MODELLO ORGANIZZATIVO

Transcript

1 MODELLO ORGANIZZATIVO Documento approvato dal CdA di Corvallis con delibera del 1 marzo 2012

2 STORIA DELLE MODIFICHE Rev. Data Descrizione Modifica 01 1 marzo 2012 Prima stesura del Modello Organizzativo ex d.lgs 231/01 approvato con delibera del CdA Corvallis_ModelloOrganizzativo231.doc 2 di 48

3 SOMMARIO 1. TERMINI E DEFINIZIONI GLOSSARIO LEGENDA CONTESTO NORMATIVO IL REGIME GIURIDICO DELLA RESPONSABILITÀ AMMINISTRATIVA PREVISTO DAL DECRETO LEGISLATIVO 8 GIUGNO 2001, N IL MODELLO ORGANIZZATIVO QUALE FORMA DI ESONERO DELLA RESPONSABILITÀ AMMINISTRATIVA DELL ENTE LE LINEE GUIDA DI CONFINDUSTRIA QUALE FONTE DEL MODELLO LA SCELTA DELLA SOCIETA E L APPROCCIO METODOLOGICO APPROCCIO METODOLOGICO GENERALE APPROCCIO METODOLOGICO SPECIFICO IN MATERIA DI SALUTE E SICUREZZA SUL LUOGO DI LAVORO STESURA DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO IL MODELLO ORGANIZZATIVO LE FINALITÀ DEL MODELLO LA STRUTTURA DEL MODELLO I DESTINATARI DEL MODELLO LA NATURA DEL MODELLO ED I RAPPORTI CON IL CODICE ETICO LE COMPONENTI DEL SISTEMA DI CONTROLLO PREVENTIVO SISTEMA ORGANIZZATIVO SISTEMA AUTORIZZATIVO PROCESSO DECISIONALE CONTROLLO DI GESTIONE E FLUSSI FINANZIARI PROGRAMMA DI INFORMAZIONE E FORMAZIONE SISTEMI INFORMATIVI E APPLICATIVI INFORMATICI SISTEMA DISCIPLINARE ADOZIONE, DIFFUSIONE, VERIFICA, AGGIORNAMENTO E ADEGUAMENTO DEL MODELLO ADOZIONE DEL MODELLO DIFFUSIONE DEL MODELLO VERIFICA E CONTROLLO DEL MODELLO AGGIORNAMENTO ED ADEGUAMENTO DEL MODELLO Corvallis_ModelloOrganizzativo231.doc 3 di 48

4 6. L ORGANISMO DI VIGILANZA IDENTIFICAZIONE DELL'ODV MODALITÀ DI NOMINA DELL'ODV E DURATA IN CARICA CAUSE DI INELEGGIBILITÀ, MOTIVI E POTERI DI REVOCA, DI DECADENZA FUNZIONI DELL'ODV FUNZIONI DI COORDINAMENTO DELL'ORGANISMO DI VIGILANZA DI CORVALLIS RISPETTO AGLI ORGANISMI DELLE ALTRE SOCIETÀ DEL GRUPPO OBBLIGHI DI INFORMAZIONE VERSO L'ORGANISMO DI VIGILANZA FLUSSI INFORMATIVI VERSO L ORGANISMO DI VIGILANZA REPORTING DELL'ODV CONSERVAZIONE DELLE INFORMAZIONI SISTEMA DISCIPLINARE FUNZIONI DEL SISTEMA DISCIPLINARE VIOLAZIONI E MISURE DISCIPLINARI MISURE NEI CONFRONTI DEI DIPENDENTI MISURE DEL MODELLO NEI CONFRONTI DEI DIRIGENTI MISURE NEI CONFRONTI DEI MEMBRI DELL ORGANO DIRIGENTE, DEL COLLEGIO SINDACALE E REVISORI, DEI MEMBRI DELL'ODV, DEI PROCURATORI DELLA SOCIETÀ MISURE NEI CONFRONTI DI TERZE PARTI COINVOLTE NEI PROCESSI SENSIBILI ATTIVITÀ INFORMATIVA E FORMAZIONE DEL PERSONALE CARATTERISTICHE DELLE PARTI SPECIALI STRUTTURA E FUNZIONI DELLE PARTI SPECIALI ALLEGATI Corvallis_ModelloOrganizzativo231.doc 4 di 48

5 1. TERMINI E DEFINIZIONI 1.1 GLOSSARIO TERMINE Action Plan Amministratore delegato ATI Attività sensibile o processo sensibile SIGNIFICATO Si intende la predisposizione di un piano con la definizione delle azioni e delle relative tempistiche Membro del Consiglio di amministrazione cui il consiglio stesso delega le proprie attribuzioni. Si intende l associazione temporanea d impresa finalizzata alla partecipazione a gare d appalto pubbliche o alla stipulazione di contratti di appalto tra privati. Si intende un operazione o una serie di operazioni svolte ordinariamente dal personale dipendente nell ambito delle proprie mansioni e che, per la loro caratteristica, richiedono l applicazione di specifici controlli al fine di limitare l esposizione al rischio di commissione dei reati previsti dal D.Lgs 231/01. Audit Best Practice Codice Etico Collaboratore Collegio Sindacale Consiglio di Si intende l attività atta a determinare tramite indagine l adeguatezza ed aderenza di un processo o organizzazione a stabilite procedure, istruzioni operative, specifiche, standard ed altri requisiti funzionali e a verificarne l applicazione. Si intende una tecnologia, o un metodo, del quale si sa tramite esperienze compiute che essa conduce ad un risultato atteso. Best Practice è la tecnologia utilizzata nel caso in cui si voglia essere sicuri del proprio successo. In tal caso, si utilizzano tutte le tecnologie e lo stato delle conoscenze esistenti che notoriamente conducono al successo. Indica i principi etici della Società finalizzati ad evitare comportamenti che possono comportare le fattispecie di reato previste dal D.Lgs 231/01. Si intende il soggetto esterno alla Società che svolge un attività lavorativa a tempo determinato per l azienda in base a specifico contratto regolamentato dalla legge (quali i collaboratori a progetto e i lavoratori interinali/somministrati). Il collegio sindacale è l'organo di controllo interno della società per azioni, con funzioni di vigilanza sull'amministrazione della società. E l'organo amministrativo delle società la cui amministrazione è affidata ad un collegio di amministratori a cui fa capo il presidente del consiglio di Corvallis_ModelloOrganizzativo231.doc 5 di 48

6 TERMINE Amministrazione Consulente Controllo Interno Corporate Governance Datore di Lavoro Decreto Destinatari Dirigenti/Direttori Gap Analisys Key-officer SIGNIFICATO amministrazione. Si intende il soggetto esterno alla società che svolge un attività professionale non continuativa ed in piena autonomia a favore della stessa in base a specifico accordo contrattuale. Si intende l insieme delle Procedure Aziendali poste in essere per garantire la corretta esecuzione delle attività aziendali, l affidabilità, l accuratezza e la completezza delle informazioni, nonché la salvaguardia del patrimonio aziendale. Si definisce governo d'impresa, o governo societario, l'insieme di regole, di ogni livello (leggi, regolamenti etc.) che disciplinano la gestione della società stessa. Il governo d'impresa include anche le relazioni tra i vari attori coinvolti (gli stakeholder, ossia chi detiene un qualunque interesse nella società) e gli obiettivi per cui l'impresa è amministrata. Si intende il soggetto titolare del rapporto di lavoro con i Lavoratori o, comunque, il soggetto che, secondo il tipo e l'assetto dell'organizzazione nel cui ambito i Lavoratori prestano la propria attività, ha la responsabilità, in virtù di apposita delega, dell'organizzazione stessa o dell'unità Produttiva in quanto esercita i poteri decisionali e di spesa. Indica il Decreto Legislativo 8 Giugno 2001 n 231 e successive integrazioni e modificazioni Sono i soggetti sia dipendenti che terzi rispetto alla Società ai quali sono indirizzati i principi etici, le istruzioni operative ed il Modello Organizzativo nel suo insieme, ciascuno secondo i livelli di responsabilità a loro attribuiti. Si intendono i lavoratori preposti alla direzione di una o più aree aziendali con autonomia decisionale a cui compete promuovere, gestire e coordinare la realizzazione degli obiettivi aziendali. Si intende l attività volta ad individuare la distanza (il Gap) tra una situazione reale e quella potenziale, esaminandola in maniera esaustiva ed individuando gli elementi mancanti per colmare tale distanza. Si intendono i responsabili di funzione con conoscenza approfondita dei processi/attività sensibili e dei relativi meccanismi di controllo in essere. I Key Officer sono i soggetti responsabili di dare informazioni necessarie a comprendere: le attività di dettaglio svolte nell ambito del processo sensibile; le funzioni ed i soggetti coinvolti nel processo ed i relativi ruoli e Corvallis_ModelloOrganizzativo231.doc 6 di 48

7 TERMINE SIGNIFICATO responsabilità; i fattori quantitativi e qualitativi di rilevanza del processo. Linee Guida di Confindustria Masterplan Medico Competente Modello Organizzativo Modello Organismo di Vigilanza Outsourcing Personale Corvallis Policy Preposto Procedura Process owner Si tratta delle linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del Decreto, approvate il 7 marzo 2002 ed aggiornate il 31 marzo Si intende il "Piano d'azione" generale dell intero progetto, vi sono delineate le macro fasi del progetto, i tempi di realizzo e gli obiettivi da raggiungere. Si intende il medico in possesso di uno dei titoli e dei requisiti formali e professionali indicati nel Decreto Sicurezza incaricato dal Datore di Lavoro ai fini della valutazione dei rischi e al fine di effettuare la Sorveglianza Sanitaria ed adempiere tutti gli altri compiti di cui al Decreto sulla Sicurezza nei luoghi di lavoro. Indica il modello di organizzazione, gestione e controllo idoneo a prevenire i reati e predisposto dalla società ai sensi del D.Lgs 231/01. Indica il sistema di organizzazione, gestione e controllo strutturato dal Codice etico, modello organizzativo e dalle procedure e protocolli. L organismo, nominato dalla Società, dotato di autonomi poteri di iniziativa e controllo di cui all art. 6 del D. Lgs 231/01. Si intende l esternalizzazione di attività aziendali, ovvero il ricorso ad imprese esterne per lo svolgimento di alcune funzioni aziendali. Si intendono i dipendenti ed i collaboratori. Si intende l insieme di regole, direttive e principi stabiliti per la governance aziendale che sono anche indirizzate, direttamente o indirettamente, alla prevenzione dei reati di cui al D. Lgs. 231/01. Si intende il soggetto che in ragione delle competenze professionali e nei limiti dei poteri gerarchici e funzionali adeguati alla natura dell incarico conferitogli, sovrintende alla attività lavorativa e garantisce l attuazione delle direttive ricevute, controllandone la corretta esecuzione da parte dei Lavoratori ed esercitando un funzionale potere di iniziativa. Insieme di regole aziendali codificate e da applicare nello svolgimento di una specifica attività aziendale. Si intende il colui che si fa carico del risultato e ne presidia l efficacia e l efficienza complessiva, ha il compito e l autorità di gestire il processo. Corvallis_ModelloOrganizzativo231.doc 7 di 48

8 TERMINE Rappresentante dei Lavoratori per la Sicurezza Repository Responsabile del Servizio di Prevenzione e Protezione Risk Assessment Risk Table RTI Scheda Informativa Servizio di Prevenzione e Protezione Sistema disciplinare Soggetti Apicali Sorveglianza Sanitaria Start-up SIGNIFICATO Si intende il soggetto eletto o designato per rappresentare i Lavoratori in relazione agli aspetti della salute e sicurezza durante il lavoro. Si intende uno spazio virtuale ospitato su un server, destinato a contenere degli oggetti digitali (siano essi documenti testuali, immagini, applicazioni, video etc.) affinché siano fruibili dal maggior numero possibile di utenti. Si intende il soggetto in possesso delle capacità e dei requisiti professionali indicati nel Decreto Sicurezza, designato dal Datore di Lavoro, a cui risponde, per coordinare il Servizio di Prevenzione e Protezione. Si intende il processo che permette di identificare e valutare i rischi aziendali, nonché di sviluppare strategie di controllo idonee ad assicurare una maggiore copertura delle aree in cui sono presenti i rischi significativi Si intende la tabella dei rischi, ovvero la mappatura dei rischi e delle criticità associati all area sensibile. Si intende il raggruppamento temporaneo di imprese, finalizzato alla partecipazione a gare d appalto pubbliche o alla stipulazione di contratti d appalto tra privati. Modello definito dall ODV per le comunicazioni periodiche dei dati relativi ad ogni singolo processo sensibile. Si intende l'insieme delle persone, sistemi e mezzi esterni o interni all azienda finalizzati all'attività di prevenzione e protezione dei rischi professionali per i Lavoratori. Si intende il sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello Organizzativo. Si intendono le persone che rivestono funzioni di rappresentanza, di amministrazione, o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone che esercitano, anche di fatto, la gestione ed il controllo dello stesso di cui all art. 5 comma 1, lettera a del D. Lgs. 231/01. Si intende l'insieme degli atti medici finalizzati alla tutela dello stato di salute e sicurezza dei Lavoratori in relazione all'ambiente di lavoro, ai fattori di rischio professionali, ed alle modalità di svolgimento dell'attività lavorativa. Si intende l'operazione e il periodo durante il quale si avvia un progetto/attività. Corvallis_ModelloOrganizzativo231.doc 8 di 48

9 1.2 LEGENDA Le sigle e gli acronimi utilizzati nel presente Modello Organizzativo e nelle relative parti speciali sono di seguito riepilogati: SIGLA - ACRONIMO AD ATI CC CDA CP DUVRI DVR ODV RLS RSPP RTI SPP TUF SIGNIFICATO Amministratore Delegato Associazione temporanea d impresa Codice Civile Consiglio di Amministrazione Codice Penale Documento Unico di Valutazione dei Rischi da Interferenze Documento di Valutazione dei Rischi Organismo di Vigilanza Rappresentante dei Lavoratori per la Sicurezza Responsabile del Servizio di Prevenzione e Protezione Raggruppamento temporaneo di imprese Servizio di Prevenzione e Protezione Testo Unico Finanziario Corvallis_ModelloOrganizzativo231.doc 9 di 48

10 2. CONTESTO NORMATIVO 2.1 IL REGIME GIURIDICO DELLA RESPONSABILITÀ AMMINISTRATIVA PREVISTO DAL DECRETO LEGISLATIVO 8 GIUGNO 2001, N. 231 Con l'entrata in vigore del Decreto Legislativo 8 giugno 2001, n.231, in attuazione della legge delega 29 settembre 2000, n.300, è stata introdotta nell ordinamento nazionale una responsabilità in sede penale (formalmente qualificata come responsabilità "amministrativa") degli enti, al fine di adeguare la normativa italiana a quanto stabilito da alcune convenzioni internazionali ratificate dal nostro paese. La normativa in questione prevede una responsabilità degli enti che si aggiunge a quella delle persone fisiche che hanno materialmente realizzato l'illecito e che sorge qualora determinati reati siano commessi nell'interesse o a vantaggio dell'ente, in Italia o all'estero, da parte di: persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione della società, o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da parte di persone che esercitano anche di fatto la gestione e il controllo (i c.d. soggetti apicali); persone sottoposte alla direzione o alla vigilanza di uno dei predetti soggetti apicali; destinatari della normativa sono ai sensi del Decreto: gli enti forniti di personalità giuridica e le società e associazioni anche prive di personalità giuridica. Sono espressamente sottratti all'ambito di validità del Decreto: lo Stato, gli enti pubblici territoriali, gli altri enti pubblici non economici, nonché gli enti che svolgono funzioni di rilievo costituzionale. Il Decreto si applica in relazione sia a reati commessi in Italia sia a quelli commessi all'estero, purché l'ente abbia nel territorio dello Stato Italiano la sede principale e nei confronti dello stesso, non proceda lo Stato del luogo in cui è stato commesso il fatto. La responsabilità amministrativa degli enti è autonoma rispetto alla responsabilità penale della persona che ha commesso il reato. Il Decreto, nel suo testo originario, si riferiva esclusivamente ad una serie di reati commessi nei rapporti con la Pubblica Amministrazione, e precisamente ai reati di: indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico; malversazione a danno dello Stato o di altro ente pubblico; truffa in danno dello Stato o di altro ente pubblico; truffa aggravata per il conseguimento di erogazioni pubbliche; frode informatica in danno dello Stato o di altro ente pubblico; corruzione per un atto d'ufficio; corruzione per un atto contrario ai doveri d'ufficio; corruzione in atti giudiziari; Corvallis_ModelloOrganizzativo231.doc 10 di 48

11 corruzione di persona incaricata di pubblico servizio; concussione, corruzione e istigazione alla corruzione di membri degli organi delle Comunità Europee e di funzionari delle Comunità europee e di Stati esteri; istigazione alla corruzione; concussione. A tal proposito, si specifica che per Incaricato di Pubblico Servizio si intende, ai sensi dell'art. 358 c.p., colui che "a qualunque titolo presta un pubblico servizio", definito, quest'ultimo, come un'attività disciplinata da norme di diritto pubblico e da atti autoritativi, ma caratterizzata dalla mancanza di poteri autoritativi e certificativi. Per Pubblico Ufficiale, invece, si intende, ai sensi dell'art. 357 c.p., colui che "esercita una pubblica funzione legislativa, giudiziaria o amministrativa". E' pubblica la funzione amministrativa disciplinata da norme di diritto pubblico e da atti autoritativi e caratterizzata dalla formazione e dalla manifestazione della volontà della Pubblica Amministrazione, o dal suo svolgersi per mezzo di poteri autoritativi o certificativi. Attualmente per quel che concerne i reati per la commissione dei quali è prevista una responsabilità degli enti, il Decreto prende in considerazione i reati commessi nei rapporti con la Pubblica Amministrazione (art. 25) e contro il suo patrimonio (art. 24), i reati societari (art. 25-ter), i reati di falsità in monete, in carte di pubblico credito e in valori di bollo (art.25-bis), i delitti commessi con finalità di terrorismo o di eversione dell'ordine democratico (art. 25-quater), i reati contro la personalità individuale (art. 25 quinquies), i reati di insider trading (abuso di informazioni privilegiate) e di market manipulation (manipolazione del mercato) (art. 25-sexies), i reati transnazionali disciplinati dalla Legge n. 146/2006, i delitti di omicidio colposo e lesioni personali colpose gravi o gravissime commessi con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25 septies), i delitti di riciclaggio, ricettazione ed impiego di denaro, beni o utilità di provenienza illecita (art. 25 octies), reati di criminalità informatica (art. 24-bis), delitti contro l'industria e il commercio (rientrano tra questi reati la vendita di prodotti con marchi falsi, contraffatti o non veritieri, compreso il falso made in Italy) (art. 25 bis1), reati di violazione del diritto d'autore (art. 25 novies), reati a non rendere dichiarazioni o a rendere dichiarazioni mendaci all autorità giudiziaria (art. 25 decies) e i reati ambientali (art. 25 undecies) 2.2 IL MODELLO ORGANIZZATIVO QUALE FORMA DI ESONERO DELLA RESPONSABILITÀ AMMINISTRATIVA DELL ENTE Il Decreto Legislativo prevede espressamente agli artt. 6 e 7 che l'ente non risponda dei reati commessi dai soggetti c.d. apicali qualora si sia dotato di misure idonee ed efficaci di organizzazione in grado di prevenire la commissione dei reati. In particolare la responsabilità è esclusa se l ente prova: di aver adottato ed efficacemente attuato, prima della commissione del fatto, Modelli di organizzazione e di gestione idonei a prevenire reati della specie di quelli verificatisi; di aver affidato ad un organismo dell'ente, dotato di autonomi poteri di iniziativa e di controllo, il compito di vigilare sul funzionamento e l'osservanza dei Modelli e di curare il loro aggiornamento; che le persone hanno commesso il reato eludendo fraudolentemente i suddetti modelli di organizzazione e di gestione; Corvallis_ModelloOrganizzativo231.doc 11 di 48

12 che non vi è stata omessa o insufficiente vigilanza da parte dell'organismo su indicato. Un adeguata organizzazione e l adozione del modello costituiscono gli strumenti in grado di poter dare misura della diligenza dell ente e pertanto la possibilità di andare esente dalla propria responsabilità. La semplice adozione del modello da parte dell organo dirigente (Consiglio d Amministrazione) non è misura sufficiente a determinare l esonero dalla responsabilità dell ente, è necessario infatti che il modello sia efficace ed effettivo. Relativamente all efficacia il legislatore ha previsto all art. 6 comma 2 che il modello debba rispondere ai seguenti requisiti: individuare le attività nel cui ambito possono essere commessi i reati ( mappatura delle attività a rischio); prevedere specifici protocolli atti a programmare ed attuare le decisioni dell ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli. L effettività viene invece garantita dall art. 7 comma 4 che richiede all ente: una verifica periodica con eventuale modifica del modello qualora vengano scoperte significative violazioni delle prescrizioni ovvero quando intervengano mutamenti nell organizzazione o nell attività; un sistema disciplinare idoneo a sanzionare il mancato rispetto delle prescrizioni indicate nel modello. Per i reati commessi da soggetti non in posizione apicale (art. 7), il decreto prevede che l'ente è responsabile solo qualora la commissione del reato sia stata resa possibile dall'inosservanza degli obblighi di direzione e vigilanza. In ogni caso è esclusa l'omissione degli obblighi di direzione e vigilanza se, prima della commissione del reato, l'ente ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. 2.3 LE LINEE GUIDA DI CONFINDUSTRIA QUALE FONTE DEL MODELLO Il Decreto prevede che gli enti, per soddisfare le predette esigenze, possano adottare modelli di organizzazione e di gestione "sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della Giustizia che, di concerto con i Ministeri competenti, può formulare entro trenta giorni osservazioni sulla idoneità dei modelli a prevenire i reati". In conformità a tale disposizione Corvallis, nella predisposizione del presente Modello, si è ispirata alle linee guida emanate da Confindustria. Occorre tuttavia ricordare che, tali indicazioni, rappresentano un semplice quadro di riferimento a cui ogni società può rifarsi ai fini dell'adozione del Modello. Si tratta di suggerimenti cui la società è libera di ispirarsi nell'elaborazione del Modello. Ogni società dovrà, infatti, adeguare le linee guida alla realtà concreta che la caratterizza e, quindi, alle sue dimensioni ed alla specifica attività che svolge, e scegliere di conseguenza le modalità tecniche con cui procedere all'adozione del Modello. Le componenti più rilevanti del sistema di controllo suggerite da Confindustria sono: Corvallis_ModelloOrganizzativo231.doc 12 di 48

13 Codice Etico; Sistema organizzativo e sistemi di controllo e gestione; Procedure manuali ed informatiche; Poteri autorizzativi e di firma; Comunicazione al personale e sua formazione. Le componenti del sistema di controllo devono essere ispirate ai seguenti principi: verificabilità, documentabilità, coerenza e congruenza di ogni operazione; applicazione del principio di separazione delle funzioni, in ragione del quale nessuno può gestire in autonomia un intero processo; documentazione dei controlli; previsione di un adeguato sistema sanzionatorio per la violazione delle norme del Codice Etico e delle procedure previste dal Modello; individuazione dei requisiti dell'organismo di Vigilanza (OdV) tra i quali in modo particolare: autonomia e indipendenza, professionalità e continuità di azione. E' opportuno evidenziare che il mancato rispetto di punti specifici delle Linee Guida non inficia la validità del Modello. Il singolo Modello, infatti, dovendo essere redatto con riferimento alla realtà concreta della società, può discostarsi dalle Linee Guida che, per loro natura, hanno carattere generale. Corvallis_ModelloOrganizzativo231.doc 13 di 48

14 3. LA SCELTA DELLA SOCIETA E L APPROCCIO METODOLOGICO La scelta di adottare un Modello di organizzazione, gestione e controllo corrisponde all'esigenza di Corvallis di perseguire la propria missione nel rispetto rigoroso dell'obiettivo di creazione di valore per i propri azionisti e di rafforzare le competenze nazionali e internazionali nei diversi settori di business, tale iniziativa è stata assunta nella convinzione che l adozione del Modello Organizzativo, nonostante il Decreto lo individui quale elemento facoltativo e non obbligatorio, costituisce un valido strumento di sensibilizzazione di tutti coloro che operano in nome e per conto della società, al fine di garantire un comportamento eticamente condiviso, perseguendo il rispetto dei principi di legittimità, correttezza e trasparenza nello svolgimento dell'attività aziendale ed un imprescindibile mezzo di prevenzione contro il rischio di commissione dei reati previsti dal Decreto. Corvallis ha quindi attuato un progetto di analisi ed adeguamento, rispetto alle esigenze espresse dal Decreto, dei propri strumenti organizzativi di gestione e controllo, che ha portato alla realizzazione ed adozione del proprio Modello Organizzativo. 3.1 APPROCCIO METODOLOGICO GENERALE La definizione del Modello di Corvallis si è articolata nelle seguenti fasi: preliminare analisi della documentazione e delle informazioni utili alla conoscenza delle attività svolte da Corvallis e del suo assetto organizzativo; individuazione preliminare delle aree potenzialmente esposte al rischio di commissione di reati ("Aree Sensibili") e dei relativi "Responsabili"; descrizione di dettaglio delle Aree Sensibili nel loro stato attuale attraverso interviste ai Responsabili e l'analisi della documentazione aziendale esistente, con particolare riferimento a quanto già documentato nell'ambito del Sistema Gestione Qualità delle politiche sulla Privacy e sulla Sicurezza dei luoghi di lavoro; analisi dei Processi Sensibili per valutare i rischi di commissione dei Reati del D.Lgs. 231/2001 a fronte delle modalità attuali di svolgimento dei Processi Sensibili (c.d. "Risk Assessment"), confrontando lo stato attuale del sistema normativo, organizzativo, autorizzativo e del sistema di controlli interni con uno stato "ideale", idoneo a ridurre ad un rischio accettabile la commissione dei Reati nella realtà Corvallis. Questa "Gap Analysis" ha portato ad individuare alcune criticità o "gap" lì dove lo stato attuale non risultava essere sufficientemente articolato per ridurre ad un rischio accettabile la commissione dei Reati. Individuazione di soluzioni ed azioni volte al superamento o alla mitigazione delle criticità rilevate e formulazione di un "Action Plan Risk table" in cui si riportano, per ciascuna criticità/gap rilevato, gli interventi necessari per ridurre ad un livello considerato ragionevole i gap stessi. articolazione e stesura conclusiva del Modello. Corvallis_ModelloOrganizzativo231.doc 14 di 48

15 Si precisa che un preliminare esame e assessment del complesso delle attività aziendali ha condotto a considerare come residuale la possibilità di commissione dei reati contro la personalità individuale in materia di pornografia e prostituzione minorile ad eccezione dei reati di pornografia minorile (art. 600 ter c3-4 del c.p.) e Detenzione di materiale pornografico (art. 600 quater c.p.) considerati a basso rischio e dei reati in materia di riduzione o mantenimento in schiavitù, tratta di persone, acquisto e alienazione di schiavi, mutilazione degli organi genitali femminili, dei reati relativi ai delitti di criminalità organizzata, dei reati con finalità di terrorismo ed eversione dell ordine democratico ad eccezione del reato previsto dall art. 270 bis del c.p. di associazione con finalità di terrorismo o di eversione dell ordine democratico considerato a basso rischio, mentre a considerare come non applicabili i reati di vendita di sostanze alimentari non genuine come genuine e contraffazione di indicazioni geografiche o denominazioni di origine di prodotti agroalimentari. Per quanto riguarda i reati ambientali non è stata condotta alcuna analisi di rischio, tale tipologia è stata considerata a basso rischio per la realtà di Corvallis e quindi rinviata ad un successivo aggiornamento del presente Modello. Nella sezione descrittiva delle parti speciali sono trattate pertanto le categorie di reati 231 che presentano, per loro caratteristiche, un livello di rischio (inteso come possibilità di commissione del reato) nello specifico contesto Corvallis. L attività di analisi e valutazione, condotta ai fini del Risk Assessment, su tutte le tipologie di reato, si è articolata nelle seguente fasi: impostazione e avvio del Progetto; analisi della documentazione e individuazione preliminare delle aree potenzialmente esposte al rischio; Intervista con le funzioni chiave che operano all interno dei processi; attribuzione della rilevanza dei rischi individuati (quantificazione del grado di rischio); (predisposizione delle schede di rilevazione) compilazione della risk table (analisi e descrizione di dettaglio dei processi sensibili; completamento dell'analisi di "Risk Assessment" e individuazione delle criticità (Gap Analysis); evidenza dei presidi in essere in relazione ai rischi identificati ed individuazione di soluzioni volte al superamento delle criticità rilevate (Action Plan); definizione del Modello di Organizzazione, Gestione e Controllo. IMPOSTAZIONE E AVVIO DEL PROGETTO L'impostazione del progetto,volto alla redazione ed implementazione del Modello, ha comportato la costituzione di un Team di Progetto interno e di un Master Plan per la pianificazione delle macro fasi del progetto quali: Fase di risk assessment; Realizzazione del Modello Organizzativo; Start-up dell OdV; Progettazione e realizzazione del piano di formazione; Fase di verifica e mantenimento del modello. Corvallis_ModelloOrganizzativo231.doc 15 di 48

16 Al Team di Progetto sono stati assegnati i seguenti compiti: tradurre nel Modello di gestione e controllo le indicazioni contenute nel Decreto, calibrandole rispetto alla realtà propria aziendale ed in particolare rispetto ai Processi Sensibili identificati; progettare gli interventi sulle misure operative necessarie per garantire l'implementazione e l'efficacia del Modello; definire i tempi di realizzazione del Progetto e verificare lo stato di avanzamento dello stesso. ANALISI DELLA DOCUMENTAZIONE E INDIVIDUAZIONE PRELIMINARE DELLE AREE POTENZIALMENTE ESPOSTE AL RISCHIO In questa fase sono state preliminarmente raccolte la documentazione e le informazioni utili alla macro definizione delle attività svolte da Corvallis e del suo assetto organizzativo. A mero titolo esemplificativo, ma non esaustivo, le informazioni hanno in particolare riguardato: i settori economici ed il contesto in cui Corvallis opera; le modalità tipiche di conduzione del business; la tipologia delle relazioni e delle attività (es. commerciale, finanziaria, di controllo regolamentare, di rappresentanza, di contrattazione collettiva, etc.) intrattenute con Pubbliche Amministrazioni; i casi di eventuali e presunte irregolarità avvenute in passato; il quadro regolamentare e procedurale interno (es. deleghe di funzioni, processi decisionali, procedure operative); la documentazione inerente ordini di servizio, comunicazioni interne ed ogni altra evidenza documentale utile alla migliore comprensione delle attività svolte da Corvallis e del sistema organizzativo. La documentazione in formato elettronico e/o cartaceo inerente la Società e gli output del Progetto è stata archiviata e resa disponibile in uno specifico archivio consultabile dai referenti interni appartenenti al Team di Progetto e dai componenti dell'odv. Attraverso l'analisi della documentazione è stato possibile individuare, in via preliminare, i Processi Sensibili e le funzioni aziendali/aree organizzative coinvolte. Nell'ambito di tali verifiche sono stati anche identificati i referenti ed i soggetti coinvolti per ciascun Processo Sensibile. INTERVISTA CON LE FUNZIONI CHIAVE CHE OPERANO ALL INTERNO DEI PROCESSI Successivamente alla prima analisi "desk", si è proceduto ad effettuare delle interviste ai soggetti che occupano ruoli chiave nell'organizzazione aziendale (c.d. Key Officer), individuati nella fase precedente, al fine di cogliere gli aspetti salienti del ruolo/funzione e del/dei relativi processi di competenza, ovvero i processi (o fasi di essi) in cui la funzione/area/posizione organizzativa è coinvolta. ATTRIBUZIONE DELLA RILEVANZA DEI RISCHI INDIVIDUATI (QUANTIFICAZIONE DEL GRADO DI RISCHIO) Ogni rischio di commissione di reato previsto dal D.Lgs 231 è stato classificato attraverso l attribuzione di rilevanza del rischio stesso (quantificazione del grado di rischio) secondo la scala: Alto Corvallis_ModelloOrganizzativo231.doc 16 di 48

17 Medio Basso Residuale Tutto ciò in funzione di elementi quali: Settore e contesto di business di Corvallis; Tipicità delle attività (modalità e frequenza) di Corvallis Contesto regolamentare Impatto che la commissione di un determinato reato potrebbe avere a carico dell Ente. indicatori (economici, quantitativi, strategici) più significativi per stabilire il livello di rilevanza connesso al singolo processo e quale sia la loro quantificazione (in termini di valore, di numerosità o di ricorrenza). PREDISPOSIZIONE DELLE SCHEDE DI RILEVAZIONE RISK TABLE Con riferimento ad ogni funzione/area/posizione organizzativa sono stati indagati in particolare i seguenti elementi: organizzazione interna; grado di autonomia finanziaria; principali attività svolte dalla funzione/area/posizione; livello di proceduralizzazione delle attività ed esistenza di linee guida comportamentali; attività formativa ed informativa prevista; attività di controllo effettuate sulle attività svolte dalla funzione; procedura di comunicazione di dati e informazioni verso la direzione dell'area organizzativa interessata e i vertici aziendali; modalità di gestione dei rapporti con soggetti esterni. Le informazioni rilevate a livello di singoli Process Owner sono state classificate in relazione ai Processi Sensibili identificati, che sono stati quindi approfonditi ed eventualmente integrati. Per ciascun processo è stata predisposta un'apposita scheda di rilevazione e formalizzazione delle informazioni. I documenti predisposti, sono stati condivisi con i rispettivi Responsabili delle aree sensibili. Le schede reato intendono fornire unicamente una rappresentazione finale, pertanto di massima, delle diverse ipotesi di reato rilevante in funzione delle attività di business di Corvallis e dei processi ad oggi esistenti. COMPLETAMENTO DELL'ANALISI DI "RISK ASSESSMENT" E INDIVIDUAZIONE DELLE CRITICITÀ (GAP ANALYSIS) Le schede di rilevazione sono state oggetto di ulteriore elaborazione, anche mediante confronto con i singoli responsabili delle aree sensibili, per le integrazioni/precisazioni del caso. Corvallis_ModelloOrganizzativo231.doc 17 di 48

18 I risultati dell analisi di risk assessment sono stati infine presentati e condivisi con l alta Direzione e con i Responsabili delle aree sensibili. EVIDENZA DEI PRESIDI IN ESSERE IN RELAZIONE AI RISCHI IDENTIFICATI ED INDIVIDUAZIONE DI SOLUZIONI VOLTE AL SUPERAMENTO DELLE CRITICITÀ RILEVATE (ACTION PLAN RISK TABLE) In questa fase sono stati valutati e classificati i presidi a tutela della commissione dei reati, a tale proposito sono stati individuate tre macro categorie, cui corrisponde un livello crescente di mitigazione del rischio: Presidio Etico (es. Codice Etico); Controllo preventivo (misure volte a prevenire l accadimento di un evento); Controllo Successivo (attività di monitoraggio adottate per valutare ex-post la corretta gestione delle attività; es. verifiche qualità). Successivamente alla condivisione dei risultati della fase di risk assessment, sono stati valutati e condivisi gli interventi migliorativi necessari per ridurre ad un livello considerato ragionevole i gap rilevati, in funzione di un'analisi di costo-beneficio. Tre finalità principali hanno in particolare guidato questa attività: ridurre la possibilità che siano commessi i Reati previsti dal Decreto; mantenere "snello" il processo, ovvero garantire un giusto equilibrio tra controlli effettuati, linearità del processo decisionale e carico di lavoro; rendere documentata e pertanto controllabile ogni attività rilevante ai fini del Decreto. Per ciascuna Area sensibile e i relativi processi, è stato quindi identificato un piano d'azione denominato Action plan Risk table che contiene: gli interventi necessari per ridurre o eliminare il Gap; il responsabile per l'implementazione degli interventi identificati; il termine entro il quale il piano d'azione deve essere portato a compimento e lo stato di avanzamento degli interventi già in corso. Tale documento dettaglia una delle fasi previste dal Master Plan. 3.2 APPROCCIO METODOLOGICO SPECIFICO IN MATERIA DI SALUTE E SICUREZZA SUL LUOGO DI LAVORO Con specifico riferimento alle analisi e valutazioni condotte in materia di sicurezza e salute sul luogo di lavoro, per sua natura tema pervasivo di ogni ambito ed attività aziendale, l'attenzione è stata posta su quello che può essere definito il processo di "gestione dei rischi in materia di salute e sicurezza sul luogo di lavoro". Le analisi sono state condotte con l'obiettivo di: prendere atto dell'attuale stato del processo di prevenzione e protezione dei lavoratori; segnalare ambiti di carenza e aspetti di miglioramento rispetto agli interventi necessari al fine dell'adeguamento alla normativa in materia di sicurezza e salute sul lavoro (di cui al D. Lgs. 81/2008 e s.m.i.); Corvallis_ModelloOrganizzativo231.doc 18 di 48

19 predisporre un documento di sintesi di gap analysis ed una pianificazione degli interventi di miglioramento. A tali fini, lo standard di esecuzione degli interventi di valutazione è stato la norma ISO 19011:2003. In relazione agli standard di riferimento normativo e tecnico, le attività sono state ispirate alla normativa vigente in materia di salute e sicurezza sui luoghi di lavoro D. Lgs. 81/2008 e s.m.i.. Le verifiche sono state condotte attraverso: un'analisi documentale (a titolo esemplificativo sono stati analizzati: l'organigramma per la sicurezza, i mansionari, i documenti di analisi e valutazione, le procedure rilevanti in materia di sicurezza e salute sul luogo di lavoro, le istruzioni e gli ordini di servizio, le procedure di emergenza); un coinvolgimento diretto, attraverso una visita preliminare con relativa intervista, delle figure chiave in materia di sicurezza, allo scopo di accertare l effettiva applicazione degli adempimenti in termine di normativa, in particolare sono stati verificati: l organizzazione della sicurezza e le relative nomine; la valutazione dei rischi; la gestione della sicurezza. un sopralluogo presso le sedi operative per verificare l effettiva applicazione dei processi posti a tutela dei lavoratori. L attività di gap analysis è stata ispirata dalle seguenti principali finalità: ridurre la possibilità che siano commessi i reati oggetto del risk assessment; garantire un giusto equilibrio tra controlli effettuati, linearità del processo decisionale e carico di lavoro; rendere documentata e pertanto controllabile ogni attività rilevante ai fini del Decreto. Per ciascuna Criticità/Gap rilevato è stato quindi possibile identificare: un piano d'azione (ovvero gli interventi necessari per ridurre o eliminare il Gap); il livello di priorità del Gap/Piano d'azione; il responsabile per l'implementazione degli interventi identificati; il termine entro il quale il piano d'azione deve essere portato a compimento e lo stato di avanzamento degli interventi già in corso. 3.3 STESURA DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO A detta fase di analisi, diagnosi e progettazione è seguita dunque la fase realizzativa che ha condotto alla stesura del presente Modello e alla definizione degli elementi che lo compongono. Corvallis_ModelloOrganizzativo231.doc 19 di 48

20 4. IL MODELLO ORGANIZZATIVO 4.1 LE FINALITÀ DEL MODELLO L'adozione del Modello prevede un sistema di prescrizioni e strumenti organizzativi avente l'obiettivo di garantire che l'attività di Corvallis sia svolta nel pieno rispetto del Decreto, di prevenire e sanzionare eventuali tentativi di porre in essere comportamenti a rischio di commissione di una delle fattispecie di reato previste dal Decreto stesso. Pertanto il Modello ha come finalità quelle di: migliorare il sistema di Corporate Governance; predisporre un sistema strutturato ed organico di prevenzione, controllo ed individuazione delle aree e dei processi di possibile rischio nell ambito dell attività aziendale finalizzato alla riduzione del rischio di commissione dei reati individuati; radicare, nei dipendenti, organi sociali, consulenti, partner e in tutti coloro che operano in nome e per conto di Corvallis nelle "aree di attività a rischio", il rispetto dei ruoli, delle modalità operative, dei protocolli ovvero del Modello Organizzativo adottato e la consapevolezza di poter incorrere, in caso di violazione delle disposizioni ivi riportate, in un illecito passibile di sanzioni sia a carico dell'autore della violazione (sul piano civilistico, disciplinare e, in taluni casi, penale) sia a carico di Corvallis stessa (responsabilità amministrativa ai sensi del Decreto); informare tutti coloro che operano a qualsiasi titolo in nome, per conto o comunque nell'interesse di Corvallis che la violazione delle prescrizioni contenute nel Modello comporterà l'applicazione di apposite sanzioni oppure la risoluzione del rapporto contrattuale; ribadire che Corvallis non tollera comportamenti illeciti, di qualsiasi tipo ed indipendentemente da qualsiasi finalità, in quanto tali comportamenti (anche nel caso in cui la Società fosse apparentemente in condizione di trarne vantaggio) sono comunque contrari ai principi etici cui Corvallis intende attenersi; assegnare all'odv il compito di vigilare sul funzionamento e sull'osservanza del Modello e di proporne l'aggiornamento. Corvallis_ModelloOrganizzativo231.doc 20 di 48

21 4.2 LA STRUTTURA DEL MODELLO LA POLITICA (Il Codice Etico) Il Modello Organizzativo Contesto Normativo Parte Generale Metodologia e Struttura Organismo di Vigilanza Formazione e Diffusione Sistema Disciplinare Parte Speciale A REATI CONTRO LA P.A. Parte Speciale B REATI SOCIETARI Parte Speciale C REATI DI RICETTAZIONE Parte Speciale D REATI SULLA SALUTE E SICUREZZA Parte Speciale E REATI SULLA CRIMINALITA INFORM. Parte Speciale F REATI CONTRO INDUS. E COMM. Parte Speciale G REATI NUMMARI Parte Speciale H REATI VIOLAZ. DIRITTI D AUTORE Parte Speciale I REATI DI ABUSO DI MERTATO Parte Speciale L REATI TRANSNAZIONALI Procedure e Protocolli Il presente Modello è strutturato in: "Parte Generale", nella quale sono illustrate le componenti essenziali del Modello con particolare riferimento all'organismo di Vigilanza, alla formazione del personale, alla diffusione del Modello nel contesto aziendale ed extra-aziendale e alle misure da adottare in caso di mancata osservanza delle prescrizioni dello stesso; "Parte Speciale, che individua invece il cuore del Modello, specificando e descrivendo i contenuti delle diverse categorie di reato contemplate nel Decreto e considerate di potenziale rischio per Corvallis. Dette Parti Speciali, allegate al Modello Organizzativo, sono così strutturate: Parte Speciale A: "Reati contro la Pubblica Amministrazione"; Parte Speciale B: "Reati Societari"; Parte Speciale C: "Reati di ricettazione, riciclaggio ed impiego di denaro, beni ed utilità di provenienza illecita"; Parte Speciale D: "Reati in materia di salute e sicurezza sul lavoro"; Parte Speciale E: "Reati di criminalità informatica"; Parte Speciale F: "Reati contro l industria ed il commercio"; Corvallis_ModelloOrganizzativo231.doc 21 di 48

22 Parte Speciale G: "Reati nummari"; Parte Speciale H: "Reati Diritto d'autore e Dichiarazioni Mendaci ; Parte Speciale I: "Reati di abuso di mercato"; Parte Speciale L: "Reati transnazionali". Inoltre, a completamento del Modello Organizzativo e quale parte integrante sono previsti i seguenti documenti: Codice Etico; Protocolli a presidio dei rischi identificati e definiti nelle policy e procedure aziendali; Organigramma e Mansionario divulgati nel sistema di gestione per la qualità; Documentazione relativa alla fase preliminare di risk assessment: Schede Reato Risk table 4.3 I DESTINATARI DEL MODELLO Le prescrizioni del Modello sono indirizzate agli Organi Societari ed ai loro componenti, ai procuratori della Società, ai Dipendenti, ivi compresi i Dirigenti, ai Fornitori, ai Consulenti, ai Procacciatori d'affari, agli Appaltatori, ai Collaboratori della Società ecc., nonché ai membri dell'organismo di Vigilanza, in quanto non appartenenti alle categorie summenzionate I Destinatari del Modello sono tenuti a rispettarne puntualmente tutte le disposizioni di loro interesse, anche in adempimento ai doveri di lealtà, correttezza e diligenza che scaturiscono dai rapporti giuridici instaurati con Corvallis. La Società condanna qualsiasi comportamento difforme, oltre che dalla legge, dalle previsioni del Modello Organizzativo, dai dettami del Codice Etico e dalla politica della Società, anche qualora il comportamento sia realizzato nell'interesse di Corvallis ovvero con l'intenzione di arrecare ad essa un vantaggio. 4.4 LA NATURA DEL MODELLO ED I RAPPORTI CON IL CODICE ETICO Le prescrizioni contenute nel presente Modello si integrano con quelle del Codice Etico di Corvallis. II Codice Etico è stato originariamente adottato da Infracom IT in data 13 luglio 2010 e successivamente sottoposto ad un processo di rielaborazione ed aggiornamento, alla luce dei mutamenti del quadro normativo di riferimento e del nuovo assetto societario. La versione così aggiornata del Codice Etico è stata approvata dal Consiglio d'amministrazione di Corvallis contestualmente all'adozione del Modello, di cui costituisce un allegato. Il Codice Etico rappresenta uno strumento adottato in via autonoma, è suscettibile di applicazione sul piano generale da parte di Corvallis allo scopo di esprimere i principi di "deontologia aziendale" che la stessa riconosce come propri e sui quali richiama l'osservanza di tutti i Destinatari. Corvallis_ModelloOrganizzativo231.doc 22 di 48

23 il Modello risponde invece, alle specifiche esigenze previste dal Decreto, ed è finalizzato a prevenire la commissione di particolari tipologie di reati per fatti che, in quanto commessi apparentemente a vantaggio di Corvallis, possono comportare una responsabilità amministrativa in base alle disposizioni del Decreto medesimo 4.5 LE COMPONENTI DEL SISTEMA DI CONTROLLO PREVENTIVO Le componenti del sistema di controllo preventivo che sono attuate a livello aziendale per garantire l'efficacia del Modello sono: principi etici finalizzati alla prevenzione dei reati previsti dal Decreto; sistema organizzativo formalizzato; poteri autorizzativi e di firma coerenti con le responsabilità organizzative e gestionali definite; sistema di controllo di gestione per fornire tempestiva segnalazione dell'esistenza e dell'insorgere di situazioni di criticità; sistema di comunicazione e formazione del personale avente ad oggetto tutti gli elementi del Modello, compreso il Codice Etico; procedure operative, manuali od informatiche, volte a regolamentare le attività nelle aree aziendali a rischio con gli opportuni punti di controllo; sistema disciplinare adeguato a sanzionare la violazione delle norme del Codice Etico e delle altre disposizioni del Modello. Fatte comunque salve le prescrizioni del presente capitolo aventi caratteristiche comuni in relazione a tutte le fattispecie di reato previste dal Decreto, si rinvia alle Parti Speciali per quanto concerne invece i protocolli aventi caratteristiche specifiche per ciascuna tipologia di reati. 4.6 SISTEMA ORGANIZZATIVO L organizzazione di Corvallis viene definita nel Sistema di Gestione per la Qualità attraverso l organigramma, il mansionario e i relativi processi. La divulgazione del sistema organizzativo (strutture/posizioni organizzative, missioni ed aree di responsabilità) avviene tramite Ordini di Servizio comunicati al personale della società. L'Ordine di Servizio è il documento che definisce la struttura organizzativa e comunica nomine, incarichi e assegnazioni di responsabilità al primo e al secondo livello di Corvallis. In casi particolari può contenere l'assegnazione e/o descrizione dei compiti così come riportata nel mansionario. L'emanazione degli Ordini di Servizio (Comunicazioni al Personale) è in capo alla Direzione Generale, previa approvazione da parte dell'amministratore Delegato. 4.7 SISTEMA AUTORIZZATIVO Il sistema autorizzativo si traduce in un sistema articolato e coerente di deleghe di poteri e procure di Corvallis e si uniforma alle seguenti prescrizioni: le deleghe coniugano ciascun potere di gestione alla relativa responsabilità e ad una posizione adeguata nell'organigramma e devono essere aggiornate in conseguenza dei mutamenti organizzativi; Corvallis_ModelloOrganizzativo231.doc 23 di 48

24 ciascuna delega definisce e descrive in modo specifico e non equivoco i poteri gestionali del delegato ed i relativi limiti; i poteri gestionali assegnati con le deleghe e la loro attuazione sono coerenti con gli obiettivi aziendali; il delegato può disporre di poteri di spesa adeguati alle funzioni conferitegli; le procure sono conferite esclusivamente da soggetti dotati di delega di poteri o di specifico incarico e devono prevedere l eventuale attribuzione di poteri di rappresentanza, o di compiti specifici con eventuali imiti di spesa numerici; tutti coloro che intrattengono per conto di Corvallis rapporti con la Pubblica Amministrazione sono dotati di delega/procura in tal senso. 4.8 PROCESSO DECISIONALE Il processo decisionale afferente i Processi Sensibili deve ispirarsi ai seguenti criteri: ogni decisione riguardante le operazioni nell'ambito dei Processi Sensibili deve risultare da un documento scritto; non potrà comunque mai esservi identità soggettiva tra colui che decide in merito allo svolgimento di un'operazione Sensibile e colui che effettivamente la pone in essere portandola a compimento; del pari, non potrà comunque mai esservi identità soggettiva tra coloro che decidono e pongono in essere un'operazione Sensibile e coloro che risultano investiti del potere di destinarvi le eventuali risorse economiche e finanziarie. 4.9 CONTROLLO DI GESTIONE E FLUSSI FINANZIARI L'art. 6, lett.c del Decreto esplicitamente statuisce che il Modello debba "individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati. A tale scopo, il sistema di controllo di gestione adottato da Corvallis è articolato nelle diverse fasi di elaborazione del Budget annuale, di analisi dei consuntivi periodici e di elaborazione delle previsioni a livello di Società. Il sistema garantisce la: pluralità di soggetti coinvolti, in termini di congrua segregazione delle funzioni per l'elaborazione e la trasmissione delle informazioni; capacità di fornire tempestiva segnalazione dell'esistenza e dell'insorgere di situazioni di criticità attraverso un adeguato e tempestivo sistema di flussi informativi e di reporting. La gestione delle risorse finanziarie è definita sulla base di principi improntati ad una sostanziale segregazione delle funzioni, tale da garantire che tutti gli esborsi siano richiesti, effettuati e controllati da funzioni indipendenti o soggetti per quanto possibile distinti, ai quali, inoltre, non sono assegnate altre responsabilità tali da determinare potenziali conflitti di interesse. Infine, la gestione della liquidità è ispirata a criteri di conservazione del patrimonio, con connesso divieto di effettuare operazioni finanziarie a rischio, ed prevedendo la doppia firma per impiego di liquidità per importi superiori a soglie predeterminate. Corvallis_ModelloOrganizzativo231.doc 24 di 48