16. Caso studio: il modello adottato da una società di consulenza

Transcript

1 16. Caso studio: il modello adottato da una società di consulenza Premessa A mero scopo di analisi, illustriamo di seguito i punti salienti inerenti le attività di implementazione e i contenuti principali del modello organizzativo di gestione e controllo ex D. Lgs. n. 231/01 adottato dal Gruppo QUASAR di Roma, appartenente ad ASSOCONSULT. Tale società disponeva di un Sistema di Gestione Integrato (Qualità - Ambiente - Sicurezza) che sicuramente ha facilitato l introduzione e l integrazione del Modello Organizzativo secondo il D. Lgs. 231/01. Al fine di inquadrare il contesto di riferimento e contestualizzare l analisi dei rischio di seguito riportata, si specifica che la società in oggetto svolge attività di consulenza direzionale nel settore Organizzazione (ad esempio: Sistemi di Gestione UNI EN ISO 9001, UNI EN ISO 14001, OHSAS 18001, EMAS, SA 8000, Modelli Organizzativi 231, analisi e progettazione dei processi, etc.), nel settore Strategie e General Management (ad esempio: definizione di Mission, Vision, sistemi decisionali), nel Settore Formazione ; inoltre, la società eroga servizi di consulenza in merito alla Salute e Sicurezza sul Lavoro, sicurezza alimentare, Privacy. Di seguito la società viene denominata KNOWLEDGE CONSULTING. Lo schema dell Organizzazione e dei Servizi della Società è riportato nello schema. AU ODV RSPP Resp. Privacy Medico competente Rappresentante della direzione - RSGQ RSGA RSGS RLS Resp. CO Resp. AM/CM/FIN/Controllo Int. Resp RU Resp Tec. Vendite e MKT Operativo MKT Strategico Commercialista Ass RU Rapporti coi clienti Vendite Gare Offerte e Rinnovo Contratti Customer UNI ISO 10002/2006 Pubblicità e Comunicazione Telemarketing Ricerca e sviluppo AM Cosulente del Lavoro (esterno) SERVIZI Strategie / General Management Supply Chain Marketing e vendite Organizzazione Risorse Umane Amministrazione Finanza e Controllo Temporary Management Marketing Strategico Marketing Operativo e Vendite Sistema Organizzativo e cambiamento Organizzativo Sistemi Qualità / Ambiente / Sicurezza Sistemi di Gestione Integrata Sistema Qualità Sistema Ambiente Sistema Sicurezza Sistema ICT Business Intelligence Formazione Professionale Altri servizi Salute e Sicurezza sul lavoro Igiene Alimentare / Sicurezza Alimentare Rintracciabilità di filiera Certificazione di Prodotto Verifiche Ispettive di prodotto - Processo Audit di Sistema Qualità (Qualità / Ambiente / Sicurezza) Responsabilità Sociale SA 8000 Bilancio sociale D.lgs 196/03 Privacy D.lgs 231/01 Responsabilità Amministrativa ISO 27001/2006 Sicurezza delle Informazioni Organizzazione e Ottimizzazione risparmio energetico Sistema di controllo di Gestione Sistema Amministrativo Sistema Finanziario: Finanza Agevolata Il richiamo al modello organizzativo di gestione e controllo adottato da Quasar deve intendersi puramente esemplificativo e non implica alcuna valutazione, da parte di Assoconsult, in merito all esaustività del contenuto e / o idoneità ed efficacia penal preventiva del modello organizzativo citato. 30

2 16.2. Approccio metodologico La KNOWLEDGE CONSULTING ha progettato e realizzato il Modello Organizzativo 231 sulla base degli esiti della valutazione del rischio svolta si sensi della Norma UNI ISO 31000, norma che adotta la metodologia nota come Ciclo di Deming. Ciò ha agevolato notevolmente l integrazione tra i Sistemi di Gestione UNI/ISO/OHSAS ed il Modello Organizzativo 231. L analisi, effettuata utilizzando principalmente lo strumento del brainstorming, ha portato alla identificazione delle attività che costituiscono le 4 fasi della metodologia PDCA. Act Come migliorare Check Si è fatto quanto pianificato? Plan Cosa fare? Come farlo? Do Fare quanto pianificato PLAN 1. Comprendere l organizzazione ed il suo contesto. 2. Definire la politica di gestione del rischio. 3. Definire le responsabilità per la gestione del rischio Identificare i reati cui la società è esposta ed Identificare i processi e le attività sensibili intesi quali processi/attività nel cui ambito possono essere commessi reati/illeciti rilevanti ex DLgs 231/01. Stabilire la sequenza e l interazione tra i processi ed integrare il processo di gestione del rischio negli altri processi aziendali. 6. Valutare il livello di rischio di commissione dei reati/illeciti in base ai criteri e alle metodologie di gestione in essere. 7. Stabilire i meccanismo di comunicazione e reporting interni ed esterni. 8. Predisporre le azioni necessarie per conseguire i risultati pianificati e l ottimizzazione del SGI. DO 1. Definire il contesto interno ed esterno. 2. Effettuare la valutazione del rischio tramite identificazione, analisi e ponderazione del rischio. 3. Definire le azioni di trattamento del rischio (le azioni comprendono le possibili integrazioni con i Sistemi di Gestione già implementati). 4. Implementare le procedure di Controllo Interno, i protocolli necessari ed i flussi informativi. 5. Definire il sistema di deleghe e procure. 6. Emettere il Codice Etico ed il sistema sanzionatorio. 7. Implementare l Organismo di Vigilanza. 8. Svolgere corsi di Formazione ed Informazione verso i collaboratori. 9. Adottare, diffondere e dare concreta attuazione al Modello 231. CHECK 1. Effettuare un monitoraggio continuo sull adeguatezza della valutazione del rischio e del Modello 231 (monitoraggio dell evoluzione normativa e giurisprudenziale, delle eventuali violazioni del Modello e delle modifiche alla struttura aziendale). 2. Pianificare e svolgere gli Audit sul attuazione del Modello 231 da parte di tutti i collaboratori. 3. Indagare sulle eventuali violazioni del Modello Riesaminare la valutazione del rischio ed il Modello 231. ACT 1. Pianificare, implementate e verificare l efficacia delle azioni per il miglioramento definite. 2. Aggiornare la valutazione del rischio ed il Modello 231 sulla base dell evoluzione legislativa e giurisprudenziale, delle eventuali violazioni del Modello e delle modifiche della struttura aziendale. 3. Attuare il Sistema Disciplinare e Sanzionatorio. 31

3 16.3. Struttura del modello organizzativo Il Modello Organizzativo della Società, elaborato anche sulla base delle Linee Guida di Confindustria, si concretizza in un articolato sistema piramidale di principi e procedure, che si può descrivere sinteticamente come segue. Suddivisione in due parti, una generale nella quale vengono richiamati i principi generali e la normativa ed una speciale nella quale, per ogni singolo reato presupposto ritenuto rilevante, vengono previsti appositi protocolli di condotta e procedure atte a prevenire la commissione del reato stesso. Codice etico, in esso sono rappresentati i principi generali (trasparenza, correttezza, lealtà) cui si ispira lo svolgimento e la conduzione degli affari. Sistema di controllo interno, è l insieme degli strumenti volti a fornire una ragionevole garanzia in ordine al raggiungimento degli obiettivi di efficienza e di efficacia operativa, affidabilità delle informazioni finanziarie e gestionali, rispetto delle leggi e dei regolamenti, nonché salvaguardia del patrimonio sociale anche contro possibili frodi. Il sistema di controllo interno si fonda e si qualifica su alcuni principi generali, appositamente definiti nell ambito del Modello Organizzativo il cui campo di applicazione si estende trasversalmente a tutte le diverse funzioni della Società. Attività di controllo interno, sono state elaborate per tutti i processi operativi ad rischio e per i processi strumentali. Tali attività presentano un analoga struttura, che si sostanzia in un complesso di regole volte ad individuare le principali fasi di ogni processo, i reati che possono essere commessi in relazione ai singoli processi, le specifiche attività di controllo per prevenire ragionevolmente i correlativi rischi di reato, nonché appositi flussi informativi verso l Organismo di Vigilanza al fine di evidenziare situazioni di eventuale inosservanza delle procedure stabilite nei modelli di organizzazione. Gli schemi di controllo interno dovranno essere elaborati alla luce di tre regole cardine e precisamente: 1 la separazione dei ruoli nello svolgimento delle attività inerenti ai processi; 2 la c.d. tracciabilità delle scelte, cioè la costante visibilità delle stesse (ad. es. mediante apposite evidenze documentali), per consentire l individuazione di precisi punti di responsabilità e la motivazione delle scelte stesse; 3 l oggettivazione dei processi decisionali, nel senso di prevedere che, nell assumere decisioni, si prescinda da valutazioni meramente soggettive, facendosi invece riferimento a criteri precostituiti. Il Modello Organizzativo, peraltro, si completa con l istituzione di un Organismo di Vigilanza, che, come previsto dall art. 6 del Decreto legislativo 231/2001, deve essere dotato di autonomi poteri di iniziativa e di controllo, al fine di vigilare sul funzionamento, l efficacia e l osservanza del Modello Organizzativo stesso curandone altresì il costante aggiornamento. Tale profilo è ulteriore condizione per l applicazione dell esimente prevista dalla norma Individuazione dei possibili reati derivanti dalle attivita di consulenza L attività di Risk Assessment e Risk Management ha consentito di individuare i seguenti processi/attività a rischio reato: Processo commerciale. Processo di gestione amministrativa. Processo di approvvigionamento. Processo di erogazione dei servizi di consulenza. Processo di erogazione dei servizi di formazione. Processo di gestione del personale. Processo di gestione dei consulenti esterni. Processo di gestione e trattamento dei dati Le tipologie di reato di interesse per la società sono pertanto: personali e delle risorse informatiche. Processo di gestione dei procedimenti giudiziali ed arbitrali. Processo di gestione delle Ispezioni. Processi di gestione degli aspetti ambientali. Processo di gestione della salute e sicurezza sul lavoro. Processo di Gestione liberalità e No Profit. Reati nei rapporti e contro la P.A. Delitti di criminalità organizzata. Reati societari. Reati in materia di abusi di mercato. Delitti di omicidio colposo e lesioni gravi o gravissime commesse in violazione della normativa antinfortunistica. Reati di ricettazione e riciclaggio, impiego di denaro, beni ed altra utilità di provenienza illecita. Reati in materia di violazione dei diritti d autore. Reati ambientali. 32

4 Allo scopo di offrire un aiuto concreto alle società di consulenza nella elaborazione del proprio Modello Organizzativo 231, si indicano di seguito, per ciascun reato o gruppo di reati cui la Società di Consulenza è esposta, le modalità attuative dell illecito ed i controlli/presidi necessari ed implementati per tenere il rischio ad un livello accettabile. Reati 1 Malversazione a danno dello Stato o di altro ente pubblico 2 Truffa e truffa aggravata in danno dello Stato o di altro ente pubblico o delle Comunità europee 3 Indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico o delle Comunità europee 4 Frode informatica in danno dello Stato o di altro ente pubblico 5 Associazione per delinquere ed associazione per delinquere di tipo mafioso Quadro di riferimento Utilizzo di fondi ottenuti per attività di formazione o per ricerca ed innovazione tecnologica per l'acquisto di beni strumentali. Concorso con altre società (clienti) nelle malversazioni. Predisposizione ed invio alla PA di documenti contenenti dichiarazioni false o mendaci attestanti il possesso dei requisiti propri o di un cliente (riguardanti, ad esempio, il numero di dipendenti, gli indici di gravità o frequenza infortuni, il fatturato). Omissione di informazioni dovute (ad esempio: l'azienda non dichiara di aver già ottenuto contributi "de minimis"). Fatturazione alla PA di servizi non erogati. Il consulente altera sistemi informatici della P.A. in occasione di attività di consulenza presso enti della PA o presso clienti che gestiscono reti o dati informatici della PA, al fine di favorire indebitamente la società (ad esempio: modificare l importo dei tributi vs lo Stato). Partecipazione ad ATI o definizione di partnership per la realizzazione di progetti (rischio controparte) con soggetti di dubbia onorabilità dei quali un o più soggetti si avvalgono della forza intimidatrice del vincolo associativo e della condizione di assoggettamento e di omertà per commettere o indurre a commettere reati. Approvvigionamenti da soggetti di dubbia onorabilità o dei quali non si abbiano adeguate informazioni (ad esempio: titoli di studio). Assunzione di persone di dubbia onorabilità e senza adeguate informazioni (ad esempio: acquisizione di titoli di studio). Valutazione del rischio e misure di garanzia Procedure formalizzate sullo svolgimento e sulla rendicontazione delle attività finanziate. Controlli sul rispetto delle procedure e delle deleghe. Controllo sulla documentazione contabile. Controllo sui Collaboratori esterni (ad esempio: docenti). Procedure formalizzate per l ottenimento di contributi per se e per i clienti. Procedure formalizzate che prevedano che i verbali/rapportino relativi ai servizi di consulenza vs la PA debbano essere sempre sottoscritti dal cliente. Controlli sui servizi svolti e fatturati alla PA. Presenza di più funzioni per la predisposizione e sottoscrizione dei documenti attestanti i requisiti per l ottenimento del contributo o del finanziamento. Controlli sul rispetto delle procedure e delle deleghe. Esplicita previsione nei principi del Codice Etico Procedure formalizzate sul comportamento da tenere c/o il cliente. Procedure formalizzate sulla raccolta di dati ed informazioni su possibili partner, fornitori, consulenti e dipendenti (acquisizione del Certificato camerale con vigenza ed antimafia, acquisizione dei titoli di studio e delle iscrizioni agli albi professionali, indagini conoscitive sul territorio e sul contesto, etc.). Istituzione di albi fornitori. Definizione dei requisiti del personale e dei collaboratori. Controlli sul rispetto delle procedure e delle deleghe. Controllo sulla congruenza tra i prezzo pagato per la consulenza ed il prezzo di mercato. 33

5 Reati 6 Corruzione. 7 Corruzione in atti giudiziari. 8 Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci ad un autorità giudiziaria. 9 Abuso di informazioni privilegiate Quadro di riferimento Si offrono o si promettono danaro o altra utilità (ad esempio: consulenze gratuite) al pubblico ufficiale o ad un incaricato di pubblico servizio, per ritardando od omettendo un atto dovuto e/o per favorire la società relativamente a: acquisizione commesse, aggiudicazione gare, ottenimento di accreditamenti, autorizzazioni per l esercizio dell attività, verifiche da parte di personale appartenente ad organi di controllo delle Pubbliche Autorità sulla gestione amministrativa, previdenziale ed assistenziale del personale, per l ottenimento e/o rinnovo di autorizzazioni, concessioni, licenze, etc., in procedure istruttorie e simili con la Guardia di Finanza, l INPS, l INAIL, l Ispettorato del Lavoro, con funzionari competenti in materia ambiente, sicurezza e sanità, etc, per ottenimento di contributi e finanziamenti, ad esempio, per attività formativa. Esempi possono essere la promessa o l assunzione di un parente o l impegno di acquistare beni o servizi c/o un soggetto indicato. In occasione di un procedimento giudiziario o di un arbitrato si corrompe un giudice o un perito. La società nell ambito di un processo minaccia o offre danaro ad un testimone per indurlo a dichiarazioni false o ad omettere dichiarazioni. La società utilizza o comunica a terzi informazioni riservate sui propri clienti di cui è venuta a conoscenza in occasione delle attività di consulenza svolte dai propri collaboratori per trarne profitto. Valutazione del rischio e misure di garanzia Procedure formalizzate sulle attività di acquisizione dei lavori (anche mediante partecipazione a gare), sulla gestione delle verifiche ispettive da parte degli enti di controllo, sull ottenimento di autorizzazioni e licenze, sulla gestione di procedimenti giudiziari ed arbitrari e sulla gestione di omaggi e regalie con chiara definizione e separazione delle responsabilità (deleghe, procure e mansionari) e con chiara tracciabilità delle operazioni. Controlli sui flussi finanziari e sulla documentazione contabile. Definizione dell albo fornitori. Definizione dei requisiti del Personale. Controlli sul rispetto delle procedure e delle deleghe. Procedure formalizzate sul comportamento da tenere c/o il cliente (ad esempio, divieto di prelevare documenti o dati non strettamente necessari). Adozione di Policy per il trattamento dei dati del Cliente e sottoscrizione da parte dei collaboratori di specifici obblighi riservatezza. Controlli sul rispetto delle procedure e delle deleghe. 10 Omicidio colposo 11 Lesioni personali colpose Violazione della normativa antinfortunistica che porta all evento in occasione dello svolgimento di servizi di consulenza c/o il cliente. Violazione della normativa antinfortunistica che porta all evento in occasione dello svolgimento di servizi di consulenza c/o il cliente. Adozione e Certificazione da parte di un Organismo di Certificazione terzo ed indipendente di un Sistema di Gestione per la Salute e Sicurezza sul lavoro conforme alla Norma OHSAS

6 Reati 12 False comunicazioni sociali e false comunicazioni sociali in danno dei soci o dei creditori 13 Impedito controllo 14 Indebita restituzione di conferimenti 15 Illegale ripartizione degli utili e delle riserve 16 Illecite operazioni sulle azioni o quote sociali o della società controllante 17 Operazioni in pregiudizio dei creditori 18 Formazione fittizia del capitale 19 Ricettazione, Riciclaggio ed Impiego di denaro, beni o utilità di provenienza illecita 20 Scarichi su suolo, sottosuolo e acque sotterranee. 21 Attività di gestione di rifiuti non autorizzata. 22 Miscelazione di rifiuti 23 Violazione degli obblighi di comunicazione, di tenuta dei registri obbligatori e dei formulari Quadro di riferimento Indicazione di dati non veritieri o omissioni di dati ed informazioni nella redazione del bilancio e della documentazione contabile aziendale. Esibizione parziale o alterata della documentazione contabile. L'amministratore impedisce l'attività di controllo degli altri soci alterando o occultando documenti. L'amministratore fuori dei casi di legittima riduzione del capitale sociale, restituisce i conferimenti ai soci o li liberano dall'obbligo di eseguirli. L'amministratore ripartisce utili o acconti su utili non effettivamente conseguiti o destinati per legge a riserva, ovvero ripartisce riserve che non possono per legge essere distribuite. L'amministratori fuori dei casi consentiti dalla legge fa acquistare alla Società quote sociali. L'amministratore in violazione delle disposizioni di legge a tutela dei creditori, effettua riduzioni del capitale sociale o fusioni con altra società o scissioni, con l'intento di cagionare danno ai creditori. L' amministratore e i soci conferenti formano od aumentano fittiziamente il capitale sociale mediante attribuzioni di azioni o quote in misura complessivamente superiore all'ammontare del capitale sociale, sottoscrizione reciproca di azioni o quote, sopravvalutazione rilevante dei conferimenti di beni in natura o di crediti. La società acquista beni di cui conosce la provenienza illecita. La società accetta pagamenti o finanziamenti con denaro che sa di essere di provenienza illecita. La società spende danaro od utilizza beni di cui conosce la provenienza illecita. La società effettua o accetta pagamenti in contanti o tiene libretti al portatore in violazione dei limiti antiriciclaggio. La società è sprovvista di autorizzazione agli scarichi delle acque reflue. La società trasporta i rifiuti prodotti senza le necessarie autorizzazioni. La società conferisce rifiuti a ditta non autorizzata o con iscrizione all albo dei gestori ambientali scaduta o a mezzi non autorizzati (si risponde per concorso). La società miscela rifiuti pericolosi e non pericolosi (ad esempio: toner esausti e carta). La società omette o altera le registrazioni relative alla gestione dei rifiuti. Valutazione del rischio e misure di garanzia Procedure formalizzate sulla gestione delle attività amministrative (gestione contabilità, tenuta delle scritture contabili, emissione del bilancio, gestione delle comunicazioni, operazioni sul capitale) con presenza di più funzioni per lo svolgimento ed il controllo delle attività..controlli sul rispetto delle procedure e delle deleghe. Esplicita previsione nei principi del Codice Etico Procedure formalizzate sulla gestione amministrativa che definisca i limiti degli importi per la circolazione del contante. Istituzione dell Albo dei Fornitori. Adozione e Certificazione da parte di un Organismo di Certificazione terzo ed indipendente di un Sistema di Gestione Ambientale conforme alla Norma UNI EN ISO

7 16.5. Valutazione dei rischi di reato derivanti dalle attività della knowledge enterprise Di seguito si riporta una tabella in cui vengono riassunti i risultati della valutazione dei rischi. Per i processi ritenuti a rischio in relazione ai diversi reati viene definita l accettabilità del rischio in relazione ai criteri precedentemente enunciati. PROCESSI INTERESSATI FUNZIONI AZIENDALI INTERESSATE INDICE DI RISCHIO REATO Comm Gest. Amm.Va Approvvig. Serv. Di consulenza Serv. Di formazione Gest. Del personale Gest. Dei consulenti Tratt dati e Gest. ris. informatiche Contenzioso Gest. Ambientale Gest. Sicurezza No profit Gestione ispezioni AU R.AMM R. comm Resp. Tecnico RSGI Consulente RSPP SPP (medico, RLS, preposto, etc) Resp. personale Resp. Privacy ODV( Indice di rischio attuale (IR) Obiettivo Indice di rischio (OIR) Malversazione a danno dello Stato o di altro ente pubblico Indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico o delle Comunità europee Truffa in danno dello Stato o di altro ente pubblico o delle Comunità europee e Truffa aggravata per il conseguimento di erogazioni pubbliche Frode informatica in danno dello Stato o di altro ente pubblico Associazione di tipo mafioso Associazione per delinquere Istigazione alla corruzione Corruzione in atti giudiziari False comunicazioni sociali False comunicazioni sociali in danno dei soci o dei creditori X X X X X X X X X X X X X X X 5 4 X X X X X X X X 6 4 X X X X 6 4 X X X X X 5 3 X X X X X X X X X 4 3 X X X X X X X X X 4 3 X X X X X X X X X X X X X X X X X X X X 2 1 X X 4 3 X X X 2 1 X X X 2 1 Impedito controllo X X X 2 1 Indebita restituzione di conferimenti X X X

8 16.6. Organismo di vigilanza Così come previsto dall art. 6 comma 4 del d.lgs 231/2001, nelle società negli enti di piccole dimensioni i compiti dell Organismo di Vigilanza possono essere svolti direttamente dall organo dirigente. Pertanto, poiché la Società KNOWLEDGE CONSULTING rientra nella definizione data dalla Raccomandazione della Commissione Europea del (2003/361/CE) del 6 maggio 2003 di microimprese, piccole e medie imprese, i compiti dell OdV sono svolti direttamente dall Amministratore Unico. L Organismo di Vigilanza e Controllo pianifica le proprie attività, comprese le attività di informazione, formazione ed auditing ed emette almeno 2 volte l anno una relazione sulle attività svolte da sottoporre ai Responsabili di Funzione ed al responsabile del Sistema di Gestione Integrato. L Organismo di Vigilanza è automaticamente sospeso nel caso in cui Io stesso sia raggiunto da avviso di garanzia per uno dei reati di cui al D.lgs. 231/2001 e leggi collegate, fatta salva la sua completa reintegrazione in caso di mancato rinvio a giudizio. In caso di sospensione dell Organismo di Vigilanza e Controllo il ruolo è svolto ad interim dal Responsabile del Sistema di Gestione Integrato. La revoca dei poteri propri dell Organismo di Vigilanza e Controllo e l attribuzione di tali poteri ad altro soggetto, possono avvenire soltanto per giusta causa, anche legata a interventi di ristrutturazione organizzativa della società, su istanza dei soci. A tale proposito, per «giusta causa» di revoca dei poteri connessi con l incarico di membro dell Organismo di Vigilanza e Controllo può intendersi, a titolo meramente esemplificativo: gravi negligenze nell assolvimento dei compiti connessi con l incarico quali (a titolo meramente esemplificativo): l omessa redazione della relazione informativa semestrale o della relazione riepilogativa annuale sull attività svolta alla proprietà; l omessa redazione del programma di vigilanza; l «omessa o insufficiente vigilanza» da parte dell Organismo di Vigilanza e Controllo - secondo quanto previsto dall art. 6, comma 1, lett. d), D.lgs. 231/ risultante da una sentenza di condanna, anche non passata in giudicato, emessa nei confronti della società ai sensi del D.lgs. 231/2001 ovvero da sentenza di applicazione della pena su richiesta (il cosiddetto patteggiamento); l attribuzione di funzioni e responsabilità operative all interno dell organizzazione aziendale incompatibili con i requisiti di «autonomia e indipendenza» e «continuità di azione» propri dell Organismo di Vigilanza e Controllo. In affiancamento all ODV è prevista la figura del Responsabile del Sistema di gestione Integrato al quale competono funzioni di assistenza alla raccolta delle informazioni, all organizzazione dell attività dell ODV e in generale come primo livello di controllo del sistema anche per dare ulteriore garanzia in termini di sorveglianza dell intero processo organizzativo. I flussi informativi, le segnalazioni, gli indicatori dei processi sensibili, le non conformità e le azioni correttive di competenza dell ODV sono gestiti attraverso le specifiche procedure, istruzioni operative e moduli del Sistema di Gestione Integrato Ruolo e composizione ODV All ODV devono essere attribuiti i seguenti compiti: 1. verificare l adeguatezza e l efficacia del Modello Organizzativo adottato rispetto alla prevenzione ed all impedimento della commissione dei reati attualmente previsti dal D.Lgs 231/2001 e di quelli che in futuro dovessero comunque comportare una responsabilità amministrativa della persona giuridica; 2. verificare il rispetto delle modalità e delle procedure previste dal Modello Organizzativo e rilevare gli eventuali scostamenti comportamentali che emergessero dall analisi dei flussi informativi e dalle segnalazioni alle quali sono tenuti i responsabili delle varie funzioni; 3. formulare proposte alla Direzione per gli eventuali aggiornamenti ed adeguamenti del Modello Organizzativo adottato da realizzarsi mediante le modifiche e/o le integrazioni che si rendessero necessarie in conseguenza di (a) significative violazioni delle prescrizioni del Modello Organizzativo, (b) significative modificazioni dell assetto interno della Società e/o delle modalità di svolgimento delle attività d impresa, (c) modifiche legislative al DLgs 231/2001 o che comunque prevedano nuove ipotesi di responsabilità diretta della persona giuridica; 4. a seguito dell accertamento di violazioni del Modello Organizzativo, segnalare tempestivamente le stesse alla Direzione per gli opportuni provvedimenti disciplinari che dovranno essere irrogati; l ODV ha l obbligo di informare immediatamente la Direzione qualora le violazioni riguardassero i soggetti di vertice della Società; 37

9 5. predisporre una relazione informativa, su base almeno semestrale, per la Direzione, in ordine alle attività di verifica e controllo compiute ed all esito delle stesse. Per l espletamento dei suddetti compiti, all Organismo sono attribuiti i più ampi poteri. In particolare: le attività poste in essere dall ODV non potranno essere sindacate da alcun altro organismo o struttura aziendale; è autorizzato il libero accesso dell ODV presso tutte le funzioni della Società - senza necessità di alcun consenso preventivo - onde ottenere ogni informazione o dato ritenuto necessario per lo svolgimento dei compiti previsti dal DLgs 231/2001; l ODV potrà avvalersi dell ausilio di tutte le strutture della Società o della quale questa si avvale, ovvero di consulenti esterni perché collaborino nell esecuzione dell incarico sotto la diretta sorveglianza e responsabilità dell Organismo stesso, nonché chiedere ai rappresentanti aziendali, di volta in volta identificati dall ODV, di partecipare alle relative riunioni; è attribuita all ODV, per l espletamento delle attività proprie, piena autonomia economico/gestionale, non condizionata da limiti di spesa anche se per prassi nel momento di conferimento dell incarico viene previsto un budget di spesa comunque integrabile su richiesta dell ODV. La composizione dell ODV può essere sia di tipo monocratico (ad esempio: un professionista o il Titolare, ma solo nelle piccole imprese) o collegiale (ad esempio: professionista tecnico interno) Protocolli di condotta Sulla base dell analisi dei rischi e della documentazione esistente di seguito si ipotizza una tabella contenente i principali protocolli di condotta applicati ad una società di consulenza: PROCESSO PROCEDURA INDICAZIONI COMPORTAMENTALI Divieto di tenere comportamenti che: Accordi trasattivi FLUSSI INFORMATIVI Gestione delle risorse umane, Pianificazione, erogazione e controllo dei servizi e Identificazione e riesame dei requisiti del Cliente PROCESSO elenco delle trattative in corso, con specifica evidenza di quelle gestite in deroga. elenco delle transazioni concluse, con specifica evidenza di quelle gestite in deroga. Acquisti di beni e Servizi PROCEDURA PSGI Gestione degli Approvvigionamenti e PSGI Valutazione dei Fornitori INDICAZIONI COMPORTAMENTALI Divieto di tenere comportamenti che: FLUSSI INFORMATIVI elenco degli acquisti effettuati in deroga ai requisiti sopra esposti (a titolo esemplificativo acquisti fatti da fornitori non qualificati o con punteggio di qualificazione/omologazione insufficiente, acquisti svolti in mancanza di attività selettiva e comparativa tra i fornitori, acquisti svolti dalle funzioni utenti in mancanza di una delega formalizzata per lo svolgimento dell attività di acquisto ecc.). PROCESSO Selezione ed assunzione del personale PROCEDURA Gestione delle risorse umane INDICAZIONI COMPORTAMENTALI Divieto di tenere comportamenti che: FLUSSI INFORMATIVI elenco delle assunzioni effettuate in deroga ai principi sopra elencati; consuntivo delle attività di formazione/informazione sul Modello Organizzativo svolte nel periodo con espressa indicazione delle attività rivolte alle aree a rischio. numero di Non Conformità rilevate nel processo. 38

10 PROCESSO Consulenze e prestazioni professionali PROCEDURA Gestione degli Approvvigionamenti e Valutazione dei Fornitori INDICAZIONI COMPORTAMENTALI Divieto di tenere comportamenti che: FLUSSI INFORMATIVI piano annuale consulenze e relativi aggiornamenti periodici; consuntivo attività di consulenza suddivise per fornitore. elenco delle attività di consulenza gestite in deroga ai principi standard. PROCESSO Sponsorizzazioni, Liberalità e No Profit PROCEDURA INDICAZIONI COMPORTAMENTALI Divieto di tenere comportamenti che: FLUSSI INFORMATIVI Pianificazione, erogazione e controllo dei servizi e Identificazione e riesame dei requisiti del Cliente report periodico dei progetti di sponsorizzazione realizzati. numero di Non Conformità rilevate nel processo I flussi informativi vs l organismo di vigilanza L Art. 6 c. 2 lett. d) del Decreto legislativo 231/2001 individua specifici obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli. È stato previsto un sistema di reportistica, sistematico e strutturato, in merito a temi/fatti a rischio, la cui rilevazione ed analisi costituisca il punto dal quale possono originare azioni di riscontro e approfondimento dell OdV su eventuali situazioni anomale e/o di reato. Di seguito, si riportano i principali flussi informativi definiti dalla società di consulenza. Detti flussi informativi sono prescritti nelle procedure di riferimento con indicazione della frequenza dell informazione, del responsabile e delle modalità di comunicazione. È stato inoltre predisposto un canale di comunicazione diretto (indirizzo di posta elettronica ad hoc). Il numero e il tipo di informazioni possono variare nel tempo in seguito a: inadeguatezza e/o incompletezza delle informazioni a fornire indicazioni utili ad agevolare l attività di vigilanza sull efficacia del Modello Organizzativo; rilevanti cambiamenti dell assetto interno della Società e/o delle modalità di svolgimento dell attività d impresa; modifiche normative al Decreto legislativo 231/2001 o che comunque prevedano nuove ipotesi di responsabilità diretta della persona giuridica. Sono inoltre definiti i seguenti ruoli e responsabilità: i dipendenti ed i dirigenti che siano a conoscenza di fatti o comportamenti che possano configurare una violazione del Modello o che non siano in linea con le regole di condotta adottate dalla Società, hanno l obbligo di segnalarlo all OdV; i segnalanti devono essere garantiti contro qualsiasi forma di ritorsione e in ogni caso sarà assicurata la riservatezza dell identità del segnalante, fatti salvi gli obblighi di legge e la tutela di chi venga accusato erroneamente e/o in mala fede; l ODV valuterà le segnalazioni ricevute e le eventuali conseguenti iniziative a sua discrezione e responsabilità, ascoltando eventualmente l autore della segnalazione e/o il responsabile della presunta violazione e motivando per iscritto eventuali rifiuti di procedere ad un indagine interna; le segnalazioni dovranno essere in forma scritta, indirizzate all ODV, alla casella appositamente predisposta; le segnalazioni pervenute devono essere raccolte e conservate in un apposito archivio al quale sia consentito l accesso ai soli membri dell ODV; 39

11 in modo analogo i consulenti hanno la facoltà di segnalare all ODV eventuali violazioni di cui siano PROCESSO venuti / PROCEDURA a conoscenza. DOCUMENTI / INFORMAZIONI Di seguito uno schema applicativo suddiviso per procedura/processo: Elenco partecipazioni a gare o negoziazioni con la Pubblica Amministrazione Elenco contratti/ordini di vendita di beni/servizi stipulati EROGAZIONE DEI SERVIZI Elenco contestazioni che la Pubblica Amministrazione ha formalmente inoltrato alla Società PROCEDIMENTI GIUDIZIALI ED ARBITRALI AUTORIZZAZIONI E RAPPORTI CON LE ISTITUZIONI ADEMPIMENTI AMBIENTALI E SICUREZZA SUL LAVORO FINANZA DISPOSITIVA ACCORDI TRANSATTIVI ACQUISTI DI BENI E SERVIZI SELEZIONE ED ASSUNZIONE DEL PERSONALE CONSULENZE E PRESTAZIONI PROFESSIONALI SPONSORIZZAZIONI, LIBERALITÀ E NO PROFIT NOTA GENERALE Elenco contenziosi in corso e conclusi Elenco delle richieste per licenze, autorizzazioni, concessioni ecc Elenco dei relativi provvedimenti ottenuti Elenco contestazioni che la Pubblica Amministrazione ha formalmente inoltrato alla Società Report su ispezioni e verifiche, in corso e concluse, in relazione alle attività di carattere ambientale e di sicurezza Eventuali non conformità/sanzioni comminate a seguito di ispezioni e verifiche Esiti delle Verifiche ispettive per il mantenimento delle certificazioni ISO 9001, ISO 14001, OHSAS Elenco dei soggetti/società che possono richiedere flussi monetari e/o finanziari (allegando i relativi poteri/procure e le deleghe operative) Elenco dei flussi monetari e/o finanziari non standard realizzati nel periodo Elenco delle trattative in corso, con specifica evidenza di quelle gestite in deroga Elenco delle transazioni concluse, con specifica evidenza di quelle gestite in deroga Elenco degli acquisti effettuati in deroga ai requisiti sopra esposti (a titolo esemplificativo acquisti fatti da fornitori non qualificati o con punteggio di qualificazione/omologazione insufficiente, acquisti svolti in mancanza di attività selettiva e comparativa tra i fornitori, acquisti svolti dalle funzioni utenti in mancanza di una delega formalizzata per lo svolgimento dell'attività di acquisto ecc.) Elenco delle assunzioni effettuate in deroga ai principi definiti Consuntivo delle attività di formazione/informazione sul Modello Organizzativo svolte nel periodo con espressa indicazione delle attività rivolte alle aree a rischio Piano annuale consulenze e relativi aggiornamenti periodici Consuntivo attività di consulenza suddivise per fornitore Elenco delle attività di consulenza gestite in deroga ai principi standard Report periodico dei progetti di sponsorizzazione realizzati Per tutti i processi / procedure è prevista la comunicazione delle possibili violazioni del Modello 231 e del SGI Per tutti i processi / procedure è prevista la comunicazione delle non conformità 40

12 Correlazione tra i documenti del Modello Organizzativo 231 e quelli del Sistema di Gestione Integrato DOCUMENTI DEL MODELLO 231 DOCUMENTI DEL SISTEMA DI GESTIONE INTEGRATO CE Codice Etico Politica PSGI Politica per la Qualità, l Ambiente e la Sicurezza Pianificazione, erogazione e controllo dei servizi MMO Manuale del Modello Organizzativo 231 MSGI Manuale del Sistema di Gestione Integrato PCI 01 Vendita di beni e servizi PSGI Identificazione e riesame dei requisiti del Cliente PSGI Progettazione e sviluppo PCI 04 Adempimenti per attività di carattere ambientale e in materia di salute e sicurezza sul lavoro MSGI RAAI DS Manuale del Sistema di Gestione Integrato Rapporto di Analisi Ambientale Iniziale Documento della Sicurezza PCI 07 Acquisti di beni e servizi PSGI PSGI Gestione degli Approvvigionamenti Valutazione dei Fornitori PCI 09 Consulenze e prestazioni professionali PSGI PSGI Gestione degli Approvvigionamenti Valutazione dei Fornitori PCI 08 Selezione ed assunzione del personale PSGI Gestione delle risorse umane PSGI Gestione delle risorse umane PCI 05 Finanza dispositiva PSGI Gestione degli Approvvigionamenti PSGI Erogazione e monitoraggio del servizio PCI 10 Sponsorizzazioni, Liberalità e No Profit MSGI Manuale del Sistema di Gestione Integrato PCI 06 Accordi transattivi PSGI IO Gestione delle Non Conformità Gestione Segnalazioni Clienti PCI 02 Procedimenti giudiziali ed arbitrali PSGI IO Gestione delle Non Conformità Gestione Segnalazioni Clienti PCI 03 Autorizzazioni e Rapporti con le Istituzioni MSGI Manuale del Sistema di Gestione Integrato MSGI Manuale del Sistema di Gestione Integrato Tutte le procedure del MO 231 Tutte le procedure del Modello Organizzativo 231 per quanto riguarda la gestione di: documentazione; flussi informativi interni e esterni; verifiche ispettive; non conformità; misurazione e controllo dei processi; responsabilità del personale. PSGI PSGI PSGI PSGI PSGI Gestione della Documentazione e delle Registrazioni Miglioramento continuo Verifiche Ispettive Interne Gestione delle Non Conformità Gestione delle Azioni Correttive e Preventive PSGI Sorveglianza e misurazioni PSGI Procedura Gestione Integrata 41

13 Una volta stabilito il Modello, sono appannaggio della Società tutta una serie attività che di seguito elenchiamo: l adozione del modello (Analisi dei Rischi Procedure o Procotolli Modulistica Organigrammi e Mansionari); divulgazione e formazione interna (piano formativo); identificazione dei destinatari del modello (creazione di apposita lista di distribuzione); nomina dell ODV e stesura dello Statuto dell ODV; pianificazione delle attività di Audit interno; predisporre sistema per la gestione dei flussi informativi verso l ODV; diffusione del Sistema Disciplinare e del Codice Etico.