Fondo Pensioni per il personale CARIPLO PROGETTO 231/2001. Attività di valutazione dei rischi e dei controlli. Risk Assessment

Transcript

1 PROGETTO 231/2001 Attività di valutazione dei rischi e dei controlli Risk Assessment Presentazione dei risultati Documento riservato per l Organismo di Vigilanza e il Vertice aziendale Novembre

2 Indice Premessa Metodologia utilizzata Elenco interviste Categorie dei reati compresi nel D.Lgs. 231/2001 Risk Assessment Evidenze del risk assessment 2

3 Premessa L Organismo di Vigilanza del (di seguito Fondo) ha ritenuto opportuno incaricare COM Metodi di effettuare la Valutazione del Sistema di Controllo Interno (S.C.I.) e dei potenziali rischi di commissione dei reati contemplati nel Decreto stesso, al fine di: completare il processo di revisione del Modello di organizzazione, gestione e controllo (MOG 231) effettuato nel mese di ottobre 2013, verificando la coerenza dei protocolli di prevenzione adottati con l attuale realtà gestionale, organizzativa e operativa del Fondo; programmare degli interventi di internal audit nelle aree a maggior rischio. La presente valutazione è stata effettuata tenendo conto: delle indicazioni delle associazioni di categoria (ABI, CONFINDUSTRIA, CONFETRA, ecc.) dei modelli internazionali di controllo interno, nel caso abbiamo considerato come riferimento il Co So Report, in quanto maggiormente compatibile ai fini della valutazione dei rischi riferibili ai reati previsti dal D.Lgs. 231/01 della metodologia di valutazione dei rischi applicando il metodo Control & Risk Self Assessment (C&RSA). Questa metodologia consente alla linea manageriale della società e collaboratori (figure Apicali e Sottoposti) di partecipare direttamente, sulla base di questionari ad hoc, alla valutazione del S.C.I., determinare i potenziali rischi residui per categorie di reati e individuare eventuali piani di azione per eliminare o ridurre le lacune/criticità identificate. Metodologia utilizzata per la valutazione dei rischi reato Allo scopo di individuare le aree sensibili con riferimento alle tipologie di reato presupposto previste dal D.Lgs. 231/01 e successivi aggiornamenti, è stata effettuata: l analisi preliminare della documentazione in possesso dell Organismo di Vigilanza del Fondo (ultima edizione del MOG 231, organigrammi, ecc.); l identificazione delle attività e funzioni (apicali e/o sottoposti) nell ambito delle quali potrebbero essere commessi i reati previsti dal D.Lgs. 231/01 Quanto sopra è stato propedeutico all applicazione della metodologia di risk assessment; questa metodologia riconosciuta a livello nazionale e internazionale: combina tecniche e punti di vista complementari che compensano le rispettive debolezze (rischi e controlli) fornisce una visione di sintesi facilmente comprensibile del rischio gestito a livello aziendale 3

4 riduce la soggettività della valutazione del rischio, integrata con considerazioni sul S.C.I. La metodologia prevede che le funzioni chiave dell azienda, tramite la compilazione di appositi questionari, siano guidate all interno di un processo di autovalutazione del rischio residuo netto connesso ad uno o più reati contemplati dal D.Lgs. 231/01, ovvero quel rischio che permane anche dopo l applicazione dei controlli interni. Tale attività di valutazione dei rischi e dei controlli ha consentito di procedere alla: determinazione della capacità di prevenzione e mitigazione ai rischi del S.C.I. del Fondo; alla classificazione delle attività a rischio reato D.Lgs. 231/01 sulla base di tecniche di risk scoring e di pervenire ad un ordinamento degli stessi in funzione dei livelli di rischio decrescenti. Valutazione del S.C.I. Il S.C.I. è stato valutato con riferimento al modello internazionale Co.So. Report ed alle sue sette componenti, che di seguito riportiamo: Governo Informazioni Controllo Risorse Umane e Formazione - Comunicazione - Codice di condotta e procedure operative Violazioni, determinando il livello di efficacia misurandolo in ALTO MEDIO BASSO. Valutazione dei rischi reato I rischi reato sono stati valutati, sulla base di tecniche di risk scoring: identificando, per specifica funzione aziendale interessata, l attività sensibile a potenziale rischio reato 231 valutando il rischio potenziale di commissione del reato valutando l effetto mitigazione al rischio, dovuto ai controlli interni in essere percepiti dagli intervistati (controlli, procedure, sistemi, livelli di autorizzazione e responsabilità, disposizioni interne, ecc.) determinando il rischio residuo netto, quello che permane anche dopo le mitigazioni. Collocando il rischio residuo nella specifica fascia di rischio (BASSO MEDIO ALTO) Quanto sopra è stato realizzato utilizzando uno specifico programma SW. 4

5 Elenco delle interviste / compilazione questionari ad hoc Le persone intervistate e che hanno partecipato ai workshop dei giorni 16 e 22 del mese di ottobre 2014, sono le seguenti: Nominativo Ruolo nell organizzazione 1 L. PAGANI 2 C. PERONI 3 R. BAGNATO 4 M. SELVA 5 G. MAGRI 6 L. VISMARA 7 V. VILLA 8 R. PEZZUTTI 9 J. CECCHI 10 F. RODINI 11 A. GRASSETTO 12 V. STRAVALACI Segreteria Legale / Vendite Controllo di Gestione Informatica ed utenze/servizi attuariali e assicurativi/previdenza Sez. II Amministrazione e Finanza Affittanze Previdenza Sezione I Bilancio contabilità e fiscalità Coordinatore settore immobili Manutenzione Contenzioso e legale Aziende Agricole Contabilità e fiscalità Per la compilazione del questionario L indirizzato agli aspetti di igiene e sicurezza sul lavoro sono stati coinvolti il Geom. Gianpaolo Boschi e il consulente Ing. Alessio Figini della società Campoverde s.r.l. Elenco categorie reati presupposto previsti dal D. Lgs. 231/01 e successivi aggiornamenti Allo stato attuale il D.lgs. 231/01 contempla le seguenti fattispecie di reati presupposto, che sono state oggetto di analisi, il cui risultato ha permesso di identificare le categorie di reato: a ragionevole rischio per la società e pertanto oggetto di risk assessment (SI R.A.); e quelle che non hanno presentato attività a rischio (NO R.A.) e di conseguenza non oggetto di risk assessment; il cui potenziale rischio reato, per le caratteristiche della società e del settore di riferimento, è da ritenersi non ipotizzabile o remoto, per questo escluso dal risk assessment (Reato remoto); 5

6 come indicato nella tabella che segue: 231 Reati presupposto Descrizione categoria reato presupposto Reato remoto Attività non a rischio Art. 24 e 25 Reati contro la Pubblica Amministrazione SI R.A. Art. 25 ter Reati Societari SI R.A. Art. 25 bis Reati di falsità in monete, carte di pubblico credito, valori di bollo e strumenti o segni di riconoscimento Di cui: Contraffazione, alterazione o uso di marchio o segni distintivi ovvero di brevetti, modelli e disegni, introduzione nello Stato e commercio di prodotti e segni falsi Art. 25 quarter Delitti con finalità di terrorismo e di eversione dell ordine democratico Reato remoto Art. 25 quinquies Delitti contro la personalità individuale SI R.A. Art. quarter 1 Pratiche di mutilazione degli organi genitali femminili Reato remoto Art. 10 (legge 146/2006) Reati transnazionali Reato remoto Art. 25 sexies Abusi di mercato (Market Abuse) Reato remoto Art. 25 septies Igiene e sicurezza sul lavoro SI R.A. Art. 25 octies Reati di ricettazione, riciclaggio e reimpiego dei beni SI R.A. Art. 24 bis Delitti informatici e trattamento illecito di dati SI R.A. Art. 24 ter Delitti di criminalità organizzata Reato remoto Art. 25 bis 1 Delitti contro l industria e il commercio NO R.A. Art. 25 novies Delitti in materia di violazione del diritto d autore SI R.A. Art. 25 decies Induzione a non rendere dichiarazioni o rendere dichiarazioni mendaci all autorità giudiziaria SI R.A. Art. 25 undecies Reati ambientali SI R.A. Art. 25 duodecies Impiego di cittadini di paesi terzi il cui soggiorno è irregolare SI R.A. Art. 25 comma 1-3 Induzione indebita o dare o promettere utilità e corruzione tra privati La prevenzione dei rischi reato per questa fattispecie è già compresa nei reati contro Pubblica Amministrazione. (corruzione e concussione) Attività a rischio SI R.A. SI R.A. 6

7 Risk assessment (allegato A) Alle figure aziendali interessate (apicali o sottoposti) indicate nell elenco interviste è stato fatto compilare un questionario ad hoc, con l obiettivo di valutare sia il grado di copertura del Sistema di Controllo Interno, sia il rischio residuo per le categorie di reato potenziale in riferimento alle responsabilità attribuite e alle attività operative e gestionali esplicate nell ambito del ruolo aziendale coperto. Valutazione del grado di copertura del Sistema di Controllo Interno (S.C.I.) Con riferimento al modello internazionale Co.So. Report si è determinato il grado di copertura del S.C.I. del Fondo per la prevenzione dei reati 231, ai fini di accertare, con ragionevole garanzia, che siano intraprese le necessarie direttive e azioni per gestire i rischi, focalizzando l attenzione sugli obiettivi di controllo che hanno la capacità di prevenire o scoraggiare irregolarità, atti illeciti e il rispetto delle leggi e normative. Nel prospetto che segue sono evidenziati i risultati del risk assessment: livello di copertura complessivo del S.C.I.. del Fondo; livello di copertura del S.C.I. per le sette componenti: Governo Codice di Condotta e procedure operative Comunicazione Formazione Risorse Umane Controllo Informazioni Violazioni e il loro posizionamento in una fascia di copertura: ALTA (da 68 a 100) un ottimo S.C.I. MEDIA (da 34 a 67) un sufficiente/buono S.C.I. BASSA (da 0 a 33) un insufficiente S.C.I. Componenti del Sistema di Controllo Interno Posizionamento copertura ALTA MEDIA BASSA 1 GOVERNO 72% 2 INFORMAZIONI 69% 3 CONTROLLO 63% 4 RISORSE UMANE E INFORMAZIONE 50% 5 COMUNICAZIONE 60% 6 CODICE DI CONDOTTA E PROCEDURE OPERATIVE 66% 7 VIOLAZIONI 82% COPERTURA COMPLESSIVA 66% 7

8 Valutazione dei potenziali rischi reato 231 La valutazione del rischio utilizzata fa riferimento a qualsiasi evento che possa impattare negativamente sulla prevenzione dei reati 231, tenendo conto dei fattori di probabilità dell accadimento di un evento e dell impatto per la misurazione quantitativa dello stesso evento. Per quanto riguarda l impatto la consulenza ha valutato il valore quantitativo con riferimento alla specifica sanzione amministrativa che potrebbe essere erogata dal giudice per quella famiglia di reato. Il rischio residuo netto determinato in %, sulla base dei rischi potenziali e delle mitigazioni rilevate, è stato posizionato, nella seguente fascia di rischio: ALTO (da 37a 100) richiede priorità di attenzione MEDIO (da 18 a 36) richiede sufficiente attenzione BASSO (da 0 a 17)richiede un livello di attenzione minimo Nella tabella che segue indichiamo i risultati del risk assessement: Descrizione famiglie di reato % Rischio residuo netto ALTO MEDIO BASSO Reati contro la Pubblica Amministrazione 28 Reati Societari 21 Delitti contro la personalità individuale 18 Reati di ricettazione, riciclaggio e reimpiego di beni 14 Reati di falsità di monete, carte di pubblico credito, valori di bollo. 37 Contraffazione, alterazione o uso di marchi o segni distintivi 47 Delitti in materia di violazione del diritto d autore 30 Delitti informatici e trattamento illecito di dati 13 Induzione a non rendere dichiarazioni o rendere dichiarazioni. 15 Igiene e sicurezza sul lavoro generale 20 Igiene e sicurezza sul lavoro specifico 21 Reati ambientali parte comune a tutte le aziende 17 Impiego di cittadini di paesi terzi il cui soggiorno è irregolare (*) (*) tutte le funzioni aziendali hanno escluso il rischio di consumazione di questo reato 8

9 Tabelle risk assessment Nel documento che alleghiamo sono dettagliati i dati prodotti con l applicazione del risk assessment ed elaborati, dal programma SW, in prospetti, come di seguito evidenziamo: Valutazione del grado di copertura del Sistema di Controllo Interno (tabelle 1 e 2) Nelle suddette tabelle sono rappresentati i valori in percentuale del grado di copertura del Sistema di Controllo Interno aziendale per le componenti del sistema stesso previste dal modello di riferimento Co. So. Report e per specifica funzione aziendale interessata. Riordinamento dei rischi per le famiglie di reato di competenza del Fondo Pensioni (tabella 3) In questa tabella sono espressi per famiglia di reato i valori del rischio potenziale, l effetto della mitigazione e il conseguente rischio residuo, Riordinamento dei rischi residui a livello di famiglie di reato, in % sul rischio potenziale (tabella 4) Più precisamente quelli indicati nella precedente tabella, valutando l incidenza in % del rischio residuo su quello potenziale al netto delle mitigazioni, Riordinamento dei rischi potenziali residui a livello di famiglia di reato e di funzione interessata (tabelle dal 5 al 16) Più precisamente come le funzioni hanno espresso il rischio residuo per specifica famiglia di reato, tenendo conto: del proprio ruolo nella realtà operativa e organizzativa del Fondo; delle attività svolte e che potenzialmente potrebbero essere sensibili alla fattispecie di reato esaminata; del rischio potenziale (valutazione soggettiva della probabilità che possa accadere quel determinato evento e quantificazione dell effetto sul sistema azienda); degli effetti delle azioni di mitigazione sul rischio potenziale (l insieme dei controlli, delle procedure, delle responsabilità, delle attività operative, dell organizzazione, ecc. che prevengono le probabilità di accadimento del reato); Quanto sopra ha permesso l elaborazione del rischio residuo netto (quel rischio che permane anche dopo la valutazione dei suddetti controlli interni). Igiene e sicurezza sul lavoro (tabelle 13 e 14) In queste tabelle viene rappresentata la situazione attuale in materia di igiene e sicurezza sul lavoro con riferimento all adeguamento del Fondo rispetto a quanto previsto dal D.Lgs. 81/08 e successivi aggiornamenti. 9

10 Evidenze del risk assessment (allegato A) Sistema di Controllo Interno (S.C.I.) Dai risultati del risk assessment le funzioni che hanno partecipato al workshop, salvo per alcuni casi, esprimono in generale un giudizio buono sul S.C.I. del Fondo (vedi tabelle 1 e 2). Evidenziamo, comunque, alcune delle criticità più significative, emerse dall analisi dei questionari: non viene pianificato un piano continuativo di formazione per tutti i dipendenti (espresso parere negativo il 42% dei partecipanti al workshop); il Fondo è poco orientato a investire denaro in formazione (espresso parere negativo il 50% dei partecipanti al workshop); non risulta sufficientemente adeguato l organico per le aree amministrative e Edp, tenendo conto delle dimensioni del Fondo, della natura e complessità delle sue attività e dei sui sistemi (espresso parere negativo il 25% dei partecipanti al workshop); Valutazione dei rischi Anche in presenza di due fattispecie di rischio residuo sconfinate nella soglia di rischio alto (vedi tabella 9 e 16), in generale si può ritenere che l organizzazione nel suo complesso è sufficientemente preparata a prevenire o eliminare situazioni critiche a rischio reato: adottando concretamente i protocolli di prevenzione che sono indicati nella parte speciale del MOG 231; programmando degli interventi di internal audit per le aree a maggior rischio, da cui potrebbero emergere dei suggerimenti di miglioramento; mantenendo costante l attività di vigilanza e monitoraggio da parte dell Organismo di Vigilanza. Inoltre, per il livello medio di rischio rilevato per i reati relativi agli aspetti di igiene e sicurezza sul lavoro (tabelle 13 e 14) sarebbe opportuno, prima di consolidare il dato e procedere ad eventuali attività di miglioramento, coinvolgere il Geom. G. Boschi e l Ing. A. Figini consulente delle società Campoverde s.r.l. 10