Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. n. 231/2001

Transcript

1 E VENETA SANITARIA FINANZA DI PROGETTO S.p.A. Modello di Organizzazione, Gestione e Controllo ai sensi del D.Lgs. n. 231/2001 Approvato dal Consiglio di Amministrazione il 26 settembre 2006 Rev_3 del 25 marzo 2014

2 INDICE PARTE GENERALE IL DECRETO LEGISLATIVO n. 231/ Il regime di responsabilità amministrativa previsto a carico delle persone giuridiche, società ed associazioni L adozione del modello di organizzazione, gestione e controllo quale esimente della responsabilità amministrativa dell ente Linee guida di Confindustria Il codice di comportamento dell ANCE ADOZIONE DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.LGS. N. 231/2001 (il Modello ) Obiettivi e finalità perseguiti con l adozione del Modello Elementi fondamentali del Modello Modello, Codice etico e sistema disciplinare Approvazione e recepimento dei principi di riferimento del Modello AREE POTENZIALMENTE A RISCHIO PRINCIPI DI CONTROLLO NELLE POTENZIALI AREE DI ATTIVITA A RISCHIO ORGANISMO DI VIGILANZA Identificazione, collocazione e funzionamento dell Organismo di vigilanza Funzioni e poteri dell Organismo di vigilanza Flussi informativi nei confronti dell Organismo di vigilanza Formazione del personale e informativa a collaboratori esterni alla società MODIFICA, IMPLEMENTAZIONE E VERIFICA DEL FUNZIONAMENTO DEL MODELLO Modifiche ed integrazioni dei principi di riferimento del Modello Implementazione del Modello e attuazione dei controlli sulle aree di attività a rischio 22

3 PARTE SPECIALE 23 A. Svolgimento delle attività B. Approccio metodologico e attività svolte.. 24 SEZIONE I: IDENTIFICAZIONE ED ANALISI DELLE AREE POTENZIALMENTE A RISCHIO DI REATO..25 Premessa 25 Matrice attività sensibili ) Matrice attività sensibili /potenziali reati associabili ex artt. 24, 25 e 25-octies D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex art. 25-ter e 25-sexies D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex art. 25-septies D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex art. 24-bis D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex artt. 24-ter e 25-novies D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex art. 25-undecies D.Lgs ) Matrice attività sensibili /potenziali reati associabili ex art. 25-duodecies D.Lgs SEZIONE II: ANALISI E VALUTAZIONE DEL MODELLO ORGANIZZATIVO ESISTENTE. 32 a) Analisi del sistema di controllo esistente..32 b) Adeguamento del sistema esistente ai requisiti del Decreto 33 c) Formalizzazione dei protocolli ex art. 6, comma 2, b) del Decreto...34 i) Protocolli adottati per reati contro la P.A, contro il patrimonio dello Stato o di altro ente pubblico e per reati di ricettazione, riciclaggio etc. (ex artt. 24, 25 e 25-octies del D.Lgs. 231/01) ii) Protocolli adottati per reati societari e reati di abuso di informazioni privilegiate e di manipolazione dei mercati (ex artt. 25-ter e 25-sexies D. Lgs. 231/2001) iii) Protocolli adottati per i reati contro la persona (ex art. 25-septies D. Lgs. 231/2001) iv) Protocolli adottati per reati informatici (ex art. 24-bis D.Lgs. 231/01) v) Protocolli adottati per reati di criminalità organizzata e di intralcio alla giustizia (ex artt. 24-ter e 25-novies D.Lgs. 231/01) vi) Protocolli adottati per reati contro l ambiente (ex art. 25-undecies D.Lgs. 231/01) vii) Protocolli adottati per il reato di impiego di lavoratori stranieri il cui soggiorno è irregolare (ex art. 25-duodecies D.Lgs. 231/01) d) Monitoraggio del Modello di organizzazione, gestione e controllo ex D.Lgs. 231/

4 PARTE GENERALE 1.IL DECRETO LEGISLATIVO n. 231/ Il regime di responsabilità amministrativa previsto a carico delle persone giuridiche, società ed associazioni In attuazione della delega di cui all art. 11 della Legge 29 settembre 2000 n. 300, in data 8 giugno 2001 è stato emanato il Decreto legislativo n. 231 (di seguito denominato il Decreto ), entrato in vigore il 4 luglio 2001, con il quale il Legislatore ha adeguato la normativa interna alle convenzioni internazionali in materia di responsabilità delle persone giuridiche, alle quali l Italia aveva già da tempo aderito. In particolare, si tratta della Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità Europee, della Convenzione firmata a Bruxelles il 26 maggio 1997 sulla lotta alla corruzione nella quale siano coinvolti funzionari della Comunità Europea o degli Stati membri, e della Convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed internazionali. Il Decreto, recante Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, ha introdotto nell ordinamento giuridico italiano un regime di responsabilità amministrativa (assimilabile sostanzialmente alla responsabilità penale) a carico degli enti (da intendersi come società, associazioni, consorzi, ecc., di seguito denominati enti ) per reati tassativamente elencati e commessi nel loro interesse o vantaggio: (i) da persone fisiche che rivestano funzioni di rappresentanza, di amministrazione o di direzione degli enti stessi o di una loro unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da persone fisiche che esercitino, anche di fatto, la gestione e il controllo degli enti medesimi, ovvero (ii) da persone fisiche sottoposte alla direzione o alla vigilanza di uno dei soggetti sopra indicati. La responsabilità dell ente si aggiunge a quella della persona fisica, che ha commesso materialmente il reato. La previsione della responsabilità amministrativa di cui al Decreto coinvolge, nella repressione degli illeciti penali ivi espressamente previsti, gli enti che abbiano tratto interesse e/o vantaggio dalla commissione del reato. Tra le sanzioni comminabili, quelle certamente più gravose per l ente sono rappresentate dalle misure interdittive, quali la sospensione o revoca di licenze e concessioni, il divieto di contrarre con la pubblica amministrazione, l'interdizione dall'esercizio dell'attività, l'esclusione o revoca di finanziamenti e contributi, il divieto di pubblicizzare beni e servizi. La suddetta responsabilità si configura anche in relazione a reati commessi all estero, purché per la loro repressione non proceda lo Stato del luogo in cui siano stati commessi. Il Decreto, nella sua stesura originaria, elencava, tra i reati dalla cui commissione è fatta derivare la responsabilità amministrativa degli enti, esclusivamente quelli nei confronti della pubblica amministrazione e quelli contro il patrimonio commessi a danno dello Stato o di altro ente pubblico e, 4

5 precisamente: indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico (art. 316-ter c.p.); truffa a danno dello Stato o di altro ente pubblico (art. 640, 2 comma, n. 1 c.p.); truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.); frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.); corruzione per un atto contrario ai doveri d ufficio (art. 319 c.p.); corruzione in atti giudiziari (art. 319-ter c.p.); induzione indebita a dare o promettere utilità (artt. 319-quater c.p.); istigazione alla corruzione (art. 322 c.p.); peculato, concussione, induzione indebita a dare o promettere utilità, corruzione ed istigazione alla corruzione di membri e funzionari della C.E.E. o di altri stati esteri (art. 322-bis c.p.); malversazione a danno dello Stato o di altro ente pubblico (art. 316-bis c.p.). Successivamente, l art. 6 della Legge 23 novembre 2001, n. 409, recante Disposizioni urgenti in vista dell introduzione dell euro, ha inserito nel novero dei reati previsti dal Decreto, attraverso l art. 25-bis, i seguenti ulteriori reati: falsificazione di monete, spendita e introduzione nello Stato, previo concerto, di monete falsificate (art. 453 c.p.); alterazione di monete (art. 454 c.p.); spendita e introduzione nello Stato, senza concerto, di monete falsificate (art. 455 c.p.); contraffazione di carta filigranata in uso per la fabbricazione di carte di pubblico credito o di valori di bollo (art. 460 c.p.); fabbricazione o detenzione di filigrane o di strumenti destinati alla falsificazione di monete, di valori di bollo o di carta filigranata (art. 461 c.p.); uso di valori di bollo contraffatti o alterati (art. 464 c.p.). In seguito, nell ambito della riforma del diritto societario, l art. 3 del Decreto legislativo 11 aprile 2002, n. 61, entrato in vigore il 16 aprile 2002, ha introdotto nel Decreto il successivo art. 25-ter, che ha esteso la responsabilità amministrativa degli enti anche per la commissione dei seguenti reati societari, modificati dallo stesso Decreto n. 61/2002: false comunicazioni sociali (art cod. civ.);, false comunicazioni sociali in danno dei soci o dei creditori (art cod. civ.); impedito controllo (art cod. civ.); indebita restituzione dei conferimenti (art cod. civ.); illegale ripartizione degli utili e delle riserve (art cod. civ.); illecite operazioni sulle azioni o quote sociali o della società controllante (art cod. civ.); operazioni in pregiudizio dei creditori (art cod. civ.); omessa comunicazione del conflitto di interessi (art bis cod. civ.) formazione fittizia del capitale (art cod. civ.); indebita ripartizione dei beni sociali da parte dei liquidatori (art cod. civ.); illecita influenza sull assemblea (art cod. civ.); aggiotaggio (art cod. civ.); ostacolo all esercizio delle funzioni delle autorità pubbliche di vigilanza (art cod. civ.). 5

6 L art. 3 legge 14 gennaio 2003 n. 7 (ratifica ed esecuzione della convenzione internazionale per la repressione del finanziamento del terrorismo, fatta a New York il 9 dicembre 1999, e norme di adeguamento dell'ordinamento interno) ha inserito nel D.Lgs. n. 231, cit., l art. 25-quater, il quale ha esteso la responsabilità amministrativa degli enti anche alla commissione dei delitti aventi finalità di terrorismo o di eversione dell'ordine democratico, previsti dal codice penale e dalle leggi speciali, nonché dei delitti che siano comunque stati posti in essere in violazione di quanto previsto dall'articolo 2 della Convenzione internazionale per la repressione del finanziamento del terrorismo fatta a New York il 9 dicembre 1999". L art. 5 legge 11 agosto 2003 n. 228 Misure contro la tratta delle persone ha inserito nel D.Lgs. n. 231, cit., l art. 25-quinquies, il quale ha esteso la responsabilità amministrativa degli enti anche alla commissione degli specifici delitti contro la personalità individuale previsti dal codice penale ed ivi indicati. L'art. 9 della Legge n. 62 del 18 aprile 2005 (Disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'italia alle Comunità europee) ha introdotto nel D.Lgs. n. 231/01, cit., l'art. 25-sexies che ha esteso la responsabilità amministrativa degli enti anche alla commissione dei reati di abuso di informazioni privilegiate (art. 184 T.U.F.) e di manipolazione del mercato (art. 185 T.U.F.). L art. 9 della Legge 3 agosto 2007 n. 123 (Misure in tema di tutela della salute e della sicurezza sul lavoro e delega al Governo per il riassetto e la riforma della normativa in materia) ha inserito nel D. Lgs. 231/01, cit., l art. 25-septies, il quale ha esteso la responsabilità amministrativa degli enti anche ai reati di omicidio colposo e lesioni colpose gravi o gravissime commessi con violazione delle norme antinfortunistiche e sulla tutela dell igiene e della salute sul lavoro (articoli 589 e 590, terzo comma, del codice penale). L art. 63, comma 3 del D.Lgs. 21 novembre 2007 n. 231, in attuazione della c.d. III direttiva antiriciclaggio, ha inserito nel D.Lgs. 231/01 cit. l art. 25-octies che ha esteso la responsabilità amministrativa degli enti ai reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (artt. 648, 648-bis e 648-ter c.p.). Pur non costituendo fattispecie di responsabilità amministrativa a carico dell ente, l art. 192 del D. Lgs. 3 aprile 2006 n. 152, prevede altresì l obbligazione solidale dell ente, secondo le previsioni del D. Lgs. 231/01, in caso di violazione dei divieti di abbandono e deposito incontrollato di rifiuti di qualsiasi genere, allo stato solido o liquido, nelle acque superficiali o sotterranee, ove commessi da amministratori e rappresentanti di persone giuridiche. L art. 7 della Legge 18 marzo 2008 n. 48 (Ratifica ed esecuzione della Convenzione del Consiglio d Europa sulla criminalità informatica, fatta a Budapest il 23 novembre 2001, e norme di adeguamento dell ordinamento interno), ha inserito nel D. Lgs. 231/01 l art. 24-bis, il quale ha esteso la responsabilità amministrativa degli enti anche ai reati di criminalità informatica e trattamento illecito dei dati, commessi attraverso condotte e comportamenti che minano la riservatezza, l integrità e la disponibilità delle informazioni (artt. 491 bis, 615 ter, 615 quater, 615 quinquies, 617 quater, 617 quinquies, 635 bis, 635 ter, 635 quater, 635 quinquies, 640 quinquies del c.p.). L art. 2 della Legge 15 luglio 2009 n. 94 (Disposizioni in materia di sicurezza pubblica) ha inserito nel D. Lgs. 231/01 cit. l art. 24-ter, il quale ha esteso la responsabilità amministrativa degli enti anche ai delitti di criminalità organizzata già precedentemente prevista dagli artt. 3 e 10 della Legge 146/2006 limitatamente 6

7 ai reati cosiddetti transnazionali, commessi attraverso i delitti di cui all art. 416, 6 comma c.p. (associazione diretta a commettere taluno dei delitti di cui agli artt. 600, 601 e 602 c.p.). L art. 15 della Legge del 23 luglio 2009 n. 99 (Disposizioni per lo sviluppo e l internazionalizzazione delle imprese nonché in materia di energia) ha inserito nel D. Lgs. 231/01 cit. l art. 25-bis.1, il quale ha esteso la responsabilità amministrativa degli enti anche ai delitti contro l industria ed il commercio, l art. 25 novies, il quale ha esteso la responsabilità amministrativa degli enti anche ai dellitti in materia di violazione del diritto di autore ed ha modificato l art. 25-bis del D. Lgs. 231/01 cit. inserendo nello stesso gli artt. 473 e 474 del c.p. L art. 4 della Legge del 3 agosto 2009 n. 116 (Ratifica ed esecuzione della Convenzione dell Organizzazione delle Nazioni Unite contro la corruzione) ha inserito nel D. Lgs. 231/01 cit. l art. 25 decies (così rinumerato dal D. Lgs. 121/11), il quale ha esteso la responsabilità amministrativa degli enti anche ai delitti di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all autorità giudiziaria. Il Decreto Legislativo n. 121 del 7 luglio 2011, recependo, in attuazione della delega di cui all art. 19 della Legge n. 96/2010, le direttive europee in materia di tutela penale dell ambiente, ha inserito nel D.Lgs. 231/01 cit. l art. 25-undecies il quale ha esteso la responsabilità amministrativa degli enti a una serie di reati contro l ambiente. L art. 2 del D.Lgs. n. 109 del 16 luglio 2012, recependo la direttiva 2009/52/CE, ha introdotto nel D.Lgs. 231/01 l art. 25-duodecies relativo all impiego di cittadini di Paesi terzi il cui soggiorno è irregolare, includendo così tra i reati presupposto che determinano la responsabilità amministrativa, anche quello previsto dall art. 22, comma 12-bis del Testo Unico sull immigrazione (D.Lgs. 286/1989). L art. 1, commi 75 e 76, della Legge 6 novembre 2012 n. 190 (Disposizioni per la prevenzione e la repressione della corruzione e della illegalità nella Pubblica Amministrazione) - in appresso Legge anticorruzione - è intervenuto nel corpus dei reati presupposto e, più precisamente: (i) ha inserito nel novero dei reati societari (con l introduzione della lettera s-bis) nell art. 25- ter), rilevanti ai fini della responsabilità amministrativa delle persone giuridiche, l ipotesi del delitto di corruzione tra privati, limitatamente al caso previsto dal terzo comma del nuovo art c.c.; (ii) (iii) ha modificato il reato di concussione, contemplando due distinte condotte: la costrizione a dare o promettere denaro o altra utilità (art. 317) e l induzione indebita a dare o promettere denaro o altra utilità (art. 319-quater), condotta prima prevista nell art Entrambi gli articoli sono ora citati tra i resti presupposto; ha modificato anche l art.322-bis laddove il denaro/utilità viene offerto/promesso a pubblici ufficiali/incaricati di pubblico servizio nell ambito di stati esteri o organizzazioni pubbliche internazionali per procurare a se o ad altri un indebito vantaggio in operazioni economiche internazionali. 7

8 1.2 L adozione del modello di organizzazione, gestione e controllo quale esimente della responsabilità amministrativa dell ente Istituita la responsabilità amministrativa degli enti, l art. 6 del Decreto e per i soggetti sottoposti all altrui direzione l art. 7 stabiliscono che l ente non ne risponde nel caso in cui dimostri di aver adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione, di gestione e controllo idonei a prevenire reati della specie di quello verificatosi. La medesima norma richiede, ai fini dell applicabilità dell esimente, l istituzione di un organo di controllo dell ente con il compito di vigilare sul funzionamento, l efficacia e l osservanza dei predetti modelli, nonché di curarne l'aggiornamento. Detti modelli di organizzazione, gestione e controllo), ex art. 6, commi 2 e 3, del D. Lgs. 231/2001, devono rispondere alle seguenti esigenze: individuare le attività nel cui ambito possano essere commessi i reati previsti dal Decreto; prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di tali reati; prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Ove il reato venga commesso da soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da soggetti che esercitano, anche di fatto, la gestione e il controllo dello stesso, l ente non risponde se prova che: (i) l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello idoneo a prevenire reati della specie di quello verificatosi; (ii) il compito di vigilare sul funzionamento e l osservanza del modello e di curare il suo aggiornamento è stato affidato a un organismo dell ente dotato di autonomi poteri di iniziativa e di controllo; (iii) i soggetti hanno commesso il reato eludendo fraudolentemente il modello; (iv) non vi è stata omessa o insufficiente vigilanza da parte dell organismo di controllo in ordine al modello. Nel caso in cui, invece, il reato venga commesso da soggetti sottoposti alla direzione o alla vigilanza di uno dei soggetti sopra indicati, l ente è responsabile se la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione e vigilanza. Detta inosservanza è, in ogni caso, esclusa qualora l ente, prima della commissione del reato, abbia adottato ed efficacemente attuato un modello idoneo a prevenire reati della specie di quello verificatosi. L art. 6 del Decreto dispone, infine, che i modelli di organizzazione e di gestione possano essere adottati sulla base di codici di comportamento redatti da associazioni rappresentative di categoria, comunicati al Ministero della Giustizia, il quale, di concerto con i Ministeri competenti, potrà formulare, entro 30 giorni, osservazioni sull idoneità dei modelli a prevenire i reati. 8

9 1.3 Linee guida di Confindustria In data 7 marzo 2002, Confindustria ha approvato le Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001, riferite ai soli reati contro la Pubblica Amministrazione e successivamente aggiornate, i cui punti fondamentali possono essere così brevemente riassunti: attività di individuazione delle aree di rischio, volta a evidenziare le funzioni aziendali nell ambito delle quali sia possibile la realizzazione degli eventi pregiudizievoli previsti dal Decreto; predisposizione di un sistema di controllo in grado di prevenire i rischi attraverso l adozione di appositi protocolli. Le componenti più rilevanti del sistema di controllo ideato da Confindustria sono: codice etico; sistema organizzativo; procedure manuali ed informatiche; poteri autorizzativi e di firma; sistemi di controllo e gestione; comunicazione al personale e sua formazione. Le componenti del sistema di controllo devono essere ispirate ai seguenti principi: verificabilità, documentabilità, coerenza e congruenza di ogni operazione; applicazione del principio di separazione delle funzioni (nessuno può gestire in autonomia un intero processo); documentazione dei controlli; previsione di un adeguato sistema sanzionatorio per la violazione delle norme del codice etico e delle procedure previste dal modello; individuazione dei requisiti dell organismo di vigilanza, riassumibili in: autonomia e indipendenza; professionalità; continuità di azione; previsione di modalità di gestione delle risorse finanziarie; obblighi di informazione dell organismo di controllo. Il mancato rispetto di punti specifici delle predette Linee Guida non inficia la validità del modello. Infatti, il modello adottato dall ente deve essere necessariamente redatto con specifico riferimento alla realtà concreta della società, e pertanto lo stesso può anche discostarsi dalle Linee Guida di Confindustria, le quali, per loro natura, hanno carattere generale. 1.4 Il codice di comportamento dell ANCE Il Comitato esecutivo dell ANCE, associazione di categoria a cui Veneta Sanitaria Finanza di Progetto S.p.A. ha fatto riferimento nella fase di prima elaborazione del modello (nella quale la società svolgeva esclusivamente attività di costruzione), ha approvato e trasmesso al Ministero della Giustizia, il Codice di 9

10 comportamento delle Imprese di Costruzione. Trascorsi i 30 giorni previsti dalla legge senza osservazioni dal Ministero, l ANCE ha reso pubblico il proprio Codice di comportamento dandone notizia alle Associazioni Provinciali. Tale Codice di comportamento, successivamente aggiornato, costituisce la base sulla quale le imprese possono adottare i propri modelli organizzativi, di gestione e controllo. Il Codice di comportamento ANCE nella prima parte definisce e suggerisce dei principi generali da trattare nell ambito del Codice etico, nella seconda parte tratta più nello specifico i modelli di organizzazione, gestione e controllo. In particolare, l ANCE, nel settore delle costruzioni, evidenzia tre principali aree a rischio: promozione immobiliare: i fattori di rischio sono riferiti principalmente alle attività che presuppongono il rilascio dei titoli abitativi edilizi e, in generale, autorizzatori, ed alle attività connesse alla formazione degli strumenti urbanistici e loro varianti; edilizia residenziale pubblica: i fattori di rischio sono riferiti principalmente alle attività che implicano la concessione di agevolazioni pubbliche; opere pubbliche: i fattori di rischio individuati sono relativi alle fasi: di procedure selettive nell ambito delle pubbliche gare o delle trattative per l affidamento di lavori pubblici; di autorizzazione del subappalto; di gestione dell eventuale contenzioso con il committente; di collaudo delle opere eseguite. L ANCE specifica, inoltre, che i fattori a rischio devono essere ricercati in tutte le attività che implicano un rapporto diretto con pubblici ufficiali, organi ispettivi, enti pubblici erogatori di contributi o titolari di poteri autorizzativi, concessori o abilitativi. Il Codice di comportamento dell ANCE suggerisce l adozione di modelli organizzativi in grado di: offrire sistemi di incentivazione all informazione che garantiscano, tra l altro, da parte di coloro che ricevono l informazione o di loro superiori gerarchici, la tutela e l anonimato presso l organizzazione dei soggetti in grado di fornire informazioni utili; garantire che la ripartizione di poteri, competenze e responsabilità e la loro attribuzione all interno dell organizzazione aziendale siano conformi a principi di trasparenza, chiarezza, verificabilità e coerenza con l attività in concreto svolta; prevedere che eventuali sistemi premianti dei dipendenti siano basati su obiettivi e risultati che rispondano a principi di coerenza e congruità; garantire che la descrizione e l individuazione delle attività svolte dall ente, la sua articolazione funzionale e l organigramma aziendale siano documentati in una rappresentazione aggiornata, con puntuale descrizione di poteri, competenze e responsabilità attribuiti ai diversi soggetti in riferimento allo svolgimento delle singole attività; fornire programmi di formazione, finalizzati a garantire l effettiva conoscenza del modello da parte di tutti i dipendenti e collaboratori dell impresa. 10

11 2.ADOZIONE DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO AI SENSI DEL D.LGS. N. 231/2001 (il Modello ) 2.1 Obiettivi e finalità perseguiti con l adozione del Modello Veneta Sanitaria Finanza di Progetto S.p.A. (di seguito V.S.F.P. S.p.A. o Società ) è sensibile all esigenza di assicurare condizioni di correttezza e trasparenza nella conduzione degli affari e delle attività aziendali, a tutela della propria posizione ed immagine, delle aspettative dei propri azionisti e del lavoro dei propri dipendenti ed è consapevole dell importanza di dotarsi di un sistema di controllo interno idoneo a prevenire la commissione di comportamenti illeciti da parte dei propri amministratori, dipendenti, rappresentanti, collaboratori, fornitori, etc. A tal fine, sebbene l adozione del Modello sia prevista dalla legge come facoltativa e non obbligatoria, V.S.F.P. S.p.A. ha effettuato un analisi dei propri strumenti organizzativi, di gestione e di controllo, volta a verificare la corrispondenza dei principi comportamentali e delle procedure già adottate alle finalità previste dal Decreto e, se necessario, ad integrare il modello già esistente. Tale iniziativa è stata assunta nella convinzione che l adozione del Modello - al di là delle prescrizioni del Decreto che individuano nello stesso un elemento facoltativo e non obbligatorio - possa costituire un valido strumento di sensibilizzazione di tutti coloro che operano in nome e per conto di V.S.F.P. S.p.A., affinché tengano comportamenti corretti e lineari nell espletamento delle proprie attività, tali da prevenire il rischio di commissione dei reati previsti dal Decreto stesso. In particolare, attraverso l adozione del presente Modello, V.S.F.P. S.p.A. si propone di perseguire le seguenti principali finalità: determinare, in tutti coloro che operano in nome e per conto di V.S.F.P. S.p.A. nelle aree di attività a rischio, la consapevolezza di poter incorrere, in caso di violazione delle disposizioni ivi riportate, nella commissione di illeciti passibili di sanzioni penali comminabili nei loro stessi confronti e di sanzioni amministrative irrogabili all azienda; ribadire che tali forme di comportamento illecito sono fortemente condannate da V.S.F.P. S.p.A., in quanto le stesse (anche nel caso in cui la società fosse apparentemente in condizione di trarne vantaggio) sono comunque contrarie, oltre che alle disposizioni di legge, anche ai principi etici ai quali V.S.F.P. S.p.A. intende attenersi nell esercizio della attività aziendale; consentire alla società, grazie ad un azione di monitoraggio sulle aree di attività a rischio, di intervenire tempestivamente per prevenire o contrastare la commissione dei reati stessi. Nell ottica della realizzazione di un programma d interventi sistematici e razionali per l adeguamento dei propri modelli organizzativi e di controllo, V.S.F.P. S.p.A. ha predisposto una mappa delle attività aziendali e ha individuato nell ambito delle stesse le cosiddette attività a rischio ovvero quelle che, per loro natura, rientrano tra le attività da sottoporre ad analisi e monitoraggio alla luce delle prescrizioni del Decreto. L analisi ha interessato inizialmente sia le attività sensibili alla commissione dei reati di cui agli artt. 24 e 25 del Decreto (c.d. reati contro la pubblica amministrazione e contro il patrimonio commessi a danno dello Stato o di altro ente pubblico ), sia le attività sensibili alla commissione dei reati di cui all art. 25-ter (c.d. reati societari ) e 25-sexies (c.d. reati di abuso di informazioni privilegiate e di manipolazione del 11

12 mercato ). Successivamente, a seguito dell introduzione di ulteriori reati nel corpus del D. Lgs. 231/01 l analisi ha interessato anche attraverso un approfondimento delle attività già individuate le attività sensibili alla commissione dei reati di cui all art. 25-septies del Decreto (c.d. reati contro la persona ) ed infine dei reati di cui all art. 25-octies (c.d. reati di ricettazione e riciclaggio ), dei reati di cui all art. 24-bis (.c.d. reati informatici ), nonché dei reati di cui agli artt. 24-ter e 25-novies (c.d. reati di criminalità organizzata e di intralcio alla giustizia ), dei reati di cui all art. 25-novies (c.d. reati di violazione del diritto d autore ) e dei reati di cui all all art. 25-uncidicies (c.d. reati ambientali ). Da ultimo, con il presente aggiornamento, sono state analizzate le attività a rischio con riferimento alla commissione dei reati di cui all art. 25- duodecies (c.d. reati di impiego irregolare di lavoratori stranieri ). A seguito dell individuazione delle attività a rischio (come sinteticamente riportate al successivo paragrafo 3), V.S.F.P S.p.A. ha ritenuto opportuno definire i principi di riferimento del Modello Organizzativo che intende attuare, tenendo conto, oltre che delle prescrizioni del Decreto, delle linee guida elaborate in materia dalle associazioni di categoria. 2.2 Elementi fondamentali del Modello Con riferimento alle esigenze individuate dal legislatore nel Decreto e sviluppate dalle associazioni di categoria (ANCE), i punti fondamentali individuati da V.S.F.P. S.p.A. nella definizione del Modello possono essere così brevemente riassunti: mappa delle attività aziendali sensibili ovvero di quelle nel cui ambito, per loro natura, possono essere commessi i reati di cui al Decreto e pertanto da sottoporre ad analisi e monitoraggio; analisi delle procedure in essere e definizione delle eventuali implementazioni finalizzate, con riferimento alle attività aziendali sensibili, a garantire i principi di controllo di cui al successivo paragrafo 4; definizione di principi etici in relazione ai comportamenti che possono integrare le fattispecie di reato previste dal Decreto (si veda al riguardo il Codice etico aziendale vincolante per i comportamenti di tutti i suoi dipendenti e collaboratori); modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; identificazione dell organismo di vigilanza (di seguito anche Organismo ) e attribuzione allo stesso di specifici compiti di vigilanza sull efficace e corretto funzionamento del Modello; definizione dei flussi informativi nei confronti dell Organismo; attività di informazione, formazione, sensibilizzazione e diffusione a tutti i livelli aziendali delle regole comportamentali e delle procedure istituite; definizione delle responsabilità nell approvazione, nel recepimento, nell integrazione e nell implementazione del Modello, oltre che nella verifica del funzionamento del medesimo e dei comportamenti aziendali, con relativo aggiornamento periodico (controllo ex post). 2.3 Modello, Codice etico e sistema disciplinare V.S.F.P. S.p.A. con l adozione del Codice etico aziendale, approvato dal Consiglio di Amministrazione in data , ha stabilito in generale i principi etici aziendali volti a definire la necessità di: rispettare le leggi vigenti, il Codice etico stesso, i regolamenti interni e, ove applicabili, le norme di 12

13 deontologia professionale; improntare su principi di correttezza e trasparenza i rapporti con le terze parti ed in particolar modo con la Pubblica Amministrazione; richiamare l attenzione del personale dipendente, dei collaboratori, dei fornitori, appaltatori e subappaltatori e, in via generale, di tutti gli operatori, sul puntuale rispetto delle norme previste dal Codice etico, nonché delle procedure a presidio dei valori; definire un sistema disciplinare idoneo a sanzionare il rispetto delle misure indicate nel Modello. I principi di riferimento del Modello, si integrano con quelli del Codice etico adottato da V.S.F.P. S.p.A., per quanto il Modello, per le finalità che lo stesso intende perseguire in specifica attuazione delle disposizioni del Decreto, abbia una diversa portata rispetto al Codice etico. Sotto tale profilo, infatti, è opportuno precisare che: il Codice etico riveste una portata generale in quanto contiene una serie di principi di deontologia aziendale, che V.S.F.P. S.p.A. riconosce come propri e sui quali intende richiamare l osservanza di tutti i suoi dipendenti e di tutti coloro che cooperano al perseguimento dei fini aziendali; il Codice etico, a cui si rimanda, come previsto dall art. 6, comma 2 lettera e) del D.Lgs. 231/01, prevede un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello; il Modello risponde, invece, a specifiche prescrizioni contenute nel Decreto, finalizzate a prevenire la commissione di particolari tipologie di reati (per fatti che, commessi nell interesse o a vantaggio dell azienda, possono comportare una responsabilità amministrativa in base alle disposizioni del Decreto medesimo). 2.4 Approvazione e recepimento dei principi di riferimento del Modello Essendo il Modello un atto di emanazione dell organo dirigente (in conformità alle prescrizioni dell art. 6, I comma, lett. a) del Decreto), in data 26 settembre 2006 il Consiglio di Amministrazione ha approvato l adozione del presente Modello, successivamente integrato per adeguarlo alle disposizioni legislative ed alle modifiche organizzative aziendali nel frattempo intervenute. 3. AREE POTENZIALMENTE A RISCHIO L analisi ha dapprima interessato le aree di attività nel cui ambito possono essere commessi i reati contro la Pubblica Amministrazione e contro il patrimonio dello Stato o di altro ente pubblico, nonché i reati societari e di abuso di informazioni privilegiate e di manipolazione del mercato, i reati contro la persona e i reati di ricettazione e riciclaggio. Le successive disposizioni in materia di reati informatici, di reati di criminalità organizzata e di intralcio alla giustizia, reati di violazione del diritto di autore e reati ambientali, hanno comportato ulteriori approfondimenti delle aree potenzialmente a rischio. Alla luce dell ulteriore ampliamento del novero dei reati presupposto, si è provveduto ad effettuare approfondimenti delle aree potenzialmente a rischio per quanto attiene il rischio di commissione di reati di impiego irregolare di lavoratori stranieri. 13

14 L analisi delle aree potenzialmente a rischio non ha riguardato i reati di falso nummario di cui all art. 25- bis, i reati di terrorismo di cui all art. 25-quater ed i reati di tratta delle persone du cui all art. 25- quinquies,, i reati di cui all art. 25-bis (c.d. reati contro l industria e il commercio ), in quanto, pur non potendosi escludere del tutto la loro astratta verificabilità, la loro realizzazione in concreto appare poco probabile in relazione all attività svolta da V.S.F.P. ed in particolare considerando che il presupposto affinché possa ricorrere la responsabilità amministrativa della Società è rappresentato dal fatto che il reato sia compiuto nel suo interesse o a suo vantaggio. In considerazione delle peculiarità del business aziendale svolto da V.S.F.P. S.p.A. e della struttura interna adottata con il passaggio dalla fase realizzativa a quella gestionale ed economica, per conto dell Azienda U.L.S.S.-12 Veneziana, le principali aree di attività potenzialmente a rischio, identificate in relazione ai reati contro la Pubblica Amministrazione e contro il patrimonio dello Stato o di altro ente pubblico, sono le seguenti: gestione, monitoraggio e controllo processi economici; affidamenti e subaffidamenti; gestione della concessione; formulazione e gestione del contenzioso; gestione delle risorse umane; servizio di manutenzione successivo alla costruzione; gestione della finanza; amministrazione e bilancio; monitoraggio sulla qualità della produzione; controllo e prevenzione ai fini della salute e sicurezza nei luoghi di lavoro. In particolare, le potenziali attività sensibili, individuate nell ambito delle summenzionate aree a rischio sono di seguito indicate: fornitura di servizi sulla base della convenzione di concessione; gestione dei servizi inerenti il periodo di concessione; gestione dei rapporti con le autorità pubbliche o soggetti incaricati di pubblico servizio per l ottenimento di provvedimenti o atti amministrativi; gestione degli adempimenti fiscali e dei rapporti con l amministrazione tributaria; gestione dei trattamenti previdenziali e contributivi del personale e/o gestione dei relativi accertamenti/ispezioni; gestione adempimenti, verifiche e ispezioni a fronte della produzione di rifiuti solidi, liquidi o gassosi, ovvero emissioni elettromagnetiche o produzione di inquinamento acustico ed atmosferico; gestione adempimenti, verifiche e ispezioni in materia di tutela ambientale e paesaggistica, di beni culturali, e della salute e sicurezza nei luoghi di lavoro; assunzione di personale appartenente a categorie protette o la cui assunzione è agevolata; gestione dei contenziosi giudiziari e stragiudiziali, nomina dei legali e coordinamento delle attività; attività promozionali o di sponsoraggio di iniziative (manifestazioni, eventi, etc.) in collaborazione con soggetti pubblici. Con riferimento ai reati societari, successivamente integrati con i reati di abuso di informazioni privilegiate e di manipolazione del mercato sono state esaminate le potenziali aree a rischio. Le aree di 14

15 attività potenzialmente a rischio, durante la gestione funzionale ed economica per conto dell Azienda U.L.S.S.-12 Veneziana, per la commissione dei suddetti reati sono: contabilità generale e formazione del bilancio; formazione del budget; informativa continua; rapporti con organi sociali, revisori e soci; finanza e tesoreria. In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio, sono le seguenti: custodia delle scritture contabili e dei libri sociali; predisposizione di comunicazioni sociali previste dalla legge; trasmissione di comunicazioni sociali previste dalla legge; gestione dei rapporti con la società di revisione; gestione dei rapporti con i soci e con gli organi sociali che svolgono attività di controllo sulla gestione della società; svolgimento delle attività di ripartizione degli utili, delle riserve e restituzione dei conferimenti; predisposizione delle notizie price sensitive; deliberazioni del Consiglio di Amministrazione; gestione della finanza e della tesoreria. Con riferimento a tale categoria di reati, gli stessi sono stati successivamente integrati con l enucleazione delle aree a rischio individuate per effetto della Legge 190/2012, con riferimento alle modifiche all art del c.c.. Al riguardo le principali potenziali aree a rischio individuate sono: approvvigionamenti ed affidamenti; personale; omaggi, liberalità e utilità, sponsorizzazioni, spese di rappresentanza, cessioni di beni; costruire e gestire il contratto nei rapporti con soggetti privati; legale. In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio sono le seguenti: percezione e gestione di finanziamenti da soggetti privati; gestione di contenziosi giudiziari e stragiudiziali, nomina di legali e coordinamento delle attività; erogazione di omaggi, liberalità o utilità a soggetti privati; gestione degli acquisti di beni e servizi; gestione del processo di fatturazione (ciclo attivo e passivo). Con riferimento ai reati contro la persona sono state approfondite le analisi delle principali aree potenzialmente a rischio, peraltro già identificate in relazione ai reati contro la Pubblica Amministrazione e contro il patrimonio dello Stato o di altro ente pubblico, che sono le seguenti: 15

16 controllo e prevenzione ai fini della salute e sicurezza nei luoghi di lavoro. In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio sono le seguenti: predisposizione dei piani di sicurezza; adozione delle misure previste dalle norme antinfortunistiche in materia di igiene, salute e sicurezza nei luoghi di lavoro. Con riferimento ai reati di ricettazione e riciclaggio, sono state approfondite le analisi delle principali aree di attività potenzialmente a rischio, peraltro già identificate in relazione ad altri reati, che sono le seguenti: amministrazione e bilancio; finanza e tesoreria; affidamenti e subaffidamenti; attività promozionali o di sponsoraggio. In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio sono le seguenti: gestione dei flussi finanziari; fornitura di servizi sulla base della convenzione di concessione; gestione dei servizi inerenti il periodo di concessione; attività promozionali o di sponsoraggio di iniziative (manifestazioni, eventi, etc.) in collaborazione con soggetti pubblici. Con riferimento ai reati informatici sono state approfondite le analisi delle principali aree di attività potenzialmente a rischio che, in relazione ai servizi informativi aziendali, sono le seguenti: infrastruttura (pc, software); servizi di rete (posta elettronica, internet, anagrafiche centralizzate, etc.); server (applicazioni e servizi di rete); punti di accesso (postazioni lavoro fisse e mobili). In particolare, nell ambito delle macro attività relative alla gestione dei servizi informativi, cioè: 1) Definizione politiche aziendali IT, 2) Installazione, configurazione e rimozione IT, 3) Gestione ordinaria dell IT, le principali potenziali attività sensibili associate alle summenzionate aree a rischio sono: gestione del patrimonio informatico aziendale, di clienti o terze parti, compresi archivi, dati e programmi; utilizzo della rete informatica aziendale, del servizio di posta elettronica ed accesso ad internet; gestione delle configurazioni rilasciate dalla funzione IT di postazioni di lavoro fisse o mobili; gestione delle informazioni relative ai sistemi ed alla rete aziendale o di clienti e terze parti; gestione delle credenziali di accesso relative ai sistemi aziendali o di clienti e terze parti; gestione della sicurezza dei sistemi informatici e telematici aziendali. 16

17 Con riferimento ai reati di criminalità organizzata e di intralcio alla giustizia sono state approfondite le analisi delle principali aree di attività potenzialmente a rischio peraltro già identificate in relazione ad altri reati, che sono le seguenti: attività commerciale; pubbliche amministrazioni; costruzione e gestione del contratto; risorse umane; tesoreria e finanza; formulazione e gestione del contenzioso. In particolare, le potenziali attività sensibili nell ambito delle summenzionate aree a rischio sono le seguenti: rapporti con fornitori, affidatari, prestatori di servizi, consulenti, etc.; rapporti con autorità pubbliche o soggetti incaricati di pubblico servizio per l ottenimento di provvedimenti o atti amministrativi; gestione dei rapporti con soggetti coinvolti in procedimenti giudiziari (amministratori, dipendenti, terzi in genere, etc.); gestione delle risorse umane; gestione di flussi finanziari. Con riferimento ai reati ambientali sono state approfondite le analisi delle principali aree di attività potenzialmente a rischio che sono le seguenti: utilizzo risorse idriche e scarico acque reflue; gestione dei rifiuti; emissione gas in atmosfera; tutela dell habitat. In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio sono le seguenti: gestione delle acque reflue industriali (scarichi e rilasci nel suolo); gestione dei rifiuti prodotti nel corso dell esecuzione dei lavori (dalla caratterizzazione del rifiuto allo smaltimento/recupero); gestione e monitoraggio dell emissione di gas nell atmosfera da impianti/stabilimenti e dell energia utilizzata e dei gas inseriti nelle tabelle per la prevenzione del buco dell ozono; tutela dell habitat del luogo dove si svolge l attività dell azienda. Con riferimento ai reati di impiego irregolare di lavoratori stranieri sono state approfondite le analisi delle principali aree di attività potenzialmente a rischio che sono le seguenti: risorse umane; affidamenti; costruire e gestire il contratto. 17

18 In particolare, le potenziali attività sensibili individuate nell ambito delle summenzionate aree a rischio sono le seguenti: assunzione di personale straniero (diretto o con riferimento a personale di affidatari) privo di permesso di soggiorno o con permesso irregolare, scaduto, revocato, annullato. 4. PRINCIPI DI CONTROLLO NELLE POTENZIALI AREE DI ATTIVITA A RISCHIO Nell ambito dello sviluppo delle attività di definizione dei protocolli necessari a prevenire le fattispecie di rischio-reato, sono stati individuati, sulla base della conoscenza della struttura interna e della documentazione aziendale, i principali processi, sottoprocessi o attività nell ambito dei quali, in linea di principio, potrebbero realizzarsi i reati o potrebbero configurarsi le occasioni o i mezzi per la realizzazione degli stessi. Con riferimento a tali processi, sottoprocessi o attività, sono state rilevate le procedure di gestione e di controllo in essere e sono state definite, ove ritenuto opportuno, le implementazioni necessarie a garantire il rispetto dei seguenti principi: regole comportamentali: esistenza di regole comportamentali idonee a garantire l esercizio delle attività aziendali nel rispetto delle leggi, dei regolamenti e dell integrità del patrimonio aziendale; procedure: esistenza di procedure interne a presidio dei processi nel cui ambito potrebbero realizzarsi le fattispecie di reati previste dal D. Lgs. 231/2001 o nel cui ambito potrebbero configurarsi le condizioni, le occasioni o i mezzi di commissione degli stessi reati. Le caratteristiche minime che sono state esaminate sono: adeguata formalizzazione e diffusione delle procedure aziendali in esame; definizione e regolamentazione delle modalità e tempistiche di svolgimento delle attività; tracciabilità degli atti, delle operazioni e delle transazioni attraverso adeguati supporti documentali che attestino le caratteristiche e le motivazioni dell operazione ed individuino i soggetti a vario titolo coinvolti nell operazione (autorizzazione, effettuazione, registrazione, verifica dell operazione); chiara definizione della responsabilità delle attività; esistenza di criteri oggettivi per l effettuazione delle scelte aziendali; segregazione dei compiti: una corretta distribuzione delle responsabilità e la previsione di adeguati livelli autorizzativi, allo scopo di evitare sovrapposizioni funzionali o allocazioni operative che concentrino le attività critiche su un unico soggetto; livelli autorizzativi: chiara e formalizzata assegnazione di poteri e responsabilità, con espressa indicazione dei limiti di esercizio in coerenza con le mansioni attribuite e con le posizioni ricoperte nell ambito della struttura organizzativa; attività di controllo: esistenza e documentazione di attività di controllo e supervisione, compiute sulle transazioni aziendali; attività di monitoraggio: esistenza di strumenti che consentano di avere evidenza, a consuntivo, del corretto svolgimento del processo. 5. ORGANISMO DI VIGILANZA 18

19 5.1 Identificazione, collocazione e funzionamento dell Organismo di vigilanza L art. 6, comma 1, lett. b), del D. Lgs. n. 231/2001, individua un ulteriore requisito affinché l Ente possa essere esonerato dalla responsabilità conseguente alla commissione dei reati ivi elencati: l istituzione di un Organismo di vigilanza, dotato di autonomi poteri di iniziativa e controllo e con il compito di vigilare sul funzionamento e l osservanza del modello, curandone l aggiornamento. Si tratta di un organo della società che opera in posizione di terzietà e di indipendenza rispetto agli altri organi dell Ente. I requisiti che l organismo deve soddisfare per un efficace svolgimento delle predette funzioni sono: 1. autonomia ed indipendenza: l Organismo di vigilanza deve essere sprovvisto di compiti operativi e deve avere solo rapporti di staff come meglio si dirà in seguito con il vertice operativo aziendale, con il Presidente del Consiglio di Amministrazione e con l Organo di Controllo Interno; 2. professionalità nell espletamento dei suoi compiti istituzionali: a tal fine i componenti del suddetto organo devono avere conoscenze specifiche in relazione a qualsiasi tecnica utile per prevenire la commissione di reati, per scoprire quelli già commessi e individuarne le cause, nonché per verificare il rispetto del Modello da parte degli appartenenti all organizzazione aziendale; 3. continuità di azione: tale requisito, nell escludere che la considerata funzione di controllo possa essere esercitata dal collegio sindacale, impone il costante monitoraggio del Modello da parte dell Organismo di Vigilanza. In considerazione delle caratteristiche sopra evidenziate, della specificità dei compiti assegnati all Organismo di vigilanza, nonché dell attuale struttura organizzativa adottata da V.S.F.P. S.p.A., si è ritenuto opportuno identificare tale organismo come segue: l Organismo di vigilanza ha una struttura monocratica e può operare anche avvalendosi dell ausilio dell Organo di Controllo Interno; il Presidente del Consiglio di Amministrazione, al fine di garantire la presenza dei requisiti sopra menzionati, valuta periodicamente l adeguatezza dell Organismo di vigilanza in termini di struttura organizzativa e di poteri conferiti, apportando le modifiche e/o le integrazioni ritenute necessarie; l Organismo di vigilanza è configurato come unità di staff in posizione di vertice e riporta direttamente al Presidente i risultati dell attività, le eventuali criticità emerse e gli eventuali interventi correttivi e migliorativi che, in caso di particolare significatività, potranno essere portati anche all attenzione del Consiglio di Amministrazione; il funzionamento dell Organismo di vigilanza è disciplinato da un apposito Regolamento, predisposto ed approvato dall Organismo medesimo. Tale Regolamento prevede, tra l altro: a) le modalità di nomina, di cessazione e di sostituzione del soggetto che costituisce l Organismo; b) le modalità di deliberazione dell Organismo; c) le funzioni, i poteri e i doveri dell Organismo. Sotto questo profilo è opportuno prevedere che ogni attività dell Organismo di vigilanza sia documentata per iscritto ed ogni riunione o ispezione cui esso partecipi sia opportunamente verbalizzata. 19

20 5.2 Funzioni e poteri dell Organismo di vigilanza In base a quanto si ricava dal testo del D. Lgs. 231/2001, le funzioni svolte dall Organismo di vigilanza sono state così schematizzate: vigilanza sull effettività del Modello, che consiste nel verificare la coerenza tra comportamenti concreti e regole di comportamento previste dal Modello istituito; valutazione dell adeguatezza del Modello, ossia della idoneità dello stesso, in relazione alla tipologia di attività e alle caratteristiche dell impresa, ad evitare i rischi di realizzazione di reati. Ciò impone un attività di aggiornamento del Modello sia alle mutate realtà organizzative aziendali, sia ad eventuali mutamenti della legge in esame. L aggiornamento può essere proposto dall Organismo di vigilanza, ma deve essere adottato come già ricordato dall organo dirigente. All Organismo di vigilanza, invece, non spettano compiti operativi o poteri decisionali, neppure di tipo impeditivo, relativi allo svolgimento delle attività dell Ente. Per un efficace svolgimento delle predette funzioni l Organismo di vigilanza dispone di una serie di poteri e prerogative. Esso, infatti, può: attivare le procedure di controllo tramite apposite disposizioni od ordini di servizio; effettuare sistematiche verifiche su operazioni o atti specifici posti in essere nell ambito delle aree sensibili; raccogliere ed elaborare le informazioni rilevanti in ordine al Modello; chiedere informazioni ai responsabili delle singole funzioni aziendali e, ove necessario, anche all organo dirigente nonché ai collaboratori, consulenti esterni, ecc.; condurre indagini interne e svolgere attività ispettiva per accertare presunte violazioni delle prescrizioni del Modello; promuovere iniziative per la diffusione della conoscenza e della comprensione dei principi del Modello e predisporre la documentazione organizzativa interna necessaria al funzionamento del Modello stesso, contenente le istruzioni, i chiarimenti o gli aggiornamenti (organizzare corsi di formazione, divulgare materiale informativo, ecc.); informare tempestivamente il Presidente del Consiglio di Amministrazione di eventuali irregolarità rilevate proponendo che siano adottate misure disciplinari; A tal fine l Organismo avrà facoltà di: a) emanare disposizioni ed ordini di servizio intesi a regolare la propria attività; b) accedere, anche attraverso l Organo di Controllo Interno, ad ogni e qualsiasi documento aziendale rilevante per lo svolgimento delle funzioni ad esso attribuite; c) ricorrere a consulenti esterni di comprovata professionalità nei casi in cui ciò si renda necessario per l espletamento delle attività di verifica e controllo ovvero di aggiornamento del Modello; d) disporre, anche attraverso l Organo di Controllo Interno, che i Responsabili delle funzioni aziendali forniscano tempestivamente le informazioni, i dati e/o le notizie loro richieste per individuare aspetti connessi alle varie attività aziendali rilevanti ai sensi del Modello e per la verifica dell effettiva attuazione dello stesso da parte delle strutture organizzative aziendali. 20