38 Ritiene che il processo di selezione del personale sia svolto in modo efficace (in termini di rispondenza alle esigenze aziendali) e obiettivo? si in parte no non so

39 Esiste una procedura formalizzata di valutazione del personale in azienda? si no

non so

40 Il processo di valutazione valorizza anche gli aspetti comportamentali dei dipendenti? se si

domanda 39 si in parte no non so

41 Il risultato della valutazione si riflette sul piano di carriera dei dipendenti? se si domanda 39 si

in parte no non so

42 Il suo compenso è legato al raggiungimento di obiettivi aziendali a Lei assegnati? si in parte

no

90

43 Gli obiettivi sono chiaramente definiti e misurabili? se 'si' o 'in parte' domanda 42 si in parte

no

44 Gli obiettivi sono ragionevolmente raggiungibili? se 'si' o 'in parte' domanda 42 si in parte

no

45 Gli obiettivi definiti sono anche di tipo qualitativo (es. puntualità e precisione del lavoro svolto, adeguatezza delle attività rispetto agli obiettivi, ecc.)? se 'si' o 'in parte' domanda 42 si in parte

no

46 Sono adeguate le linee guida, le procedure e gli standard aziendali per prevenire le violazioni alle normative in termini di completezza, correttezza, aggiornamento, ecc. (es. ambientali, sulla sicurezza e igiene sul luogo di lavoro, amministrativo-contabili, nei rapporti verso la pubblica amministrazione, sulla privacy e sicurezza dei dati, altre specifiche di settore)? si in parte no non so

47 Nell’ambito delle attività della sua Funzione, è garantito il livello di separazione dei compiti tra chi autorizza, chi esegue e chi controlla le attività, o in alternativa sono previsti adeguati controlli compensativi?

si in parte no N/A

48 E' garantito il livello di tracciabilità e verificabilità delle attività svolte dalla sua Funzione? si

in parte no N/A

49 Sono previsti o sono stati eseguiti recentemente controlli da parte di soggetti autonomi e indipendenti (es. Internal audit, consulenti esterni incaricati da un’altra funzione aziendale, Revisori esterni, ecc.) sull’operato della sua Funzione, a garanzia del rispetto delle normative, delle procedure e degli standard

aziendali? si no N/A

50 E’ stato nominato presso la società l’Organismo di Vigilanza, dedicato alla verifica dell’adeguatezza e della corretta applicazione dei modelli organizzativi e delle procedure definite ai sensi del D.Lgs. 231/01?

si no non so

51 E' prevista la predisposizione di una reportistica periodica strutturata verso l’Organismo di Vigilanza in merito alle attività svolte dalla sua Funzione? se si domanda 50 si in parte no

52 Tale reportistica è adeguata in termini di struttura, contenuti, periodicità, ecc.? se 'in parte' o 'si'

domanda 51 si in parte no

53 La sua Funzione è stata oggetto di verifiche da parte dell’Organismo di Vigilanza? se si domanda 50 si

no

54 Sono state identificate, all’interno della sua Funzione, le informazioni che devono essere comunicate all’Organismo di Vigilanza? se si domanda 50 si in parte no

55 E’ previsto uno specifico canale di riporto da parte del personale della Società nei confronti di organi aziendali, anche per segnalare violazioni sospettate o conclamate (es. e-mail, lettera scritta, hot-line,

whistleblowing, ecc.)? si no

56 Tali canali sono adeguati in termini di formalizzazione, tempestività, garanzia dell’anonimato e/o tutela della confidenzialità del segnalatore, ecc.? se si domanda 55 si in parte no

57 E' stata predisposta una procedura che definisca le modalità con cui trattare le segnalazioni di presunte violazioni in termini di protocollazione della segnalazione, analisi preliminare, accertamento, attività di

verifica e reporting? si in parte no non so

58 E' stata predisposta una procedura per la gestione delle "crisi"* in termini di attivazione delle funzioni competenti, definizione della natura, estensione e cause della crisi, individuazione delle responsabilità ed azioni per rimuovere le cause, documentazione e comunicazione al vertice aziendale?

* per crisi si intendono ad esempio casi di frode o irregolarità, indagini in corso, avvisi di garanzia, ecc.

si no non so

59 E' a conoscenza di eventuali irregolarità commesse nel passato dal personale aziendale? si

no

60 Tali irregolarità sono state oggetto di procedura disciplinare? se si domanda 59 si

no non so

61 E' adeguato l'attuale sistema di gestione ed archiviazione della documentazione relativa a eventuali violazioni di norme interne o esterne? si in parte no non so

L’analisi è stata condotta utilizzando la metodologia di valutazione dei rischi CRSA, Control & Risk Self Assessment, best practice a livello internazionale prevista da Confindustria⁶⁶ (Cfr. Figura 3).

Processo di risk management

Attraverso le risposte indicate dal management nei questionari di autovalutazione, è stato calcolato un indicatore sintetico della forza del sistema di controllo per ogni singola attività. Ciò ha consentito di determinare, partendo dal valore di rischio inerente indicato dai soggetti intervistati, il rischio residuo, ossia il rischio che effettivamente caratterizza l’attività una volta presi in considerazione i controlli esistenti.

66 Cfr. Linee Guida per la Costruzione di modelli di organizzazione, gestione e controllo ex D.Lgs. 231/01

92

Posti: RP = Rischio potenziale o inerente Attività “A”

VSCI = Forza del sistema di controllo sull’Attività “A”

RR = Rischio residuo Attività “A”

Si ha: RR = RP – (RP * VSCI)

Il valore del rischio residuo è ottenuto riducendo il valore iniziale del rischio inerente in misura proporzionale alla forza del sistema di controllo che caratterizza l’attività in questione.

Esempio 1 Rischio inerente = 80% Forza dei Controlli = 50%

Rischio residuo = 80% - (80% * 50%) = 40%

Esempio 2 Rischio inerente = 80%; Forza dei Controlli = 0%

Rischio residuo = 80% - (80% * 0%) = 80%

Le figure seguenti riportano alcune delle attività sensibili inizialmente identificate e sottoposte, con i questionari, ad autovalutazione da parte del management, divise per tipologia di reato. Le attività sono rappresentate secondo una rischiosità decrescente in relazione a quelli che sono stati i giudizi dei soggetti intervistati circa il livello di rischio inerente, la qualità dei controlli in essere e il grado di rischio residuo. Per facilitare la lettura è stata utilizzata una rappresentazione grafica di sintesi caratterizzata da colori rossi, gialli e verdi a seconda del livello di rischio inerente e dell’efficacia del controllo in essere.

Esempio risultati risk assessment attività a rischio commissione reati con la Pubblica Amministrazione

Esempio risultati risk assessment attività a rischio commissione reati reati societari

94

Esempio risultati risk assessment attività a rischio commissione reati di terrorismo

Esempio risultati risk assessment attività a rischio commissione reati

In parallelo alle interviste e alla somministrazione dei questionari, è stata avviata una fase di analisi delle procure e delle deleghe rilevanti per controllare la conformità dei poteri effettivamente ricoperti dai referenti aziendali con quanto formalizzato nella documentazione societaria. Un efficace sistema di controllo non può poi prescindere dal raffronto con il sistema di Procure e Deleghe in essere, al fine di accertare la coerenza del conferimento dei poteri rispetto ai processi decisionali disciplinati

Al termine della fase dopo l’elaborazione dei dati contenuti nei questionari attraverso l’ausilio di un tool informatico è stato possibile predisporre:

• un documento di sintesi in cui sono state riportate, le attività a rischio di irregolarità preliminarmente identificate come rilevanti per un’analisi più approfondita svoltasi nella fase successiva;

• un piano di lavoro dettagliato riferito alla fase successiva. Il piano ha previsto la definizione delle attività da svolgere, degli strumenti, delle competenze e delle risorse necessarie, insieme ad una indicazione dei tempi di svolgimento prevedibili;

• un documento di sintesi riepilogativo del livello di rischio potenziale per ogni singola attività oggetto di auto-valutazione, contenente, tra l’altro, le modifiche organizzative necessarie od opportune a migliorare il Modello;

• un documento di sintesi dei risultati dell’analisi di risk assessment dei processi e delle analisi svolte sul Gruppo.

II.5 Definizione del Modello “a tendere”

Durante il secondo step si è proceduto con la definizione del modello organizzativo “a tendere” sulla base delle informazioni ottenute dalle analisi condotte nella prima fase e i risultati emersi dall’attività di risk assessment.

Tale fase ha visto il team consulenziale impegnato nell’espletamento di differenti attivià:

• formalizzazione del Modello in un documento, redatto per l’approvazione da parte degli organi societari competenti, sulla base dei risultati emersi dall’analisi;

96

• redazione di differenti documenti informativi, tarati in funzione dell’utilizzo e del pubblico destinatario previsto, dipendenti, management di Gruppo, controparti commerciali, finanziarie ed istituzionali;

• creazione del codice etico;

• creazione del regolamento per l’Organismo di Vigilanza.

Inoltre è stato possibile predisporre un piano di lavoro dettagliato, in grado di consentire l’attuazione, graduale e condivisa con tutti gli stakeholder, del Modello nella Capogruppo.

Dopo l’implementazione nell’attività di Alfa S.p.a. è stato quindi possibile procedere alla definizione di un piano di diffusione del modello “a tendere” a tutto il Gruppo.

Le principali attività eseguite durante questa fase, attraverso il diretto coinvolgimento del management, hanno portato a:

• l’identificazione delle funzioni aziendali preposte all’applicazione/introduzione del modello in azienda;

• definizione delle attività e dei compiti ai responsabili aziendali per l’applicazione del modello;

• definizione della tempistica per rendere operativo il modello e i relativi controlli;

• redazione di istruzioni di Gruppo, contenenti disposizioni organizzative vincolanti nonché linee guida di controllo interno e di “corporate governance” per la prevenzione delle irregolarità, statuite dalla Direzione di Gruppo, da inviare per competenza alle società per l’esame e l’attuazione nei rispettivi ambiti applicativi.

Considerati i contenuti del Decreto, le modifiche necessarie ed opportune da apportare ai protocolli già esistenti in azienda, hanno previsto inoltre le seguenti attività:

• definizione di meccanismi informativi, di monitoraggio e di “reporting” di segnali premonitori (“red flags”), in grado di fornire tempestiva segnalazione dell’insorgere di situazioni di rischio, così come previsto dal Decreto;

• nomina e definizione dei poteri di intervento e di informativa dello specifico organismo di vigilanza, così come previsto dal Decreto;

• ridefinizione, in seguito ad analisi, dell’esistente sistema di deleghe di funzioni, rilevante per l’identificazione dei centri di responsabilità e delle funzioni c.d. “apicali”;

• definizione del codice etico della Società e del Gruppo con specifici riferimenti a comportamenti rilevanti ai fini del Decreto;

• identificazione dei punti di miglioramento, in seguito ad analisi, degli esistenti protocolli e procedure relativi alla gestione finanziaria, ai rapporti con la pubblica amministrazione al sistema sanzionatorio e motivazionale, alla comunicazione interna, al rafforzamento delle attività di “internal auditing”, alla accettazione da parte di terzi e controllo dell’applicazione del Modello.

I risultati ottenuti durante questa fase hanno, inoltre, permesso la redazione di una sintesi dei Gap del sistema di controllo interno, a fronte dei gap rilevati “a livello entity”, cioè considerando la Società nel complesso, e “a livello attività sensibile”, cioè considerando ciascuna delle attività sensibili identificate attraverso il risk assessment, che hanno permesso di poter formulare nelle fasi successive idonei suggerimenti per rafforzare il sistema di controllo interno. L’implementazione delle azioni correttive per incrementare l’efficacia del sistema di controllo interno sarà responsabilità della dirigenza della Società attraverso la definizione di un adeguato piano di azione correttivo basato sui suggerimenti acquisiti. Si è dunque definito per ciascuna area in cui è stato ravvisato un profilo di rischio un protocollo, inteso come insieme di regole (linee guida, procedure, limitazioni di poteri, sistemi di verifica e controllo), tali da poter essere ritenute idonee a governare il profilo di rischio individuato. I protocolli sono stati sottoposti all’esame dei soggetti aventi la responsabilità della gestione delle attività a rischio per loro valutazione e condivisione. I protocolli sono ispirati alla regola di rendere documentate e verificabili le varie fasi del processo decisionale, operativo e di controllo, proprio con riferimento alle attività sensibili individuate. Sarà poi compito dell’unità operativa di riferimento, nella fase successiva, il recepimento del protocollo suggerito e avrà la responsabilità di verificare che l’operatività quotidiana sia effettivamente allineata alle fasi di attuazione ed ai momenti di verifica ivi riepilogati.

Di seguito si riporta un esempio di risultato della gap analysis condotta in relazione ai reati di omicidio e lesioni colposi in violazione delle norme sulla tutela della salute e sicurezza sul lavoro.