Cassa del Trentino S.p.A. Analisi delle attività sensibili ex D.Lgs. 231/01 art. 6 comma 2. Relazione di sintesi

Transcript

1 Cassa del Trentino S.p.A. Analisi delle attività sensibili ex D.Lgs. 231/01 art. 6 comma 2 Relazione di sintesi Marzo 2013

2 INDICE 1. PREMESSA DEFINIZIONE DEGLI OBIETTIVI METODOLOGIA ATTIVITÀ SVOLTE ANALISI DEI RISCHI RISULTATI DELL ANALISI DEI RISCHI IN CAPO ALLA STRUTTURA SINTESI DELLE ATTIVITÀ DA ADEGUARE SINTESI DELLE ATTIVITÀ CRITICHE SINTESI DELLE ATTIVITÀ SOTTO CONTROLLO RISULTATI DELL ANALISI DEI RISCHI IN CAPO AI SOGGETTI APICALI CONCLUSIONI ALLEGATI... 9 pag. 2

3 1. PREMESSA Il D.Lgs. 8 giugno 2001 n. 231 ha introdotto per la prima volta nel nostro ordinamento un complesso regime sanzionatorio che configura forme di responsabilità amministrativa degli Enti per reati commessi nel loro interesse o a loro vantaggio da due distinte categorie di soggetti: persone aventi funzione di rappresentanza, di amministrazione, di direzione o controllo dell Ente ( Soggetti in posizione apicale - art. 6 D.Lgs. n. 231/2001); persone sottoposte alla direzione o vigilanza dei Soggetti Apicali, quando la commissione del reato è stata resa possibile dall inosservanza degli obblighi connessi alle funzioni di direzione o di vigilanza ( Soggetti sottoposti all altrui direzione - art. 7 D.Lgs. n. 231/2001). Presupposto per tale responsabilità (diretta, propria ed autonoma e non solidale con quella dell autore del reato) è il non aver predisposto misure idonee ad evitare che i fatti delittuosi vengano commessi, adottando ed attuando efficacemente modelli di organizzazione e gestione atti a prevenirli. La persona giuridica, in definitiva, potrà essere ritenuta responsabile per i reati commessi nel suo interesse o a suo vantaggio da persone fisiche (soggetti in posizione apicale o sottoposti) qualora i reati costituiscano espressione della politica aziendale o derivino da una colpa di organizzazione. D altra parte l art. 6 del D.Lgs. n. 231/2001 prevede che l Ente possa essere esonerato dalla responsabilità conseguente alla commissione dei reati espressamente richiamati dal Decreto nel caso in cui l Organo dirigente abbia, fra l altro: adottato modelli di organizzazione, gestione e controllo idonei a prevenire i reati considerati; affidato il compito di vigilare sul funzionamento e sull osservanza del Modello e di curarne l aggiornamento ad un Organismo dell Ente dotato di autonomi poteri di iniziativa e controllo. Il presente documento sintetizza i risultati dell attività di analisi dei rischi (risk assessment) svolta da Cassa del Trentino S.p.A., in collaborazione con una Società di consulenza esperta nella realizzazione di analoghi progetti, ai fini dell individuazione delle attività sensibili ex art. 6, comma 2, lettera a), del D.Lgs. 231/2001, nell ambito dei propri processi di lavoro. Di seguito sono descritti gli obiettivi del lavoro, la metodologia applicata, le attività svolte, gli esiti della valutazione del rischio e le aree di miglioramento individuate DEFINIZIONE DEGLI OBIETTIVI L obiettivo dell attività di analisi dei rischi (risk assessment) qualitativa è la valutazione degli impatti della normativa del D.Lgs. 231/2001 sulla struttura organizzativa e di controllo della Società, con specifico riferimento all individuazione delle attività nel cui ambito possano essere commessi reati: tale individuazione giunge a rappresentare uno dei requisiti di idoneità di un Modello organizzativo idoneo a prevenire i reati. L assessment realizzato è, inoltre, funzionale a fornire al Consiglio di Amministrazione elementi oggettivi volti alla valutazione sia dell idoneità del Modello organizzativo e del sistema dei controlli interni alla Società stessa ed atti a prevenire comportamenti illeciti, sia dell eventuale attivazione di ulteriori contromisure a presidio. pag. 3

4 1.2. METODOLOGIA L attività di assessment è stata condotta sulle singole Unità Organizzative di Cassa del Trentino S.p.A. prendendo a riferimento le tipologie di reato ricomprese, ad oggi, nell ambito di applicazione del Decreto e dettagliatamente descritte all interno del documento Elenco dei reati previsti dal D.Lgs. 231/2001 riportato in allegato (Allegato 1). Le attività di analisi sono completate attraverso: a. analisi dei reati previsti dal Decreto ed individuazione delle possibili modalità di realizzazione della condotta illecita all interno dei processi di lavoro della Società (anche attraverso l esemplificazione di alcune fattispecie concrete); b. individuazione della probabilità di accadimento del reato in relazione alla specifica attività sensibile precedentemente individuata; c. calcolo dello scoring del singolo rischio determinato dall incrocio tra la valutazione dell efficacia dei controlli e la probabilità di accadimento ATTIVITÀ SVOLTE Nel corso dei mesi di Marzo e Aprile 2010 stato condotto il Risk Assessmente, in via preliminare, sulla base dell analisi dell operatività desumibile dalla Relazione annuale 2010 sulla struttura organizzativa e sull assetto contabile adottati dalla Cassa del Trentino ; gli esiti dell analisi documentale sono stati oggetto di approfondimenti successivi mediante interviste dirette con il personale dipendente incaricato del loro svolgimento. Tali incontri sono stati condotti allo scopo di: Individuare le attività sensibili, ovvero identificare le attività nel cui ambito possono essere commessi i reati (D. Lgs 231/01, art. 6 c.2); Analizzare i rischi potenziali, ovvero determinare le possibili modalità attuative dei reati nelle diverse aree aziendali anche allo scopo di progettare idonee misure preventive che impediscano il verificarsi del rischio potenziale individuato; Valutare e adeguare il sistema delle contromisure e dei controlli preventivi esistente esaminando l eventualità di un suo adeguamento quando ciò fosse ritenuto necessario. L analisi è stata condotta prendendo a riferimento le tipologie di reato al tempo ricomprese nell ambito di applicazione del Decreto ed il modello organizzativo della Cassa. La Società ha ritenuto poi opportuno, nel corso del mese di Febbraio 2013, procedere ad una nuova analisi delle attività sensibili alla commissione dei reati presupposto previsti dalla normativa di riferimento e all aggiornamento del Modello organizzativo di gestione e di controllo a seguito degli intervenuti mutamenti nell assetto organizzativo dell azienda e alla luce delle modifiche normative che hanno introdotto nuove fattispecie di reato. L aggiornamento dell analisi dei rischi è stato realizzato attraverso interviste tenute con: Dott.ssa Ivana Menapace Area Amministrazione; Sig.ra Cecilia Cainelli Area Attività Delegate PAT; Dott.ssa Francesca Benini Area Finanza. pag. 4

5 Inoltre è stata effettuata la rilevazione dei rischi in capo ai Soggetti Apicali della Società attraverso la compilazione di specifiche schede. Sono stati coinvolti gli Organi Apicali della Società, identificati nei componenti del CdA e nel Direttore Generale, tramite un apposita informativa e la rilevazione del rischio presso ciascun soggetto. 2. ANALISI DEI RISCHI 2.1. RISULTATI DELL ANALISI DEI RISCHI IN CAPO ALLA STRUTTURA Con riferimento alle attività sensibili effettivamente presenti in Cassa del Trentino S.p.A. il profilo di rischio può essere sinteticamente espresso dalla seguente tabella che associa l efficacia dei controlli con la valutazione sulla probabilità di accadimento espressa dall Ente, tenuto conto delle contromisure attualmente in essere. Efficacia controlli 3 - Efficace Migliorabile Da Adeguare Assente/ Inefficace Non Applicabile 2 - Medio/ 1 - Bassa 3 - Media 4 - Alta Bassa Probabilità Reato NON DA SOTTO APPLICABIL CRITICA ADEGUARE CONTROLLO E Dall assessment è emersa una potenziale esposizione al rischio di Cassa del Trentino in 23 attività delle 28 individuate e svolte dalle diverse Unità Organizzative. In particolare si è rilevato quanto segue: 5 rischi risultano Non Applicabili in considerazione dell operatività svolta dalla Società; 1 rischi0 risulta potenzialmente Da Adeguare in termini di presidio; 22 rischi risultano Sotto Controllo in virtù dei presidi posti in essere dalla Società con riferimento alla presenza di controlli; non risultano rischi Critici per lo svolgimento delle attività aziendali. pag. 5

6 2.2. SINTESI DELLE ATTIVITÀ DA ADEGUARE L attività sensibile alla realizzazione del rischio reato che presentano un rischio residuo da adeguare si configura nel seguente ambito: Reati in materia di violazione del diritto d autore (artt bis ter septies octies Legge 22 aprile 1941, n. 633) o Area Amministrazione Gestione licenze software: L'Attività di gestione del parco licenze è attualmente in carico all'area Amministrazione ad interim in mancanza di risorse impiegate presso l'area Organizzazione. Al momento viene manutenuto un elenco di licenze di proprietà dell'azienda. Criticità: Non sono previste, ad oggi, attività di controllo formalizzate a presidio del "Rischio/Reato" inerente l'attività descritta (non è previsto un controllo sistematico sui software installati). L Area, in quanto responsabile della gestione del parco licenze, pur se ad interim, potrebbe deliberatamente duplicare il software omettendo il pagamento delle licenze. Il reato potrebbe essere commesso anche da qualunque dipendente che scarichi illegalmente applicazioni soggette al diritto d'autore. Probabilità di accadimento: bassa; Controllo: da adeguare; Area di miglioramento: Si rileva l'opportunità di nominare, ove la Società non vi avesse ancora provveduto, un unico Amministratore di Sistema che si occupi di effettuare un controllo sistematico sui software installati. Per eventuali software non di proprietà della Società ma in uso presso di essa, verificare che vengano effettuati controlli sui software istallati sui pc SINTESI DELLE ATTIVITÀ CRITICHE Non sono state rilevate attività sensibili alla realizzazione del rischio reato che presentano un rischio residuo critico SINTESI DELLE ATTIVITÀ SOTTO CONTROLLO Le attività sensibili alla realizzazione del rischio reato che presentano un rischio residuo sotto controllo si configurano con riferimento ai rimanenti ambiti dell attività di assessment. Nella fattispecie, l analisi condotta ha portato all evidenza di 22 attività attualmente caratterizzate da presidi di controllo ritenuti adeguati a presidiare efficacemente il rischio di commissione degli specifici reati del Decreto associati a ciascuna di esse. Nella fattispecie, tale tipologia di attività si configura con riferimento ai reati di: pag. 6

7 Malversazione (art. 316 bis c.p.) relativamente ai settori aziendali: Area Attività delegate PAT (1 attività) Truffa in danno dello Stato (art. 640 comma 2, n.1 c.p.) relativamente ai settori aziendali: Area Amministrazione (3 attività) Truffa aggravata per il conseguimento di erogazioni pubbliche e Indebita percezione di erogazioni a danno dello Stato (artt. 640 bis e 316 ter c.p.) relativamente ai settori aziendali: Area Attività delegate PAT (1 attività) Concussione e induzione indebita a dare o promettere utilità (artt. 317 e 319 quater) relativamente ai settori aziendali: Area Attività delegate PAT (1 attività) Corruzione (artt. 318, 319, 319 bis, 320, 321, 322, 322 bis c.p.) relativamente ai settori aziendali: Area Amministrazione (3 attività) Corruzione tra privati (art.2635 c.c.) relativamente ai settori aziendali: Area Finanza (2 attività) False comunicazioni sociali; False comunicazioni sociali in danno dei soci o dei creditori (artt.2621, 2622 primo e terzo comma c.c.) relativamente ai settori aziendali: Falso in prospetto (art. 173-bis T.U.F.) relativamente ai settori aziendali: Area Finanza (1 attività) Impedito controllo (artt. 2625, comma 2, c.c.) relativamente ai settori aziendali: Aggiotaggio (art c.c.) relativamente ai settori aziendali: Area Finanza (1 attività) Omicidio colposo e Lesioni personali colpose (artt. 589, 590 c.p.) relativamente ai settori aziendali: pag. 7

8 Ricettazione (art. 648 c.p.) relativamente ai settori aziendali: Reati Ambientali (artt. 727 bis e 733 bis c.p.; artt. 29, 137, 256, 257, 258, 259, 260, 260 bis, 279 D.Lgs. 152/2006; artt. 1, 2, 3 bis, L. 150/1992; art. 3 L. 549/1993; art. 8 D.Lgs. 202/2007; art. 9 D.Lgs. 202/2007) Impiego di cittadini di paesi terzi il cui soggiorno è irregolare (D.Lgs. 25 luglio 1998, n. 286, art. 22, comma 12-bis) Contenzioso e Affari Legali (1 attività) Area Amministrazione (2 attività) 2.5 RISULTATI DELL ANALISI DEI RISCHI IN CAPO AI SOGGETTI APICALI Con riferimento ai Soggetti Apicali si è provveduto a sottoporre (CdA del xxx) ai Membri del Consiglio di Amministrazione, nonché al Direttore Generale, una specifica scheda al fine di valutare il rischio che, nell ambito delle attività correlate al ruolo ricoperto, venga commesso uno dei reati previsti dal D.Lgs. 231/01. Dall analisi delle risultanze è emersa una valutazione della probabilità teorica di commissione dei reati previsti dal Decreto complessivamente bassa. In particolare, con riferimento alla compilazione delle schede relative a ciascun membro del CdA ed al Direttore Generale emerge la seguente valutazione: Truffa aggravata ai danni dello stato Corruzione False comunicazioni sociali Falso in prospetto Impedito controllo Aggiotaggio Reati di abuso di mercato Reati di omicidio colposo e lesioni gravi o gravissime, commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro (artt. 589 e 590 terzo comma c.p.) Probabilità teorica di accadimento: Bassa pag. 8

9 Impiego di cittadini di paesi terzi il cui soggiorno è irregolare 3. CONCLUSIONI Dopo la fase di Assessment è previsto l aggiornamento e l approvazione del Modello Organizzativo e Gestionale 231. La Società deve, altresì, provvedere progressivamente all adozione di contromisure organizzative idonee a prevenire la realizzazione delle condotte illecite, così come suggerito nell ambito delle aree di miglioramento definite in relazione allo scoring attribuito al singolo rischio elementare. In particolare: aggiornamento del Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/01; adozione del Codice Etico; eventuale adozione di un registro delle Informazioni privilegiate per tenere traccia di quali risorse aziendali hanno accesso a singole, specifiche informazioni privilegiate; eventuale adozione del Regolamento per l'assunzione dei Rischi Finanziari che limiti il rischio di investimenti speculativi e/o che possano originare da informazioni privilegiate; formalizzazione della prassi aziendale in uso relativa alla verifica dei documenti di identità e del casellario giudiziario nella Procedura Selezione del personale. In tal modo Cassa del Trentino potrà completare il proprio sistema organizzativo ed i relativi meccanismi di funzionamento atti a garantire un operatività aziendale conforme ai disposti normativi di legge e di settore, nonché al rispetto dei presidi previsti dal Modello organizzativo ALLEGATI Allegato 1: Reati previsti ex D.Lgs. 231/2001 Allegato 2: DB Analisi delle attività sensibili ex D.Lgs. 231/2001 Allegato 3: Scheda di rilevazione per Organi Apicali pag. 9