Compliance aziendale Politiche e procedure per gestire i rischi di non conformità Indagine conoscitiva 2013
LA GESTIONE DEL RISCHIO DI COMPLIANCE NELLE IMPRESE ITALIANE a cura di Lorenza Altieri, e Alberto Floreani Realizzazione: Gruppo 24 Ore Progetto Grafico: Design&Grafica - Anna Benetti Coordinamento editoriale: Maria Cristina Origlia Redazione Paola Conversano Impaginazione Emmegi Group Srl Stampa Xxxx Chiuso in redazione il 20 novembre 2013
Premessa 2 Introduzione 3 SEZIONE 1 La compliance aziendale e il contesto normativo di riferimento 1. LA COMPLIANCE AZIENDALE: LO SCENARIO DI RIFERIMENTO 5 2. RUOLI, RESPONSABILITÀ E MODELLI ORGANIZZATIVI 6 3. IL PROCESSO DI COMPLIANCE 7 4. IL CONTESTO NORMATIVO DI RIFERIMENTO 8 4.1 RESPONSABILITÀ AMMINISTRATIVA DELLE PERSONE GIURIDICHE (DLGS 231/01) 9 4.2 ANTIRICICLAGGIO E CONTRASTO DEL FINANZIAMENTO DEL TERRORISMO (DLGS 231/07) 13 4.3 SICUREZZA E SALUTE SUI LUOGHI DI LAVORO (DLGS 81/08) 14 4.4 DANNI AMBIENTALI E INQUINAMENTO (DLGS 152/06 E DLGS 121/11) 16 4.5 PRIVACY E PROTEZIONE DEI DATI PERSONALI (DLGS 196/03) 16 4.6 NORME SULLA SICUREZZA INFORMATICA 18 4.7 QUALITÀ E CERTIFICAZIONE ISO 9001 19 4.8 NORMATIVE SPECIFICHE NAZIONALI E INTERNAZIONALI 20 SEZIONE 2 I risultati della ricerca 5. IL PROGETTO DI RICERCA: METODOLOGIA IMPIEGATA E ANALISI DEL CAMPIONE 23 6. IL RUOLO DELLA COMPLIANCE NELLE AZIENDE ITALIANE: I RISULTATI DELLA RICERCA 24 7. IL MODELLO ORGANIZZATIVO DELLA COMPLIANCE NELLE AZIENDE ITALIANE: LE EVIDENZE DELLA SURVEY 30 Allegato 1 - Comitato Tecnico Scientifico 37 Allegato 2 - Questionario 38 Sommario 1
Nell attività di consulenza, intermediazione e gestione del portafoglio assicurativo prestata alle proprie aziende clienti, Assiteca ha sempre operato nella convinzione che l impresa che attua politiche di risk management possa meglio competere sul mercato. Con l obiettivo di segnalare le aziende che maggiormente si sono dimostrate sensibili a questa tematica e dare quindi voce alle eccellenze del nostro paese, nel 2010 Assiteca ha lanciato la prima edizione del Premio La gestione del rischio nelle imprese italiane, un riconoscimento unico nel panorama nazionale. L iniziativa si basa sulla realizzazione di un indagine, strutturata con il supporto di un autorevole Comitato Tecnico Scientifico, funzionale a inquadrare il grado di preparazione delle aziende italiane sul tema della gestione del rischio e propedeutica all attribuzione del Premio, ogni anno approfondisce un focus specifico. Dopo aver affrontato il tema della sicurezza sul lavoro, dei crediti commerciali e della business continuity, il focus del Premio Assiteca 2013 è dedicato alla gestione del rischio di compliance aziendale. Novità dell edizione 2013 la partnership con il Gruppo 24 ORE e la premiazione delle imprese vincitrici nell ambito del 10 Annual Economia & Finanza. L indagine 2013 si è posta l obiettivo di verificare come le aziende italiane si sono organizzate e strutturate per gestire il rischio di non conformità, quali le politiche, i processi e le procedure adottate per garantire la compliance aziendale e migliorare la competitività. Ai fini dell assegnazione del Premio, il questionario è stato strutturato con domande chiuse con un sistema di punteggio che ha permesso di definire il ranking delle aziende partecipanti. In questo modo sono state identificate le aziende più virtuose che sono state successivamente contattate per verificare in modo più approfondito le politiche di compliance adottate. Questa seconda fase qualitativa, gestita dal Comitato Tecnico Scientifico, ha portato a definire le aziende finaliste: Categoria piccole e medie imprese F.I.V. Fabbrica Italiana Valvole Produzione di rubinetti e accessori per termoidraulica LEO Pharma Ricerca e produzione di farmaci per curare le patologie dermatologiche Petroltecnica Bonifiche e smaltimento di rifiuti industriali SECH Terminal contenitori Porto di Genova Premessa Categoria grandi imprese Bosch Rexroth Tecnologie per l azionamento e il controllo del movimento Isagro Produzione e distribuzione di agrofarmaci NTV Nuovo Trasporto Viaggiatori Trasporto ferroviario ad alta velocità SKF Industrie Produzione e vendita cuscinetti volventi Al termine dell incontro dedicato alla presentazione delle best practice delle aziende svolto lo scorso 29 ottobre a Milano presso la sede del Gruppo 24 ORE, il Comitato Tecnico Scientifico si è riunito per selezionare le aziende vincitrici: Petroltecnica per la categoria piccole e medie imprese Isagro per la categoria grandi imprese 2
Il report realizzato da Lorenza Altieri, senior research analyst di CeTIF, e Alberto Floreani, professore associato presso la Facoltà di Scienze Bancarie Finanziarie e Assicurative dell Università Cattolica del Sacro Cuore sintetizza i risultati dell indagine sul ruolo e sulla gestione del rischio compliance nelle imprese italiane realizzata nell ambito della IV edizione del Premio Assiteca. Il rischio di non conformità alle norme, o rischio di compliance, è «il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)» 1. Nell ambito del più articolato sistema di risk management, il rischio di compliance è già da diversi anni all attenzione di banche, imprese di assicurazione e grandi gruppi multinazionali. Per il mondo delle istituzioni finanziarie, in particolare, esistono delle disposizioni che rendono obbligatoria l esistenza di una specifica funzione di compliance 2. Per le istituzioni non finanziarie, la presenza di una funzione di compliance non è obbligatoria, ma il progressivo ampliarsi dell ambito applicativo del Dlgs 231/01 sulla responsabilità amministrativa delle persone giuridiche costituisce un elemento che dovrebbe incrementare l attenzione delle imprese verso l istituzione di una tale funzione e, più in generale, verso una più articolata gestione del rischio di non conformità. Il presente scritto si propone di introdurre alla compliance aziendale e al contesto normativo di riferimento (Sezione 1) e di esporre i risultati dell indagine, effettuata tramite un questionario 3, sul ruolo della compliance nelle imprese italiane operanti al di fuori del settore finanziario (Sezione 2). Come si avrà modo di illustrare, dall indagine emergono alcuni spunti interessanti. In particolare, il ridotto numero dei questionari compilati rispetto al numero degli invii sembrerebbe indicare una scarsa sensibilità delle imprese italiane al rischio di compliance. È doveroso sottolineare però: nella maggior parte delle imprese che hanno risposto al questionario, il rischio di compliance è stato preso nella dovuta considerazione attraverso la realizzazione di adeguati presidi organizzativi e operativi; le imprese che hanno investito risorse nell attività di compliance sembrano consapevoli dell utilità che questa attività può comportare in termini di miglioramenti organizzativi e procedurali, di immagine aziendale e di migliore garanzia per gli stakeholder aziendali, primi fra tutti gli azionisti; le imprese rispondenti valutano come non particolarmente elevati i loro rischi di compliance; ciò quale probabile conseguenza dell introduzione di adeguati presidi organizzativi e operativi atti a mitigarli; la diffusione tra le imprese italiane di una specifica funzione di compliance per la gestione del rischio di non conformità è ancora limitata alle imprese di più grande dimensione. Introduzione 3
Sezione 1 La compliance aziendale e il contesto normativo di riferimento 4
1. La compliance aziendale: lo scenario di riferimento Il sistema della compliance è quell insieme di strutture organizzative, attività, politiche e procedure che vengono poste in essere al fine di prevenire il rischio di non conformità dell operato aziendale alle norme, ai regolamenti, alle procedure e ai codici di condotta vigenti, suggerendo ove si riscontrino disallineamenti le più opportune soluzioni da porre in essere per sanarli. La funzione compliance presente all interno delle aziende è il referente unico dell intero processo di compliance ed è la struttura organizzativa cui è affidato il compito di: prevenire i disallineamenti tra le procedure aziendali e l insieme delle regole interne ed esterne all azienda; assistere le strutture aziendali nell applicazione delle norme, dei regolamenti, delle procedure e dei codici, coordinandone e garantendone l attuazione; segnalare le più recenti novità normative al fine di aggiornare periodicamente la documentazione in essere presso l azienda, predisponendo interventi formativi per adeguare le procedure interne alle normative, qualora necessario; risolvere situazioni di discordanza tra la disciplina in vigore e le specifiche realtà operative aziendali; prevenire il rischio di sanzioni legali o amministrative, di perdite operative, di provvedimenti di interdizione parziale o totale dell attività (rischio normativo); prevenire l impresa dal deterioramento della reputazione aziendale presso l opinione pubblica, la comunità finanziaria, la propria clientela e, più in generale, tutti i suoi stakeholder (dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario ecc.); la reputazione dipende da fattori quali l affidabilità, l autorevolezza e l effettiva capacità nello svolgere la propria attività e, per essere correttamente tutelata, deve essere gestita attraverso una comunicazione efficace e il mantenimento di una relazione positiva con i principali soggetti portatori d interesse (rischio reputazionale). I controlli di conformità sono dunque da inserire nel più ampio scenario del sistema di monitoraggio dei rischi aziendali; pertanto, affinché tali controlli possano essere svolti in modo ottimale e la funzione compliance possa operare efficacemente, è essenziale il coordinamento con le altre aree aziendali (funzione legale, organizzazione, organismo di vigilanza ecc.) e, in particolare, con le funzioni che presidiano il sistema dei controlli interni e quello di risk management, garantendo una precisa definizione degli ambiti di azione e di responsabilità di ciascuna di queste funzioni, al fine di evitare sovrapposizioni e ridondanza nelle attività di controllo. Sinteticamente, il sistema della compliance d azienda è quindi da intendersi come uno strumento che supporta le aziende a promuovere e consolidare i propri principi etici, a migliorare le relazioni con la clientela, a tutelare gli amministratori da possibili responsabilità personali e ad armonizzare i comportamenti dei dipendenti, rendendo le imprese anche maggiormente competitive nei confronti dei propri concorrenti. La compliance si pone come interlocutore istituzionale privilegiato delle differenti unità di 5
controllo presenti all interno delle strutture operative d azienda, validandone le procedure interne e verificandone costantemente la congruenza rispetto alla normativa vigente. 2. RUOLI, RESPONSABILITÀ E MODELLI ORGANIZZATIVI La funzione compliance è la struttura aziendale alla quale è affidato il compito di porre in essere tutte le azioni necessarie per garantire la mitigazione del rischio di non conformità. Dal punto di vista strettamente operativo, la funzione dovrà procedere a: valutare le principali fonti di rischio di non conformità cui l impresa è soggetta; definire le politiche e le procedure che dovranno essere poste in essere per contrastare efficacemente i rischi individuati; elaborare un piano periodico di verifiche di conformità, al fine di controllare lo stato dell arte, il grado di disallineamento e le eventuali carenze nella gestione dei rischi aziendali; stilare un reporting periodico relativo all attività di compliance e ai risultati ottenuti. Affinché la funzione possa operare efficacemente è essenziale che essa risulti: indipendente rispetto alle aree operative aziendali; a tale scopo deve essere chiaramente formalizzato il mandato della funzione, attraverso una precisa indicazione di compiti, responsabilità, addetti, prerogative, oltre a essere assicurata la presenza di adeguati presidi per la prevenzione dell insorgenza di eventuali conflitti di interesse. La funzione compliance deve inoltre essere ben separata rispetto alle unità dedicate allo svolgimento dei controlli interni, affinché sia garantita un attività di revisione indipendente; dotata di risorse qualitativamente e quantitativamente adeguate rispetto ai compiti da espletare; in tal senso, le risorse impiegate all interno della funzione dovranno possedere specifiche competenze tecniche e professionali ed essere inserite in programmi di formazione continua, in base alle effettive necessità riscontrate; libera di accedere a tutte le attività svolte in azienda, sia presso gli uffici centrali che presso le strutture di periferia, e di consultare tutte le informazioni giudicate rilevanti per lo svolgimento della propria operatività. La sua composizione può essere definita in maniera autonoma e individuale da ciascuna impresa, che può scegliere di affidare l incarico di responsabile della compliance a un singolo soggetto aziendale, piuttosto che affidarlo a una pluralità di risorse interne operanti in aree differenti dell organizzazione. Più precisamente, possono essere adottati i seguenti approcci: costituzione di una specifica funzione dedicata; attribuzione di competenze di compliance alla direzione generale; 6
attribuzione di competenze di compliance in capo ad altre funzioni preesistenti; attribuzione di competenze specifiche a consiglieri di amministrazione indipendenti; attribuzione di competenze specifiche a soggetti operanti all interno dell azienda ai quali vengono delegate alcune funzioni di controllo; attribuzione di competenze specifiche a comitati già presenti e attivi, con compiti di natura varia (di consulenza, deliberativi ecc.); attribuzione di compiti di verifica a organismi di controllo esterni 4. Nello specifico, poi, è possibile che la funzione compliance nella figura del compliance officer al quale è generalmente affidata si trovi a coordinare risorse che espletano funzioni di controllo di conformità ma siano inserite all interno di funzioni aziendali diverse; il grado di delega delle attività determina il grado di decentramento del processo di conformità. In altri casi, invece, la funzione di compliance coordina e controlla l operato di altre unità di compliance che possono essere dislocate in altre divisioni aziendali/sul territorio. I modelli organizzativi come questi sono connotati da un operatività decentrata che risulta essere meno onerosa (in termini di risorse ma anche di costi organizzativi) rispetto a quella delle funzioni compliance che operano in modo accentrato e autonomo. I sistemi decentrati saranno quindi di più facile e frequente applicazione e adattabili a un numero maggiore di realtà aziendali con caratteristiche e strutture operative differenti. Non di rado le organizzazioni optano per un modello organizzativo flessibile, connotato da un grado di accentramento delle attività più elevato nelle fasi intense di recepimento di nuove normative, seguito da una seconda fase di maggiore decentramento delle attività nella gestione quotidiana e operativa della compliance d azienda 5. 3. Il processo di compliance La funzione compliance governa un processo trasversale e ciclico, che consta di presidi organizzativi e operativi atti a evitare disallineamenti rispetto alle regole del contesto nel quale l azienda si trova a operare, garantendo nel continuo la conformità alla normativa vigente. Il processo di compliance può essere schematicamente organizzato nei seguenti quattro sottoprocessi. Individuazione e applicazione della normativa: individuazione di norme, regole e principi rilevanti per l azienda e traduzione di tali leggi del complesso di regole e procedure che dovranno guidare lo svolgimento dell operatività aziendale. Tale eventualità si potrà verificare nel caso in cui vengano emessi una nuova normativa, un nuovo regolamento o un nuovo standard al quale attenersi, da parte delle istituzioni, delle associazioni di categoria, degli organismi di vigilanza o dell impresa stessa. Valutazione dei rischi: verifica della situazione aziendale corrente, con riguardo alle modifiche/ai cambiamenti richiesti dalla normativa vigente, identificazione dei processi e 7
delle aree aziendali impattate e che potrebbero risultare quindi esposte al rischio di non conformità, valutando anche il grado di rischio di tale esposizione. Implementazione degli adeguamenti: adozione delle regole e delle procedure operative definite come necessarie al fine di riequilibrare i disallineamenti interni all azienda dovuti a una non conformità alla normativa vigente; sviluppo delle competenze e delle professionalità necessarie a garantire un efficace applicazione di tali regole, per mezzo di un adeguato processo di comunicazione e di formazione. Attività di monitoraggio e reporting: verifiche periodiche e nel continuo relative all effettiva applicazione degli adeguamenti organizzativi/operativi resisi necessari e all efficacia del corpo di regole sviluppato; eventuale predisposizione di interventi correttivi, di nuovi processi informativi o di formazione, qualora non siano risultati sufficienti/adeguati. Rendicontazione agli organi supervisori dei risultati raggiunti o di eventi di non conformità con carattere di rilevanza. 4. Il contesto normativo di riferimento L insieme di norme, regolamenti e procedure in relazione ai quali le aziende operano per il mantenimento della compliance e per l implementazione di eventuali azioni correttive o preventive è composito e variabile, in relazione allo specifico settore operativo di ciascuna azienda, al suo ambito di attività e alle sue caratteristiche. Esistono tuttavia alcune normative fondamentali rispetto alle quali il rischio di non conformità delle imprese è maggiormente marcato e che meritano dunque di essere opportunamente analizzate e studiate per comprenderne appieno le implicazioni e le prescrizioni organizzative e operative che esse generano in capo alle imprese. In particolare, si fa riferimento alle seguenti disposizioni: a. Responsabilità amministrativa delle persone giuridiche (Dlgs 231/01); b. Antiriciclaggio e contrasto del finanziamento del terrorismo (Dlgs 231/07); c. Sicurezza e salute sui luoghi lavoro (Dlgs 81/08); d. Danni ambientali e inquinamento (Dlgs 152/06 e Dlgs 121/11); e. Privacy e protezione dei dati personali (Dlgs 196/03); f. Norme sulla sicurezza informatica; g. Qualità e certificazione ISO 9001; h. Normative specifiche nazionali e internazionali. Per ciascuna delle normative richiamate, qualora esse siano effettivamente parte del quadro normativo di riferimento per la singola realtà aziendale, esisterà un insieme di risorse organizzate e finalizzate a garantire conformità alle prescrizioni in esse contenute. Di seguito vengono analizzate le previsioni e le implicazioni organizzative e operative dettate da queste normative. 8
4.1 responsabilità amministrativa delle persone giuridiche (Dlgs 231/01) Il decreto legislativo 8 giugno 2001, n. 231, recante Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell art. 11 della legge 29 settembre 2000, n. 300 ha introdotto per la prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito, adeguando la normativa nazionale in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali a cui l Italia ha aderito 6. L ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali il patrimonio degli enti e gli interessi economici dei soci, i quali, fino all entrata in vigore della legge in esame, non pativano conseguenze dalla realizzazione di reati commessi, con vantaggio della società, da amministratori e/o dipendenti. L innovazione normativa è perciò particolarmente significativa, determinando peraltro un interesse di quei soggetti che partecipano alle vicende patrimoniali dell ente, al controllo della regolarità e della legalità dell operato sociale. La responsabilità dell ente giuridico si aggiunge a quella della persona fisica che ha commesso materialmente l illecito ed è autonoma rispetto ad essa, sussistendo anche quando l autore del reato non sia stato identificato, non sia imputabile oppure nel caso in cui il reato si estingua per una causa diversa dall amnistia. I reati perseguiti Il regime di responsabilità amministrativa a carico dell impresa è configurabile per reati puntualmente elencati e commessi nel suo interesse o vantaggio: a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso; b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a) 7. Le fattispecie di reato rilevanti sono molteplici; a titolo esemplificativo ne vengono qui riportate alcune categorie, rimandando alla lettura integrale della norma per una definizione maggiormente puntuale dei reati cui essa fa riferimento: delitti contro la pubblica amministrazione (quali induzione indebita a dare o promettere utilità, corruzione e malversazione ai danni dello Stato, truffa ai danni dello Stato e frode informatica ai danni dello Stato ecc.); reati informatici e trattamento illecito dei dati; reati societari (quali false comunicazioni sociali, impedito controllo, illecita influenza sull assemblea ecc.); delitti in materia di terrorismo e di eversione dell ordine democratico (incluso il finanziamento ai suddetti fini); delitti contro la personalità individuale (quali lo sfruttamento della prostituzione, la pornografia minorile, la tratta di persone e la riduzione e mantenimento in schiavitù); 9
reati in materia di abusi di mercato (abuso di informazioni privilegiate e manipolazione del mercato); reati in materia di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita; delitti di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell igiene e della salute sul lavoro; delitti di criminalità organizzata; reati ambientali. Limiti della responsabilità, modelli organizzativi dell ente e linee guida operative L art. 6 del decreto legislativo 231/01 contempla tuttavia una forma di esonero di responsabilità qualora l ente dimostri, in occasione di un procedimento penale per uno dei reati considerati, di aver adottato ed efficacemente attuato modelli di organizzazione, gestione e controllo idonei a prevenire la realizzazione dei reati considerati, provando quindi che la commissione del reato non deriva da una propria colpa organizzativa. Il decreto sancisce infatti che la società non debba rispondere degli illeciti commessi se prova che: a) l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo della società dotato di autonomi poteri di iniziativa e di controllo; c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell organismo di cui alla lettera b) 8. Il legislatore si è preoccupato di delineare, all interno del decreto, quello che deve essere il contenuto dei modelli di organizzazione e di gestione considerati efficaci per prevenire il rischio di commissione dei reati indicati. Nello specifico, la norma indica che le imprese devono: a) individuare le attività nel cui ambito possono essere commessi reati; b) prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati; d) prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello 9. Alla luce delle previsioni normative, dunque, è possibile individuare alcuni passi operativi che le imprese dovrebbero compiere per realizzare all interno delle proprie realtà dei modelli di organizzazione e gestione coerenti con i requisiti specifici contenuti nel decreto legislativo 231/01. Di seguito vengono brevemente descritte le prassi che dovrebbero essere poste in essere. Indagine degli ambiti aziendali di attività. L analisi del contesto aziendale nel suo complesso dovrebbe essere finalizzata a evidenziare quelle aree/settori di attività nei quali potrebbero 10
essere compiuti dei reati, con l obiettivo di realizzare una mappatura delle aree aziendali maggiormente a rischio. Analisi dei rischi potenziali. L analisi dei rischi potenziali è finalizzata a verificare le modalità con le quali gli eventi illeciti potrebbero essere realizzati in ciascuna delle aree aziendali individuate come potenzialmente a rischio; lo scopo è ottenere una rappresentazione esaustiva di come le differenti fattispecie di reato potrebbero essere attuate rispetto al contesto operativo interno ed esterno in cui opera l azienda. Valutazione, costruzione e adeguamento del sistema di controlli attualmente esistente. Il sistema dei controlli finalizzato a prevenire il compimento di reati eventualmente esistente all interno dell azienda dovrà essere valutato alla luce dei risultati dell indagine degli ambienti aziendali e dell individuazione dei rischi potenziali; tale valutazione di conformità/non conformità dovrà quindi portare a un adeguamento del sistema attuale qualora venga rilevata la necessità di modificarlo/integrarlo, piuttosto che a una costruzione del sistema dei controlli ex novo, qualora l ente ne sia sprovvisto. Le caratteristiche del sistema di controllo preventivo I contenuti del decreto permettono di desumere quelle che dovrebbero essere le componenti di un sistema di controllo realmente efficace nell esecuzione della propria funzione preventiva del rischio di compimento dei reati. Nello specifico, gli elementi chiave di tale modello risultano essere quelli riportati di seguito 10. Il codice etico (o di comportamento) relativo ai reati individuati, il sistema disciplinare e i meccanismi sanzionatori. L adozione di princìpi etici rilevanti ai fini della prevenzione dei reati identificati, inseriti all interno di un codice etico aziendale, costituisce un elemento di grande importanza del sistema di controllo preventivo. I codici etici sono documenti ufficiali dell ente che contengono l insieme dei diritti, dei doveri e delle responsabilità della società e dei suoi esponenti nei confronti dei propri stakeholder. Un codice etico è finalizzato a raccomandare, promuovere o vietare determinati comportamenti, indipendentemente da quanto previsto a livello normativo; in esso possono anche essere indicate sanzioni proporzionate alla gravità delle eventuali infrazioni commesse. Prevedere un adeguato sistema disciplinare e sanzionatorio per la violazione delle norme del codice etico potrebbe essere un elemento particolarmente rilevante per il positivo funzionamento del modello adottato; tali violazioni ledono il rapporto di fiducia instaurato tra i soggetti in posizione apicale, i lavoratori subordinati, i lavoratori autonomi e altri soggetti terzi con l impresa e devono dunque determinare azioni disciplinari volte a dissuadere i soggetti dal violare le norme vigenti, oltre che a ristabilire l ordine aziendale. Il sistema organizzativo e i poteri autorizzativi e di firma. Un sistema organizzativo formalizzato e ben definito contribuisce ad assegnare in maniera chiara le responsabilità, descrive puntualmente i compiti e le attività degli organismi aziendali e definisce le linee di dipendenza gerarchica, il sistema dei poteri e delle deleghe. Esso, inoltre, definisce i sistemi premianti dei dipendenti eventualmente previsti dalla società, con lo scopo di indirizzare le attività del personale operativo e manageriale verso l efficiente consegui- 11
mento degli obiettivi aziendali. I poteri autorizzativi e di firma, assegnati in coerenza con le responsabilità organizzative e gestionali assegnate, indicano i soggetti ai quali è stato conferito il potere di autorizzare determinate tipologie di operazioni. Le procedure manuali e informatiche e il sistema di controllo di gestione. I sistemi di informazioni regolamentano lo svolgimento delle attività prevedendo opportuni punti di controllo finalizzati a verificare il corretto svolgimento dell operatività aziendale. Il sistema di controllo di gestione è invece in grado di fornire tempestiva segnalazione dell esistenza e dell insorgere di situazioni di criticità; funzionali a ciò sono la definizione di opportuni indicatori per le singole tipologie di rischio rilevato e i processi di risk assessment interni alle singole funzioni aziendali. Processi di comunicazione al personale e sua formazione. Si tratta dei processi continuativi di comunicazione/diffusione al personale d azienda delle previsioni contenute nel codice etico, della struttura dei poteri autorizzativi, delle linee di dipendenza gerarchica, delle procedure e dei flussi di informazione ecc. Al processo di comunicazione deve essere affiancato un solido programma di formazione rivolto al personale di ogni livello e, in particolar modo, a quello operante nelle aree a rischio, al fine di dargli illustrazione delle logiche e della portata delle regole aziendali. L Organismo di Vigilanza Come si è detto, l art. 6 del Dlgs 231/01 prevede che l ente possa essere esonerato dalla responsabilità conseguente alla commissione dei reati indicati se l organo dirigente ha adottato modelli di organizzazione, gestione e controllo idonei a prevenire efficacemente l esecuzione degli illeciti, oltre ad aver affidato a un organismo della società dotato di autonomi poteri di iniziativa e controllo il fondamentale compito di vigilare sul corretto funzionamento del modello di organizzazione e gestione, curandone la verifica periodica e l eventuale modifica/aggiornamento dello stesso, qualora vengano scoperte significative violazioni delle prescrizioni o quando intervengano mutamenti rilevanti nell organizzazione e nelle attività aziendali. L esistenza di un Organismo di Vigilanza (OdV) è dunque un elemento essenziale per l implementazione di ottimali dinamiche di verifica e controllo del buon funzionamento del modello. Le attività che questo è chiamato ad assolvere possono essere così sinteticamente riassunte: vigilare sull effettività del modello, verificando la coerenza fra i comportamenti posti in essere all interno dell azienda e il modello istituito; constatare l adeguatezza del modello, ossia la sua capacità di prevenire, almeno in linea di massima, i comportamenti non desiderati, e verificare il permanere nel tempo dei requisiti di solidità e funzionalità; procedere a un aggiornamento del modello, nell ipotesi in cui si verifichi che si sono resi necessari opportuni adeguamenti e correzioni. Con riferimento, invece, ai requisiti che si ritiene debbano connotare l Organismo di Vigilanza e il suo operato, sono stati individuati i seguenti: 12
autonomia e indipendenza: l Organismo deve essere autonomo e indipendente nello svolgimento delle proprie attività di controllo, risultando libero da qualsiasi interferenza o condizionamento (in particolare se proveniente dall organo dirigente) che possa gravare sul suo operato; per garantire ciò è indispensabile che l OdV non svolga alcun compito operativo che, rendendolo partecipe di decisioni e attività d azienda, ne minerebbe l obiettività di giudizio nel momento delle verifiche sui comportamenti e sul modello; professionalità: l Organismo deve possedere un set adeguato di strumenti e tecniche specialistiche (ispettive, ma anche d analisi dei sistemi, di tipo giuridico e penalistico ecc.) che gli permettano di svolgere efficacemente la propria attività; continuità di azione: deve esistere una struttura dedicata esclusivamente e a tempo pieno all attività di vigilanza sul modello, senza che alla stessa vengano affidate attività operative di alcuna sorta. 4.2 antiriciclaggio e contrasto del finanziamento del terrorismo (DLgs 231/07) Il riciclaggio di denaro è quell insieme di operazioni mirate a dare una parvenza lecita a capitali la cui provenienza è, in realtà, illecita. Un importante azione contro il riciclaggio è stata svolta dall Unione Europea, da ultimo con la direttiva 2005/60/CE acquisita dal legislatore italiano nel Dlgs 231/07 del 16 novembre 2007, che introduce, con la sua entrata in vigore, un collegamento diretto tra la disciplina antiriciclaggio e la responsabilità amministrativa degli enti prevista dalle disposizioni del Dlgs 231/01 con l art. 25-octies, relativo ai reati di ricettazione, riciclaggio e l impiego di denaro, beni o utilità di provenienza illecita (artt. 648, 648-bis e 648-ter del codice penale), nel quale è indicato che: 1) In relazione ai reati di cui agli articoli 648, 648-bis e 648-ter del codice penale, si applica all ente la sanzione pecuniaria da 200 a 800 quote. Nel caso in cui il denaro, i beni o le altre utilità provengono da delitto per il quale è stabilita la pena della reclusione superiore nel massimo a cinque anni si applica la sanzione pecuniaria da 400 a 1000 quote. 2) Nei casi di condanna per uno dei delitti di cui al comma 1 si applicano all ente le sanzioni interdittive previste dall art. 9, comma 2, per una durata non superiore a due anni. I soggetti destinatari degli obblighi previsti dalla normativa antiriciclaggio comprendono sia il sistema bancario, finanziario e assicurativo, sia professionisti e operatori non finanziari (quali i notai e gli avvocati quando, in nome o per conto dei propri clienti, compiono qualsiasi operazione di natura finanziaria o immobiliare, nonché i soggetti iscritti nell albo dei ragionieri e dei periti commerciali, dei dottori commercialisti e in quello dei consulenti del lavoro ecc.). In merito agli obblighi posti in capo a tali tipologie di soggetti, essi possono essere così sintetizzati: obbligo di adeguata verifica sul cliente; obbligo di adottare nella valutazione un approccio basato sul rischio (risk based approach); 13
obbligo di registrazione e di tenuta di tutta la documentazione acquisita per assolvere l obbligo di verifica sul cliente; obbligo di immediata segnalazione di eventuali operazioni sospette all Unità di Informazione Finanziaria; obbligo di vigilanza e controllo, ciascuno nell ambito delle proprie attribuzioni e competenze, affidato a specifici organismi aziendali, quali il Collegio Sindacale, il Consiglio di Sorveglianza, il Comitato di Controllo di Gestione, l Organismo di Vigilanza e, in generale, a tutti gli incaricati della funzione di controllo di gestione. I rischi di riciclaggio devono quindi essere oggetto di particolari misure di gestione e controllo, integrate nel sistema di controllo interno dell impresa, ed essere sottoposti a una valutazione periodica al fine di salvaguardare l ente dal vedersi attribuita una responsabilità relativa allo specifico reato. Dovranno essere definiti modelli di prevenzione e contrasto del riciclaggio connotati da un insieme strutturato di istruzioni, procedure e regole operative interne per gestire il rischio individuato. 4.3 Sicurezza e salute sui luoghi di lavoro (DLgs 81/08) In Italia la salute e la sicurezza sul lavoro sono regolamentate dal Dlgs 9 aprile 2008, n. 81 (anche noto come Testo unico in materia di salute e sicurezza sul lavoro, entrato in vigore il 15 maggio 2008) e dalle relative disposizioni correttive, ovvero dal Dlgs 3 agosto 2009, n. 106 e da successivi ulteriori decreti. Il Dlgs 81/08 e i successivi hanno notevolmente ampliato il campo di applicazione delle previsioni in ambito antinfortunistico e di tutela della salute sul luogo di lavoro, estendendole a tutti i settori di attività, privati e pubblici, a tutte le classi di rischio e a tutte le tipologie di lavoratori (dipendenti, parasubordinati, autonomi, volontari ecc.). È importante evidenziare che l art. 25-septies del Dlgs 231/01 (introdotto dalla L. 123/07 e poi modificato dal Dlgs 81/08) ha creato una sostanziale connessione tra sicurezza sul lavoro e responsabilità amministrativa di società ed enti. Infatti, i reati di omicidio colposo e lesioni personali colpose gravi o gravissime, commessi in violazione delle norme antinfortunistiche e di tutela dell igiene e della salute sul lavoro, hanno rilevanza anche ai fini della responsabilità amministrativa ex Dlgs 231/01, purché la loro commissione sia relazionabile a un interesse e/o un vantaggio per la società/ente (vantaggio che potrebbe configurarsi anche in termini di risparmio delle spese necessarie ad adattare l ambiente lavorativo alle previsioni del Dlgs 81/08). Il datore di lavoro ha l obbligo di effettuare la valutazione dei rischi di esposizione dei lavoratori e, in base a quanto rilevato, di prendere tutte le misure di prevenzione e protezione, collettiva e individuale, necessarie a ridurre al minimo il rischio. La valutazione dovrebbe procedere attraverso: la creazione di una base dati anagrafica comune, comprendente i pericoli a cui i lavoratori possono essere esposti, l identificazione di un indice di pericolo, la valutazione di un indice di rischio per ogni mansione-pericolo; 14
la verifica periodica dell esposizione dei lavoratori mediante misurazioni e confronto con i valori limite professionali, ambientali e biologici; la valutazione del rischio correlato a ciascuna mansione; la verifica degli adempimenti di legge e della conformità degli ambienti di lavoro e delle postazioni; l analisi del rischio degli ambienti di lavoro e la stesura di un documento di valutazione, anche al fine di contribuire al percorso di formazione/informazione dei lavoratori; la gestione delle attività conseguenti la valutazione dei rischi (sorveglianza sanitaria, piani di emergenza ecc.), con la creazione di un registro per la gestione delle azioni migliorative conseguenti e dell aggiornamento periodico. L art. 30 del Dlgs 81/08 descrive il modello di organizzazione e di gestione idoneo ad avere efficacia esimente, come previsto dal Dlgs 231/01, ossia di quel modello in grado di assicurare un sistema aziendale che permetta l adempimento di tutti gli obblighi in materia di salute e sicurezza sul luogo di lavoro. Il comma 4 ribadisce la necessità che il modello preveda un entità di controllo sull attuazione e sul mantenimento nel tempo dell idoneità del modello stesso (Organismo di Vigilanza). Al comma 5 viene inoltre indicato come criterio fondamentale per essere compliant alla normativa l adozione di un Sistema di Gestione per la Salute e Sicurezza nei Luoghi di Lavoro (SGSSLL) che sia conforme allo standard Ohsas 18001:2007 11 o alle linee guida UNI-INAIL 12. Un SGSSLL è un sistema di gestione permanente e organicamente strutturato, che permette di tenere sotto controllo i risultati aziendali in materia di sicurezza e salute del lavoro e garantire la conformità alle previsioni normative. Si tratta di un elemento del sistema complessivo di gestione dell organizzazione che comprende la struttura organizzativa, le attività di pianificazione, le responsabilità, le azioni di coinvolgimento, le pratiche, le procedure, i processi e le risorse necessarie per sviluppare, attuare, raggiungere e mantenere la politica dell organizzazione in materia di salute e sicurezza sul lavoro, nell ottica del miglioramento continuo. Il sistema aziendale deve garantire l adempimento di tutti gli obblighi giuridici relativi a: il rispetto degli standard tecnico-strutturali di legge relativi ad attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici; le attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti; le attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza; le attività di sorveglianza sanitaria; le attività di informazione e formazione dei lavoratori; le attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori; 15
l acquisizione di documentazioni e certificazioni obbligatorie di legge; le periodiche verifiche dell applicazione e dell efficacia delle procedure adottate. Il modello organizzativo e gestionale adottato dovrebbe inoltre prevedere un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure in esso contenute e un idoneo sistema di controllo sulla sua attuazione. 4.4 Danni ambientali e inquinamento (DLgs. 152/06 e DLgs 121/11) Per effetto del Dlgs 7 luglio 2011, n. 121 sono state ricomprese nel campo di applicazione del Dlgs 231/01 (per mezzo dell integrazione nel decreto dell art. 25-undecies) alcune fattispecie di reati contro l ambiente e, nello specifico, reati contro specie animali e vegetali protette, illeciti di distruzione di habitat all interno di un sito protetto, di scarichi idrici, di gestione dei rifiuti, di emissioni in atmosfera eccetera 13. Tali ipotesi di reato determinano la responsabilità amministrativa dell impresa in ogni caso in cui l illecito sia stato posto in essere da un dipendente dell azienda stessa, nell interesse/vantaggio della società; a carico degli enti sono previste sanzioni di carattere pecuniario, interdittive, di confisca e di pubblicazione della sentenza. In linea con le previsioni normative contenute nel Dlgs 231/01, anche con riferimento ai reati ambientali la predisposizione di adeguati modelli organizzativi ha efficacia esimente. In merito a ciò le best practice più diffuse prevedono l adozione di Sistemi di Gestione Ambientale (SGA) conformi allo standard ISO 14001 14 o al regolamento europeo 1221/09 (EMAS) 15 ; tuttavia, è opportuno specificare che tali protocolli, sebbene di grande importanza, rappresentano unicamente un primo punto di partenza sulla base del quale sviluppare un modello organizzativo compliant rispetto alle previsioni del Dlgs 231/01. Infatti, un Sistema di Gestione Ambientale conforme agli standard ISO 14001/EMAS ha lo scopo di identificare preliminarmente le prescrizioni normative applicabili al proprio ambito di attività e gli aspetti di rischio ambientale connessi alla propria operatività; un modello organizzativo adeguato deve andare oltre, individuando le aree, le attività e i processi aziendali nell ambito dei quali possono più facilmente ricorrere i reati ambientali e di inquinamento, procedendo a una valutazione e a una costruzione/adeguamento del sistema di controlli attualmente esistente in azienda. Nella prospettiva di conformità ai requisiti del modello organizzativo 231, lo svolgimento delle attività di progettazione e attuazione di un sistema di gestione ambientale deve essere integrato con attività ulteriori, quali il coordinamento tra politica ambientale prevista dal SGA e il codice etico aziendale, il controllo dell effettiva separazione tra compiti e funzioni per le attività a rischio, l istituzione dell Organismo di Vigilanza e la puntuale definizione dei suoi compiti. 4.5 Privacy e protezione dei dati personali (DLgs 196/03) Il Dl 14 agosto 2013, n. 93, recante disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, ha introdotto alcuni provvedimenti in materia di delitti 16
in ambito privacy (nello specifico, trattamento illecito dei dati personali, falsità nelle dichiarazioni e notificazioni al Garante e inosservanza dei provvedimenti del Garante). Le fattispecie di reato citate entrano a far parte dell elenco dei reati per i quali le imprese sono chiamate a rispondere, qualora gli illeciti vengano commessi, nell interesse o a vantaggio della società, da rappresentanti, amministratori, dirigenti o soggetti ad essi sottoposti; la conseguenza è la necessità di aggiornare i modelli organizzativi degli enti, per non incorrere nelle specifiche sanzioni previste. Le disposizioni di legge sulla privacy e protezione dei dati personali in Italia sono contenute nel Dlgs 196/03 (e successive integrazioni), nominato Codice in materia di protezione dei dati personali ; oltre a sancire il diritto per chiunque alla protezione dei dati personali, esso pone in carico ai soggetti che effettuano il trattamento dei dati, sia con l ausilio di strumenti elettronici che mediante supporti cartacei, l onere di adottare misure atte a rendere sempre più garantite e riservate le informazioni di natura personale e sensibile in loro possesso, di utilizzarle in modo quanto più parsimonioso possibile, di procedere a un loro adeguato aggiornamento, oltre a prevedere per tali soggetti numerosi altri obblighi operativi 16. Per attuare in modo completo la normativa sulla privacy è necessario implementare alcuni cambiamenti organizzativi, adottando un modello di organizzazione che chiarisca e definisca in maniera precisa ruoli e responsabilità, procedure e istruzioni da applicare per risultare effettivamente compliant al corpo normativo di riferimento. In sostanza, è necessario adottare un Modello organizzativo privacy i cui tratti più rilevanti sono: l individuazione di un privacy officer, il cui ruolo fondamentale è quello di verificare l adempimento alle previsioni normative della L. 196/03 di riferimento, analizzando i rischi di violazione della norma e definendo quindi le linee guida per l aggiornamento del modello organizzativo aziendale, supportando l operato degli altri organi/soggetti responsabili che svolgono le differenti attività necessarie alla tutela della privacy; l istituzione di un Comitato privacy, con compiti di indirizzo, individuazione delle aree a priorità di intervento e governo del modello organizzativo interno; l identificazione delle tre figure chiave del modello organizzativo privacy, cioè il titolare, il responsabile e l incaricato al trattamento dei dati 17 ; la redazione del Documento Programmatico della Sicurezza (DPS) da parte di tutte le aziende, associazioni, enti e professionisti che trattano i dati personali anche sensibili con strumenti elettronici; il DPS deve riportare le caratteristiche e gli aspetti più rilevanti dell infrastruttura tecnologica aziendale coinvolta nella gestione di dati personali e sensibili, verificando che essa sia coerente con quanto richiesto dalla normativa sulla privacy. Un modello organizzativo privacy opportunamente integrato con un modello organizzativo conforme alle previsioni del Dlgs 231/01, con lo sviluppo degli opportuni protocolli interni e dei flussi informativi tra l Organismo di Vigilanza e il privacy officer, dovrebbe dunque permettere alle imprese di non incorrere nella responsabilità amministrativa dell ente per gli illeciti previsti. 17
4.6 Norme sulla sicurezza informatica Tra i reati per i quali il Dlgs 231/01 prevede il regime di responsabilità amministrativa a carico dell impresa rientrano i reati informatici, ossia quegli illeciti compiuti per mezzo o nei confronti di un sistema informatico. Il sistema IT può infatti essere oggetto di un reato finalizzato a distruggere o manipolare l elaboratore, piuttosto che a sottrarre o eliminare le informazioni o i programmi in esso contenuti; alternativamente, può rappresentare lo strumento attraverso il quale gli illeciti vengono compiuti, come nel caso delle frodi informatiche. La Convenzione di Budapest del 2001, ratificata e resa esecutiva con la L. 18 marzo 2008, n. 48, ha cercato di fornire una soluzione al problema dei computer crimes prevedendo una specifica forma di responsabilità in capo agli enti dotati di personalità giuridica, alle società e associazioni, anche prive di personalità giuridica, quando tale particolare tipologia di illeciti sia commessa nel loro interesse o a loro vantaggio. Questo è stato reso possibile mediante l inserimento nel Dlgs 231/08 dell art. 24-bis, denominato Delitti informatici e trattamento illecito di dati, che determina la necessità per gli enti di dotarsi di un adeguato modello organizzativo anche in relazione alla prevenzione dei reati informatici, al fine di non incorrere nella responsabilità per i computer crimes eventualmente posti in essere al suo interno. L adozione di un adeguato modello organizzativo e lo svolgimento di tutti i controlli da esso previsti possono essere fortemente facilitati dall adozione di un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), in coerenza con le linee guida e i requisiti definiti dalla norma ISO 27001, applicabile a qualsiasi tipo di organizzazione, a prescindere dal settore e dalle dimensioni. Un SGSI modellato opportunamente potrà ottenere anche la relativa certificazione internazionale ISO 27001, che definisce lo standard condiviso per la gestione della sicurezza delle informazioni. La norma ISO 27001 propone un modello che tratta tutti gli aspetti relativi alla sicurezza informatica, col fine di proteggere le informazioni aziendali: dai documenti in formato elettronico a quelli cartacei e agli strumenti informatici, fino alla conoscenza individuale dei singoli dipendenti. Il SGSI si posiziona a un livello più alto rispetto alle scelte tecnologiche di dettaglio, dalle quali dipende la cosiddetta sicurezza fisica (da intendere in termini di infrastrutture, sistemi di continuità, sistemi di controllo degli accessi fisici); infatti, esso comprende anche le previsioni in ambito di sicurezza logica (sicurezza dei sistemi di autenticazione e identificazione, impostazione dei firewall e gestione del sistema di e-mailing ecc.) e di sicurezza organizzativa, che si realizza attraverso: un opportuna definizione delle figure, dei ruoli e delle responsabilità delle risorse che, all interno dell organizzazione, si occupano di gestione della sicurezza informatica; una definizione delle procedure operative rilevanti per la gestione della sicurezza IT e per l utilizzo sicuro delle risorse informatiche, con la redazione di una policy di utilizzo dei sistemi informatici (norme per l uso corretto del personal computer, per la creazione di password sicure, per l utilizzo di internet e della posta elettronica ecc.); una pianificazione di opportune attività formative finalizzate a incrementare la conoscenza e la competenza in materia di sicurezza IT degli addetti e degli utenti che operano sulle risorse informatiche. 18