MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO AI SENSI DEL DLGS. 231/2001

Transcript

1 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO Aggiornamento Gennaio 2014 MODELLO DI ORGANIZZAZIONE GESTIONE E CONTROLLO AI SENSI DEL DLGS. 231/2001 1

2 SOMMARIO PARTE GENERALE 5 1. LA RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE, DELLE SOCIETA E DELLE ASSOCIAZIONI Premessa I Soggetti destinatari I casi di responsabilità L esimente I reati previsti dal D.Lgs. 231/ Le sanzioni Delitti tentati Vicende modificative dell Ente Le linee guida di ASSTRA I precedenti giurisprudenziali CO.TRA.L. S.P.A. IL SISTEMA ORGANIZZATIVO E DI CONTROLLO INTERNO La Società e il Sistema di Corporate Governance IL sistema delle deleghe e procure Deleghe e Procure. Requisiti essenziali Deleghe e Procure. Conferimento, gestione, revoca, verifica Deleghe e Procure attualmente in vigore Il controllo analogo dell Ente affidante i servizi di Trasporto Pubblico su gomma nella regione Lazio Il Sistema di Controllo Interno. Principi generali Le attività di controllo La responsabilità del Sistema di Controllo Interno IL MODELLO DI ORGANIZZAZIONE E GESTIONE IN CO.TRA.L. S.P.A Finalità Metodologia di redazione del Modello di organizzazione, gestione e controllo in CO.TRA.L. S.p.A Struttura del Modello di organizzazione, gestione e controllo di CO.TRA.L S.p.A Parte Generale Parte Speciale. Rinvio Procedura di adozione del Modello e suo aggiornamento Vigilanza LE AREE DI RISCHIO E I CONTROLLI A PRESIDIO Mappatura Attività riferibile al vertice aziendale Controlli a presidio delle attività a rischio Sistema di programmazione, formazione e attuazione delle decisioni il sistema delle procedure in CO.TRA.L. S.p.A Attività di implementazione per le procedure nelle aree a rischio di reato Protocolli comportamentali IL SISTEMA DI GESTIONE DEI FLUSSI FINANZIARI Premessa Principi generali Il Sistema di Gestione delle Risorse Finanziarie in CO.TRA.L. S.p.A. 28 2

3 5.3.1 Ciclo attivo Ciclo passivo Gestione dei finanziamenti pubblici Processo di Programmazione e Controllo del Servizio Controllo di Gestione 31 A) Predisposizione del budget annuale 31 B) Controllo budgetario del ciclo degli acquisti 32 C) Consuntivazioni periodiche e reporting Iter formativo del Progetto di Bilancio Ulteriori Informazioni per la predisposizione del Progetto di Bilancio e della Relazione sulla gestione e Nota Integrativa a corredo SISTEMA DI CONTROLLO, VALUTAZIONE E REVISIONE PERIODICA DEL MODELLO - L ORGANISMO DI VIGILANZA Premessa Composizione, riunioni e verbalizzazione delle riunioni Regole di funzionamento e convocazione Funzioni e poteri dell Organismo di Vigilanza Interventi correttivi dell Organismo di Vigilanza IL CODICE ETICO E IL SISTEMA DELLE REGOLE DI CONDOTTA DEL MODELLO Il Codice Etico Il Sistema delle Regole di Condotta del Modello SISTEMA SANZIONATORIO Premessa Principi generali Misure nei confronti del personale dipendente e quadri (personale non dirigente) Misure nei confronti del Direttore Generale se previsto e dei Dirigenti Misure nei confronti degli Amministratori e Sindaci Misure nei confronti dell Organismo di Vigilanza Misure nei confronti di Collaboratori, Consulenti e Terzi in genere SISTEMA DI COMUNICAZIONE - INFORMAZIONE FORMAZIONE Comunicazione e Informazione Formazione Formazione dei dipendenti, dei quadri e del Management Piano Formativo Contenuto delle sessioni formative Controllo e verifica sull attuazione del piano di formazione SISTEMA DEI FLUSSI INFORMATIVI Premessa Flussi Informativi e segnalazioni verso l Organismo di Vigilanza Flussi Informativi e segnalazioni verso gli organi societari Raccolta e conservazione delle informazioni 57 PARTE SPECIALE 58 Premessa REATI NEI RAPPORTI CON LA PUBBLICA AMMINISTRAZIONE Le fattispecie di reato nell ambito dei rapporti con la pubblica amministrazione richiamate dal d.lgs. 231/ Nozione di pubblico ufficiale e incaricato di pubblico servizio 63 3

4 1.3 Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli FALSITÀ NUMMARIE Le fattispecie di reato rilevanti Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli REATI SOCIETARI Le fattispecie dei reati societari richiamate dal D.Lgs. 231/ Le Attività sensibili con riferimento alle fattispecie di reato individuate. Il sistema di controllo REATI CONTRO LA PERSONALITÀ INDIVIDUALE I reati contro la personalità individuale Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli OMICIDIO COLPOSO E LESIONI PERSONALI COLPOSE PER VIOLAZIONE DELLA NORMATIVA ANTINFORTUNISTICA I delitti di omicidio colposo e lesioni colpose richiamati dal D.lgs n. 231/ Il sistema delle attribuzioni in materia di sicurezza e salute dei lavoratori Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli RICETTAZIONE, RICICLAGGIO, IMPIEGO DI DENARO, BENI O UTILITA DI PROVENIENZA ILLECITA I reati di ricettazione, riciclaggio e impiego di denaro, beni o altra utilità di provenienza illecita Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli DELITTI INFORMATICI Le fattispecie di reato rilevanti L attività sensibile ai fini del D.Lgs. 231/2001 e relativi controlli DELITTI DI CRIMINALITÀ ORGANIZZATA L art. 24 ter D.lgs n. 231/ Il delitto di associazione per delinquere Le attività sensibili ai fini del D.Lgs. 231/2001 e relativi controlli REATI AMBIENTALI LE FATTISPECIE DI REATO RICHIAMATE DAL D.LGS. 231/ Le attività sensibili ai fini del D.Lgs. 231/2001. Il sistema di controllo IMPIEGO DI CITTADINI DI PAESI TERZI IL CUI SOGGIORNO E IRREGOLARE Le fattispecie di reato richiamate dal D.lgs. 231/ Le attività sensibili ai fini del D.Lgs. 231/2001. Il sistema di controllo 98 ALLEGATI 99 4

5 PARTE GENERALE 5

6 1. LA RESPONSABILITA AMMINISTRATIVA DELLE PERSONE GIURIDICHE, DELLE SOCIETA E DELLE ASSOCIAZIONI 1.1 Premessa Sino alla entrata in vigore del D.Lgs. 8 giugno 2001 n.231 (in seguito anche solo D.Lgs. 231/2001 ), l individuazione di una responsabilità degli enti per gli illeciti penali commessi dai loro dirigenti si è storicamente scontrata con il principio di colpevolezza, quale legame psichico tra fatto ed autore, che si trova sancito nell art.27, comma primo, della Costituzione. Il D.Lgs. 8 giugno 2001 n.231, Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell'articolo 11 della legge 29 settembre 2000, n. 300, pubblicato nella Gazzetta Ufficiale n. 140 del 19 giugno 2001, contiene la disciplina della responsabilità degli enti per gli illeciti amministrativi dipendenti da reato (All. n. 1) E doveroso precisare che sebbene le caratteristiche essenziali della responsabilità dell ente siano disciplinate e previste da un sistema penalistico, la forma di responsabilità prevista dal D.Lgs. 231/2001 a carico dell ente è di natura amministrativa. Il fatto costituente reato, commesso da un dipendente o rappresentante dell ente, opera su due piani, in quanto, da una parte, integra un reato ascrivibile all individuo che lo ha commesso, il quale è punibile con sanzione penale, dall altra sostanzia un illecito amministrativo punibile con sanzione amministrativa a carico dell ente nel cui interesse o vantaggio quel medesimo atto o fatto è stato commesso. 1.2 I Soggetti destinatari L art. 1, comma 2, del D.Lgs. 231/2001 individua i soggetti destinatari della norma, in osservanza di quanto disposto nella legge-delega, il cui comma 1 dell art. 11 stabilisce che il decreto disciplini la responsabilità amministrativa delle persone giuridiche e delle società, associazioni o enti privi di personalità giuridica che non svolgono funzioni di rilievo costituzionale. Il medesimo articolo inoltre, nel comma 2, specifica che per persone giuridiche si intendono gli enti forniti di personalità giuridica eccettuati lo Stato e gli altri enti pubblici che esercitano pubblici poteri. Il legislatore, pertanto, dal combinarsi di queste due disposizioni ha ritenuto di dover applicare la responsabilità amministrativa sia agli enti a soggettività privata, sia a quelli a soggettività pubblica. Il D.Lgs. 231/2001, art. 1, pertanto, esclude espressamente la sua applicazione allo Stato, agli enti pubblici territoriali, agli altri enti pubblici non economici nonché agli enti che svolgono funzioni di rilievo costituzionale. Sono compresi invece nella disciplina del D.Lgs. 231/2001 gli enti a soggettività pubblica ma privi di pubblici poteri ed i cosiddetti enti pubblici economici. 1.3 I casi di responsabilità Gli artt. 5, 6, 7 ed 8 del D.Lgs. 231/2001 determinano i casi di responsabilità dell ente. Ai fini dell individuazione di tale responsabilità occorrerà che i reati siano stati commessi nell interesse od a vantaggio dell ente stesso: (i) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso salvo che l ente provi che: 6

7 a) l'organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell'organismo di cui alla lettera b). (ii) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto (i) che precede quando la commissione del reato è stata resa possibile dall'inosservanza degli obblighi di direzione o vigilanza. Mentre è esclusa l'inosservanza degli obblighi di direzione o vigilanza se l'ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. In ogni caso l'ente però non risponde qualora le persone sopra indicate ai punti (i) e (ii) abbiano agito nell'interesse esclusivo proprio o di terzi. Ai fini della responsabilità dell ente, qualora l autore dell illecito sia un soggetto definito in posizione apicale 1 che dunque ha agito per l ente avendo competenza a impegnarlo, la colpevolezza dell ente è presunta, a meno che l ente non sia in grado di dimostrare: - di avere adottato ed efficacemente attuato prima della commissione del fatto costituente reato, modelli di organizzazione e gestione idonei a prevenire la commissione di illeciti come quello verificatosi; - di aver vigilato sul corretto funzionamento e sulla rispettosa osservanza di tali modelli, attraverso un organismo dell ente dotato di autonomi poteri di iniziativa e controllo; - che il comportamento che ha causato il reato è stato attuato dal soggetto in posizione apicale eludendo fraudolentemente i citati modelli di organizzazione e controllo. Qualora invece la commissione del reato sia opera di soggetti sottoposti all altrui direzione 2, perché si configuri la responsabilità in capo all ente è necessario il verificarsi delle seguenti condizioni: - colpevolezza del soggetto subordinato; - la commissione del reato nell interesse od a vantaggio dell ente; - l inosservanza degli obblighi di direzione e vigilanza da parte dei soggetti posti in posizione apicale. In particolare, il comma 1 dell art. 7 del D.Lgs. 231/2001 indica che l ente è responsabile se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione o vigilanza, mentre il comma 2 dello stesso articolo prevede che in ogni caso non sia configurabile inosservanza degli obblighi di direzione o vigilanza laddove l ente abbia adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. 1 Art. 5, comma primo, lettera a) D.Lgs. 231/2001: persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unita' organizzativa dotata di autonomia finanziaria e funzionale nonche' da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso. 2 Art. 5, comma primo, lettera b) D.Lgs. 231/2001: persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a). 7

8 La disposizione dell art. 8 del D.Lgs. 231/2001 chiarisce come quello dell ente sia un titolo autonomo di responsabilità, rispetto a quella dell autore del reato, non solidale con quest ultimo, anche se presuppone la commissione di un reato da parte di una persona operante al suo interno, nel suo interesse o vantaggio. Trattandosi di un titolo autonomo di responsabilità, fa capo direttamente all ente e si aggiunge ad altre eventuali forme di responsabilità patrimoniale originate da fatto illecito previste dagli artt. 190 e 197 del codice penale. Inoltre, il comma primo dell art.8 afferma che sussiste la responsabilità dell ente anche quando l autore del reato non sia stato identificato. Ciò per evitare una impunità dell ente in quei casi in cui la complessità della struttura organizzativa interna potesse essere di ostacolo all individuazione della responsabilità della commissione dell illecito in capo a uno specifico soggetto, ma risultasse comunque accertata la commissione di un reato. La responsabilità dell ente resta ferma anche nel caso in cui il reato sussista, ma subisca una vicenda estintiva. L unica ipotesi d estinzione della responsabilità a carico dell ente è data dall amnistia, intervenendo la quale, non potrà procedersi neanche nei confronti di quest ultimo. 1.4 L esimente Il D.Lgs. 231/2001 attribuisce valore esimente al Modello di organizzazione, gestione e controllo se ritenuto idoneo dall Autorità giudiziaria procedente. Fatta salva l ipotesi in cui il reato sia stato realizzato nell interesse esclusivo del soggetto agente o di un terzo (art. 5 co. 2), in caso di reato commesso da un soggetto in posizione apicale, l ente non incorre in responsabilità se prova che (art. 6, comma 1, del D.Lgs. 231/2001): (a) l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; (b) il compito di vigilare sul funzionamento e l osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dotato di autonomi poteri di iniziativa e di controllo (Organismo di Vigilanza da ora OdV); (c) le persone fisiche hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; (d) non vi è stata omessa o insufficiente vigilanza da parte dell OdV. L Ente dovrà, dunque, dimostrare la sua estraneità ai fatti contestati al soggetto apicale provando la sussistenza dei sopra elencati requisiti tra loro concorrenti e, di riflesso, la circostanza che la commissione del reato non deriva da una propria colpa organizzativa. Nel caso, invece, di un reato commesso da soggetti sottoposti all altrui direzione o vigilanza, l Ente risponde se la commissione del reato è stata resa possibile dalla violazione degli obblighi di direzione o di vigilanza alla cui osservanza l Ente è tenuto. Il D.Lgs. 231/2001 delinea il contenuto dei Modelli di organizzazione, gestione e controllo prevedendo che gli stessi, in relazione all estensione dei poteri delegati e al rischio di commissione dei reati, devono: (a) individuare le: - attività nel cui ambito possono essere commessi reati; - modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati (b) prevedere: - specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni della Società in relazione ai reati da prevenire; - obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; (c) introdurre un sistema sanzionatorio per il mancato rispetto delle misure indicate nel Modello. 8

9 L art. 7, comma 4, del D.Lgs. 231/2001 precisa, altresì, che, per un efficace attuazione dei modelli organizzativi, è necessaria la verifica periodica e l eventuale modifica del Modello quando sono emerse significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell organizzazione e nell attività 1.5 I reati previsti dal D.Lgs. 231/2001 L ente può essere ritenuto responsabile soltanto per i reati espressamente richiamati dagli artt. 24 e ss del d.lgs. 231/2001 o da leggi speciali, se commessi nel suo interesse o a suo vantaggio dai soggetti qualificati ex art. 5, comma 1. Le fattispecie di reato richiamate dal d.lgs. 231/2001 sono elencate nell allegato n. 2 del presente Modello al quale si rinvia per aspetti di dettaglio. 1.6 Le sanzioni Dal d.lgs. 231/2001 sono previste a carico della società, quale conseguenza della consumazione o tentata commissione dei reati sopra menzionati, la: a) sanzione pecuniaria fino a un massimo di Euro ,69 (e sequestro conservativo in sede cautelare); b) sanzioni interdittive (applicabili anche quale misura cautelare) di durata non inferiore a tre mesi e non superiore a due anni (con la precisazione che, ai sensi dell art. 14, comma 1, d.lgs. 231/2001, Le sanzioni interdittive hanno ad oggetto la specifica attività alla quale si riferisce l illecito dell ente ) che, a loro volta, possono consistere in: interdizione dall esercizio dell attività; sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; divieto di contrattare con la Pubblica Amministrazione; esclusione da agevolazioni, finanziamenti, contributi o sussidi e l eventuale revoca di quelli concessi; divieto di pubblicizzare beni o servizi; c) confisca (e sequestro preventivo in sede cautelare); d) pubblicazione della sentenza (in caso di applicazione di una sanzione interdittiva). Nella commisurazione della sanzione pecuniaria il giudice determina: - il numero delle quote, tenendo conto della gravità del fatto, del grado della responsabilità della società nonché dell attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti; - l importo della singola quota, sulla base delle condizioni economiche e patrimoniali della società. Le sanzioni interdittive si applicano in relazione a tutte le fattispecie penali previste dal D.lgs. 231/01, fatti salvi i casi in cui non sono espressamente previste, purché ricorra almeno una delle seguenti condizioni: a) la società ha tratto dalla consumazione del reato un profitto di rilevante entità e il reato è stato commesso da soggetti in posizione apicale ovvero da soggetti sottoposti all altrui direzione 9

10 quando, in tale ultimo caso, la commissione del reato è stata determinata o agevolata da gravi carenze organizzative; b) in caso di reiterazione degli illeciti. Il giudice determina il tipo e la durata della sanzione interdittiva tenendo conto dell idoneità delle singole sanzioni a prevenire illeciti del tipo di quello commesso e, se necessario, può applicarle congiuntamente (art. 14, comma 1 e comma 3, d.lgs. 231/2001). Le sanzioni dell interdizione dall esercizio dell attività, del divieto di contrattare con la Pubblica Amministrazione e del divieto di pubblicizzare beni o servizi possono essere applicate - nei casi più gravi - in via definitiva. Si segnala, inoltre, in luogo dell irrogazione della sanzione interdittiva, la possibile prosecuzione dell attività della società da parte di un commissario nominato dal giudice ai sensi e alle condizioni di cui all art. 15 del d.lgs. 231/ Delitti tentati Nelle ipotesi di commissione, nelle forme del tentativo 3, dei delitti indicati nel Capo I del d.lgs. 231/2001 (artt. da 24 a 25-novies), le sanzioni pecuniarie e le sanzioni interdittive sono ridotte da un terzo alla metà, mentre è esclusa l irrogazione di sanzioni nei casi in cui l ente impedisca volontariamente il compimento dell azione o la realizzazione dell evento (art. 26 del d.lgs. 231/2001). L esclusione di sanzioni si giustifica, in tal caso, in forza dell interruzione di ogni rapporto di immedesimazione tra ente e soggetti che assumono di agire in suo nome e per suo conto. 1.8 Vicende modificative dell Ente Il d.lgs. 231/2001 disciplina il regime della responsabilità patrimoniale dell ente anche in relazione alle vicende modificative dell ente quali la trasformazione, la fusione, la scissione e la cessione d azienda. Secondo l art. 27, comma 1, del d.lgs. 231/2001, dell obbligazione per il pagamento della sanzione pecuniaria risponde l ente con il suo patrimonio o con il fondo comune, laddove la nozione di patrimonio deve essere riferita alle società e agli enti con personalità giuridica, mentre la nozione di fondo comune concerne le associazioni non riconosciute. Gli articoli da 28 a 33 del Decreto regolano l incidenza sulla responsabilità dell ente delle vicende modificative connesse a operazioni di trasformazione, fusione, scissione e cessione di azienda. In caso di trasformazione, l art. 28 del d.lgs. 231/2001 prevede che resti ferma la responsabilità dell ente per i reati commessi anteriormente alla data in cui la trasformazione ha avuto effetto. Secondo quanto previsto dall art. 29, l ente che risulta dalla fusione (anche per incorporazione) risponde dei reati di cui erano responsabili i soggetti giuridici partecipanti alla fusione stessa L ente risultante dalla fusione, infatti, assume tutti i diritti e obblighi delle società partecipanti all operazione (art bis, primo comma, c.c.) e, facendo proprie le attività aziendali, accorpa altresì quelle nel cui ambito sono stati posti in essere i reati di cui le società partecipanti alla fusione avrebbero dovuto rispondere. L art. 30 del d.lgs. 231/2001 prevede che, nel caso di scissione parziale, la società scissa rimane responsabile per i reati commessi anteriormente alla data in cui la scissione ha avuto effetto. Gli enti beneficiari della scissione (sia totale che parziale) sono solidalmente obbligati al pagamento delle sanzioni pecuniarie dovute dall ente scisso per i reati commessi anteriormente alla data in cui 3 Secondo l art. 56, comma 1, del c.p. risponde di delitto tentato Chi compie atti idonei, diretti in modo non equivoco a commettere un delitto se l azione non si compie o l evento non si verifica. 10

11 la scissione ha avuto effetto, nel limite del valore effettivo del patrimonio netto trasferito al singolo ente. Tale limite non si applica alle società beneficiarie, alle quali risulta devoluto, anche solo in parte, il ramo di attività nel cui ambito è stato commesso il reato. Le sanzioni interdittive relative ai reati commessi anteriormente alla data in cui la scissione ha avuto effetto si applicano agli enti cui è rimasto o è stato trasferito, anche in parte, il ramo di attività nell ambito del quale il reato è stato commesso. L art. 31 del d.lgs. 231/2001 prevede disposizioni comuni alla fusione e alla scissione, concernenti la determinazione delle sanzioni nell eventualità che tali operazioni straordinarie siano intervenute prima della conclusione del giudizio. Viene chiarito, in particolare, il principio per cui il giudice deve commisurare la sanzione pecuniaria, secondo i criteri previsti dall art. 11, comma 2, del d.lgs. 231/2001, facendo riferimento in ogni caso alle condizioni economiche e patrimoniali dell ente originariamente responsabile, e non a quelle dell ente cui dovrebbe imputarsi la sanzione a seguito della fusione o della scissione. In caso di sanzione interdittiva, l ente che risulterà responsabile a seguito della fusione o della scissione potrà chiedere al giudice la conversione della sanzione interdittiva in sanzione pecuniaria, a patto che: (i) la colpa organizzativa che abbia reso possibile la commissione del reato sia stata eliminata, e (ii) l ente abbia provveduto a risarcire il danno e messo a disposizione (per la confisca) la parte di profitto eventualmente conseguito. L art. 32 del d.lgs. 231/2001 consente al giudice di tener conto delle condanne già inflitte nei confronti degli enti partecipanti alla fusione o dell ente scisso al fine di configurare la reiterazione, a norma dell art. 20 del d.lgs. 231/2001, in rapporto agli illeciti dell ente risultante dalla fusione o beneficiario della scissione, relativi a reati successivamente commessi. Per le fattispecie della cessione e del conferimento di azienda è prevista una disciplina unitaria (art. 33 del d.lgs. 231/2001); il cessionario, nel caso di cessione dell azienda nella cui attività è stato commesso il reato, è solidalmente obbligato al pagamento della sanzione pecuniaria comminata al cedente, con le seguenti limitazioni: (i) è fatto salvo il beneficio della preventiva escussione del cedente; (ii) la responsabilità del cessionario è limitata al valore dell azienda ceduta e alle sanzioni pecuniarie che risultano dai libri contabili obbligatori ovvero dovute per illeciti amministrativi dei quali era, comunque, a conoscenza. Al contrario, resta esclusa l estensione al cessionario delle sanzioni interdittive inflitte al cedente. 1.9 Le linee guida di ASSTRA L art. 6, comma 3, del D.Lgs. 231/2001 stabilisce che i Modelli di organizzazione, gestione e controllo possono essere adottati, garantendo le esigenze di cui al comma 2, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della Giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati. ASSTRA ha definito le Linee guida per la costruzione dei Modelli di organizzazione, gestione e controllo (di seguito, Linee guida di ASSTRA ) fornendo, tra l altro, indicazioni metodologiche per l individuazione delle aree di rischio (settore/attività nel cui ambito possono essere commessi reati), per la progettazione di un sistema di controllo (i c.d. protocolli per la programmazione della formazione ed attuazione delle decisioni dell ente) e per i suoi contenuti. In particolare, le menzionate Linee guida prevedono, per la definizione del modello, le seguenti fasi: 11

12 (1) identificazione dei rischi e stesura dei protocolli; (2) adozione di alcuni strumenti generali tra cui: (a) Codice di comportamento riferito alla realtà organizzativa ed ai reati ex D.Lgs. 231/2001 (b) Sistema sanzionatorio creato ad hoc; (3) individuazione dei criteri per la scelta dell Organismo di Vigilanza, indicazione dei suoi requisiti, compiti, poteri ed obblighi d informazione. In data 17 aprile 2013 il Ministero ha approvato le nuove Linee Guida di ASSTRA aggiornate agli ulteriori interventi del legislatore in materia di ampliamento del set di reati presupposto I precedenti giurisprudenziali Ai fini della redazione del presente Modello sono state analizzate e prese in considerazione le pronunce giurisprudenziali più significative in materia. Quanto deciso dalla giurisprudenza, unitamente alle Linee Guida delle associazioni di categoria, rappresenta un parametro essenziale da seguire nella elaborazione di un Modello che possa essere considerato efficace ed idoneo ad assolvere alla funzione esimente cui è finalizzato. Un idoneo Modello deve essere dotato di effettività e dinamicità. In particolare, anche secondo quanto evidenziato dalla giurisprudenza, nella redazione del Modello dovrà essere posta particolare attenzione a: fondi extracontabili; modalità di redazione della contabilità; modalità di redazione dei bilanci; fatturazioni e spostamenti di liquidità; modalità di esecuzione degli appalti ed i relativi controlli; possibili modalità attuative dei reati stessi tenendo conto del contesto operativo interno ed esterno in cui opera l azienda; storia dell ente (vicende passate, anche giudiziarie); segregazione delle funzioni nei processi a rischio; poteri di firma autorizzativi coerenti con le responsabilità organizzative e gestionali; controllo sul sistema operativo, onde garantirne la continua verifica e l'effettività; sistema di monitoraggio idoneo a segnalare le situazioni di criticità; gestione delle risorse finanziarie; sistema disciplinare specifico sia nel precetto che nella sanzione. La giurisprudenza per quanto attiene al profilo dei controlli ha fornito specifiche indicazioni. Effettuata la c.d. mappatura del rischio, individuate cioè tutte le aree sensibili, si devono stabilire, per ognuna di esse, specifici protocolli di prevenzione che regolamentino le attività a rischio. Tali protocolli dovranno essere presidiati con altrettante e adeguate specifiche sanzioni per perseguirne le violazioni e per garantire un'effettiva attuazione dell'intero sistema organizzativo così approntato. Ciò al fine di rendere il modello non un mero strumento di facciata, dotato di una valenza solo formale, ma uno strumento concreto e soprattutto dinamico, idoneo a conformarsi costantemente con il mutamento della realtà operativa ed organizzativa della persona giuridica. Inoltre, nelle realtà aziendali in cui si siano già verificati reati, il contenuto programmatico del modello, in relazione all'area in cui gli indicatori di rischio sono più evidenti, dovrà necessariamente essere calibrato e mirato all'adozione di più stringenti misure idonee a prevenire od a scongiurare il pericolo di reiterazione dello specifico illecito già verificatosi. Difatti, dovranno essere esattamente determinate le procedure relative alla formazione e all'attuazione delle decisioni che riguardano le attività ritenute pericolose: l'adozione di un protocollo con regole chiare per il conseguimento del risultato divisato. Ciò comporta un'esatta individuazione dei soggetti cui è 12

13 rimessa l'adozione delle decisioni, l'individuazione dei parametri cui attenersi nelle scelte da effettuare, le regole precise da applicare per la documentazione dei contatti, delle proposte, di ogni singola fase del momento deliberativo e attuativo della decisione. Successivamente all adozione del Modello, affinché questo risulti idoneo, l Ente dovrà provvedere ad organizzare specifici corsi di formazione finalizzati ad assicurare un adeguata conoscenza, comprensione ed applicazione del Modello da parte dei dipendenti e dei dirigenti. Dovrà inoltre essere prevista l obbligatorietà di partecipazione e di frequenza ai corsi medesimi. 13

14 2. CO.TRA.L. S.P.A. IL SISTEMA ORGANIZZATIVO E DI CONTROLLO INTERNO 2.1 La Società e il Sistema di Corporate Governance CO.TRA.L. S.p.A. è una società per azioni di diritto privato che non fa ricorso al mercato del capitale di rischio, a partecipazione interamente pubblica, costituita per la gestione di un servizio pubblico di interesse generale a rilevanza economica ed è soggetta alle relative disposizioni. In data 25 ottobre 2007 l Assemblea dei Soci della CO.TRA.L. S.p.A. ha deliberato, con efficacia a far data dal 3 marzo 2008, il progetto di scissione societaria. Tale scissione ha determinato da un lato la società CO.TRA.L. S.p.A., società per le attività di erogazione del servizio di trasporto pubblico locale la gestione e vendita dei titoli di viaggio, e dall altro la società Cotral Patrimonio S.p.A., società beneficiaria della scissione, proprietaria del patrimonio immobiliare e degli autobus utilizzati in usufrutto da Cotral S.p.A. In data 24 maggio 2011 l Assemblea dei Soci della CO.TRA.L. S.p.A., ha adottato il nuovo Statuto societario, prevedendo, all art.1 dello stesso, che la Società sia assoggettata al controllo analogo (cfr. par. 2.1) al fine di poter essere destinataria di affidamenti in-house. A seguito dell intervenuta nuova Governance societaria, è stato sottoscritto, in data 28 ottobre 2011, il nuovo Contratto di Servizio tra la Società e la Regione Lazio e adottato l annesso Regolamento sulle attività di vigilanza e controllo sui servizi di trasporto di competenza regionale affidati ai sensi dell art. 38 comma 5 LR n. 34 Affidamento in house providing. Attualmente pertanto la Società opera in regime di in house ed è soggetta al controllo analogo dell Ente affidante i servizi di trasporto di competenza regionale, ovvero la Regione Lazio. Conseguentemente, nell'ambito delle iniziative volte a massimizzare l efficienza ed a garantire la trasparenza dell'operatività di CO.TRA.L. S.p.A., è stato predisposto un sistema articolato e omogeneo di regole di condotta riguardanti sia la struttura organizzativa interna sia i rapporti con i terzi che risultano conformi agli standard più evoluti di Corporate Governance. Tale struttura organizzativa si sostanzia in particolare nella: 1. predisposizione di regolamenti per il funzionamento dell Assemblea degli Azionisti, (i) del Consiglio di Amministrazione(ii),) dell Organismo di Vigilanza (iii); 2. redazione di un Codice Etico e Comportamentale contenente le norme di condotta dei Destinatari. In data 23 marzo 2012 la Giunta della Regione Lazio, con propria Deliberazione n. 112, avente ad oggetto Direttiva per regolare i rapporti tra la Regione Lazio e le società operanti in regime di in house ai fini dell esercizio del controllo analogo, pubblicata sul B.U.R.L. n. 14 del 14 aprile 2012, ha adottato la suddetta Direttiva che, all art. 6, prevede gli Indirizzi in merito all applicazione del Decreto Legislativo 8 giugno 2001, n Pertanto CO.TRA.L. S.p.A., al fine di adeguarsi a quanto previsto nella citata Direttiva. ha recepito quanto ivi previsto, provvedendo ad aggiornare il previgente Modello 231, il Codice Etico e la composizione dell Organismo di Vigilanza e il Regolamento per il suo funzionamento. Dal 16 gennaio 2013 la Regione Lazio è socio unico di COTRAL SpA, svolgente su di essa controllo analogo. 2.2 IL sistema delle deleghe e procure In considerazione di quanto previsto nella Governance societaria, in CO.TRA.L. S.p.A. devono trovare puntuale applicazione i principi di: 14

15 - esatta delimitazione dei poteri, con un divieto assoluto di attribuzione, ai vari livelli, di poteri illimitati; - definizione e conoscenza dei poteri e delle responsabilità all interno dell organizzazione; - coerenza dei poteri autorizzativi e di firma con le responsabilità organizzative assegnate. A tal fine, deve essere assicurata la costante attuazione di un sistema organizzativo sufficientemente formalizzato e chiaro, soprattutto per quanto attiene all attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti e un sistema di poteri autorizzativi e di firma, assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quando richiesto, una puntuale indicazione delle soglie di approvazione delle spese. Sulla scorta di detti principi, il sistema di deleghe e procure deve essere caratterizzato da elementi di certezza ai fini della prevenzione dei reati e consentire la gestione efficiente dell attività aziendale Deleghe e Procure. Requisiti essenziali Si intende per delega quell atto interno di attribuzione di funzioni e compiti, riflesso nel sistema di comunicazioni organizzative. Si intende per procura il negozio giuridico unilaterale con cui la società attribuisce ad un singolo soggetto il potere di agire in rappresentanza della stessa. I requisiti essenziali per il rilascio di deleghe e procure sono i seguenti: - tutti coloro che intrattengono per conto della società rapporti con la P.A., nazionale o straniera, devono essere dotati di delega formale in tal senso; - le deleghe devono coniugare ciascun potere alla relativa responsabilità e ad una posizione adeguata nell organigramma; - ciascuna delega deve definire in modo specifico ed inequivocabile: - i poteri del delegato, precisandone i limiti; - il soggetto (organo o individuo) cui il delegato riporta gerarchicamente; - al delegato devono essere riconosciuti poteri di spesa adeguati alle funzioni conferite; - a ciascuna procura che comporti il potere di rappresentanza della società nei confronti dei terzi deve corrispondere una delega interna che descriva il relativo potere di gestione; - la procura deve prevedere esplicitamente i casi di decadenza dai poteri conferiti (revoca, trasferimento a diverse mansioni incompatibili con quelle per le quali la procura era stata conferita, licenziamento, ecc.); - le deleghe e le procure devono essere tempestivamente aggiornate Deleghe e Procure. Conferimento, gestione, revoca, verifica. L attribuzione delle deleghe non costituisce un modo per attribuire competenze esclusive, ma piuttosto la soluzione adottata dalla Società per assicurare, dal punto di vista dell organizzazione dell organo amministrativo di vertice al momento della delega, la migliore flessibilità operativa. Per il conferimento della procura deve essere inoltrata lettera di accompagnamento da trasmettere al procuratore unitamente all atto di conferimento della procura, contenente le istruzioni, i limiti di esercizio dei poteri oggetto di procura, il richiamo alle norme aziendali, ai principi contenuti nel presente Modello e alle disposizioni organizzative interne. 15

16 Il conferimento, la gestione e la revoca delle procure devono avvenire sulla scorta di un adeguato processo che individui la funzione responsabile della proposta di procura, della fase inerente la valutazione giuridica della stessa, della fase relativa al controllo del suo regolare utilizzo e della fase relativa alla conservazione nella documentazione ufficiale. Le deleghe e le procure in essere sono custodite presso la struttura aziendale che svolge i compiti di Segreteria degli Organi Societari e sono a disposizione dell O.d.V. L Organismo di Vigilanza verifica periodicamente, con il supporto delle altre funzioni competenti, il sistema di deleghe e procure in vigore e la loro coerenza con tutto il sistema delle comunicazioni organizzative, raccomandando eventuali modifiche nel caso in cui il potere di gestione e/o la qualifica non corrisponda ai poteri di rappresentanza conferiti al delegato o vi siano altre anomalie Deleghe e Procure attualmente in vigore Per ciò che concerne il Management, le deleghe operative interne attualmente esistenti nella Società sono quelle espressamente previste nella Macrostruttura Aziendale vigente emanata dall Amministratore Delegato e riguardano le missioni e aree di responsabilità del Management delle Divisioni/Aree/Direzioni/Funzioni. Dette deleghe, quindi, coniugano ciascun potere alla relativa responsabilità e ad una posizione adeguata nell organigramma. Nelle deleghe così come contemplate nell ambito della Macrostruttura aziendale non viene riconosciuto un potere di spesa per l esercizio delle funzioni e dei compiti attribuiti, rimanendo detta facoltà all Amministratore Delegato o al CdA a seconda del livello quantitativo di spesa da attribuire. Con Deliberazione del Consiglio di Amministrazione n. 64 dell , si è data attuazione a quanto previsto nel presente Modello - Parte Generale in merito all adozione del Sistema di Deleghe e Procure. In seguito sono state perciò rilasciate al Management le prime procure speciali correlate alle corrispondenti deleghe interne (settori Direzione Generale, Risorse Umane, Approvvigionamenti Gare e Contratti). Nel corso dell anno 2009 tali procure sono state poi ritirate per intervenute modificazioni all organizzazione aziendale. In data , in esecuzione delle Deliberazioni di C.d.A. n. 6 e 13 del 2010, con Disposizione Organizzativa n. 5 è stata emanata la nuova Macrostruttura aziendale, attualmente vigente, con la declinazione delle Missioni e delle Responsabilità per ogni struttura aziendale e con la esatta individuazione anche dei riporti gerarchici e funzionali e delle collaborazioni di linea. La struttura deputata alle attività relative all applicazione del D.Lgs.231/01 ha provveduto ad allineare il Sistema di Deleghe e Procure alle nuove disposizioni di cui alla citata D.O.. L Assemblea dei Soci del 24 maggio 2011 ha approvato il nuovo Statuto conferendo, secondo quanto previsto all art.26, il potere della gestione ordinaria dell Azienda all Amministratore Delegato per l autorizzazione di singoli impegni di spesa fino a Euro ,00. Allo stato l Organo Amministrativo dovrà provvedere alla adozione del nuovo Sistema di Deleghe e Procure allineato alla vigente D.O. n. 5/2010 di cui sopra, o procedere alla adozione di una nuova macrostruttura aziendale con conseguente allineamento/revisione del documento in argomento aggiornato dalle strutture aziendali, previo esame da parte dell OdV, in quanto parte integrante del Modello di GOC aziendale nella sua Parte Generale. In merito, a seguito delle deliberazioni del C.d.A n. 24 del 29 aprile 2013 e n. 33 del 9 maggio 2013, con Disposizione Organizzativa n. 2 del 9 maggio 2013 la Società si è dotata di un nuovo organigramma aziendale provvisorio procedendo alla attribuzione degli incarichi dirigenziali. 16

17 In relazione a detto documento provvisorio, nelle more della definizione nelle correlate missioni e aree di responsabilità a cui le strutture e i loro responsabili sono chiamati, resta in vigore quanto riportato nella D.O. n. 5 del citata in relazione alla declaratoria degli ambiti delegati al Management e alle loro strutture. 2.3 Il controllo analogo dell Ente affidante i servizi di Trasporto Pubblico su gomma nella regione Lazio Il controllo analogo è esercitato dalla Regione Lazio per il tramite della dalla Direzione Regionale Trasporti della Regione Lazio, Ente affidante i servizi di trasporto automobilistico, sul Gestore, Cotral S.p.A., quale soggetto affidatario dei predetti servizi al fine di garantire il rispetto delle prescrizioni normative in materia di in house providing. Il controllo analogo è esercitato secondo quanto previsto dagli artt. 4, 5, 6, 7 del Regolamento sulle attività di vigilanza e controllo sui servizi di trasporto di competenza regionale affidati ai sensi dell art. 38, comma 5, L.R , n.31, annesso al Contratto di Servizio che disciplina le prestazioni tra l Ente affidante e la Cotral S.p.A., inerenti i servizio di trasporto pubblico automobilistico e sottoscritto tra le parti in data 28 ottobre In particolare il controllo analogo si esplica attraverso: gli obblighi informativi del Gestore all Ente affidante, secondo quanto previsto dall art. 4 del citato Regolamento; il controllo preventivo dell Ente affidante su determinati atti in adozione da parte del Gestore, secondo quanto previsto all art. 5 del citato Regolamento; il controllo successivo dell Ente affidante sugli atti adottati dal Gestore secondo previsto all art. 6 del citato Regolamento; alla partecipazione, anche attraverso un proprio delegato, dell Ente affidante alle sedute del Consiglio di Amministrazione del Gestore, secondo quanto previsto all art. 7 del citato Regolamento. 2.4 Il Sistema di Controllo Interno. Principi generali Il Sistema di Controllo Interno è il processo volto a fornire una ragionevole garanzia in ordine al raggiungimento degli obiettivi di efficienza e di efficacia operativa, affidabilità delle informazioni finanziarie e gestionali, rispetto delle leggi e dei regolamenti, nonché salvaguardia del patrimonio sociale anche contro possibili frodi. Esso si fonda e si qualifica su alcuni principi generali, appositamente definiti nell ambito del presente Modello il cui campo di applicazione si estende trasversalmente a tutti i diversi livelli organizzativi. In particolare, il Sistema di Controllo Interno di CO.TRA.L. S.p.A. è strutturato per assicurare una corretta informativa ed una adeguata copertura di controllo su tutte le attività della Società, con particolare attenzione alle aree ritenute potenzialmente a rischio. Esso si è venuto sviluppando come processo diretto a perseguire i valori di correttezza sostanziale e procedurale, di trasparenza e di responsabilità, assicurando l efficienza, la conoscibilità e la verificabilità delle operazioni e, più in generale, delle attività inerenti la gestione; l affidabilità dei dati contabili e gestionali; il rispetto delle leggi e dei regolamenti; la salvaguardia dell integrità aziendale, anche al fine di prevenire frodi a danno della Società. Regole cardine alla base del sistema di controllo interno della Società sono: i. la separazione dei ruoli nello svolgimento delle principali attività inerenti ai singoli processi operativi; 17

18 ii. iii. la tracciabilità e la costante visibilità delle scelte; l oggettivazione dei processi decisionali Le attività di controllo Sulla scorta di dette regole in CO.TRA.L. S.p.A.: - ogni operazione significativa, in particolare per quella che viene svolta in un area a rischio, deve essere preventivamente autorizzata da chi ha i poteri per farlo; - i poteri di rappresentanza e di delega devono essere conferiti nel rispetto degli ambiti di esercizio e dei limiti di importo strettamente collegati con le mansioni assegnate e secondo quanto previsto nella struttura organizzativa; - la integrità e la completezza dei dati gestiti deve essere altresì costantemente garantita attraverso il necessario scambio di informazioni tra le strutture operative nello svolgimento di fasi e processi tra loro connessi La responsabilità del Sistema di Controllo Interno La responsabilità del Sistema di Controllo Interno compete al Consiglio di Amministrazione, che ne fissa le linee di indirizzo e ne verifica periodicamente l adeguatezza e l effettivo funzionamento. A tal fine, il Consiglio si avvale, come Organi di Controllo Interno, del Collegio dei Sindaci, dell Organismo di Vigilanza e della struttura di Internal Auditing, strutture che, anche per l attività svolta nell ambito delle controllate, hanno il compito principale di seguire la dinamica e l adeguatezza, in termini di efficacia ed efficienza, del Sistema di Controllo Interno. Allo stato la Società sta valutando la possibilità di adottare un Sistema Integrato di Controllo al fine di pervenire ad una migliore organizzazione dei rapporti e dei flussi informativi tra gli organi interni di controllo per garantire una maggiore efficacia ed efficienza del Sistema stesso. L obiettivo è quello di scadenzare almeno un incontro al mese tra i predetti preposti al controllo interno e la Società di Revisione. Esiste inoltre un sistema di pianificazione e controllo, articolato per settore e unità operativa che, mensilmente, produce per il Vertice Aziendale un dettagliato rapporto, affinché disponga di un utile strumento per sovrintendere alle attività specifiche. 3. IL MODELLO DI ORGANIZZAZIONE E GESTIONE IN CO.TRA.L. S.P.A Finalità I principi generali su cui si fonda il Sistema di Controllo Interno sopra descritto sono appositamente definiti nel presente Modello, le cui Linee Guida, sulla scorta delle indicazioni rese da ASSTRA e da ASSTRA (l Associazione delle Imprese operanti nel settore dei trasporti), sono state approvate dal Consiglio di Amministrazione in data Con successive Deliberazioni del Consiglio di Amministrazione del 16 gennaio e 11 settembre 2007 è stato approvato il primo Modello di OGC sia nella Parte Generale che nelle Parti Speciali relative ai Reati nei rapporti con la P.A. e i Reati Societari. In data con deliberazione n. 64 il C.d.A. ha approvato il documento Attuazione del Modello di Organizzazione Gestione e Controllo - Adozione del Sistema di Deleghe e Procure Con deliberazione n. 72/2010 il C.d.A., nell ambito del Documento Linee Guida/Azioni Operative per il miglioramento del risultato della gestione caratteristica - 4 trim. 2010/4 trim ha provveduto a rinviare le attività di aggiornamento del Modello 231 all anno In considerazione della intervenuta scissione societaria nel corso del 2008 e della nuova Governance Societaria con l introduzione dell in house e del cd. controllo analogo tra il mese di 18

19 maggio e il mese di ottobre 2011, nel corso del 2012 COTRAL SpA ha dato nuovo e necessario in put alle attività di aggiornamento/revisione del Modello OGC approvato nel 2007/2008, anche in relazione al nuovo assetto organizzativo e alle innovazioni legislative intervenute in termini di ampliamento del plafond dei ccdd. reati presupposto di cui al D.lgs. 231/2001. Il Modello è stato successivamente sottoposto a revisione nel 2013 a fronte delle importanti modifiche organizzative e normative sopraggiunte. Nell ambito del Modello come aggiornato e rivisto trova conferma l applicazione dei principi generali che, oltre ad essere espressione del Sistema di Controllo Interno, garantiscono l efficacia del Modello stesso. In particolare, attraverso l adozione del Modello, CO.TRA.L. S.p.A. si propone di perseguire le seguenti principali finalità di: - consapevolezza: per tutti coloro che operano in nome e per conto della Società nelle aree di attività a rischio la consapevolezza di poter incorrere, in caso di violazione delle disposizioni ivi riportate, nella commissione di illeciti passibili di sanzioni penali comminabili nei loro stessi confronti e di sanzioni amministrative irrogabili all azienda; - condanna di tali forme di comportamento illecito comunque contrarie, oltre che alle disposizioni di legge, anche ai principi etici ai quali la Società intende attenersi - tempestività negli interventi, grazie ad un azione di monitoraggio sulle aree di attività a per prevenire o contrastare la commissione dei reati stessi. Il presente Modello mira ad assicurare quindi la messa a punto di un sistema modulato sulle specifiche esigenze determinate dall entrata in vigore del D. Lgs. n. 231/2001 concernente la responsabilità amministrativa delle società per reati commessi dai propri dipendenti (impiegati, quadri, dirigenti) e dagli Organi Societari 3.2. Metodologia di redazione del Modello di organizzazione, gestione e controllo in CO.TRA.L. S.p.A. L attività svolta ai fini della redazione del Modello di organizzazione, gestione e controllo si è articolata nelle fasi di seguito sinteticamente indicate: fase 1: L art. 6, comma 2, lett. a) del D Lgs. 231/2001 indica, tra i requisiti del Modello, l individuazione dei processi e delle attività nel cui ambito possono essere commessi i reati espressamente richiamati dal decreto. La fase 1, pertanto, è stata finalizzata all identificazione degli assetti organizzativi della Società ed all individuazione preliminare dei processi e delle attività, nel cui ambito possono astrattamente configurarsi le previste fattispecie di reato. L individuazione delle attività sensibili ha comportato l analisi della struttura organizzativa, allo scopo di acquisire un quadro d insieme delle attività svolte e dell organizzazione dico.tra.l., al momento dell avvio del Progetto, nonché di identificare gli ambiti oggetto dell intervento. La raccolta della documentazione rilevante e l analisi della stessa, da un punto di vista sia tecnico-organizzativo sia legale, ha consentito l individuazione delle attività sensibili e una preliminare identificazione delle funzioni responsabili di tali attività. fase 2 19

20 L obiettivo della fase 2 è stato quello di identificare i responsabili delle attività sensibili, ovvero i soggetti con una conoscenza approfondita delle stesse al fine di condurre le interviste. Al termine è stata definita una mappatura preliminare delle attività sensibili verso cui indirizzare l attività di analisi. fase 3 La fase 3 ha avuto per oggetto l analisi, per ogni attività sensibile individuata nelle fasi 1 e 2, delle funzioni e dei ruoli/responsabilità dei soggetti interni ed esterni coinvolti, del sistema di controllo esistente, al fine di verificare in quali aree/settori di attività e secondo quali modalità possono astrattamente essere realizzate le fattispecie di reato di cui al D.Lgs. 231/2001. E stata definita, quindi, una mappatura delle attività c.d. a rischio cioè potenzialmente esposte alla commissione dei reati richiamati dal D.Lgs. 231/2001. A tal proposito si evidenzia che sono state censite due diverse categorie di attività a rischio: - le attività sensibili che presentano diretti rischi di rilevanza penale ai fini del Decreto citato; - le attività strumentali possono comportare rischi di rilevanza penale solo quando, combinate con le attività direttamente sensibili, supportano la realizzazione del reato, costituendone la modalità di attuazione. In tale ambito sono state collocate anche le cc.dd. attività provvista che costituiscono i canali attraverso cui possono costituirsi fondi occulti o altre utilità strumentali al reato di corruzione. Nella rilevazione del sistema di controllo esistente si è fatto riferimento, tra l altro, ai seguenti principi di controllo: - esistenza di procedure formalizzate; - tracciabilità e verificabilità ex post delle transazioni tramite adeguati supporti documentali/informativi; - segregazione dei compiti; - esistenza di procure/deleghe formalizzate coerenti con le responsabilità organizzative assegnate; - esistenza di un processo che consenta l aggiornamento periodico/tempestivo delle procure/deleghe; - attività di monitoraggio svolte da soggetti/funzioni/organi indipendenti/terzi. Le diverse attività che hanno caratterizzato la fase 3, al termine della quale è stato elaborato il documento mappatura delle attività a rischio possono individuarsi in: (1) predisposizione di un questionario per la conduzione di interviste; (2) esecuzione di interviste strutturate con i responsabili di ciascuna funzione, al fine di raccogliere, per le attività sensibili individuate nelle fasi precedenti, le informazioni necessarie a comprendere: - i processi elementari e le attività svolte; - le funzioni e/o i soggetti sia interni che esterni coinvolti; - i relativi ruoli e le responsabilità; - i fattori quantitativi e qualitativi di rilevanza del processo (es. frequenza, valore delle transazioni sottostanti, esistenza delle evidenze storiche di comportamenti devianti, impatto sugli obiettivi propri della Società, ecc.); - il sistema dei controlli esistenti (3) formalizzazione della mappatura delle attività sensibili nella quale si evidenziano: 20