IL MODELLO ORGANIZZATIVO AI SENSI DEL D LGS

IL MODELLO ORGANIZZATIVO AI SENSI DEL D. LGS 231/2001 SPUNTI PER L’IMPLEMENTAZIONE E GESTIONE Andrea Bertolotti Dottore Commercialista Commissione “Compliance Aziendale” Consiglio Nazionale Dottori Commercialisti Modena 20 gennaio 2014 Ordine dei Dottori Commercialisti e degli Esperti Contabili di Modena 1

Indice degli argomenti • Contesto di riferimento • Sintesi e ambito di applicabilità del Decreto • Interventi da adottare per l’implementazione e gestione del Modello • L’Organismo di Vigilanza 2

Contesto di riferimento Il Decreto Legislativo 231/2001 La responsabilità amministrativa delle società ex D. Lgs. n. 231/2001 : il punto della situazione Andrea Bertolotti Dottore Commercialista Commissione “Compliance Aziendale” Consiglio Nazionale Dottori Commercialisti Modena 20 gennaio 2014 Ordine dei Dottori Commercialisti e degli Esperti Contabili di Modena 3

Contesto di riferimento Il crescente fenomeno dei cosiddetti “white collar crimes” (reati dei colletti bianchi, vale a dire di criminalità economica), registrato fin dagli anni 70, ha reso pressante per l’Unione Europea l’esigenza di introdurre un efficace sistema di contrasto dell’attività criminale, riferibile agli Enti intesi come persone giuridiche, società e associazioni anche prive di personalità giuridica. Al finire degli anni ’ 90 rispondere a tale esigenza è divenuto indispensabile vista la gravità e la frequenza degli scandali imprenditoriali internazionali quelli di Enron, Worldcom, Vivendi, e quelli italiani di Cirio, Parmalat, l’inchiesta “mani pulite” ed altri. Il fenomeno ha riguardato non solo le imprese intrinsecamente illecite, cioè operanti per il perseguimento di un fine criminale, ma anche gli Enti mossi da fini in sè leciti, ma perseguiti con policies aziendali illecite quali la corruzione, la truffa finanziaria, di lesione di interessi patrimoniali pubblici, etc. Ciò ha indotto il legislatore comunitario a sollecitare i singoli legislatori nazionali ad assumere strumenti legislativi capaci di perseguire direttamente le persone giuridiche ritenute responsabili di reati economici. 4

Contesto di riferimento Su tali premesse interviene a livello nazionale la Legge Delega n. 300/2000, che configura storicamente una svolta fondamentale in quanto per la prima volta il legislatore italiano è chiamato a disciplinare la responsabilità amministrativa degli Enti collettivi per gli illeciti dipendenti da reato. Ciò ha costituito un’importante novità per il nostro ordinamento giuridico, che ha sempre manifestato una forte resistenza a stabilire la responsabilità penale degli Enti, trovando un ostacolo insormontabile nel principio “societas delinquere non potest” stabilito nell’art. 27 della Costituzione. Per dare applicazione al mandato della Legge Delega 300/2000, è stato emanato il D. Lgs. 231/2001, che istituisce la responsabilità amministrativa dell’Ente per i reati posti in essere dai suoi amministratori, dirigenti o dipendenti nell’interesse e/o a vantaggio dell’Ente stesso. Il legislatore italiano, tra le possibili opzioni normative - quali la previsione di una vera e propria responsabilità penale degli Enti (prevista ad esempio in Belgio, Francia, Olanda, Irlanda, Canada, altri) o in alternativa la configurazione di una responsabilità non penale, sebbene connessa all’illecito penale - ha scelto di introdurre quello che nella relazione governativa accompagnatoria del D. Lgs 231 viene definito un “tertium genus” di responsabilità: non di natura solo amministrativa poiché presuppone la commissione di un vero e proprio reato (illecito penale) e neppure di natura penale, poiché la sanzione comminabile all’Ente, seppur tipicamente punitiva, è priva della funzione rieducativa che è propria della pena. 5

Contesto di riferimento Il Decreto 231/01 persegue l’intento di sensibilizzare gli stessi operatori economici sui fenomeni della criminalità d’impresa, coinvolgendoli nell’azione di contrasto dei reati e rompendo quella relazione di “estraneità” in virtù della quale il reato di natura economica veniva percepito come un evento episodico ed individuale del quale l’Ente poteva disinteressarsi. All’Ente viene demandata una funzione di “garanzia”, costringendolo ad intervenire nella prevenzione dei crimini economici. 6

Sintesi e ambito di applicabilità del Decreto Il Decreto Legislativo 231/2001 La responsabilità amministrativa delle società ex D. Lgs. n. 231/2001 : il punto della situazione Andrea Bertolotti Dottore Commercialista Commissione “Compliance Aziendale” Consiglio Nazionale Dottori Commercialisti Modena 20 gennaio 2014 Ordine dei Dottori Commercialisti e degli Esperti Contabili di Modena 7

Sintesi e ambito di applicabilità del Decreto Il regime della responsabilità amministrativa degli Enti, D. Lgs. 231/01, presenta le seguenti caratteristiche: § destinatari: Enti forniti di personalità giuridica, società fornite di personalità giuridica e associazioni anche prive di personalità giuridica; § soggetti esclusi: Stato, Enti pubblici territoriali ed Enti con funzioni di rilievo costituzionale; § quando: per reati commessi nell’interesse o a vantaggio dell’Ente (è esclusa la responsabilità dell’Ente qualora la persona fisica abbia commesso il reato per esclusivo vantaggio proprio o di terzi). Il D. Lgs. 231/01 istituisce quindi la responsabilità amministrativa dell’Ente per reati posti in essere da amministratori, dirigenti e/o dipendenti nell’interesse o a vantaggio dell’Ente stesso. 8

Sintesi e ambito di applicabilità del Decreto Punti Cardine: § superamento del principio “societas delinquere non potest” ex Art. 27 Costituzione; § la responsabilità amministrativa dell’Ente va ad aggiungersi a quella della persona fisica; § la responsabilità coinvolge il patrimonio dell’Ente e, indirettamente, gli interessi economici dei soci. 9

Sintesi e ambito di applicabilità del Decreto Catalogo dei reati Le ipotesi di reato per le quali si configura la responsabilità amministrativa dell’Ente sono: § malversazione a danno dello Stato (art. 316 -bis c. p. ); § indebita percezione di erogazioni pubbliche (art. 316 -ter c. p. ); § truffa in danno dello Stato o di altro Ente pubblico (art. 640 co. 2, c. p. ); § truffa per il conseguimento di erogazioni pubbliche (art. 640 -bis c. p. ); § frode informatica in danno dello Stato o di altro ente pubblico (art. 640 -ter c. p. ); § concussione (art. 317 c. p. ); § corruzione per atto pubblico (art. 318 c. p. ); § corruzione per atto contrario ai doveri di ufficio (art. 319 c. p. ); § corruzione in atti giudiziari (art. 319 -ter c. p. ); § corruzione di persona incaricata di un pubblico servizio (art. 320 c. p. ); § istigazione alla corruzione (art. 322 c. p. ); § peculato, concussione, corruzione e istigazione alla corruzione degli Organi delle Comunità Europee e di funzionari delle Comunità Europee e di Stati membri; § falsità in monete, in carte di pubblico credito e valori bollati (art. 25 -bis D. Lgs 231/2001). 10

Sintesi e ambito di applicabilità del Decreto Catalogo dei reati (segue) I reati societari normati dall’art. 25 -ter del Decreto, introdotti in seguito al D. Lgs. 61/2002: § false comunicazioni sociali; § falso in prospetto; § falsità nelle relazioni o nelle comunicazioni della società di revisione; § impedito controllo; § formazione fittizia del capitali, indebita restituzione dei conferimenti, illegale ripartizione degli utili e delle riserve, operazioni in pregiudizio dei creditori, indebita ripartizione dei beni sociali da parte dei liquidatori; § illecite operazioni sulle azioni o quote sociali della società controllante; § illecita influenza sull’assemblea; § aggiotaggio; § ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza; 11

Sintesi e ambito di applicabilità del Decreto Catalogo dei reati (segue) § delitti informatici e trattamento illecito dei dati; § reati di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro; § delitti in materia di violazione del diritto d’autore; § delitti contro l’industria ed il commercio; § reati con finalità di terrorismo o di eversione dell’ordine democratico previsti dal codice penale e dalle leggi speciali; § pratiche di mutilazione degli organi genitali femminili; § delitti contro la personalità individuale; § reati di abuso di mercato; § ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita; § reati transnazionali; § reati ambientali. 12

Sintesi e ambito di applicabilità del Decreto Catalogo dei reati (segue) I reati societari normati dall’art. 25 duodecies del Decreto, introdotti in seguito al D. Lgs 109/2012: § impiego di cittadini di paesi terzi il cui soggiorno è irregolare. I reati societari normati dall’art. 25 ter lettera a-bis comma 1 del Decreto, introdotti in seguito alla Legge 190/2012: § induzione indebita a dare o promettere utilità; § corruzione tra privati. I reati societari normati dall’art. 25 bis del Decreto, introdotti in seguito al D. Lgs 93/2013: § frode informatica; § trattamento di dati illeciti; § falsità nelle dichiarazioni e notificazioni al Garante ; § inosservanza di provvedimenti del Garante; § indebito utilizzo di carte di credito o di pagamento. 13

Sintesi e ambito di applicabilità del Decreto Sanzioni applicabili all’Ente Le sanzioni previste dalla legge a carico della società in conseguenza della commissione o tentata commissione degli specifici reati sopra menzionati consistono in: § sanzione pecuniaria: da Euro 25. 823 fino ad un massimo di Euro 1. 549. 370; § sanzioni interdittive di durata non inferiore a tre mesi e non superiore a due anni: - interdizione dall’esercizio dell’attività; - sospensione o revoca delle autorizzazioni, licenze o concessioni; - divieto di contrattare con la Pubblica Amministrazione; - esclusione da agevolazioni, finanziamenti, contributi o sussidi, revoca di quelli concessi; - divieto di pubblicizzare beni o servizi; § confisca del profitto (sequestro conservativo in sede cautelare); § pubblicazione della sentenza di condanna. 14

Sintesi e ambito di applicabilità del Decreto Esenzione da responsabilità § Il Decreto prevede la possibilità per l’Ente di essere esonerato da responsabilità qualora abbia adottato, ed efficacemente attuato, un Modello di Organizzazione, Gestione e Controllo idoneo a prevenire i reati della specie di quello verificatosi; § Il Modello di Organizzazione è l’insieme delle regole e procedure, comunque denominate, che in concreto sono previste ed attuate per l’organizzazione e la gestione dell’Ente. 15

Sintesi e ambito di applicabilità del Decreto Esenzione da responsabilità (segue) Il Modello “ex-ante” e “post-factum” La normativa distingue l’ipotesi del Modello adottato prima della commissione del reato (c. d. Modello ex-ante) dal Modello adottato dopo la commissione del fatto (c. d. Modello post-factum): § Modello ex-ante: l’idoneità del Modello esclude la responsabilità dell’Ente, ai sensi del Decreto; § Modello ex-post: l’idoneità del Modello alleggerisce la risposta sanzionatoria: - esclusione delle sanzioni interdittive; - sospensione e revoca delle misure cautelari interdittive; - sospensioni e conversioni delle sanzioni interdittive in sanzioni pecuniarie; - riduzione delle sanzioni pecuniarie. 16

Sintesi e ambito di applicabilità del Decreto Ipotesi di esclusione della responsabilità dell’Ente È prevista l’inversione dell’onere della prova per i reati commessi da soggetti in posizione apicale. È necessario che l’Ente provi che: § sono stati comunque adottati Modelli Organizzativi, di Gestione e Controllo idonei a prevenire reati della specie poi verificatasi; § è stato istituito un Organismo di Sorveglianza interno ed autonomo, dotato di poteri di vigilanza; § i soggetti che hanno commesso il reato hanno eluso fraudolentemente i protocolli preventivi*; § non ci sono state omissioni o negligenze nell’operato dell’Organismo di controllo**. * Prova “diabolica” molto difficile. Ciò che la rende ancor più difficile è il “fraudolentemente” perché a) l’esenzione per errore non esima dalla colpa; b)l’esclusione in caso di ristretta base di governo (A. U. , pochi manegers con tutti i poteri), consente l’esclusione senza particolari raggiri. ** Responsabilità enorme perché la prova del controllo deve essere data per tutte le procedure. 17

Sintesi e ambito di applicabilità del Decreto Ipotesi di esclusione della responsabilità dell’Ente (segue) Non è prevista l’inversione dell’onere della prova: per i reati commessi da soggetti in posizione subordinata § È necessario che il magistrato provi l’inosservanza degli obblighi di direzione e vigilanza; § la mancata “direzione” non ricorre se l’Ente, prima della commissione del reato, ha adottato ed efficacemente attuato un Modello di Organizzazione, Gestione e Controllo idoneo a prevenire reati della specie di quello verificatosi. 18

Sintesi e ambito di applicabilità del Decreto Caratteristiche del Modello È quindi necessario (se l’Ente vuole godere dell’esimente) dotarsi di: § un Modello di Organizzazione, Gestione e Controllo caratterizzato da criteri di efficienza, praticabilità e funzionalità ragionevolmente in grado di limitare le probabilità di commissione di reati ricompresi nell’area di rischio legata all’attività dell’impresa; § un Organismo interno all’Ente che abbia compiti di iniziativa e di controllo sulla efficacia del Modello e che sia dotato di piena autonomia nell’esercizio della supervisione e del potere disciplinare e che agisca continuità (Od. V). 19

Sintesi e ambito di applicabilità del Decreto Adozione del Modello tra obbligo ed opportunità § Dal punto di vista della società non vi è un obbligo giuridico; § dal punto di vista degli amministratori si ritiene che l’obbligo di agire con diligenza, da cui discende il dovere di organizzare in modo adeguato l’impresa gestita (art. 2392, primo e secondo comma del C. C. ) fanno nascere un obbligo di adozione del Modello in capo agli amministratori e una responsabilità in caso contrario; § la giurisprudenza ha sostenuto questa tesi, almeno nel senso che vi è un obbligo dell’organo amministrativo di farsi carico della valutazione dell’opportunità di prevenire i reati contemplati dal D. Lgs. 231/01 mediante l’adozione del Modello. 20

Sintesi e ambito di applicabilità del Decreto Il “Modello dei Modelli” Il D. Lgs. 231/2001 prevede che: “i Modelli di Organizzazione, Gestione e Controllo possono essere adottati (…) sulla base di codici di comportamento redatti dalle associazioni rappresentative degli Enti e comunicati al Ministero della Giustizia…”. In particolare hanno provveduto: § Confindustria (ultima versione 31 marzo 2008); § Associazione Bancaria Italiana; § Associazione Nazionale Costruttori Edili; § Associazione Nazionale Imprese Assicuratrici; § Confederazione Nazionale dell’Artigianato e delle Piccole e Medie Imprese; § Confederazione Italiana Piccola e Media Industria; § AEFI – Associazione Esposizioni e Fiere Italiane – 28 agosto 2013. 21

Sintesi e ambito di applicabilità del Decreto Altri documenti di riferimento: § Circolare n. 83607/2012 Comando Generale della Guardia di Finanza – Volume III – Responsabilità amministrativa degli Enti dipendente da reato; § D. Lgs. n. 81/2008 in materia di sicurezza sul lavoro; § Linee guida per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 emanate dall’UNI-INAIL; § British Standard OHSAS 18001: 2007 in materia di sicurezza sul lavoro; § per questi ultimi due – D. Lgs. 81/2008 prevede una presunzione di idoneità a favore del Modello. 22

Sintesi e ambito di applicabilità del Decreto Caratteristiche del Modello Art. 6 c. 2 D. Lgs. 231/2001 § Individuare le attività nel cui ambito possono essere commessi i reati; § prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai reati da prevenire; § individuare modalità di gestione delle risorse finanziarie idonee a impedire il compimento dei reati; § prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e sull’osservanza del Modello; § introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. 23

Sintesi e ambito di applicabilità del Decreto In aggiunta: § predisposizione di un Codice Etico che prescriva norme generiche di comportamento in relazione ai reati ipotizzati (non è previsto dalla normativa, ma rientra nella prassi delle aziende ben organizzate)*; § verifica periodica del Modello e sua eventuale revisione; § vigilanza da parte di uno specifico Organismo di Vigilanza, dotato di autonomi poteri di iniziativa e di controllo, sul funzionamento del Modello; § comunicazione al personale e sua formazione non solo del Codice Etico, ma del Modello nel suo complesso > Documento di sintesi del Modello. § N. B. : In ogni caso spetta al giudice penale la valutazione in merito alla adeguatezza del Modello, ovvero alla rispondenza dei codici comportamentali adottati dall’Ente ai parametri elencati nel D. Lgs. 231. * Il Codice Etico sta al sistema delle regole aziendali, come la Costituzione di uno Stato sta alle Leggi e Regolamenti nazionali 24

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale § Il Modello definisce le regole comportamentali che tutto il personale deve rispettare § Il Modello esprime le regole con una serie di diversi strumenti: § § organigramma § procedure § protocolli § mansionari § istruzioni operative § deleghe e procure Questi strumenti sono sorretti da: § Codice Etico: la cui funzione è di legittimare in via di principio misure che altrimenti apparirebbero inutilmente coercitive § comunicazione: le regole vanno adottate ma anche diffuse, spiegate; va verificato il livello della loro comprensione; le regole vanno anche formalmente comunicate e formalmente accettate § controlli: la cui funzione è di verificare che le misure siano in concreto rispettate § sanzioni: la cui funzione è di chiusura dei due punti precedenti (il sistema detta le regole, verifica e punisce) 25

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) DEFINIZIONE § Il sistema disciplinare è quindi quella parte di sistema organizzativo idonea a sanzionare il mancato rispetto delle misure indicate dal Modello § Il sistema disciplinare parte dal presupposto che le violazioni del Modello sono un fatto grave che incrinano il rapporto tra la Società ed i collaboratori improntato sulla trasparenza, correttezza, lealtà ed integrità § Il sistema disciplinare 231/01 è parte integrante delle obbligazioni contrattuali assunte dai dipendenti e collaboratori e completa il sistema sanzionatorio aziendale § Il sistema disciplinare 231 deve essere conciliabile con le norme che regolano il contratto di lavoro ovvero il Contratto Collettivo Nazionale e lo Statuto dei Lavoratori § Il sistema disciplinare 231 è invece del tutto svincolato ed autonomo rispetto allo svolgimento ed all’esito di un eventuale procedimento penale che colpisca il lavoratore § Il comportamento sanzionato non deve necessariamente essere in sé un reato, in quanto il Modello può vietare dei comportamenti che siano semplicemente prodromici alla realizzazione di un reato. Ad esempio il mancato uso dei presidi antifortunistici non necessariamente comporta una lesione del lavoratore e non necessariamente la lesione comporta la commissione di un reato. Il mancato uso del presidio può però (anzi deve) essere ugualmente sanzionato 26

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) ESEMPI DI VIOLAZIONE DEL MODELLO § La messa in atto di azioni o comportamenti non conformi alle prescrizioni del Modello ed alle leggi da esso richiamate § L’omissione di azioni o comportamenti prescritti dal Modello § La messa in atto di azioni o comportamenti non conformi ai principi riferiti dal Codice Etico § L’omissione di azioni o comportamenti prescritti dal Codice Etico § La messa in atto, in generale, di azioni o comportamenti contrari alle leggi e regolamenti, sia nazionali sia esteri 27

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) CARATTERISTICHE DEL SISTEMA SANZIONATORIO § Deve essere predisposto per iscritto § Deve essere diffuso, come parte integrante del Modello, mediante una puntuale e capillare informazione e formazione dei destinatari e la pubblicazione ed affissione in luoghi accessibili a tutti § Deve prevedere sanzioni, la cui erogazione deve essere caratterizzata dai principi di specificità, tempestività ed immediatezza, nonché dalla idoneità a svolgere un’azione deterrente avendo una specifica funzione preventiva e non meramente ed esclusivamente punitiva § Deve garantire il contradditorio, ovvero il soggetto a cui è stato contestato il comportamento deve poter proporre argomentazioni a sua difesa 28

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) LE MISURE APPLICABILI § § Il Contratto Collettivo Nazionale prevede come sanzioni disciplinari: § richiamo verbale § ammonizione scritta § multa non superiore a tre ore di retribuzione oraria § sospensione dal lavoro e dalla retribuzione fino ad un massimo di tre giorni § licenziamento per mancanze (ai sensi delle previsioni normative) I criteri adottabili per definire tipo ed entità delle sanzioni sono: § intenzionalità del comportamento illecito o non corretto § grado di negligenza, imprudenza o imperizia con riguardo alla prevedibilità dell’evento § condotta complessiva del dipendente (ad esempio eventuali precedenti) oppure l’esistenza di circostanze attenuanti (come pure aggravanti), tenendo in dovuto conto la professionalità ed il suo passato lavorativo § il ruolo ed i compiti assegnati al dipendente § livello di responsabilità, posizione gerarchica, funzionale e/o tecnica § eventuali ipotesi di condivisione di responsabilità con altri collaboratori che abbiano concorso al comportamento manchevole 29

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) L’ORGANO CHE SVOLGE L’ISTRUTTORIA E DETERMINA LE SANZIONI § L’organo che gestisce l’iter formale può essere liberamente determinato dalla Società; è preferibile che sia l’ufficio risorse umane § E’ opportuno coinvolgere almeno a livello informativo l’O. d. V. nelle istruttorie § Si possono individuare casi nei quali per la gravità della sanzione o per la posizione di vertice (membri del C. d. A. , membri del Collegio Sindacale, membri dell’O. d. V. , dirigenti) la sanzione debba essere decisa dall’Organo Amministrativo 30

Sintesi e ambito di applicabilità del Decreto Il sistema disciplinare aziendale (segue) I DESTINATARI DELLE SANZIONI DISCIPLINARI § Possono essere destinatari delle sanzioni disciplinari: § dirigenti § dipendenti § collaboratori esterni e parti terze § management aziendale § Collegio Sindacale § O. d. V. 31

Sintesi e ambito di applicabilità del Decreto Il Codice Etico DEFINIZIONE § Il Codice Etico rappresenta un “contratto” tra l’impresa e i suoi Stakeholders con la funzione di legittimare l’autonomia dell’impresa ai diversi soggetti, rendendo pubblicamente nota la consapevolezza dei suoi obblighi e lo sviluppo delle politiche aziendali I VANTAGGI § Il Codice Etico produce credibilità della Società: chiunque può verificare se effettivamente l’impresa rispetti quanto si è imposta e ciò crea attorno all’azienda stessa un’alta o bassa reputazione, e sicuramente un alto livello di attenzione § Dal livello di reputazione accumulato dipenderà poi la disponibilità degli Stakeholders nel cooperare e, tenuto conto che l’impresa nel lungo periodo ha un reale interesse ad instaurare stabili relazioni la strategia aziendale migliore, anche in termini di efficienza, è dare piena attuazione al suo Codice Etico rispettando le altrui aspettative 32

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) Il Codice Etico definisce gli impegni e le responsabilità morali nella conduzione degli affari e delle attività imprenditoriali svolte dalle persone che operano nell’azienda o entrano in contatto con essa, al fine di: § conservare e diffondere il rapporto di fiducia con gli Stakeholder della società (organi sociali, personale, clienti, fornitori, Enti pubblici, intermediari finanziari, associazioni di categoria, etc. ); § scongiurare comportamenti non etici; § definire i valori a cui tutti gli amministratori, dipendenti e collaboratori dell’azienda a vario titolo devono ispirarsi, accettando responsabilità, ruoli e regole della cui violazione essi assumono personalmente la responsabilità verso la società. Esso si articola solitamente su vari livelli: § § premessa, che fornisce una definizione del Codice Etico e incorpora la missione e la visione etica dell’impresa. Quest’ultima stabilisce il punto di riferimento per il bilanciamento tra le aspettative e gli interessi dei differenti Stakeholder. Essa identifica, altresì, le modalità con le quali la società vuole conseguire la sua mission e le modalità con cui i portatori di interesse sono chiamati a parteciparvi; destinatari ed ambito di applicazione, ove bisogna indicare tutti i soggetti tenuti ad adeguare le proprie azioni e i propri comportamenti ai principi, agli obiettivi e agli impegni previsti dal Codice; 33

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) § norme di comportamento e rapporti con gli Stakeholder, il cui obiettivo è evitare comportamenti opportunistici e devianti non in linea con la visione e i principi etici aziendali. Le norme di comportamento possono essere di due tipi: § § § divieti, che consistono nella proibizione di adottare un determinato tipo di comportamento. Sono norme che, in genere, disciplinano particolari aree dei rapporti con gli Stakeholder (ad esempio appalti, acquisti, selezione del personale, omaggi, esecuzioni di contratti, etc. ); § standard di comportamento, consistenti in regole o procedure che stabiliscono e prescrivono il tipo di condotta alla quale l’intera organizzazione deve conformarsi, per evitare comportamenti opportunistici; procedure di attuazione, controllo e diffusione del Codice, che rappresentano una componente essenziale di ogni Modello, in quanto mirano a diffonderlo all’interno e all’esterno dell’organizzazione, a farlo rispettare e a garantirne l’efficacia nel tempo; meccanismi disciplinari, ovvero la previsione di sanzioni in caso di violazione delle regole di comportamento indicate nel Codice. 34

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) MODELLO E CODICE ETICO § Il Codice Etico rappresenta uno strumento autonomo che non è necessariamente parte del Modello. Molte Società hanno adottato il Codice Etico e non il Modello § Il Modello risponde specificamente alle esigenze di prevenzione dei reati di cui al “catalogo” 231 § Se la Società adotta il Modello, il Codice Etico deve fare riferimento al Modello ed al rispetto delle sue regole: va quindi adattato alle finalità del Modello 35

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) ESEMPI DI OBIETTIVI E VALORI § La Società persegue le seguenti finalità: § creazione di valore per gli azionisti e più in generale per gli “Stakeholders” § far rispettare al proprio interno e nei rapporti con il mondo esterno le leggi vigenti negli Stati in cui svolge la propria attività e principi etici comunemente accettati e sanciti negli Standard internazionali nella conduzione degli affari: trasparenza, correttezza e lealtà § rifuggire e stigmatizzare il ricorso a comportamenti illegittimi o comunque scorretti (verso la comunità, le pubbliche Autorità, i clienti, i lavoratori, gli investitori ed i concorrenti) per raggiungere i propri obiettivi economici, che sono perseguiti esclusivamente con l’eccellenza della performance in termini di qualità e convenienza dei prodotti e dei servizi, fondati sull’esperienza, sull’attenzione al cliente e sulla innovazione § porre in essere strumenti organizzativi atti a prevenire la violazione dei principi di legalità, trasparenza, correttezza e lealtà da parte dei propri dipendenti e collaboratori e vigilare sulla loro osservanza e completa osservazione § assicurare al mercato, agli investitori e alla comunità in genere, pur nella salvaguardia della concorrenzialità delle rispettive imprese, una piena trasparenza sulle loro azioni § promuovere una competizione leale che considera funzionale al suo stesso interesse così come a quello degli operatori di mercato, dei cliente e degli Stakeholders in genere § perseguire l’eccellenza e la competitività nel mercato, offrendo ai propri clienti servizi di qualità, che rispondono in maniere efficiente alle loro esigenze § tutelare e valorizzare le risorse umane di cui si avvale 36

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) PRINCIPALI TEMI DA TRATTARE NEL CODICE ETICO § AZIONISTI: la Società si impegna a garantire parità di trattamento a tutte le categorie di azionisti § CLIENTI: la Società riconosce l’importanza della attenzione alla clientela e alla disponibilità di soddisfare le richieste § COMUNITA’: la Società intende contribuire al benessere economico e alla crescita della comunità nella quale opera attraverso l’erogazione di servizi di eccellenza – vendita di prodotti tecnologicamente avanzati. La Società individua nella ricerca e nella innovazione una condizione prioritaria di crescita e successo. La Società mantiene con le pubbliche Autorità locali, nazionali e sopranazionali relazioni ispirate alla piena e fattiva collaborazione e alla trasparenza, nel rispetto delle reciproche autonomie, degli obiettivi economici e dei valori contenuti nel Codice. La Società non eroga contributi, vantaggi o altra utilità ai partiti politici ed alle organizzazioni sindacali dei lavoratori, né a loro rappresentanti o candidati, fermo il rispetto della normativa applicabile. 37

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) PRINCIPALI TEMI DA TRATTARE NEL CODICE ETICO (SEGUE) § RISORSE UMANE: la Società riconosce la centralità delle risorse umane nella convinzione che il principale fattore di successo di ogni impresa sia costituito dal contributo professionale delle persone che vi operano, in un quadro di lealtà e fiducia reciproca. La Società tutela la sicurezza e la salute nei luoghi di lavoro e ritiene fondamentale, nell’espletamento dell’attività economica, il rispetto dei diritti dei lavoratori. La gestione dei rapporti di lavoro è orientata a garantire pari opportunità e a favorire la crescita professionale di ciascuno. § AMBIENTE: la Società crede in una crescita globale sostenibile nell’interesse di tutti gli Stakeholders, attuali e futuri. Le scelte di investimento e di business sono pertanto informate al rispetto dell’ambiente e della salute pubblica. Fermo il rispetto della specifica normativa applicabile, la Società tiene conto delle problematiche ambientali nella definizione delle proprie scelte, anche mediante l’adozione di particolari tecnologie e metodi di produzione, laddove operativamente ed economicamente proponibile, che consentano di ridurre, anche oltre i limiti di norma, l’impatto ambientale delle proprie attività. 38

Sintesi e ambito di applicabilità del Decreto Il Codice Etico (segue) PRINCIPALI TEMI DA TRATTARE NEL CODICE ETICO (SEGUE) § INFORMAZIONE: la Società è consapevole dell’importanza che una informazione corretta sulle proprie attività riveste per il mercato, gli investitori e la comunità in genere. Ferme restando le esigenze di riservatezza richieste dalla conduzione del business, la Società assume pertanto la trasparenza come proprio obiettivo con i propri Stakeholders. In particolare, la Società comunica con il mercato e gli investitori nel rispetto dei criteri di correttezza, chiarezza e parità di accesso all’informazione § RISPETTO DEL CODICE: al rispetto del Codice sono tenuti gli organi sociali, il management e i prestatori di lavoro della Società, nonché tutti i collaboratori esterni, quali consulenti, agenti, fornitori, ecc. . La Società si impegna all’implementazione di apposite procedure, regolamenti o istruzioni volte ad assicurare che i valori affermati siano rispecchiati nei comportamenti concreti di ciascuna di esse e di tutti i rispettivi dipendenti e collaboratori, prevedendo un sistema sanzionatorio delle eventuali violazioni. 39

Interventi da adottare Il Decreto Legislativo 231/2001 La responsabilità amministrativa delle società ex D. Lgs. n. 231/2001 : il punto della situazione Andrea Bertolotti Dottore Commercialista Commissione “Compliance Aziendale” Consiglio Nazionale Dottori Commercialisti Modena 20 gennaio 2014 Ordine dei Dottori Commercialisti e degli Esperti Contabili di Modena 40

Interventi da adottare Modello “idoneo” § La creazione di un Modello “idoneo” richiede l’analisi della situazione organizzativa aziendale e l’adattamento del Modello a tale situazione di fatto; § la predisposizione di un Modello Organizzativo idoneo è condizione necessaria, ma tuttavia non sufficiente, affinché l’Ente possa andare esente da responsabilità: è richiesta l’efficace attuazione; § adempimenti formali o cartacei anche adeguati non sono sufficienti: la predisposizione del Modello dovrà essere tradotta in comportamenti concreti; § il Modello deve essere “su misura”; § La costituzione di un “gruppo di lavoro” per la predisposizione del Modello, con personale interno ed esterno § il consulente deve ritagliarsi un ruolo di coordinatore e di “facility manager”, mai di professionista che predispone unilateralmente il Modello e lo cala dall’alto; § il metodo è quello dell’intervista ai responsabili funzionali e della condivisione dell’analisi con i partecipanti al “gruppo di lavoro”; § è opportuna la verbalizzazione di interviste e riunioni del “gruppo di lavoro”. 41

Interventi da adottare Sistema di Controllo Interno 1. PROCESS ASSESSMENT: Analisi aziendale tramite intervista 2. RISK ASSESSMENT: - Risk Assessment - Gap Analisys - 3. RISK RESPONSE - Nuovi protocolli - Nuove procedure operative - Nuovi mansionari 4. MAPPATURA PROCESSI RISCHIO: - Rischio Inerente Rischio Accettabile Protocolli Esistenti Procedure operative esistenti Mansionari esistenti Processi Descrizioni del processo Strutture Coinvolte Principi organizzativi e di controllo (Protocolli) Principi di comportamento (Codice Etico) Espressione numerica del rischio 42

Interventi da adottare Sistema di Controllo Interno (segue) oltre: 5. Elaborazione/aggiornamento e condivisione di un Codice Etico 6. Adozione/revisione del sistema disciplinare conforme allo Statuto dei lavoratori e al CCNL applicabile. 7. Individuazione, nomina ed attivazione di un Organismo di Vigilanza dell’Ente, autonomo ed indipendente 8. Adozione formale e condivisione (interna ed esterna) del Modello, informazione e formazione dei destinatari, ottimizzazione ed aggiornamento continuo del Modello 43

Interventi da adottare 1. PROCESS ASSESSMENT La “as is analysis” comprende queste fasi: § § § check up aziendale generale; individuazione delle attività primarie e di supporto; identificazione dei fattori di rischio; analisi della documentazione fornita al “gruppo di lavoro”; somministrazione di questionari ed effettuazione di interviste volte alla valutazione del SCI. 44

Interventi da adottare 2. RISK ASSESSMENT § Quale che sia la metodologia adottata, è indispensabile che i professionisti che conducono il processo di valutazione del rischi-reato abbiano ben chiara la differenza tra “rischio inerente” e “rischio residuo”. La probabilità che un illecito venga posto in essere, infatti, va valutata ipotizzando anzitutto una situazione di assoluta assenza di controlli sul processo (rischio inerente). Successivamente, si devono dettagliatamente indicare, per ciascun processo-reato, le attività di controllo già esistenti opportunamente distinte per tipologia; solo a questo punto può essere definito il rischio residuo, quello cioè che misura la probabilità che il reato possa essere commesso rispetto al contesto operativo interno ed esterno in cui opera l’azienda; § il motivo della necessità di identificare e valutare separatamente le due tipologie di rischio individuate è evidente: ragionando sul solo rischio residuo si sottostimerebbe la rischiosità del processo e si potrebbe essere indotti a sottovalutare (o a trascurare) l’importanza del corretto funzionamento del sistema di controllo; 45

Interventi da adottare (segue) 2. RISK ASSESSMENT (segue) § dal punto di vista teorico, il rischio è ritenuto accettabile quando i controlli aggiuntivi “costano” più delle risorse da proteggere; § è da tenere presente, tuttavia, che in questo caso una logica di tipo strettamente economico non può essere l’unico parametro di riferimento; § le Linee Guida di Confindustria per la costruzione dei modelli ex D. Lgs. 231/2001, a tal proposito, introducono un diverso concetto di rischio accettabile: § riguardo al sistema di controllo preventivo in generale, la soglia concettuale di accettabilità è rappresentata da un sistema di prevenzione tale da non poter essere aggirato se non intenzionalmente e/o fraudolentemente; § relativamente ai reati di omicidio colposo, di lesioni personali colpose in materia antinfortunistica, la soglia di accettabilità è legata alla violazione dei Modelli nonostante la puntuale vigilanza sugli obblighi previsti in materia di sicurezza dei lavoratori. 46

Interventi da adottare (segue) 2. RISK ASSESSMENT (segue) Passaggi: § mappatura aree e processi sensibili in relazione ai reati potenziali; § misurazione dei rischi e stima dell’esposizione ai singoli fattori di rischio; § il rischio può essere scomposto in: - probabilità del verificarsi dell’accadimento; - conseguenze e l’impatto dell’evento; - esposizione al rischio, data dal prodotto tra la probabilità che il rischio si manifesti e il suo impatto potenziale sull’organizzazione. 47

Interventi da adottare (segue) 2. RISK ASSESSMENT (segue) Matrice rilevanza/azioni di controllo dei rischi Alto Rischio medio Rischio alto Rischio basso Rischio medio impatto I m p a t t o Basso probabilità Alto Probabilità 48

Interventi da adottare Gap Analisys Le componenti del rischio da associare per valutarlo: § l’impatto - caduta di un meteorite: altissimo - caduta di grandine: medio/basso - terremoto: medio/alto § la probabilità - caduta meteorite: bassissima - caduta grandine: alta - terremoto: medio/bassa 49

Interventi da adottare Gap Analisys (segue) § Valutata l’esposizione rischio si deve intervenire laddove sono superati i limiti di accettabilità § Si interviene nei casi di rischio alto e medio Alto Matrice rilevanza/azioni di controllo dei rischi Rischio alto (INTERVENTO) Rischio basso Rischio medio (INTERVENTO) Alto impatto I m p a t t o Rischio medio (INTERVENTO) Basso probabilità Basso Alto Probabilità § Il management interviene sulla probabilità di rischio (tramite procedure/protocolli/controlli) essendo più difficile intervenire sull’impatto 50

Interventi da adottare 3. RISK RESPONCE Il modo più comune di controllare il rischio consiste nell’introdurre un certo numero di misure di controllo volte a ridurre sia la probabilità che un evento avverso possa manifestarsi, sia gli effetti negativi generati nel caso in cui il reato/illecito dovesse effettivamente verificarsi. Valutato il rischio “inerente” e quello “obiettivo” e i protocolli che sono stati individuati per ricondurre il valore dal rischio “inerente” a quello del rischio “obiettivo”, con un processo circolare si rimette mano a tutti i vari regolamenti e sistemi di controllo interno modificandoli con l’inserimento dei nuovi protocolli. Il Modello Organizzativo esistente (“as is”) si trasforma nel Modello di riferimento a tendere (“to be”). 51

Interventi da adottare Riassumendo i cardini del Modello sono: § individuazione delle attività nel cui ambito possono essere commessi i reati; § previsione di specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai reati da prevenire; § individuazione di modalità di gestione delle risorse finanziarie idonee ad impedire il compimento dei reati. Inoltre si richiedono: § introduzione di un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello; § predisposizione di un Codice Etico che presieda norme generali di comportamento in relazione ai reati ipotizzati; § verifica periodica del Modello e sua eventuale revisione; § comunicazione al personale e sua formazione non solo con riferimento al Codice Etico, ma al Modello nel suo complesso; § nomina di uno specifico Organismo di Vigilanza dell’Ente, dotato di autonomi poteri di iniziativa e controllo; § previsione di obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e sull’osservanza dei modelli. 52

Interventi da adottare Focus sui protocolli § L’individuazione dei protocolli è richiesta dalla norma; § può essere difficile rintracciare l’esistenza del protocollo nell’ambito delle procedure operative e/o mansionari; § i Modelli più evoluti esplicitano in un un’apposita sezione (parte speciale) quali sono i protocolli che vengono utilizzati nell’ambito dei diversi processi ed in funzione dei diversi reati. 53

Interventi da adottare Focus sui protocolli (segue) § I protocolli sono un insieme di principi e procedure volte a prevenire la commissione di uno dei reati previsti dal D. Lgs. 231/2001; § i principi di controllo sono il punto di riferimento per l’implementazione delle singole procedure, dei mansionari e delle deleghe; § in particolare, le Linee Guida di Confindustria individuano tre principi di controllo fondamentali: § principio della tracciabilità, in base al quale “ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua”. Ciò significa che ogni iniziativa dovrà essere caratterizzata da un adeguato supporto documentale che favorisca i controlli e garantisca l’opportuna evidenza delle operazioni; § principio della segregazione delle attività, che afferma che “nessuno può gestire in autonomia un intero processo”: le attività di cui esso si compone, infatti, non devono essere interamente assegnate allo stesso soggetto, ma suddivise tra più attori. In base a tale principio, dunque, è opportuno strutturare le procedure aziendali in modo tale da garantire la separazioni tra le fasi di decisione, autorizzazione, esecuzione, registrazione e controllo delle operazioni riguardanti le attività aziendali e, più specificatamente, quelle ritenute sensibili, ovvero soggette ad un rischio reato; § principio della supervisione, che riguarda principalmente l’Organismo di Vigilanza: la sua attività di supervisione e l’effettuazione delle verifiche di sua competenza deve essere documentata ed attestata dal sistema di controllo. 54

Interventi da adottare Focus sui protocolli (segue) Poteri di gestione di deleghe e firma La progettazione di un Modello richiede l’individuazione dei soggetti che a vario titolo sono coinvolti nella gestione aziendale, nonché la corretta attribuzione dei poteri di gestione e dei poteri di firma (la struttura organizzativa). A tal fine, è necessario, attribuire ruoli e responsabilità ai vertici aziendali, determinando, in particolare: § quali soggetti hanno poteri gestionali; § per quali tipologie di attività; § per quale importo; § con quali poteri di rappresentanza (firma). Riassumendo, un’efficace struttura organizzativa deve: § nell’organizzazione, evitando assolutamente i vuoti di potere e quanto più possibile eventuali sovrapposizioni di ruoli e competenze; § una segregazione dei poteri per ciascuna funzione aziendale; § concretamente attuato; § organo amministrativo, compensi, lettere di incarico, accettazioni, etc. ). 55

Interventi da adottare Focus su comunicazioni al personale e sua formazione E’ obbligo dell’Ente: § porre in essere la formazione del personale e la divulgazione del Modello a tutti coloro che operano nell’ambito dell’organizzazione; § la formazione dei membri dell’organo amministrativo, del collegio sindacale, dell’Organismo di Vigilanza, dei responsabili di funzione e stabilimento (gestita direttamente dall’’Organismo di Vigilanza); la formazione del personale (di competenza del responsabile delle Risorse Umane in stretta cooperazione con l’Organismo di Vigilanza); § Consegnare il Modello ai dipendenti, collaboratori e soggetti con i quali l’Ente è in relazione d’affari (con esclusione delle parti riguardanti la mappatura e la valutazione del rischio); § Pubblicare sul sito aziendale il Modello (con esclusione delle parti riguardanti la mappatura e la valutazione del rischio e per le quali è consigliabile mantenere la riservatezza); § prevedere specifiche sessioni di formazione per i responsabili aziendali ed altre per tutto il personale. 56

Interventi da adottare Focus su comunicazioni al personale e sua formazione (segue) § il messaggio fondamentale che il Modello deve dare è: § un determinato tipo di comportamento in violazione delle procedure stabilite può dare luogo a sanzioni disciplinari da parte della società, oltre che, ad un illecito perseguibile in sede giudiziaria; § forme di comportamento devianti dalle procedure sono fortemente condannate dall’Ente, in quanto, ancorché apparentemente a vantaggio dello stesso, sono in contrasto con i principi giuridici e con il modo di operare che si reputa corretto e rispondente ai suoi valori etici. 57

Interventi da adottare Focus su mappatura del rischio La mappatura secondo la normativa e giurisprudenza 231 deve rispettare specifiche caratteristiche: a) - individuare le attività nel cui ambito possono essere commessi i reati; - il livello di analiticità è di area aziendale e di singola attività; - il livello di analiticità è di singolo reato; - l’incrocio tra singole attività e singolo reato da luogo ad un numero di combinazioni elevatissimo; - per evitare ciò si possono trascurare i reati ritenuti improbabili ed escluderli dal Modello; b) - per ogni combinazione di attività si deve esplicitare la modalità con la quale il reato potrebbe realizzarsi; - ciò in effetti consente di: i) provare che la valutazione (risk assessment) è stata reale e non fittizia; ii) individuare modalità operative realmente efficaci per limitare il rischio ( risk management); iii) tradurre il tutto in istruzioni operative (procedure operative e/o mansionari). 58

Interventi da adottare Focus sul Modello di Sintesi - Il Modello in senso lato è costituito dal sistema di controllo è quindi da: istruzioni, mansionari, organigrammi, report, deleghe e procedure; - Tutto ciò non è comprimibile in un unico documento cartaceo; - E’ prassi considerare come modello una sintesi costituita da: - parte generale: analisi del D. Lgs. 231/01; - parte speciale: elenco dei reati; - parte speciale: mappatura del rischio; - parte speciale: valutazione del rischio; - parte speciale: protocolli; - parte speciale: sistema sanzionatorio; - parte speciale: codice etico. - Vantaggi di questa impostazione sono molteplici: 59

Interventi da adottare Focus sul Modello di Sintesi (segue) a) procedure operative, mansionari, etc. sottoposte a continue modifiche non entrano in un documento che richiede per essere modificato l’intervento dell’organo amministrativo; b) le parti speciali possono essere modificate singolarmente semplificando la gestione delle delibere dell’organo amministrativo; c) le parti speciale di natura “sensibile” (mappatura e valutazione del rischio) possono essere facilmente isolate e non pubblicate insieme al resto del Modello. 60

Interventi da adottare Focus sull’adozione del Modello § Il Modello viene adottato con delibera dell’organo amministrativo. § Deve essere contestualmente nominato l’Odv (altrimenti non si da luogo all’effetto esonerativo). § Se non esisteva precedentemente una delibera degli incarichi funzionali dei soggetti apicali è bene provvedere, almeno per le principali funzioni: • responsabile amministrativo; • responsabile di produzione; • responsabile risorse umane; • responsabile sicurezza sul lavoro; • responsabile privacy; • responsabile sistemi informativi; • amministratore di sistema. 61

Interventi da adottare Focus sulla manutenzione del Modello Il Modello dovrà essere modificato in tutti questi casi: § introduzione di nuovi reati presupposto; § variazione del sistema organizzativo; § fatti che comportino una variazione nella valutazione del rischio; § modifiche del sistema sanzionatorio o del Codice Etico; § evoluzione giurisprudenziale che renda opportuna ridefinizione di certi aspetti, come è avvenuto ad esempio per la mappatura. 62

L’Organismo di Vigilanza Il Decreto Legislativo 231/2001 La responsabilità amministrativa delle società ex D. Lgs. n. 231/2001 : il punto della situazione Andrea Bertolotti Dottore Commercialista Commissione “Compliance Aziendale” Consiglio Nazionale Dottori Commercialisti Modena 20 gennaio 2014 Ordine dei Dottori Commercialisti e degli Esperti Contabili di Modena 63

L’Organismo di Vigilanza Principali caratteristiche n Autonomia: L’Od. V deve essere dotato di autonomi poteri di iniziativa e di controllo, deve essere indipendente cioè estraneo ad ogni forma d’interferenza e pressione da parte del management, non deve essere coinvolto in alcun modo nell’esercizio di attività operative, né partecipe di decisioni gestorie; deve inoltre poter autodeterminare le proprie regole comportamentali o procedurali e gestire in proprio un congruo budget di risorse (previa delibera della società). E’ relativa alla posizione occupata e quindi alla disponibilità degli strumenti per effettuare il controllo. Confindustria: ”… la posizione dell’Od. V nell’ambito dell’ente deve garantire l’autonomia dell’iniziativa di controllo da ogni forma di interferenza e/o di condizionamento da parte di qualunque componente dell’ente (ed in particolare dell’organo dirigente). Tali requisiti sembrano assicurati dall’inserimento dell’Organismo di Vigilanza come unità di staff in una posizione gerarchica elevata, prevedendo il “riporto” al massimo vertice operativo aziendale ovvero al Consiglio di Amministrazione nel suo complesso …” 64

L’Organismo di Vigilanza Principali caratteristiche n Indipendenza (composizione mista Od. V interna – esterna): 1. Indipendenza nel complesso dell’Od. V, ovvero nella maggioranza dei membri 2. Così si concilia continuità e professionalità 3. Sono ammessi i Sindaci, Amministratori senza delega e Responsabile internal auditing (che risponda direttamente al Presidente della Società) E’ relativa alla relazione psicologica che si instaura tra controllante e controllato che deve essere priva di sudditanza e/o interferenza 65

L’Organismo di Vigilanza Principali caratteristiche (segue) n Natura: Nella Relazione accompagnatoria al Decreto è disposto che l’Od. V debba essere “interno” alla società (per evitare di utilizzare organismi compiacenti e per fondare una vera e propria colpa dell’ente) e specificamente preposto a questi compiti. L’Od. V deve quindi essere un organo indipendente, collocato al vertice della linea di comando, le cui scelte non siano sindacabili 66

L’Organismo di Vigilanza Principali caratteristiche (segue) n Professionalità ed onorabilità: L’Od. V deve essere professionalmente capace ed affidabile, dotato di competenze ed esperienze multidisciplinari (di natura societaria, penale, procedurale, civile ed amministrativa) e delle cognizioni tecniche necessarie ad assicurare un corretto ed efficace esercizio delle funzioni che è chiamato ad esercitare. Nello specifico si evidenziano: 1. controllo di gestione 2. analisi dei sistemi 3. specializzazione giuridica (penalistica) 4. sicurezza sul lavoro L’Od. V non deve avere competenze specifiche in tutte le aree aziendali, ma deve essere in grado di interpretare i flussi informativi anche, nel caso, con l’aiuto di consulenti esterni. 67

L’Organismo di Vigilanza Principali caratteristiche (segue) n. Continuità d’azione: L’Od. V deve operare senza soluzione di continuità, vale a dire con un impegno anche non esclusivo, ma prevalente ed idoneo comunque ad assolvere continuità, efficienza e presenza i diversi compiti ad esso affidati. Questo requisito è anche fattore discriminante per valutare se utilizzare, o meno, un organo sociale/funzione aziendale preesistente. Non viene stabilito un numero minimo di riunioni come nel caso del Collegio Sindacale. CONTINUITA’ DI AZIONE Confindustria: struttura dedicata esclusivamente ed a tempo pieno all’attività di vigilanza sul Modello CNDC: la continuità è assicurata da un sistema efficiente di flussi informativi 68

L’Organismo di Vigilanza Nomina La delibera dell’organo amministrativo che nomina l’Od. V deve prevedere: § i requisiti professionali dei componenti; § la durata in carica; § l’indicazione del Presidente; § il compenso; § il budget. 69

L’Organismo di Vigilanza Nomina § La nomina: spetta all’Organo Amministrativo e non all’Assemblea in quanto l’adozione del Modello è un atto di indirizzo gestionale § La durata: normalmente tre anni, ma non c’è una prescrizione normativa in questo senso. L’incarico è rinnovabile § I compensi: essi sono dovuti. Anche il dipendente / consigliere dovrebbe essere specificatamente retribuito § il compenso va quantificato in funzione di: § valutazione iniziale del rischio, in quanto più elevato è il rischio di comportamenti illeciti, maggiori sono le attività che il componente dell’Od. V è tenuto a porre in essere; § validità del Modello adottato poiché, se il Modello è valido, l’Od. V dovrà: § vigilare sulla rispondenza tra quanto previsto dal Modello ed i comportamenti concretamente tenuti dai soggetti obbligati al rispetto dello stesso; § valutare la capacità del Modello a prevenire i comportamenti illeciti; § monitorarlo anche nel tempo e verificando che esso mantenga i requisiti di validità. 70

L’Organismo di Vigilanza Composizione n Interna / esterna n Monocratica / plurisoggettiva n Sovrapposizione con altri organi 71

L’Organismo di Vigilanza Principali caratteristiche (segue) n. Sovrapposizione con organi interni: ORGANI INTERNI POSSIBILE INSEDIAMENTO ODV n Collegio Sindacale* SI n Comitato per il Controllo Interno SI n Revisore legale dei conti NO n Amministratori indipendenti SI n Internal audit SI n Risk management NO n Funzione compliance NO n Responsabile Amm. vo, risorse umane, Rspp NO n Responsabile legale SI * Linee guida Confindustria e circolare della Gd. F non lo ammettono, ma sono state scritte prima dell’emanazione della L. 183/2011 72

L’Organismo di Vigilanza Composizione Chiarimento per Collegio Sindacale Art 6 co. 4 – bis D. Lgs. 231/2001 (art. 14 L. 183/2011) “Nelle società di capitali il collegio sindacale, il consiglio di sorveglianza ed il comitato per il controllo della gestione possono svolgere le funzioni dell’organismo di vigilanza di cui al comma 1, lettera b)” Enti di piccole dimensioni (art. 6 co. 4) n Negli enti di piccole dimensioni i compiti dell’Od. V possono essere svolti direttamente dall’organo dirigente n Soluzioni per molti aspetti sconsigliabili (linee guida assobiomedica) n n si può integrare con almeno un organo esterno (assobiomedica) n l’Od. V monocratico si fa predisporre i report da consulenti esterni (confindustria) Quando l’ente è di piccole dimensioni? n nessun criterio dalla normativa n Confindustria: - numero dipendenti < 49 unità - fatturato ultimo bilancio < 10 mln n Commissione Europea dottrina: criterio basato sull’analisi organizzativa interna che sia riscontrata l’assenza di pluralità di centri gestionali autonomi 73

L’Organismo di Vigilanza Insediamento Subito dopo la nomina e la conseguente accettazione scritta, l’Od. V deve riunirsi in una prima riunione per definire: il proprio regolamento interno che andrà portato poi a conoscenza dell’organo amministrativo e del collegio sindacale; n il piano dei controlli che andrà portato a conoscenza dell’organo amministrativo, del Collegio Sindacale e delle funzioni aziendali interessate; n un indirizzo mail protetto da password riservata per le comunicazione da parte di chiunque all’Od. V e la sua divulgazione a tutti i dipendenti. n 74

L’Organismo di Vigilanza Il regolamento dell’Od. V Il regolamento interno dell’Od. V deve contenere le regole interne di funzionamento, ad esempio: n modalità di convocazione; n tempificazione dell’attività; n modalità di comunicazione con gli organi istituzionali; n modalità di tenuta dei propri verbali; n poteri dell’Od. V; n doveri dell’Od. V. Il Modello nella parte generale e nel Codice Etico può avere già assunto delle direttive: ad esempio stabilire che l’Od. V debba relazionare semestralmente all’organo amministrativo piuttosto che al Presidente della Società, oppure stabilire altri obblighi di comunicazione o di incontro con altri organi o con il collegio sindacale. In questi casi il Regolamento dell’Od. V dovrà tenere conto di questi indirizzi e quindi lo stesso deve essere redatto in modo tale che sia coerente con la normativa interna aziendale. 75

L’Organismo di Vigilanza Principali caratteristiche (segue) n Attività di vigilanza e controllo: Funzione primaria dell’Od. V è quella di vigilare sull’attuazione e la corretta applicazione del Modello curandone l’aggiornamento e gli adattamenti necessari o utili. In sostanza l’Organismo deve verificare la coerenza tra i comportamenti aziendali concreti ed il Modello predisposto, analizzandone la solidità e la funzionalità garantendone l’idoneità a prevenire fattispecie di l’ rischio, anche di nuova insorgenza. Deve inoltre controllare periodicamente le singole aree valutate come “sensibili”, la corretta applicazione dei protocolli e la regolare tenuta dei documenti in essi previsti. 76

L’Organismo di Vigilanza Principali caratteristiche (segue) n Adattamento ed aggiornamento del Modello: Alcuni esempi: § adattamento per variazione dell’attività o della struttura dell’Ente; § adattamento in sede di intervento correttivo dopo aver rilevato un mal funzionamento del Modello; § aggiornamento legato ad integrazioni della normativa di riferimento (D. Lgs. 231 o materie correlate). La competenza a deliberare le modifiche del Modello spetta all’organo amministrativo, a cui l’Od. V propone le variazioni da apportare. 77

L’Organismo di Vigilanza Modalità di vigilanza E’ quella di ripercorrere i medesimi passaggi logici che hanno portato alla predisposizione del Modello 1. PROCESS ASSESSMENT: Analisi aziendale tramite intervista 2. RISK ASSESSMENT: - Risk Assessment - Gap Analisys - 3. RISK RESPONSE - Nuovi protocolli - Nuove procedure operative - Nuovi mansionari 4. MAPPATURA PROCESSI RISCHIO: - Rischio Inerente Rischio Accettabile Protocolli Esistenti Procedure operative esistenti Mansionari esistenti Processi Descrizioni del processo Strutture Coinvolte Principi organizzativi e di controllo (Protocolli) Principi di comportamento (Codice Etico) Espressione numerica del rischio 78

L’Organismo di Vigilanza Flussi informativi n L’Od. V svolge principalmente il proprio lavoro basandosi sulle informazioni messe a disposizione dalla struttura aziendale ed in particolare sulle informazioni e segnalazioni di anomalie e criticità sui rischi di illecito n La società che abbia adottato il Modello si impegna a svolgere un’attività permanente di controllo del rispetto del Modello e di informarne l’Od. V n La sorveglianza ed il controllo dell’Od. V sono pertanto di 2° livello in quanto basati sull’informativa ricevuta dalle funzioni aziendali 79

L’Organismo di Vigilanza Flussi informativi Per agevolare l’attività di controllo e di vigilanza dell’Od. V devono essere attivati e garantiti flussi informativi bi-direzionali: § l’Od. V deve essere costantemente informato di quanto accade nell’azienda e di ogni altro aspetto di rilievo, sia gestionale che operativo (reporting interno, documentazione utile, note dell’organismo dirigente, comunicazioni esterne/interne connesse a qualsiasi fattispecie di reato contemplato dal Modello, etc. ); § l’Od. V dovrà a sua volta relazionarsi costantemente con dirigenti e gli organi di controllo per indirizzarne l’azione e sollecitarne reazioni, nell’ambito delle rispettive competenze. 80

L’Organismo di Vigilanza Verbalizzazione e tracciabilità delle attività n L’ente in caso di compimento di reati potrebbe trovarsi nella condizione di dimostrare che: n non vi è stata omessa o insufficienza vigilanza da parte dell’Organismo di Vigilanza Ne discende la necessità di dovere dare prova “ex post”, anche molti anni dopo che è stata effettuata l’attività, della esecuzione dell’attività di vigilanza n La circolare CNDCEC settembre 2012 chiarisce che l’Od. V deve: n garantire che ogni attività sia documentata per iscritto ed ogni riunione o ispezione cui esso partecipi venga opportunamente verbalizzata; n adottare sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte dei membri dell’Od. V; n garantire che gli archivi elettronici e cartacei abbiano caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguata al raggiungimento dello scopo di verifica per cui sono richieste. 81

L’Organismo di Vigilanza Verbalizzazione e tracciabilità delle attività (segue) La circolare Gd. F 83607/2012 ricorda ad esempio che: “è necessario che l’Od. V provveda a documentare lo svolgimento dei suoi compiti, Infatti l’attività di documentazione, da svolgersi in modo sintetico, chiaro, approfondito ed obiettivo non deve essere sottovalutata né considerata come un aggravio burocraticoamministrativo da parte dei sui componenti posto che: n dai documenti si può evincere la “sufficiente vigilanza” ; n può essere necessario, come nel caso di successiva attività investigativa della polizia giudiziaria finalizzata all’accertamento della responsabilità amministrativa dell’ente, ricostruire, anche ad anni di distanza, l’attività di vigilanza posta in essere dal citato organismo di controllo interno. Il D. Lgs. 81/2008 (sicurezza dei lavoratori) che prescrive in modo autonomo un Modello che: n deve prevedere idonei sistemi di registrazione dell’avvenuta effettuazione delle attività di cui al comma 1, tra le quali figurano le attività di vigilanza con riferimento al rispetto delle procedure e le periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate In pratica la tracciabilità viene raggiunta con la verbalizzazione delle riunioni e delle attività dell’Od. V. Si deve avere l’accortezza di indicare nei verbali i riferimenti spazio – temporali, le persone con le quali si entra in contatto e la documentazione ricevuta / esaminata 82

L’Organismo di Vigilanza Relazione semestrale n Tra i compiti dell’Od. V c’è l’obbligo di predisporre una relazione indirizzata all’organo amministrativo; n la frequenza minima stabilita dalla legge è annuale ; n la relazione deve indicare: § le attività svolte; § le anomalie riscontrate; § i suggerimenti e le raccomandazioni volte a migliorare il sistema di controllo con particolare riferimento a: § modificare procedure operative; § creare nuove procedure operative; § modificare il sistema delle deleghe; § svolgere formazione sui temi generali / specifici diretti a particolari categorie di soggetto piuttosto che a tutti i dipendenti ed organi societari; § suggerire di revisionare il Modello. N. B. La revisione del Modello è compito dell’organismo amministrativo che la realizza tramite i collaboratori interni e consulenti esterni. L’Od. V però nel suo ruolo, deve vigilare continuamente sull’”idoneità” del Modello e richiedere la modifica dello stesso non appena l’idoneità non sia riscontrata. Non è opportuno che l’Od. V realizzi direttamente le modifiche essendo l’organo controllore di tale attività. 83

L’Organismo di Vigilanza Poteri § § Potere di autoregolamentazione: § scelta delle modalità di autoconvocazione, di deliberazione, di comunicazione e rapporto diretto con ogni funzione aziendale, di acquisizione di informazioni e documentazione; § è opportuno che adotti un regolamento per il proprio funzionamento (in fase di insediamento). Potere ispettivo (Alcuni esempi): § § § verifiche obbligatorie su alcune operazioni/processi societari significativi, in primis la gestione finanziaria e le operazioni di tesoreria; coordinamento con il collegio sindacale, con il revisore contabile (o la società di revisione), il comitato di controllo interno. Potere sanzionatorio: attivazione di procedimenti disciplinari nei confronti di chi non abbia rispettato i Modelli adottati: § in caso di segnalazione o denuncia di una infrazione, l’Od. V deve effettuare le verifiche del caso, dandone conto tempestivamente agli organi aziendali deputati; § in caso di accertamento della violazione l’Od. V, sentito l’autore ed indipendentemente dall’eventuale instaurazione di un giudizio penale, segnala prontamente ed ufficialmente l’evento all’organo amministrativo, e a quello di controllo, all’ufficio risorse umane evidenziando di adottare la misura sanzionatoria prevista dal sistema disciplinare vigente presso l’Ente. 84

L’Organismo di Vigilanza Poteri (segue) n Potere di spesa: l’Od. V in fase di insediamento deve essere dotato di un budget di spesa annuale da poter spendere in autonomia. Il budget serve per commissionare consulenze, check up, analisi senza dovere interpellare gli organi e/o dipendenti della Società che potrebbero avere interesse conflittuale rispetto all’approfondimento necessario 85

L’Organismo di Vigilanza L’attività di formazione n Il Modello è “idoneo” non solo anche”sostanzialmente rispettato”; n il Modello è un insieme di prescrizioni generali ma anche spunti che intendono regolamentare i comportamenti umani all’interno dell’azienda; n perché le prescrizioni siano realmente rispettate devono essere: § diffuse; § conosciute; § comprese; § accettate. quando è formalmente corretto ma quando è 86

L’Organismo di Vigilanza L’attività di formazione (segue) n la diffusione e conoscenza è assicurata mediante comunicazione scritte e sottoscritte per ricevuta dai destinatari; n la comprensione ed accettazione richiede invece una vera e propria attività di crescita culturale dei destinatari, non potrà che raggiungersi con attività formative; n la formazione generale (sul Modello 231 piuttosto che sul Codice Etico) deve abbinarsi a quella specifica delle singole aree (prevenzione infortuni, privacy, gestione sistemi informativi, procedure nell’ambito di attività finanziarie); n la formazione è un compito dell’alta direzione aziendale (risorse umane se esiste la funzione) ma l’Od. V deve essere particolarmente sensibile a questo aspetto richiedendola, indirizzandola e controllandola; n è bene che la formazione coinvolga anche l’alta direzione sia attivamente che passivamente. Nessun progetto aziendale può realizzarsi se l’alta direzione non partecipa attivamente. 87

L’Organismo di Vigilanza Revoca n E’ possibile la revoca per: n venir meno del requisito di onorabilità n Inadempimenti specifici nei doveri dell’Organismo di Vigilanza (condanna penale per omessa o insufficiente vigilanza da parte dell’Od. V) 88

L’Organismo di Vigilanza Responsabilità penale dei componenti dell’Od. V n L’Od. V non risponde per “reato omissivo improprio” ex art. 40 c. p. (non impedire un evento che si ha l’obbligo giuridico di impedire equivale a cagionarlo) in quanto l’Od. V non è dotato dalla normativa di poteri impeditivi n Riguardo la sicurezza sul lavoro vi è una giurisprudenza della suprema corte di che ritiene che l’RSPP abbia una posizione di garanzia da cui qualche autore desume anche la responsabilità penale dell’Od. V dato che ha una posizione assimilabile n Riguardo la normativa antiriciclaggio (art. 52 co. 1, D. Lgs. 231/2007) viene operata l’assimilazione dell’Od. V al collegio sindacale, consiglio di sorveglianza, comitato di controllo di gestione. Tali organi assumono rilevanza esterna ed hanno l’obbligo di comunicazione alle autorità di vigilanza, Ministero dell’Economia, UIF. In dottrina si ritiene che tale normativa non si applica all’ Od. V n Il ruolo impeditivo ed il compito di garanzia potrebbero essere attribuiti dall’incarico. E’ opportuno evitare che ciò avvenga n Traslazione del ruolo impeditivo dall’incarico di componente del collegio sindacale all’incarico di componente dell’Od. V in quanto cumulati in uno stesso soggetto. Si tratta di una tesi estrema ma che evidenzia un problema sostanziale: cioè l’apprendimento come Od. V di informazioni che componente del collegio sindacale obbligherebbero ad una condotta impeditiva 89

Contatti Via Torelli 52, 43123 Parma Tel. 0521. 242689 Fax. 0521. 240851 Sito internet: www. bertolotti. biz e-mail: studio@andreabertolotti. it Via Torelli 52, 43123 Parma Tel. 0521. 242689 Fax. 0521. 240851 Sito internet: www. parmaconsulenza. it www. emilianafiduciaria. it e-mail: info@parmaconsulenza. it e-mail: info@emilianafiduciaria. it 90