DOCUMENTO ILLUSTRATIVO DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO. Aviva Italia S.p.A.

Transcript

1 DOCUMENTO ILLUSTRATIVO DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO Ai sensi dell art. 6, comma 1, lett. a) del Decreto Legislativo n. 231 dell 8 giugno 2001 Aviva Italia S.p.A. EDIZIONE MARZO 2015 (approvato dal CDA del 23 Marzo 2015) 1 Via Scarsellini, Milano - Tel Fax

2 Indice Definizioni... 3 Glossario e acronimi... 4 Parte Generale... 5 Premessa Descrizione del quadro normativo La responsabilità amministrativa delle persone giuridiche Presupposti della responsabilità amministrativa delle persone giuridiche Reati presupposto Ambito territoriale di applicazione del Decreto Sanzioni applicabili Vicende modificative dell ente Presupposti di esclusione della responsabilità amministrativa dell ente Il Modello di organizzazione, gestione e controllo di Aviva Italia S.p.A Struttura del Gruppo Aviva Italia S.p.A Modello di governance societaria Il Sistema dei Controlli Interni Processi esternalizzati Adeguamento di Aviva Italia S.p.A. alle previsioni del Decreto Linee guida delle associazioni di categoria Costruzione del Modello Componenti del Modello Struttura del Modello Parte Generale Parte Speciale Adozione del Modello nell ambito del Gruppo Aviva in Italia Componenti del Modello: descrizione Codice Etico Sistema organizzativo Sistema dei poteri (principi e logiche di attribuzione delle deleghe e dei poteri) Politiche, business standard e procedure operative Controllo di gestione e dei flussi finanziari Sistema informativo (inclusivo da/verso l Organismo di Vigilanza) Sistema delle segnalazioni Programma di sensibilizzazione e formazione del Modello Il sistema disciplinare e sanzionatorio a fronte di violazioni del Modello Accertamento della violazione Misure nei confronti dei Dipendenti non dirigenti Misure nei confronti dei Dipendenti dirigenti Misure nei confronti dei collaboratori esterni e degli intermediari Misure nei confronti degli Amministratori Misure nei confronti dei Sindaci Misure nei confronti dei componenti dell Organismo di Vigilanza L Organismo di Vigilanza Caratteristiche dell Organismo di Vigilanza Composizione Durata, nomina, revoca e cessazione Regolamento dell Organismo di Vigilanza Funzioni e poteri Modalità di interazione con le altre funzioni aziendali Flusso informativi verso l Organismo di Vigilanza Flussi informativi dall Organismo di Vigilanza Raccolta e Conservazione delle informazioni Aggiornamento ed adeguamento del Modello

3 Definizioni - Attività Sensibili : attività aziendali esposte alla potenziale commissione dei reati di cui al D. Lgs. n. 231/ Capogruppo : Aviva Italia Holding S.p.A. - Codice Etico : Codice Etico del Gruppo Aviva in Italia approvato, e quindi proprio, da ciascuna impresa/società. - Dipendenti : i soggetti aventi un rapporto di lavoro subordinato, ivi compresi i dirigenti, nonché i dipendenti in regime di somministrazione di lavoro che prestano la propria attività per la società (cd. lavoratori somministrati ) e i dipendenti distaccati da altre società. - Destinatari : i destinatari del Modello che si impegnano al rispetto del contenuto dello stesso, e segnatamente: coloro che svolgono, anche di fatto, funzioni di rappresentanza, gestione, amministrazione, direzione o controllo della Società o di una unità organizzativa di questa, dotata di autonomia finanziaria e funzionale; lavoratori subordinati e collaboratori della Società, di qualsiasi grado e in forza di qualsivoglia tipo di rapporto contrattuale, ancorché distaccati all estero o presso altre società del Gruppo; chi, pur non appartenendo alla Società, opera su mandato o nell interesse della medesima; in generale, controparti contrattuali della Società. - D. Lgs n. 231/2001 o il Decreto : il Decreto Legislativo dell 8 giugno 2001 n. 231 (Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell art. 11 della legge 29 settembre 2000, n. 300) e successive modifiche e integrazioni. - Gruppo Aviva in Italia o Gruppo : Aviva Italia Holding S.p.A. e le società dalla stessa controllate ai sensi dell art commi 1 e 2 del Codice Civile. - Modello di Organizzazione, Gestione e Controllo o Modello : il presente Documento Illustrativo del Modello di Organizzazione, Gestione e Controllo e tutte le norme predisposte ai fini del Sistema di Controllo Interno a presidio del rischio di commissione dei reati di cui al D. Lgs. n. 231/ Organismo di Vigilanza o OdV : l organismo interno della Società, preposto alla vigilanza sul funzionamento e sull osservanza del Modello e di promuoverne l aggiornamento, ai sensi dell art. 6 del D. Lgs. n. 231/ Outsourcing : l accordo tra un impresa di assicurazione e un fornitore di servizi, anche se non autorizzato all esercizio di attività assicurativa, in base al quale il fornitore realizza un 3

4 processo, un servizio o un attività che verrebbero altrimenti realizzati dalla stessa impresa di assicurazione. - Process Owner : persone in grado di fornire le informazioni di dettaglio sui singoli processi aziendali e sulle attività delle singole funzioni (es. Responsabile dell Ufficio). - Società o Impresa o Ente : Aviva Italia S.p.A. - Soggetti Apicali o Apicali : persone che rivestono funzioni di rappresentanza, amministrazione o direzione o che esercitano, anche di fatto, la gestione e il controllo della stessa (art. 5, comma 1, D. Lgs. n. 231/2001). - Soggetti in posizione subordinata o anche sottoposto : soggetto sottoposto ai poteri di direzione e controllo dei soggetti apicali (ad es. dipendente, consulente, agente ecc.). - Terzi : soggetti non appartenenti ad Aviva Italia S.p.A., ai quali la medesima si rapporta nello svolgimento della propria attività. Glossario e acronimi Collegio Sindacale o Comitato per il Controllo Interno ai sensi del D. Lgs. 39/2010 o CS Consiglio di Amministrazione o CdA o Organo Amministrativo o Consiglio Organismo di Vigilanza ex D. Lgs. 231/2001 o OdV Audit Committee o Local Audit Committee o AC o LAC o Comitato per il Controllo Interno Risk Committee o Board Risk Committee o BRC o Comitato Rischi Remuneration Committee o RemCo o Comitato Remunerazioni Internal Audit o IA o Revisione Interna Risk Management o Funzione di Risk Management o Funzione Risk Compliance o Funzione Compliance Funzione Antiriciclaggio o Funzione Anti-Money Laundering o Funzione AML Referenti delle Funzioni di Controllo Interno ai sensi degli artt. 16,21 ter,25 del Reg.n.20 e Responsabili delle attività di controllo sulle funzioni esternalizzate di Revisione Interna /Risk management/compliance ai sensi dell art 33 del Regolamento n. 20 Responsabile delle attività di controllo sulle attività esternalizzate ai sensi dell art. 33 del Regolamento n. 20 Referente/Preposto Interno ai sensi dell art 13 del Regolamento n. 41/2012 4

5 Parte Generale Premessa La Società ha provveduto ad elaborare il presente Documento Illustrativo del Modello di Organizzazione, Gestione e Controllo tenendo conto delle Linee Guida per il settore assicurativo in materia di responsabilità amministrativa e relativi suggerimenti operativi predisposti dalla Associazione di categoria (ANIA), nonché delle altre principali Associazioni di Categoria (Confindustria, ABI), nonché degli orientamenti giurisprudenziali e dottrinali in materia e delle best practices di riferimento. Il presente documento è composto da una Parte Generale e una Parte Speciale, come di seguito rappresentato. I Destinatari sono tenuti alla conoscenza ed osservanza dei principi contenuti nel presente documento. 5

6 1. Descrizione del quadro normativo 1.1 La responsabilità amministrativa delle persone giuridiche Il Legislatore italiano, in esecuzione della delega di cui alla Legge 29 settembre 2000, n. 300, ha emanato in data 8 giugno 2001 il Decreto Legislativo n. 231, recante la Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, adeguando la normativa italiana in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali. Il Legislatore Delegato, ha introdotto una responsabilità amministrativa della persona giuridica che si aggiunge a quella (penale) della persona fisica che ha materialmente commesso il reato. Tali responsabilità sono entrambe oggetto di accertamento nel corso del medesimo procedimento innanzi al giudice penale. 1.2 Presupposti della responsabilità amministrativa delle persone giuridiche Il Decreto ha delimitato l ambito dei soggetti destinatari della normativa agli enti forniti di personalità giuridica, società e associazioni anche prive di personalità giuridica (di seguito, in breve, enti ). Secondo quanto previsto dal Decreto, gli enti rispondono in via amministrativa della commissione dei reati, analiticamente indicati dal Legislatore nel Decreto e sue successive integrazioni, qualora sussistano determinati presupposti, e segnatamente: - sia stato commesso uno dei reati previsti dal Decreto (di seguito, reati presupposto ); - il reato sia stato commesso nell interesse o a vantaggio dell ente; - il reato sia stato commesso da un soggetto apicale o da persone sottoposte alla sua direzione o vigilanza. Infatti, presupposto per la determinazione della responsabilità dell ente è la commissione di determinati reati nell interesse o a vantaggio dell ente stesso da parte di: - persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché persone che esercitano, anche di fatto, la gestione e il controllo dell ente (c.d. soggetti in posizione apicale o Soggetti Apicali ); - persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui al punto precedente (c.d. soggetti in posizione subordinata o Soggetti Sottoposti ). 6

7 A questo proposito, è opportuno rilevare che potrebbero essere ricompresi nella nozione di Soggetti Sottoposti anche quei prestatori di lavoro che, pur non essendo dipendenti dell ente, abbiano con esso un rapporto tale da far ritenere sussistente un obbligo di vigilanza da parte dei vertici dell ente medesimo: quali ad esempio, i partners commerciali, i broker, riassicuratori, i promotori finanziari ecc. nonché i c.d. parasubordinati in genere, fornitori, consulenti, collaboratori. La distinzione tra le due categorie di soggetti (Apicali e Sottoposti) riveste indubbia rilevanza, in quanto ne deriva una diversa graduazione di responsabilità dell ente coinvolto, nonché una differente previsione dell onere della prova (cfr. cap. I, par. 5). Tuttavia, la responsabilità dell ente è esclusa nel caso in cui le persone che hanno commesso il reato hanno agito nell interesse esclusivo proprio o di terzi. L ente non va esente da responsabilità quando l autore del reato non è stato identificato o non è imputabile e anche nel caso in cui il reato si estingua per una causa diversa dall amnistia. È comunque prevista una forma di esonero dalla responsabilità qualora l ente dimostri di aver adottato ed efficacemente attuato modelli di organizzazione e gestione idonei a prevenire la realizzazione degli illeciti penali contemplati dal Decreto (cfr. cap. I, par. 5). 1.3 Reati presupposto Occorre precisare che le fattispecie di reato suscettibili di configurare la responsabilità amministrativa dell ente sono soltanto quelle espressamente richiamate da determinati articoli del Decreto e dettagliati nell Allegato 1. Tali fattispecie sono, per comodità espositiva, riconducibili alle seguenti categorie: - reati contro la Pubblica Amministrazione (articoli 24 e 25 1 del Decreto); - delitti informatici e trattamento illecito dei dati (articolo 24-bis del Decreto); - delitti di criminalità organizzata (articolo 24-ter del Decreto); - falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento (articolo 25-bis del Decreto); - delitti contro l industria e il commercio (articolo 25-bis.1 del Decreto); - reati societari (articolo 25-ter 2 del Decreto); 1 Art. 25 del Decreto come modificato dalla legge 6 novembre 2012, n. 190 recante Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione. 2 Art. 25-ter del Decreto come modificato dalla legge 6 novembre 2012, n. 190 recante Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione. 7

8 - delitti con finalità di terrorismo o di eversione dell ordine democratico (articolo 25-quater del Decreto); - pratiche di mutilazione degli organi genitali femminili (articolo 25-quater.1 del Decreto); - delitti contro la personalità individuale (articolo 25-quinquies del Decreto); - abusi di mercato (articolo 25-sexies del Decreto e, all interno del TUF, articolo 187- quinquies Responsabilità dell ente 3 ); - omicidio colposo o lesioni gravi o gravissime, commesse con violazione delle norme sulla tutela della salute e della sicurezza sul lavoro (articolo 25-septies del Decreto); - ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (articolo 25-octies del Decreto); - delitti in materia di violazione del diritto d autore (articolo 25-novies del Decreto); - induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all autorità giudiziaria (articolo 25-decies del Decreto); - reati ambientali (articolo 25-undecies del Decreto); - impiego di cittadini di paesi terzi il cui soggiorno è irregolare (art. 25-duodecies del Decreto); - reati transnazionali, introdotti dalla Legge 16 marzo 2006, n. 146, Legge di ratifica ed esecuzione della Convenzione e dei Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale. Occorre precisare che l ente può rispondere della commissione dei summenzionati reati presupposto anche nella forma del tentativo Ambito territoriale di applicazione del Decreto Il Decreto prevede, inoltre, che l ente possa essere chiamato a rispondere in Italia in relazione a reati - rilevanti ai fini del Decreto - commessi all estero (ai sensi dell art. 4 del Decreto), qualora ricorrano le seguenti condizioni: - che esso abbia la sede principale in Italia; - che nei confronti dell ente non proceda lo Stato del luogo in cui è stato commesso il fatto; - che, nei casi in cui il colpevole sia punito a richiesta del Ministro della Giustizia, detta richiesta sia formulata anche nei confronti dell ente stesso. Occorre precisare che le regole appena richiamate riguardano, unicamente, reati commessi interamente all'estero da Soggetti Apicali o Sottoposti. 3 L articolo 187-quinquies del TUF disciplina la responsabilità dell ente in relazione ad alcuni illeciti amministrativi previsti nello stesso Capo del TUF, secondo criteri analoghi a quelli previsti dal Decreto. 4 Ad eccezione delle fattispecie di cui all art. 25-septies del Decreto. 8

9 1.5 Sanzioni applicabili Le sanzioni previste dal Decreto a carico degli enti a seguito della commissione o tentata commissione dei reati comportanti la responsabilità amministrativa degli stessi, sono riconducibili alle seguenti categorie: - sanzioni pecuniarie; - sanzioni interdittive; - confisca del prezzo o del profitto del reato; - pubblicazione della sentenza. Quando l ente è ritenuto responsabile dei reati individuati dagli artt. 24 e ss. nella forma del tentativo, le sanzioni pecuniarie (in termini di importo) e le sanzioni interdittive (in termini di tempo) sono ridotte da un terzo alla metà 5. É esclusa l irrogazione di sanzioni nei casi in cui l ente impedisca volontariamente il compimento dell azione o la realizzazione dell evento. L esclusione di sanzioni si giustifica, in tal caso, in forza dell interruzione di ogni rapporto di immedesimazione tra ente e soggetti che assumono di agire in suo nome e per suo conto. Sanzioni pecuniarie Le sanzioni pecuniarie si applicano in tutti i casi in cui sia riconosciuta la responsabilità dell ente. Le sanzioni pecuniarie vengono applicate per quote, in numero non inferiore a cento e non superiore a mille, mentre l importo di ciascuna quota va da un minimo di 258,23 ad un massimo di 1.549,37. Il giudice determina il numero di quote sulla base dei seguenti indici: gravità del fatto, grado della responsabilità dell ente, attività svolta per eliminare o attenuare le conseguenze del fatto e per prevenire la commissione di ulteriori illeciti, mentre l importo della quota è fissato sulla base delle condizioni economiche e patrimoniali dell ente coinvolto. Sanzioni interdittive Le sanzioni interdittive, irrogabili nelle sole ipotesi tassativamente previste e solo per alcuni reati 6, salvo quanto previsto dal Codice delle Assicurazioni Private 7, sono: 5 Ad esempio, se la sanzione prevista è pari ad 2.582,3 (10 quote di 258,23), la sanzione può essere ridotta da un terzo sino alla metà di 2.582,3 e quindi la sanzione applicabile potrà variare da 1.291,5 (riduzione della metà della sanzione prevista) a 1.721,3 (riduzione di un terzo della sanzione prevista). 6 Il legislatore ha ritenuto applicabili le sanzioni interdittive solo ad alcune fattispecie di reato delle seguenti categorie: reati commessi nei rapporti con la Pubblica Amministrazione (artt. 24 e 25 del Decreto); delitti informatici e trattamento illecito dei dati (art. 24-bis del Decreto); delitti di criminalità organizzata (art. 24-ter del Decreto); falsità in monete, carte di pubblico credito, valori di bollo e in strumenti o segni di riconoscimento (art. 25-bis del Decreto); delitti contro l industria e il commercio (art. 25-bis.1 del Decreto); delitti con finalità di terrorismo o di eversione dell ordine democratico (art. 25-quater del Decreto); pratiche di mutilazione degli organi genitali femminili (art. 25-quater.1 del Decreto); delitti contro la personalità individuale (art. 25-quinquies del Decreto); omicidio colposo e lesioni gravi o gravissime, commesse in 9

10 l interdizione dall esercizio dell attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell illecito; il divieto di contrattare con la pubblica amministrazione, salvo che per ottenere le prestazioni di un pubblico servizio; l esclusione da agevolazioni, finanziamenti, contributi o sussidi e l eventuale revoca di quelli già concessi; il divieto di pubblicizzare beni e servizi. Le sanzioni interdittive hanno una durata minima di tre mesi e massima di due anni e la scelta della misura da applicare e la sua durata viene effettuata dal giudice sulla base dei criteri in precedenza indicati per la commisurazione della sanzione pecuniaria, tenendo conto dell idoneità delle singole sanzioni interdittive a prevenire illeciti del tipo di quello commesso. Confisca del prezzo o del profitto del reato Con la sentenza di condanna è sempre disposta la confisca - anche per equivalente - del prezzo 8 o del profitto 9 del reato, salvo che per la parte che può essere restituita al danneggiato e fatti salvi i diritti acquisiti dai terzi in buona fede. Pubblicazione della sentenza La pubblicazione della sentenza di condanna in uno o più giornali, per estratto o per intero, può essere disposta dal giudice, unitamente all affissione nel comune dove l ente ha la sede principale, quando è applicata una sanzione interdittiva. La pubblicazione è eseguita a cura della cancelleria del giudice competente ed a spese dell ente. violazione delle norme sulla tutela della salute e sicurezza sul lavoro (art. 25-septies del Decreto); ricettazione, riciclaggio ed impiego di denaro, beni o utilità di provenienza illecita (art. 25-octies del Decreto); delitti in materia di violazione del diritto d autore (art. 25-novies del Decreto); reati ambientali (art. 25-undecies del Decreto). 7 L art. 266 del Codice delle Assicurazioni Private (D.Lgs. 209/05), rubricato responsabilità per illecito amministrativo dipendente da reato, al comma 4, dispone che le sanzioni interdittive indicate nell art. 9, comma 2, lett. a) e b), del D.Lgs. 8 giugno 2001, n. 231, non possono essere applicate in via cautelare alle imprese di assicurazione o di riassicurazione. Alle medesime non si applica, altresì, l art. 15 del D.Lgs. 8 giugno 2001, n Il prezzo deve intendersi come denaro o altra utilità economica data o promessa per indurre o determinare un altro soggetto a commettere il reato. 9 Il profitto deve intendersi quale utilità economica immediatamente ricavata dall ente. 10

11 1.5.1 Vicende modificative dell ente Il Decreto disciplina, inoltre, il regime della responsabilità patrimoniale dell ente per le sanzioni irrogate con riferimento a vicende modificative, quali la trasformazione, la fusione, la scissione e la cessione d azienda. In particolare, in caso di trasformazione, l ente trasformato rimane responsabile anche per i reati commessi anteriormente alla data in cui la trasformazione ha avuto effetto. Per quanto concerne la fusione, anche per incorporazione, l ente risultante dalla fusione risponde anche dei reati di cui erano responsabili gli enti partecipanti alla fusione stessa. In linea generale, nel caso di scissione parziale la società scissa rimane responsabile per i reati commessi anteriormente alla data in cui la scissione ha avuto effetto. Gli enti beneficiari della scissione parziale e totale diventano solidalmente responsabili per il pagamento delle sanzioni pecuniarie irrogate all ente scisso, nel limite del valore effettivo del patrimonio netto trasferito. Per quanto concerne le fattispecie di cessione e conferimento di azienda, il Decreto prevede una disciplina unitaria. In particolare, nel caso di cessione di azienda, il cessionario è solidalmente responsabile con il cedente per le sanzioni pecuniarie irrogate in relazione ai reati commessi nell ambito dell azienda ceduta, nel limite del valore trasferito e delle sanzioni risultanti dai libri contabili obbligatori ovvero delle sanzioni dovute ad illeciti dei quali il cessionario era comunque a conoscenza. É comunque fatto salvo il beneficio della preventiva escussione dell ente cedente. 1.6 Presupposti di esclusione della responsabilità amministrativa dell ente Il Decreto prevede forme di esonero della responsabilità amministrativa degli enti. In particolare, l articolo 6 stabilisce che, in caso di reato commesso da un Soggetto Apicale, l ente non risponde se prova che: - l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; - il compito di vigilare sul funzionamento e l osservanza dei modelli e di curare il loro aggiornamento è stato affidato ad un organismo della società dotato di autonomi poteri di iniziativa e di controllo; 11

12 - le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; - non vi è stata omessa o insufficiente vigilanza da parte dell organismo di vigilanza. Pertanto, nel caso di reato commesso da Soggetti Apicali, sussiste in capo all ente una presunzione di responsabilità dovuta al fatto che tali soggetti esprimono e rappresentano la volontà dell ente stesso. Tale presunzione, tuttavia, può essere superata se l ente riesce a dimostrare la sussistenza delle succitate quattro condizioni di cui all art. 6 del Decreto. In tal caso, pur sussistendo la responsabilità personale in capo al Soggetto Apicale, l ente non è responsabile ai sensi del Decreto. Al fine della prevenzione dei reati (art. 6 del Decreto), il modello di organizzazione, gestione e controllo deve: - individuare le attività nel cui ambito possono essere commessi reati ; - prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente, in relazione ai reati da prevenire ; - individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati ; - prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli ; - introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Nello stesso modo, l art. 7 del Decreto configura la responsabilità amministrativa dell ente per i reati realizzati da Soggetti Sottoposti, se la loro commissione è stata resa possibile dall inosservanza degli obblighi di direzione o di vigilanza. In ogni caso, l inosservanza di detti obblighi di direzione o di vigilanza è esclusa se l ente dimostra di aver adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. Pertanto, in tale caso, l adozione del modello di organizzazione, gestione e controllo da parte dell ente costituisce una presunzione a suo favore, comportando, così, l inversione dell onere della prova a carico dell accusa che dovrà, quindi, dimostrare la mancata adozione ed efficace attuazione del modello stesso. Si precisa inoltre che, relativamente ai reati colposi in materia di salute e sicurezza sul lavoro contemplati dall art. 25-septies del Decreto, l art. 30 del D. Lgs. 81/2008 come successivamente integrato e modificato ( Testo Unico in materia di Salute e Sicurezza sul Lavoro ) stabilisce che il modello di organizzazione, gestione e controllo, affinché sia idoneo ad avere efficacia esimente, debba essere composto da peculiari componenti, adottato ed efficacemente attuato, assicurando che il sistema aziendale preveda specifiche procedure e disposizioni interne in grado di garantire l adempimento di tutti gli obblighi giuridici dettati dallo stesso Testo Unico. 12

13 2. Il Modello di organizzazione, gestione e controllo di Aviva Italia S.p.A. 2.1 Struttura del Gruppo Il Gruppo Aviva in Italia, risulta al 31 dicembre 2014 così composto: - una holding assicurativa e capogruppo del Gruppo Aviva in Italia: Aviva Italia Holding S.p.A. - due sub-holding di partecipazioni finanziarie: Petunia S.p.A. in Liquidazione Finoa S.r.l. - cinque imprese di assicurazione di diritto italiano operanti nel settore vita: Aviva S.p.A. Aviva Vita S.p.A. Aviva Life S.p.A. 10 Aviva Assicurazioni Vita S.p.A. Avipop Vita S.p.A. - un impresa di assicurazione di diritto irlandese operante nel settore vita: Area Life International Assurance Ltd - due imprese di assicurazione operanti nel settore danni: Aviva Italia S.p.A. 11 Avipop Assicurazioni S.p.A. - una società consortile fornitrice di servizi a favore delle compagnie del Gruppo: Aviva Italia Servizi S.c.a r.l. Ai sensi dell art del Codice Civile, Aviva Italia Holding S.p.A. esercita attività di direzione e coordinamento sulle sopracitate società facenti parte del Gruppo Aviva in Italia. Il rispetto di tale impostazione garantisce la coerenza e l efficacia dei sistemi di controllo posti in essere da tutte le imprese appartenenti al Gruppo Aviva in Italia. La società Area Life International Assurance Ltd è partecipata da Aviva Italia Holding S.p.A. per il 55 per cento e per il 45 per cento da Sopaf S.p.A.. L impresa, con sede legale in Irlanda, Dublino, autorizzata all esercizio dell attività assicurativa come da autorizzazione rilasciata dalle competenti Autorità irlandesi, opera in Italia in regime di stabilimento. 10 Dal 31/12/2014 la società Aviva Previdenza S.p.A. è stata incorporata in Aviva Life S.p.A. 11 Dal 31/12/2014 la società Aviva Assicurazioni S.p.A. è stata incorporata in Aviva Italia S.p.A. 13

14 Area Life International Assurance Ltd presenta un profilo operativo e gestionale autonomo rispetto alle altre imprese del Gruppo Aviva in Italia aventi sede in Milano. 2.2 Aviva Italia S.p.A. La Società Aviva Italia S.p.A., costituita nell esercizio 1988, è ora interamente posseduta da Aviva Italia Holding S.p.A.. La Società, come previsto dallo Statuto, ha per oggetto l esercizio in Italia e all estero dell assicurazione e della riassicurazione nel ramo danni. La Società opera sia con strutture proprie sia usufruendo dei servizi prestati dalla società consortile Aviva Italia Servizi S.c.a.r.l. e dalla Capogruppo Aviva Italia Holding S.p.A. che fornisce ad Aviva Italia S.p.A. i servizi delle funzioni di controllo interno: Risk Management, Internal Audit, Compliance, Antiterrorismo, Antiriciclaggio nonché il servizio Reclami. Il sistema di controllo interno e la gestione del profilo di rischio, inclusivo dei rischi di non conformità e di conduct, per la Società, è attuato mediante un processo di direzione e coordinamento operato dalla Capogruppo Aviva Italia Holding S.p.A. attraverso le proprie strutture dedicate alla pianificazione ed alla successiva gestione di tali attività. La Capogruppo, nell'esercizio dell'attività di direzione e coordinamento che le è propria, adotta nei confronti della Società i provvedimenti necessari per dare attuazione alle disposizioni di carattere generale e particolare impartite dall IVASS nell'interesse della stabile ed efficiente gestione del gruppo. Tali disposizioni possono riguardare il gruppo assicurativo complessivamente considerato o singole società componenti lo stesso. 2.3 Modello di governance societaria La governance della Società costituisce uno degli aspetti fondamentali per garantire l efficacia del Modello, in quanto inerente agli aspetti relativi alla ripartizione dei poteri e delle responsabilità tra gli organi sociali e le funzioni aziendali. Il sistema di corporate governance è disciplinato in un apposito documento manutenuto dalla funzione Affari Societari di Aviva Italia Servizi (S.c.a.r.l.) ed annualmente approvato dal Consiglio di Amministrazione e pubblicato sulla intranet aziendale. Di seguito, si riporta l elenco dei principali organi/organismi con una sintesi del ruolo ricoperto dagli stessi. In particolare, il sistema di corporate governance trova la sua attuazione nell ambito degli organi/organismi qui di seguito elencati: Organi Sociali 1. Assemblea degli Azionisti 2. Consiglio di Amministrazione 14

15 3. Collegio Sindacale 4. Organismo di Vigilanza (si veda apposita sezione inclusa nel presente documento) Comitati Consiliari composti da membri del Consiglio di Amministrazione della Capogruppo: 5. Audit Committee 6. Risk Committee 7. Remuneration Committee Comitati Tecnici L Assemblea degli Azionisti rappresenta l universalità dei soci e le sue delibere, prese in conformità alla legge ed al relativo statuto, obbligano tutti i soci, anche se non intervenuti o dissenzienti. L Assemblea, in sede ordinaria, delibera sulle materie, alla stessa riservate dalle disposizioni codicistiche di cui all art codice civile. L Assemblea, in sede straordinaria, delibera sulle materie, alla stessa riservate dalle disposizioni codicistiche di cui all art codice civile. Il ruolo del Consiglio di Amministrazione è stabilito dal codice civile nel sistema tradizionale e la regolamentazione dello stesso è stabilita dallo Statuto. Il Consiglio di Amministrazione è investito dei più ampi poteri per la gestione ordinaria e straordinaria della Società e ha facoltà di compiere tutti gli atti ritenuti necessari al raggiungimento dell oggetto sociale, esclusi quelli che la legge riserva tassativamente all Assemblea. Il Collegio Sindacale si riunisce almeno ogni trimestre e assiste alle riunioni del Consiglio di Amministrazione e alle Assemblee sociali. Il Collegio Sindacale svolge un controllo di legalità e di merito sull attività svolta dalla Società. In particolare, il Collegio Sindacale vigila sull osservanza della legge e dello statuto, sul rispetto dei principi di corretta amministrazione e in particolare sull adeguatezza dell assetto organizzativo, amministrativo e contabile adottato dalla Società e sul suo concreto funzionamento (ai sensi dell art codice civile), e svolge altresì le funzioni allo stesso affidate dalla normativa speciale di riferimento. Al Collegio Sindacale non spetta il controllo contabile (revisione del bilancio, individuale e consolidato, e verifica della regolare tenuta della contabilità), affidato, come richiesto dalla legge, ad una società di revisione (che è un organo di controllo esterno) designata dall Assemblea tra quelle iscritte nell'albo tenuto dalla Consob. La Società di Revisione, in particolare, offre al Collegio Sindacale un riferimento esterno ed indipendente rispetto all Alta Direzione, con particolare riguardo agli aspetti di attendibilità del sistema amministrativo contabile. Nell ambito dei propri compiti, spetta al Collegio Sindacale ed a ciascuno dei sindaci singolarmente, il diritto di procedere con atti di ispezione e controllo anche per il tramite di 15

16 propri dipendenti ed ausiliari chiedendo notizia dell andamento delle operazioni sociali o di determinati affari, estendendo la richiesta anche con riferimento alle società controllate. Al fine di assicurare al Collegio Sindacale la piena e puntuale esecuzione dei relativi compiti istituzionali, si è proceduto all approvazione di un apposita procedura, che garantisce un costante flusso di informazioni tra funzioni ed organi deputati al controllo interno della Società e del Gruppo Aviva in Italia. L Audit Committee, costituito con delibera del Consiglio di Amministrazione della Capogruppo Aviva Italia Holding S.p.A., svolge la propria funzione a favore di tutte le società del Gruppo Aviva in Italia anche mediante uno stretto coordinamento con il Risk Committee, sempre nel rispetto del ruolo istituzionale dei Collegi Sindacali. L Audit Committee riveste funzioni consultive, ed è composto da amministratori non esecutivi per la maggior parte indipendenti. Tale Comitato assiste il Consiglio di Amministrazione nella determinazione delle linee guida di indirizzo del sistema dei controlli interni, nella verifica periodica della sua adeguatezza e del suo effettivo funzionamento, nell identificazione e gestione dei principali rischi aziendali così come disciplinato da apposito Terms of reference (Regolamento). L istituzione di tale Comitato non solleva l organo amministrativo dalle proprie responsabilità. Il Risk Committee, costituito e nominato dal Consiglio di Amministrazione di Aviva Italia Holding S.p.A., svolge funzioni consultive a supporto del Consiglio stesso, affiancando l Audit Committe, ed è posto a servizio di tutte le società del Gruppo Aviva in Italia. Il Risk Committee è composto da amministratori non esecutivi per la maggior parte indipendenti. Lo stesso assiste il Consiglio di Amministrazione nel monitoraggio dei rischi, effettuando le valutazioni del profilo di rischio delle stesse e segnalando allo stesso i rischi individuati come maggiormente significativi. Il ruolo e la funzione di questo Comitato è definito all interno di uno specifico documento Terms of reference (Regolamento). Anche in questo caso, l istituzione di tale Comitato non solleva l organo amministrativo dalle proprie responsabilità Il Remuneration Committee costituito dalla Capogruppo Aviva Italia Holding S.p.A., posto a servizio di tutte le società del Gruppo Aviva in Italia, è composto da amministratori non esecutivi e per la maggioranza indipendenti. I compiti, la composizione e le modalità di funzionamento sono definiti nel relativo Terms of Reference (Regolamento) approvato, e periodicamente aggiornato, dal Consiglio di Amministrazione della Capogruppo. Tale comitato svolge in particolare, in linea con l art. 8 del Regolamento ISVAP n. 39/2011, e segnatamente: i) funzioni di consulenza e di proposta nell ambito della definizione delle politiche di remunerazione e formula proposte in materia di compensi di ciascuno degli amministratori investiti di particolari cariche; e ii) verifica della proporzionalità delle remunerazioni degli amministratori esecutivi tra loro e rispetto al personale dell impresa. L istituzione di tale Comitato non solleva l Organo Amministrativo dalle proprie responsabilità. 16

17 Nell ambito del Gruppo sono, inoltre, costituiti alcuni specifici Comitati Tecnici, che riportano all Amministratore Delegato, ed aventi funzione principalmente consultiva. I Comitati Tecnici principali attualmente esistenti sono: - Management Committee, - Asset & Liability Committee (ALCO); - Operational Risk Committee (ORC). Ogni Comitato Tecnico è disciplinato da apposito Terms of reference (Regolamento). Occorre, infine, precisare che i principi di organizzazione, gestione e controllo ai quali l assetto di governance si ispira, sono anche espressione di quanto richiesto e raccomandato dagli organi regolatori cui la Società è soggetta in ragione del settore di operatività della stessa, primo fra tutti l IVASS. 2.4 Il Sistema dei Controlli Interni Il Sistema dei Controlli interni è costituito dall insieme delle regole, delle procedure e delle strutture organizzative volte ad assicurare il corretto funzionamento ed il buon andamento dell impresa e a garantire, con un ragionevole margine di sicurezza: a) l efficienza e l efficacia dei processi aziendali; b) l adeguato controllo dei rischi attuali e prospettici; c) la tempestività del sistema di reporting delle informazioni aziendali; d) l attendibilità e l integrità delle informazioni contabili e gestionali; e) la salvaguardia del patrimonio anche in un ottica di medio-lungo periodo; f) la conformità dell attività dell impresa alla normativa vigente, alle direttive e alle procedure aziendali. Il Regolamento ISVAP n. 20 del 26 marzo 2008, principale punto di riferimento per la disciplina della materia in questione, lascia un ragionevole grado di libertà di organizzazione nell ambito del sistema di controllo interno, grazie all adozione di un approccio normativo cosiddetto principle based. Adeguandosi a quanto previsto dal Regolamento citato, il sistema di controllo interno e di gestione dei rischi della Società prima di tutto considera i rischi ed i controlli in una logica integrata e sinergica, approfondendone e ponendone in luce le interazioni, mantenendo come fondamento la puntuale identificazione delle responsabilità dei diversi attori coinvolti e soprattutto l implementazione di adeguati e strutturati meccanismi di gestione del rischio in linea con gli obiettivi definiti dal Consiglio di Amministrazione. 17

18 In particolare, il Regolamento ISVAP n. 20 del 26 marzo 2008, all art. 17, disciplina la collaborazione tra funzioni ed organi deputati al controllo, prevedendo, in particolare, la definizione e la formalizzazione da parte dell organo amministrativo dei collegamenti tra tali funzioni ed organi. Come già anticipato, la Società si è dotata di una procedura operativa per identificare tutte le funzioni e gli organi di controllo presenti nella Società e nel Gruppo Aviva in Italia e per individuare i necessari collegamenti che devono sussistere tra gli stessi affinché collaborino efficacemente ed efficientemente tra loro, scambiandosi ogni informazione utile per l espletamento dei propri compiti nell interesse della Società e del Gruppo stesso. *** Traendo spunto dall esigenza di chiarezza, trasparenza ed efficienza, in un contesto che vede talora moltiplicarsi e talvolta sovrapporsi gli organi e le funzioni di controllo, il sistema di controllo interno e gestione dei rischi del Gruppo Aviva in Italia attribuisce a tutte le funzioni aziendali adeguata collocazione nell ambito di un disegno organizzativo meditato e razionale. Le funzioni di controllo interno costituite presso la Capogruppo e che prestano servizi alle società del Gruppo sono attualmente rappresentate da: Internal Audit; Risk Management; Compliance; Antiriciclaggio. Al generale Sistema di Controllo Interno contribuisce altresì l Attuario incaricato. La Società e il Gruppo Aviva in Italia si adopererà prontamente per adattare, laddove necessario, l attuale sistema di governance e controllo alle attese modifiche del Codice delle Assicurazioni Private e della Regolamentazione IVASS (anche mediante l inserimento della Funzione di Controllo Attuariale) al fine di consentire il passaggio al regime regolamentare Solvency II sul quale peraltro la governance del Gruppo Aviva in Italia risulta già strutturata. La Funzione Internal Audit ha la finalità principale di monitorare e valutare l efficacia e l efficienza del sistema di controllo interno e le relative necessità di adeguamento, anche attraverso attività di supporto e di consulenza alle altre Funzioni aziendali. La Funzione Internal Audit uniforma la propria attività agli standard professionali comunemente accettati a livello nazionale ed internazionale verificando (i) i processi gestionali e le procedure organizzative, (ii) la regolarità e la funzionalità dei flussi informativi tra settori aziendali, (iii) l adeguatezza dei sistemi informativi e la loro affidabilità affinché non sia inficiata la qualità delle informazioni sulle quali il vertice aziendale basa le proprie decisioni, (iv) la rispondenza 18

19 dei processi amministrativo contabili a criteri di correttezza e di regolare tenuta della contabilità, (v) l efficienza dei controlli svolti sulle attività esternalizzate. Le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli organi sociali e alle altre Funzioni interessate sono definite nel mandato periodicamente rivisto, discusso e approvato dal Consiglio di Amministrazione della Capogruppo, previa discussione e preventiva positiva valutazione da parte dell Audit Committee locale, e successivamente discusso e approvato dal Consiglio di Amministrazione della Società. La Funzione Internal Audit pianifica e realizza le proprie attività di Audit e le attività di followup e le presenta, almeno annualmente, all Audit Committee e al Consiglio d Amministrazione e in linea con i dettami del Regolamento ISVAP n. 20/2008, avendo cura di sottoporre periodicamente a verifica anche le Funzioni di seconda linea: Compliance, Antiriciclaggio e Risk Management. La Funzione Internal Audit valuta la potenziale presenza di casi di frode e come l organizzazione gestisce tali rischi e, all occorrenza, comunica tempestivamente all Organismo di Vigilanza ex D. Lgs. 231/2001 eventuali criticità riscontrate. La Funzione Internal Audit svolge anche le attività espressamente attribuite dalle norme speciali emanate, ad esempio, dall Autorità di Vigilanza. Ove necessario, la Funzione può effettuare verifiche non previste dal piano di Audit. La Funzione Internal Audit collabora costantemente con le altre Funzioni di Controllo Interno e, all occorrenza, anche con l Attuario incaricato e la Società di Revisione. Inoltre, l Internal Audit incontra periodicamente le altre Funzioni di Controllo in occasione delle riunioni con il Referente/Responsabile delle Funzioni di Controllo Interno nominato ai sensi del Regolamento n. 20 e in tali occasioni le Funzioni si scambiano utili flussi informativi. Di tali incontri è redatto apposito verbale. L Internal Audit partecipa anche a tutti i Comitati Consiliari (ad esclusione del Remuneration Committee ove è invitata su richiesta ed in base alle necessità del Comitato stesso). L Internal Audit è invitato periodicamente alle riunioni dei Collegi Sindacali e dell Organismo di Vigilanza ex D. Lgs. 231/2001 per relazionare in merito alle attività svolte allo stesso. La Funzione Risk Management, insieme alla Funzione Compliance e alla Funzione Antiriciclaggio, costituisce la seconda linea di difesa nella struttura di governance dei rischi del Gruppo Aviva in Italia. È costituita in capo ad Aviva Italia Holding S.p.A. e svolge le proprie attività anche per le società del Gruppo Aviva in Italia in virtù del contratto di outsourcing intercorrente tra le stesse e la Capogruppo. Le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli organi sociali e alle altre Funzioni interessate sono definite nel mandato periodicamente rivisto e approvato dal Consiglio d Amministrazione della Capogruppo, previa preventiva positiva valutazione da parte del Risk Committee, e successivamente discusso e approvato dal Consiglio di Amministrazione della Società. 19

20 Obiettivo principale della Funzione è quello di concorrere, con le Funzioni operative, all identificazione, misurazione, valutazione e monitoraggio dei rischi maggiormente significativi, in un ottica attuale e prospettica, cui la Società è esposta. In particolare tale funzione: a) concorre alla definizione della politica di gestione del rischio e definisce i criteri e le relative metodologie di misurazione dei rischi nonché gli esiti delle valutazioni, che trasmette al Consiglio di Amministrazione. Quest ultimo, dopo averli discussi e approvati, li comunica all Alta Direzione ed alle strutture interessate unitamente alle conclusioni cui lo stesso è pervenuto; b) concorre alla definizione dei limiti operativi assegnati alle strutture operative e definisce le procedure per la tempestiva verifica dei limiti medesimi; c) valida i flussi informativi necessari ad assicurare il tempestivo controllo delle esposizioni ai rischi e l immediata rilevazione delle anomalie riscontrate nell operatività; d) effettua le valutazioni del profilo di rischio dell impresa e segnala al Consiglio di Amministrazione i rischi individuati come maggiormente significativi, anche in termini potenziali; e) predispone la reportistica nei confronti del Consiglio di Amministrazione, dell Alta Direzione e dei responsabili delle strutture operative circa l evoluzione dei rischi e l eventuale violazione dei limiti operativi fissati; f) verifica la coerenza dei modelli di misurazione dei rischi con l operatività svolta dall impresa e concorre all effettuazione delle analisi di cui all articolo 20 del Regolamento 20/2008 (vale a dire analisi prospettiche qualitative e quantitative anche attraverso l uso di stress test); g) monitora l attuazione della politica di gestione del rischio e il profilo generale di rischio dell impresa nel suo complesso. La Funzione Risk produce specifici report presentandoli al Consiglio di Amministrazione della Società. Il report a livello di Gruppo viene inoltre discusso integralmente al Risk Committee e in modo più sintetico all Audit Committee. Almeno su base annuale, il Responsabile della Funzione Risk presenta all Organo Amministrativo (previa presentazione al Board Risk Committee e parere favorevole dello stesso) un programma di attività in cui sono identificati i principali rischi cui l impresa è esposta e le proposte di attività che intende effettuare in relazione ai rischi stessi. La programmazione tiene conto anche delle carenze eventualmente riscontrate nelle attività/ controlli precedenti e di eventuali nuovi rischi. Il Responsabile della Funzione predispone, almeno una volta all anno, una relazione al Consiglio di Amministrazione sull adeguatezza ed efficacia del sistema di gestione dei rischi, delle metodologie e dei modelli utilizzati per il presidio dei rischi stessi, sull attività svolta, sulle valutazioni effettuate, sui risultati emersi e sulle criticità riscontrate, e dando conto dello stato di implementazione dei relativi interventi migliorativi, qualora effettuati. 20

21 La Funzione Risk Management collabora costantemente con le altre Funzioni di Controllo Interno e, all occorrenza, si può coordinare anche con l Attuario incaricato e la Società di Revisione. In aggiunta la Funzione Risk Management si incontra periodicamente con le altre Funzioni di Controllo in occasione delle riunioni con il Referente/Responsabile delle Funzioni di Controllo Interno nominato ai sensi del Regolamento n. 20. Di tali incontri viene redatto apposito verbale. La Funzione Risk Management partecipa a: tutti i Comitati Consiliari (ad esclusione del Remuneration Committee, ove è invitata su richiesta ed in base alle necessità del Comitato stesso), annualmente o all occorrenza alle riunioni dei Collegi Sindacali. All interno della Funzione Risk Management è, inoltre, istituita la Funzione Antiriciclaggio che come seconda linea di difesa, nominata ai sensi del Regolamento ISVAP n. 41/2012, monitora i processi aziendali finalizzati alla prevenzione del fenomeno del riciclaggio e del finanziamento al terrorismo realizzando questo servizio in outsourcing dalla Capogruppo alla Compagnia. Ai sensi del Regolamento ISVAP n. 41 è stato nominato dal Consiglio d Amministrazione il Referente che cura i rapporti con il Responsabile della Funzione Antiriciclaggio e monitora la modalità di svolgimento del servizio da parte dell outsourcer Capogruppo Aviva Italia Holding alla Compagnia. Il Referente presenta, almeno su base annuale, al Consiglio d Amministrazione le risultanze delle proprie verifiche e lo stesso incontra periodicamente il Responsabile della Funzione Antiriciclaggio per le opportune attività di monitoraggio per cui è stato nominato. La Funzione Compliance costituisce, insieme alla Funzione Risk Management e alla Funzione Antiriciclaggio, la seconda linea di difesa nella struttura di governance dei rischi del Gruppo Aviva in Italia. È costituita in capo ad Aviva Italia Holding S.p.A. e svolge le proprie attività anche per le società del Gruppo Aviva in Italia in virtù del contratto di outsourcing intercorrente tra le stesse e la Capogruppo. Le responsabilità, i compiti, le modalità operative, la natura e la frequenza della reportistica agli Organi sociali e alle altre Funzioni interessate sono definite nel andato periodicamente rivisto e approvato dal Consiglio d Amministrazione della Capogruppo, previa positiva valutazione da parte dal Risk Committee, e successivamente discusso e approvato dal Consiglio di Amministrazione della Società. La Funzione Compliance ha il compito principale di valutare che l organizzazione e le procedure interne siano adeguate al raggiungimento dei seguenti obiettivi di presidio del rischio di non-conformità e di conduct: prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di leggi, regolamenti o provvedimenti delle Autorità di Vigilanza ovvero di norme di autoregolamentazione; porre particolare attenzione al rispetto delle norme relative alla trasparenza e correttezza dei comportamenti nei confronti degli assicurati e danneggiati, 21