ALER CREMONA www.aler-cremona.it Azienda Lombarda Edilizia Residenziale di Cremona Sede legale e operativa: Via Manini 12 26100 Cremona

ALER CREMONA www.aler-cremona.it Azienda Lombarda Edilizia Residenziale di Cremona Sede legale e operativa: Via Manini 12 26100 Cremona ALER CREMONA PIANO DI VALUTAZIONE DEI RISCHI RESP. AMM.VA DI IMPRESA AZIENDA DOCUMENTO RIFERIMENTI MOG Dlgs 231/01 REVISIONE Rev. 00 del 15.05.2012

SOMMARIO 0.INTRODUZIONE...5 1.SCOPO E CAMPO DI APPLICAZIONE...5 2.RIFERIMENTI NORMATIVI...5 3.TERMINI E DEFINIZIONI...5 4.METODOLOGIA DI VALUTAZIONE DEL RISCHIO...6 4.1 PROCESSO DI GESTIONE DEL RISCHIO...6 4.2 STABILIRE IL CONTESTO...7 4.3 VALUTARE IL RISCHIO...8 4.3.1 INDIVIDUARE I RISCHI...8 4.3.2 ANALIZZARE I RISCHI...8 4.3.3 STIMARE I RISCHI...10 4.4 TRATTARE IL RISCHIO...10 5.CONTESTO DI RIFERIMENTO...11 5.1 CONTESTO DI RIFERIMENTO ESTERNO...11 5.1.1 MISSIONE STRATEGICA E CONTESTO SETTORIALE...11 5.1.2 CONTESTO TERRITORIALE...11 5.2 CONTESTO DI RIFERIMENTO INTERNO...11 5.2.1 CONTESTO ISTITUZIONALE...11 5.2.2 CONTESTO ECONOMICO, FINANZIARIO E PATRIMONIALE...11 5.2.3 CONTESTO ORGANIZZATIVO E DELLE RISORSE UMANE...12 5.2.4 CONTESTO INFRASTRUTTURALE (FISICO)...12 5.2.5 CONTESTO INFRASTRUTTURALE (LOGICO)...12 6.INDIVIDUAZIONE DEI RISCHI...12 6.1 INDIVIDUAZIONE DEI RISCHI EX ART.24 DEL DLGS 231/01...12 6.3 INDIVIDUAZIONE DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01...13 6.4 INDIVIDUAZIONE DEI RISCHI EX ART. 24-TER DEL DLGS 231/01...13 5.5 INDIVIDUAZIONE DEI RISCHI EX ART.25 DEL DLGS 231/01...13 6.6 INDIVIDUAZIONE DEI RISCHI EX ART. 25-BIS DEL DLGS 231/01...14 6.7 INDIVIDUAZIONE DEI RISCHI EX ALL ART. 25-BIS 1 DEL DLGS 231/01...14 6.8 INDIVIDUAZIONE DEI RISCHI EX ART. 25-TER DEL DLGS 231/01...14 6.9 INDIVIDUAZIONE DEI RISCHI EX ART. 25-QUATER DEL DLGS 231/01...14 6.10 INDIVIDUAZIONE DEI RISCHI EX ART. 25-QUATER 1 DEL DLGS 231/01...15 6.11 INDIVIDUAZIONE DEI RISCHI EX ART. 25-QUINQUIES DEL DLGS 231/01...15 6.12 INDIVIDUAZIONE DEI RISCHI EX ART. 25-SEXIES DEL DLGS 231/01...15 6.13 INDIVIDUAZIONE DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01...15 6.14 INDIVIDUAZIONE DEI RISCHI EX ART. 25-OCTIES DEL DLGS 231/01...16 Pagina2 di 25

6.15 INDIVIDUAZIONE DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01...16 6.16 INDIVIDUAZIONE DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01...16 6.17 INDIVIDUAZIONE DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01...16 7.ANALISI DEI RISCHI...17 7.1 ANALISI DEI RISCHI EX ART.24 DEL DLGS 231/01...17 7.2 ANALISI DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01...17 7.3 ANALISI DEI RISCHI EX ART.25 DEL DLGS 231/01...17 7.4 ANALISI DEI RISCHI EX ART. 25-TER DEL DLGS 231/01...18 7.5 ANALISI DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01...18 7.6 ANALISI DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01...18 7.7 ANALISI DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01...19 7.8 ANALISI DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01...19 8.STIMA DEI RISCHI...20 7.1 STIMA DEI RISCHI EX ART.24 DEL DLGS 231/01...20 7.2 STIMA DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01...20 7.3 STIMA DEI RISCHI EX ART.25 DEL DLGS 231/01...20 7.4 STIMA DEI RISCHI EX ART. 25-TER DEL DLGS 231/01...20 7.5 STIMA DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01...20 7.6 STIMA DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01...21 7.7 STIMA DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01...21 7.8 STIMA DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01...21 9.TRATTAMENTO DEI RISCHI...21 9.1 TRATTAMENTO DEI RISCHI EX ART.24 DEL DLGS 231/01...22 9.2 TRATTAMENTO DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01...22 9.3 TRATTAMENTO DEI RISCHI EX ART.25 DEL DLGS 231/01...22 9.4 TRATTAMENTO DEI RISCHI EX ART. 25-TER DEL DLGS 231/01...22 9.5 TRATTAMENTO DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01...23 9.6 TRATTAMENTO DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01...23 9.7 TRATTAMENTO DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01...23 9.8 TRATTAMENTO DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01...23 10. PROCESSI DI MONITORAGGIO E RIESAME...23 10.1 PROCESSO DI MONITORAGGIO...23 10.2 PROCESSO DI RIESAME...23 11. PROCESSI DI COMUNICAZIONE, PARTECIPAZIONE, SENSIBILIZZAZIONE...24 11.1 PROCESSO DI COMUNICAZIONE...24 11.2 PROCESSO DI PARTECIPAZIONE...24 11.3 PROCESSO DI SENSIBILIZZAZIONE...24 12.ALLEGATI...24 Pagina3 di 25

CONTROLLO DEL DOCUMENTO TABELLA DI CONTROLLO DELLE REVISIONI REV. DATA CAUSALE 00 15 maggio 2012 Prima emissione TABELLA DI CONTROLLO DELL EMISSIONE REDAZIONE VERIFICA VALIDAZIONE Dr.ssa Giovanna Montano Ing. Maurizio Boldori Ing. Giacomo Jotta Delibera n. 8 del 15.05.2012 Resp. Internal Audit Direttore Generale Presidente del CdA Pagina4 di 25

0.INTRODUZIONE Aler Cremona (di seguito: Azienda) ha adottato un Modello di Organizzazione e Gestione per la responsabilità amministrativa di impresa ai sensi del dlgs 231/01. Il presente documento costituisce parte integrante del MOG adottato e da questi esplicitamente richiamato. Parimenti, tutti i documenti e le registrazioni richiamate dal presente documento sono da intendersi come facenti parte del MOG aziendale. Quanto sopra premesso, il presente documento è stato redatto in modo da essere autoportante al fine di agevolare la tenuta sotto controllo dell emissione, dell identificazione dello stato di revisione e della distribuzione alle parti destinatarie. Questo in conformità alle procedure aziendali di tenuta sotto controllo dei documenti e delle registrazioni e di comunicazione interna a cui si rimanda. 1.SCOPO E CAMPO DI APPLICAZIONE Il presente documento riporta la valutazione del rischio di commissione delle fattispecie di reato previste dal D.lgs. 231/01 nello svolgimento dei processi di gestione aziendali da parte dei soggetti responsabili delle singole attività in cui tali processi si articolano. In funzione della valutazione dei rischi, l Azienda individua i necessari protocolli di sicurezza (sotto forma di regolamenti, politiche, procedure, istruzioni operative, etc.) atti a ridurre il livello di rischio rilevato entro livelli di rischi (rischio residuo) considerati accettabili. 2.RIFERIMENTI NORMATIVI Si riportano i riferimenti normativi a cui il presente documento si richiama: D.lgs. 8 giugno 2001 n. 231 Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica a norma dell art. 11 della legge 29 settembre 2000 n. 300. Linee Guida di Confindustria per la costruzione dei modelli di organizzazione, gestione e controllo ex dlgs 231/01; Standard UNI EN ISO 31000: 2010 gestione del rischio - principi e linee guida ; Manuale MOG; 3.TERMINI E DEFINIZIONI Si riporta la definizione degli acronimi utilizzati nel presente documento: MOG: acronimo di Modello di Organizzazione e Gestione ai sensi del D.lgs. 231/01 (Nota: inteso sia come sistema di gestione sia come documento che descrive tale sistema di gestione); ODV: acronimo di Organismo di Vigilanza ai sensi del D.lgs. 231/01; Pagina5 di 25

Si riportano le definizioni dei termini utilizzati nel presente documento: Rischio: effetto dell incertezza sugli obiettivi (ISO 31000, p.to 2.1); Gestione del Rischio (Risk Management): attività coordinate per dirigere e controllare un organizzazione relativamente al rischio (ISO 31000, p.to 2.2); Piano di Gestione del Rischio: schema che specifica l approccio, i componenti della gestione e le risorse che devono essere applicate alla gestione del rischio (ISO 31000, p.to 2.8); Processo di gestione del rischio: applicazione sistematica di politiche, procedure e prassi alle attività di comunicazione, consultazione, definizione del contesto, identificazione, analisi, stima, trattamento, monitoraggio e riesame del rischio (ISO 31000, p.to 2.10); Stabilire il contesto: definire i parametri interni ed esterni che devono essere presi in considerazione nella gestione del rischio e stabilire lo scopo e i criteri del rischio per la politica di gestione del rischio (ISO 31000, p.to 2.11); Valutazione del rischio: processo globale d identificazione del rischio, analisi del rischio e stima del rischio (ISO 31000, p.to 2.16); Identificazione del rischio: processo di ricerca, riconoscimento e descrizione dei rischi (ISO 31000, p.to 2.17); Fonte del rischio: elemento che solo o in combinazione ha l intrinseco potenziale di far sorgere il rischio (ISO 31000, p.to 2.18); Evento: occorrenza o cambiamento di un particolare insieme di circostanze (ISO 31000, p.to 2.19); Profilo del rischio: descrizione di un insieme di rischi (ISO 31000, p.to 2.22); Analisi del rischio: processo per comprendere la natura del rischio e per determinare il livello del rischio (ISO 31000, p.to 2.25); Conseguenze: risultato di un evento sugli obiettivi (ISO 31000, p.to 2.20); Probabilità: possibilità che accada qualcosa (ISO 31000, p.to 2.21); Livello del Rischio: magnitudine di un rischio espresso nei termini della combinazione delle conseguenze e della loro probabilità (ISO 31000, p.to 2.25); Stima del rischio: processo di comparazione dei risultati dell analisi del rischio con criteri del rischio al fine di determinare se il rischio e la sua magnitudo è accettabile o tollerabile (ISO 31000, p.to 2.26); Criterio del Rischio: termini di riferimento a fronte dei quali la significatività di un rischio è valutata (ISO 31000, p.to 2.24); Trattamento del rischio: processo per modificare il rischio (ISO 31000, p.to 2.27); Controllo: misura che modifica il rischio (ISO 31000, p.to 2.28); Rischio residuo: rischio che rimane dopo il trattamento del rischio (ISO 31000, p.to 2.29); 4.METODOLOGIA DI VALUTAZIONE DEL RISCHIO 4.1 PROCESSO DI GESTIONE DEL RISCHIO Nell ambito del MOG adottato, l Azienda provvede alla valutazione dei rischi in un ottica di risk management, assumendo a riferimento metodologico lo standard UNI EN ISO 31000:2010 gestione del rischio principi e linee guida. In particolare lo standard ISO 31000 individua e Pagina6 di 25

descrive uno specifico processo di gestione del rischio (risk management), le principali attività in cui questi si articola e i processi aziendali che interagiscono con esso (approccio per processi). Figura 1 sistema di gestione del rischio e processi correlati secondo lo standard ISO 31000. 4.2 STABILIRE IL CONTESTO Il contesto di riferimento in cui opera l Azienda determina la tipologia dei rischi da prendere concretamente in considerazione. Mediante la considerazione del contesto di riferimento, l Azienda effettua una prima valutazione sintetica del proprio profilo di rischio. Questo al fine di rendere più concreta ed operativa la valutazione dei rischi condotta in modo analitico con riferimento a specifici pericoli. Mediante tale approccio, che riprende la logica dell analisi costi / benefici, l Azienda focalizza la propria attenzione solo sulle fattispecie di rischio che, per quanto improbabili, presentano Pagina7 di 25

comunque una ragionevole verosimiglianza. In questa fase sono quindi valutati come non pertinenti (ed esclusi da ulteriore valutazione) tutte quelle fattispecie di pericoli che presentano un grado di verosimiglianza di fatto pari a zero. Il contesto esterno è costituito dal più generale ambiente in cui l Azienda opera e si articola nelle seguenti dimensioni: Contesto settoriale; Contesto giuridico; Contesto territoriale. Il contesto interno è costituito dalle seguenti dimensioni: Contesto organizzativo e delle risorse umane; Contesto economico, finanziario, patrimoniale; Contesto fisico; Contesto tecnologico. 4.3 VALUTARE IL RISCHIO 4.3.1 INDIVIDUARE I RISCHI Il d.lgs. 231/01 richiama una serie articolata ed eterogenea di diverse fattispecie di reati a fronte dei quali si ravvisano le possibilità di commissione degli stessi. Questo in funzione delle specificità dei singoli settori e, all interno dei singoli settori, delle singole realtà aziendali. Ne consegue che non tutte le fattispecie di reato richiamate dal d.lgs. 231/01 rivestono concreta attinenza con la singola realtà aziendale. Nel caso di manifesta non attinenza dei reati contemplati, questi sono dichiarati come non attinenti e ne viene fornita la relativa motivazione. In particolare, la non attinenza dei reati può essere ascritta a una o più delle seguenti considerazioni: manifesta marginalità di ogni concreto e reale interesse o vantaggio aziendale alla commissione dei reati in oggetto ( movente ); manifesta marginalità di ogni concreta e reale pronta e continua disponibilità delle risorse (infrastrutture, competenze, disponibilità finanziarie) necessarie per la commissione dei reati in oggetto ( mezzo ); manifesta marginalità di ogni concreta e reale opportunità, occasionale e sistematica, necessaria per la commissione dei reati in oggetto ( opportunità ). 4.3.2ANALIZZARE I RISCHI I reati valutati come attinenti al contesto di riferimento in cui l Azienda opera sono oggetto di analisi specifica per determinare il livello di rischio. Questo con riferimento alla probabilità di commissione e alla gravità dell impatto sul business. In tale ottica il livello complessivo di rischio è dato dal prodotto della probabilità per la gravità secondo l algoritmo sotto riportato: LIVELLO RISCHIO = LIVELLO PROBABILITA * LIVELLO GRAVITA L analisi dei rischi viene svolta senza tener conto di eventuali misure di sicurezza già adottate dall Azienda stessa. Questo al fine di determinare nella misura più oggettiva possibile l intrinseco livello di probabilità da attribuirsi a uno specifico pericolo. Pagina8 di 25

Il concetto di probabilità non fa riferimento alla definizione statistico matematica del termine quanto piuttosto al più generale concetto di verosimiglianza. In altre parole con il termine probabilità si intende l attesa che, in assenza di un adeguato sistema di controllo, possa verosimilmente essere commesso il rischio oggetto di analisi. In tale ottica il giudizio di attesa verosimile di commissione di reato in assenza di controllo è stato articolato su quattro livelli secondo la scala di seguito riportata: 1. molto basso: anche in assenza di specifici controlli, non è verosimile che il reato in questione possa essere commesso. Tuttavia questa eventualità non è escludibile a priori e in ottica prudenziale viene comunque presa in considerazione. 2. basso: anche in assenza di specifici controlli, la possibilità che il reato in questione possa essere commesso è ridotta. Tuttavia questa eventualità potrebbe manifestarsi, soprattutto in un ottica di lungo periodo. 3. alto: in assenza di specifici controlli, la possibilità che il reato in questione possa essere commesso è significativa. 4. molto alto: in assenza di specifici controlli è da attendersi verosimilmente che il reato in questione si manifesti in quanto fortemente correlato ad un apprezzabile interesse o vantaggio aziendale. Il concetto di gravità fa riferimento all impatto sul business ( Business Impact Analysis ) che la commissione del reato potrebbe tendenzialmente presentare. Questo con riferimento ai seguenti aspetti: Implicazioni dirette sui diritti fondamentali della persona. Questo come valore superiore da tutelare, in conformità a quanto previsto anche dal Codice Etico adottato dall Azienda. Implicazioni economiche e finanziarie correlate alla magnitudo delle sanzioni economiche ed interdittive applicabili così come richiamate dal dlgs. 231/01. Questo anche in considerazione del soggetto che commette il reato (organo amministrativo, responsabile apicale, semplice sottoposto). Immagine e reputazione aziendale. Questo anche con riferimento alla perdita di credibilità nei confronti di clienti (con compromissione del posizionamento sul mercato) e delle autorità di controllo e/o delle autorità deputate a rilasciare autorizzazioni o concessioni. In tale ottica il giudizio di gravità è stato articolato su quattro livelli secondo la scala di seguito riportata: 1. Molto bassa: la commissione del reato comporterebbe un impatto economico assorbibile nell ambito della gestione corrente. L immagine aziendale resterebbe sostanzialmente intatta. 2. Bassa: la commissione del reato comporterebbe un danno prevalentemente economico tale tuttavia da non compromettere significativamente l equilibrio economico e finanziario della gestione corrente. Il danno di immagine risulterebbe contenuto e comunque gestibile e recuperabile nel breve periodo. 3. Alta: la commissione del reato comporterebbe un significativo danno economico, tale da compromettere l equilibrio economico e finanziario della gestione, nonché un danno di immagine difficilmente recuperabile, tale da compromettere il posizionamento dell Azienda sul mercato; Pagina9 di 25

4. Molto alta: la commissione del reato comporterebbe oltre al danno economico e di immagine anche l applicazione di pesanti sanzioni interdittive tali da mettere in pericolo la continuità stessa dell Azienda. 4.3.3STIMARE I RISCHI La stima dei rischi viene effettuata per determinare se il livello di un singolo rischio rientra nella soglia di accettabilità oppure richiede un trattamento specifico. Questo mediante confronto del livello di rischio con dei criteri di confronto. Nella tabella sotto riportata sono definiti i criteri di confronto per determinare l accettabilità del rischio e quindi la necessità di trattarlo. TABELLA MATRICE DI STIMA DELLA MAGNITUDO DEL RISCHIO PROBABILITA Bassa 1 MedioBassa 2 Medio Alta 3 Alta 4 GRAVITA Bassa 1 1 Basso 2 Basso 3 Basso 4 Medio Basso MedioBassa 2 2 Basso 4 Medio Basso 6 Medio basso 8 Medio Alto Medio Alta 3 3 Basso 6 Medio basso 9 Medio alto 12 Alto Alta 4 4 Medio Basso 8 Medio Alto 12 Alto 16 Alto Nel caso il rischio sia stimato come non accettabile, l Azienda predispone specifiche misure atte a ridurre il rischio entro la soglia di accettabilità. In ogni caso, rischi che coinvolgono la salute e l integrità della persona umana, in conformità al Codice Etico adottato dall Azienda, sono stimati come non accettabili. Nel caso il rischio sia stimato come accettabile, l Azienda valuta se predisporre egualmente, a titolo cautelare, specifiche misure di trattamento. Questo previa analisi dei costi e dei benefici, al fine di allocare correttamente le risorse aziendali. 4.4 TRATTARE IL RISCHIO Il trattamento del rischio viene effettuato mediante individuazione, pianificazione ed attuazione delle misure di controllo applicabili e dei relativi obiettivi ad essi associati. Le misure di controllo possono essere di varia natura ed in genere rientrano in una delle seguenti tipologie: Misure organizzative (regolamenti, politiche, procedure, istruzioni, etc.); Misure fisiche (relative a edifici e luoghi di lavoro, infrastrutture, etc.); Misure logiche (relative ai sistemi IT). Pagina10 di 25

5.CONTESTO DI RIFERIMENTO 5.1 CONTESTO DI RIFERIMENTO ESTERNO 5.1.1 MISSIONE STRATEGICA E CONTESTO SETTORIALE La missione strategica aziendale consiste nell erogazione di servizi abitativi residenziali al fine di soddisfare il fabbisogno di edilizia pubblica, anche mediante la realizzazione di attività imprenditoriali purché strumentali o prevalentemente finalizzate alla propria funzione sociale. Il ciclo produttivo tipico consiste nella messa a disposizione di unità abitative (incluso il relativo mantenimento) a fronte dei canoni percepiti (inclusi contributi integrativi a carico di altri enti locali). Il principale committente dei servizi erogati dall Azienda è costituito dalla Regione Lombardia; l Azienda in funzione di ciò eroga i propri servizi agli utenti di riferimento. I principali fornitori sono costituti da aziende del settore edilizio per le attività di costruzione, recupero e manutenzione. I principali vincoli normativi che disciplinano l attività aziendale sono costituite dalle leggi della Regione Lombardia che istituiscono le Aler. Le principali interazioni con altri settori di attività riguardano essenzialmente altri enti pubblici territoriali, con particolare riferimento ai Comuni nell ambito dei servizi socioassistenziali da questi erogati. 5.1.2 CONTESTO TERRITORIALE L Azienda, in conseguenza della propria missione strategica come precedentemente delineato, opera in prevalenza sul territorio della Provincia di Cremona. Il contesto territoriale è un contesto fortemente sviluppato sotto il profilo economico e sociale. Il contesto socio-economico di riferimento non presenta particolari profili di rischio con riferimento a fenomeni di criminalità organizzata o di terrorismo. 5.2 CONTESTO DI RIFERIMENTO INTERNO 5.2.1 CONTESTO ISTITUZIONALE L Azienda riveste la forma societaria di ente pubblico economico che opera in funzione di un rapporto strumentale con la Regione Lombardia. L Azienda è quindi un ente di diritto pubblico. La proprietà dell Azienda è totalmente in capo alla Regione Lombardia. 5.2.2CONTESTO ECONOMICO, FINANZIARIO E PATRIMONIALE I principali flussi economici della gestione corrente in entrata sono rappresentati dai canoni versati dagli assegnatari degli alloggi, eventualmente integrati da altri enti locali (Comuni). I principali flussi in uscita della gestione corrente sono rappresentati dalle spese di manutenzione degli immobili, oltre ai costi di struttura (costi del personale, etc.). I procedimenti di approvvigionamento sono disciplinati dalle norme di diritto pubblico. Pagina11 di 25

L equilibrio finanziario, oltre alle dinamiche reddituali sopra citate, è influenzato dai contributi finanziari erogati dalla Regione Lombardia. Per la stessa natura dei flussi finanziari, questi transitano per la stragrande maggioranza su conti bancari tali da assicurare la tracciabilità in conformità alle vigenti disposizioni applicabili. Il patrimonio è costituito dagli immobili in dotazione per lo svolgimento della missione strategica aziendale. La struttura contabile amministrativa rispecchia la natura pubblica dell Azienda. 5.2.3 CONTESTO ORGANIZZATIVO E DELLE RISORSE UMANE La struttura organizzativa aziendale (vedi Piano Organizzativo Aziendale ) presenta una ridotta articolazione verticale, con un accentramento dei poteri di indirizzo e di controllo a livello degli organi amministrativi societari (vedi Piano della Governance ) e nella figura del Direttore Generale. Sono inoltre individuati soggetti apicali a livello di capi area. Le risorse umane sono essenzialmente costituite da impiegati di area tecnica ed amministrativa. 5.2.4 CONTESTO INFRASTRUTTURALE (FISICO) L Azienda presenta la seguente articolazione fisica: Sede legale e direzionale: Via Manini, 12 - Cremona Ufficio periferico: Via Matteotti, 39 - Crema (CR); Ufficio periferico: Via Benedetto Cairoli, 140 Casalmaggiore (CR). L Azienda svolge inoltre attività di manutenzione sugli immobili in gestione previa apertura di relativo cantiere presso il singolo complesso immobiliare, oltre che ad attività di gestione condominiale di specifiche unità immobiliari. 5.2.5 CONTESTO INFRASTRUTTURALE (LOGICO) L Azienda utilizza per lo svolgimento delle attività connesse alla propria finalità istituzionale una piattaforma tecnologica ICT così come descritto nel Piano Organizzativo Aziendale, documento a cui si rimanda. Mediante l utilizzo dei sistemi ICT l Azienda eroga i servizi alla propria utenza, gestisce la propria amministrazione, provvede all approvvigionamento di beni e servizi e si interfaccia con la Regione Lombardia. 6.INDIVIDUAZIONE DEI RISCHI 6.1 INDIVIDUAZIONE DEI RISCHIEX ART.24 DEL DLGS 231/01 Fattispecie di reato considerate: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico. L Azienda per definizione recepisce contributi in conto capitale o in generale o per la realizzazione di opere specifiche. Tali contributi finanziari provengono principalmente dalla Regione Lombardia. Tra i principali rischi si annovera l utilizzo non conforme dei contributi e l appropriazione di contributi non spettanti. Questo con riferimento anche all approvazione del bilancio preventivo o Pagina12 di 25

consuntivo, data la valenza autorizzativa di spesa della contabilità aziendale. In tale ottica la presente fattispecie di rischio è correlata alla fattispecie di rischio di cui all art. 25 ter del dlgs 231/01. L Azienda valuta quindi come direttamente attinenti al proprio contesto di riferimento, così come 6.3 INDIVIDUAZIONE DEI RISCHIEX ART. 24-BIS DEL DLGS 231/01 Fattispecie di reato considerate: Delitti informatici e trattamento illecito di dati. L Azienda accede a sistemi di pubblica utilità in modo limitato (ad es. Osservatorio Lavori Pubblici, Agenzia delle Entrate -verifiche redditi, Regione Lombardia, ) così come oggettivamente limitato appare l interesse o il vantaggio aziendale alla commissione dei reati in oggetto. Inoltre i sistemi ICT aziendali presentano un relativamente limitato livello di complessità e sofisticazione. Le considerazioni di cui sopra porterebbero a considerare come non attinenti alla proprio contesto di riferimento; così come Tuttavia, in considerazione soprattutto della crescente pervasività e vulnerabilità dei sistemi ICT e della progressiva informatizzazione della P.A., l Azienda ritiene, sia pure a titolo principalmente cautelativo, di considerare come limitatamente e parzialmente attinenti le fattispecie di reato in oggetto. 6.4 INDIVIDUAZIONE DEI RISCHI EXART. 24-TER DEL DLGS 231/01 Fattispecie di reato considerate: Delitti di criminalità organizzata L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. Questo in quanto essenzialmente l Azienda non opera sul mercato e non persegue finalità di tipo privatistico. Inoltre l Azienda opera in un ambito territoriale in cui la presenza di criminalità organizzata è storicamente marginale. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 5.5 INDIVIDUAZIONE DEI RISCHIEXART.25 DEL DLGS 231/01 Fattispecie di reato considerate: Concussione e corruzione L Azienda ravvisa un significativo interesse o vantaggio nella commissione dei reati in oggetto con riferimento a ipotesi di corruzione attiva e passiva. In particolare l Azienda rileva le seguenti aree di criticità: Concussione nell ambito di procedimenti di gara ad evidenza pubblica o comunque soggette al dlgs. 163/2006 indette dall Azienda; Concussione relativamente alla gestione condominiale, nel caso in cui un operatore aziendale abbia ricevuto la delega di rappresentare la proprietà nelle assemblee condominiali e quindi possa gestire risorse finanziarie e disporre di approvvigionamenti di beni e servizi al di fuori dei normali canali aziendali; Corruzione di pubblici ufficiali incaricati di verifiche ispettive quali ad esempio funzionari ASL, ARPA, etc. Pagina13 di 25

L Azienda valuta quindi come direttamente attinenti al proprio contesto di riferimento, così come 6.6 INDIVIDUAZIONE DEI RISCHIEX ART. 25-BIS DEL DLGS 231/01 Fattispecie di reato considerate: Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento L Azienda non utilizza né gestisce flussi finanziari in contanti né emette o è in grado di emettere / alterare carte di credito. L utilizzo di valori bollati è limitato. Non si ravvisa inoltre alcun concreto interesse nella contraffazione di strumenti o segni di riconoscimento, data la natura dell attività aziendale. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 6.7 INDIVIDUAZIONE DEI RISCHIEX ALL ART. 25-BIS 1 DEL DLGS 231/01 Fattispecie di reato considerate: Delitti contro l'industria e il commercio L Azienda non ravvisa alcun concreto interesse o vantaggio nella commissione dei reati in oggetto, essenzialmente correlati alla commissione di frodi o contraffazioni di prodotti materiali. Inoltre l Azienda opera in un settore protetto da vincoli di legge, il che porta ad escludere qualsiasi turbativa in materia di libera concorrenza. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 6.8 INDIVIDUAZIONE DEI RISCHIEX ART. 25-TER DEL DLGS 231/01 Fattispecie di reato considerate: Reati societari Come precedentemente evidenziato, i soci delle Aler sono da individuarsi nella Regione Lombardia. Tale particolare composizione della compagine sociale configura un peculiare profilo di rischio (vedi anche le considerazioni di cui all art. 24 del dlgs 231/01) per alcuni specifici reati inerenti la fattispecie in oggetto. Questo con particolare riferimento ai debiti informativi e alla rendicontazione di bilancio (previa relativa approvazione) in conformità ai requisiti normativi posti dalla Regione Lombardia. Risultano per contro come non attinenti alcune specifiche tipologie di reato della fattispecie in oggetto, maggiormente riferibili, per l apprezzabile interesse o vantaggio sottinteso alla relativa commissione, a contesti di tipo privato. L Azienda valuta quindi come parzialmente attinenti al proprio contesto di riferimento, così come 6.9 INDIVIDUAZIONE DEI RISCHI EX ART. 25-QUATER DEL DLGS 231/01 Fattispecie di reato considerate: Delitti con finalità di terrorismo o di eversione dell'ordine democratico L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. Pagina14 di 25

L Azienda non dispone intrinsecamente né delle risorse né delle opportunità per la commissione dei reati in oggetto. L Azienda valuta come non attinenti al proprio contesto di riferimento, così come 6.10 INDIVIDUAZIONE DEI RISCHIEX ART. 25-QUATER 1 DEL DLGS 231/01 Fattispecie di reato considerate: Pratiche di mutilazione degli organi genitali femminili L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. L Azienda non dispone intrinsecamente né delle risorse né delle opportunità per la commissione dei reati in oggetto. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 6.11 INDIVIDUAZIONE DEI RISCHIEX ART. 25-QUINQUIES DEL DLGS 231/01 Fattispecie di reato considerate: Delitti contro la personalità individuale L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. L Azienda non dispone intrinsecamente né delle risorse né delle opportunità per la commissione dei reati in oggetto. L Azienda valuta come non attinenti al proprio contesto di riferimento, così come 6.12 INDIVIDUAZIONE DEI RISCHIEX ART. 25-SEXIES DEL DLGS 231/01 Fattispecie di reato considerate: Abusi di mercato L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. Questo in quanto essenzialmente l Azienda non opera sul mercato. Inoltre l Azienda non dispone intrinsecamente né delle risorse né delle opportunità per la commissione dei reati in oggetto. Questo in quanto l Azienda non dispone o tratta di informazioni privilegiate tali da condizionare, anche in ipotesi astratta, il mercato. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 6.13 INDIVIDUAZIONE DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01 Fattispecie di reato considerate: Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro L Azienda ravvisa un significativo interesse o vantaggio nella commissione dei reati in oggetto con riferimento a ipotesi di risparmio di tempo, risorse umane e risorse finanziarie correlate agli adempimenti in materia di salute e sicurezza sul lavoro. Questo in considerazione del fatto che la Pagina15 di 25

missione strategica aziendale implica la frequente apertura di cantieri per il mantenimento degli edifici. L Azienda valuta quindi come direttamente attinenti al proprio contesto di riferimento, così come 6.14 INDIVIDUAZIONE DEI RISCHIEX ART. 25-OCTIES DEL DLGS 231/01 Fattispecie di reato considerate: Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita L Azienda non ravvisa alcun realistico interesse o vantaggio nella commissione delle fattispecie di reato in oggetto. Questo in quanto essenzialmente l Azienda non acquista beni correntemente oggetto di riciclaggio. Inoltre l Azienda non dispone intrinsecamente né delle risorse né delle opportunità per la commissione dei reati in oggetto. Questo in quanto i flussi finanziari in entrata provengono dalla Regione Lombardia e dai canoni, di singolo importo limitato, pagati dagli assegnatari degli alloggi. L Azienda valuta quindi come non attinenti al proprio contesto di riferimento, così come 6.15 INDIVIDUAZIONE DEI RISCHIEXART. 25-NOVIES DEL DLGS 231/01 Fattispecie di reato considerate: Delitti in materia di violazione del diritto d'autore L Azienda ravvisa un apprezzabile interesse o vantaggio nella commissione dei reati in oggetto con riferimento al risparmio economico derivante dall acquisizione di software applicativo non autorizzato. L Azienda valuta come comunque attinenti, sia pure in misura limitata, al proprio contesto di riferimento, così come 6.16 INDIVIDUAZIONE DEI RISCHIEXART. 25-DECIES DEL DLGS 231/01 Fattispecie di reato considerate: induzione a non rendere o a rendere dichiarazioni mendaci all'autorità giudiziaria L Azienda ravvisa un interesse o vantaggio nella commissione dei reati in oggetto con riferimento all induzione effettuata da soggetti apicali nei confronti di collaboratori gerarchicamente dipendenti o nei confronti di fornitori esterni economicamente influenzabili. Questo con particolare riferimento a procedimenti giudiziari di carattere giuslavoristico, amministrativo, civile e penale. L Azienda valuta quindi come attinenti alla proprio contesto di riferimento, così come 6.17 INDIVIDUAZIONE DEI RISCHIEX ART. 25-UNDECIES DEL DLGS 231/01 Fattispecie di reato considerate: reati ambientali L Azienda valuta come parzialmente attinenti al proprio contesto di riferimento, così come precedentemente illustrato, le fattispecie di reato in oggetto Pagina16 di 25

7.ANALISI DEI RISCHI 7.1 ANALISI DEI RISCHI EX ART.24 DEL DLGS 231/01 Fattispecie di reato considerate: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico La frequenza mediante cui l Azienda ricorre a finanziamenti di natura pubblica è elevata, in considerazione della natura stessa dell Azienda e ciò determina una maggiore possibilità di accadimento dei reati in oggetto. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione non solo della sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia). Ciò determina, in linea di massima, un livello di gravità elevato. L Azienda valuta quindi le fattispecie di reato in oggetto tra quelle maggiormente significative in funzione del proprio contesto di riferimento così come precedentemente descritto. 7.2ANALISI DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01 Fattispecie di reato considerate: Delitti informatici e trattamento illecito di dati La frequenza mediante cui l Azienda utilizza o accede a reti o risorse informatiche tali da poter concretamente portare alla commissione dei reati in oggetto è limitata. Ciò determina, in linea di massima, una minima possibilità di accadimento degli stessi. L impatto del reato in oggetto sull Azienda è valutato come relativamente limitato in considerazione delle sanzioni economiche ed interdittive previste dal dlgs 231/01. Ciò determina, in linea di massima, un livello di gravità basso. L Azienda valuta quindi le fattispecie di reato in oggetto non tra quelle maggiormente significative in funzione del proprio contesto di riferimento così come precedentemente descritto, pur non potendosi escludere a priori soprattutto in considerazione della crescente pervasività e vulnerabilità dei sistemi ICT. 7.3ANALISI DEI RISCHI EX ART. 25 DEL DLGS 231/01 Fattispecie di reato considerate: Concussione e corruzione La frequenza mediante cui gli operatori aziendali operano come incaricati di pubblico servizio è elevata, così come la frequenza mediante cui gli operatori stessi possono venire a contatto a loro volta con altri incaricati di pubblico servizio o con pubblici ufficiali. Ne consegue che la possibilità correlata di accadimento dei reati in oggetto è da valutarsi come tendenzialmente elevata. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione non solo della sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia). Ciò determina, in linea di massima, un livello di gravità elevato. Pagina17 di 25

L Azienda valuta quindi le fattispecie di reato in oggetto tra quelle maggiormente significative in funzione del proprio contesto di riferimento così come precedentemente descritto. 7.4 ANALISI DEI RISCHI EX ART. 25-TER DEL DLGS 231/01 Fattispecie di reato considerate: Reati societari La frequenza associata agli adempimenti societari è per sua natura ripetitiva; a questo deve aggiungersi la specificità e la valenza degli adempimenti contabili e di bilancio a carico delle azienda aventi natura pubblica, anche in ottica di autorizzazione e approvazione di spesa. Ne consegue che la possibilità correlata di accadimento dei reati in oggetto è da valutarsi come tendenzialmente elevata. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione non solo della sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia). Ciò determina, in linea di massima, un livello di gravità elevato. L Azienda valuta quindi le fattispecie di reato in oggetto tra quelle comunque significative in funzione del proprio contesto di riferimento così come precedentemente descritto. 7.5ANALISI DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01 Fattispecie di reato considerate: Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro La frequenza delle attività svolte dagli operatori aziendali o da operatori di fornitori incaricati dall Azienda presso i cantieri di manutenzione degli immobili rientra nell attività di routine. Ne consegue che la possibilità correlata di accadimento dei reati in oggetto è da valutarsi come tendenzialmente elevata. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione delle sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia).Inoltre l accadimento del reato in oggetto implica lesioni o perdite di vite umane. Ciò determina, in linea di massima, un livello di gravità assai elevato. L Azienda valuta quindi le fattispecie di reato in oggetto tra quelle maggiormente significative in funzione del proprio contesto di riferimento così come precedentemente descritto. 7.6ANALISI DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01 Fattispecie di reato considerate: Delitti in materia di violazione del diritto d'autore. L Azienda utilizza applicativi SW gestionali che sono soggette a diritto di autore. La frequenza mediante cui l Azienda aggiorna o utilizza software protetto è strettamente correlata alla più generale pervasività che i sistemi ICT hanno assunto in ogni aspetto della gestione aziendale, pervasività che nel caso aziendale trova temperanza nella ridotta complessità dell architettura IT e nelle relative modalità di utilizzo. Ne consegue che la probabilità di accadimento dei reati in oggetti è da valutarsi come tendenzialmente bassa. Pagina18 di 25

L impatto del reato in oggetto sull Azienda è valutato come rilevante in misura ridotta in considerazione delle sanzioni economiche ed interdittive previste dal dlgs 231/01. Ciò determina, in linea di massima, un livello di gravità basso. L Azienda valuta quindi le fattispecie di reato in oggetto tra quelle di minore rilevanza in funzione del proprio contesto di riferimento così come precedentemente descritto. 7.7ANALISI DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01 Fattispecie di reato considerate: induzione a non rendere o a rendere dichiarazioni mendaci all'autorità giudiziaria La frequenza relativa a procedimenti giudiziari di natura penale, civile e amministrativa che vedono l Azienda parte attiva o passiva è relativamente ridotta. Ne consegue che la probabilità di accadimento dei reati in oggetti è da valutarsi come tendenzialmente bassa. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione non solo della sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia). Ciò determina, in linea di massima, un livello di gravità elevato. Nel complesso l Azienda valuta il rischio associato ai reati in oggetto tra quelli comunque significativi. 7.8 ANALISI DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01 Fattispecie di reato considerate: reati ambientali L Azienda può trovarsi indirettamente esposta al rischio in oggetto nell ambito della gestione dei rifiuti prodotti in sede di cantiere per la manutenzione dell immobile (la cui gestione è però solitamente in capo al fornitore) oppure direttamente esposta nel caso di esigenze di bonifica di immobili (ad es. per la bonifica da amianto). La frequenza mediante cui l Azienda pone in essere attività tali da configurarsi nei reati in oggetto è limitata. Il livello di probabilità di accadimento dei reati in oggetto è da valutarsi come tendenzialmente bassa. L impatto del reato in oggetto sull Azienda è valutato come potenzialmente rilevante in considerazione non solo della sanzioni economiche ed interdittive previste dal dlgs 231/01, ma anche con riferimento alla perdita di reputazione aziendale e, di riflesso alla perdita di reputazione dell ente proprietario (Regione Lombardia). Ciò determina, in linea di massima, un livello di gravità elevato. Nel complesso l Azienda valuta il rischio associato ai reati in oggetto tra quelli comunque significativi. Pagina19 di 25

8.STIMA DEI RISCHI 7.1 STIMA DEI RISCHI EX ART.24 DEL DLGS 231/01 Fattispecie di reato considerate: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come assolutamente non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. 7.2 STIMA DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01 Fattispecie di reato considerate: Delitti informatici e trattamento illecito di dati L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come in linea di massima accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Tuttavia, in ottica cautelativa e nel rispetto di doverose valutazione di costi benefici, l Azienda adotta gli specifici controlli già previsti nell ambito delle misure minime di sicurezza di cui al dlgs. 196/03 privacy. 7.3STIMA DEI RISCHIEXART.25 DEL DLGS 231/01 Fattispecie di reato considerate: Concussione e corruzione L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. 7.4 STIMA DEI RISCHI EX ART. 25-TER DEL DLGS 231/01 Fattispecie di reato considerate: Reati societari L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. 7.5STIMA DEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01 Fattispecie di reato considerate: Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come assolutamente non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. Pagina20 di 25

7.6 STIMA DEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01 Fattispecie di reato considerate: Delitti in materia di violazione del diritto d'autore L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come in linea di massima accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Tuttavia, in ottica cautelativa e nel rispetto di doverose valutazione di costi benefici, l Azienda adotta gli specifici controlli già previsti nell ambito delle misure minime di sicurezza di cui al dlgs. 196/03 privacy. 7.7 STIMA DEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01 Fattispecie di reato considerate: induzione a non rendere o a rendere dichiarazioni mendaci all'autorità giudiziaria L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. 7.8 STIMA DEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01 Fattispecie di reato considerate: reati ambientali L Azienda stima il livello di rischio associato all accadimento delle fattispecie di reato in oggetto come non accettabile, in conformità ai principi fondamentali riportati nel proprio Codice Etico. Specifici controlli sono quindi posti in essere per mitigare il livello di rischio e riportarlo entro la soglia di accettabilità. 9.TRATTAMENTO DEI RISCHI Nella pianificazione e nell attuazione delle misure di controllo di seguito riportate, l Azienda fa riferimento ai seguenti principi: Segregazione dei compiti nell ambito dello svolgimento di processi e attività e, consequenzialmente, nell ambito dell utilizzo di sistemi IT; Formalizzazione di ruoli e responsabilità, mediante predisposizione di mansionari e procedure; Tracciabilità, mediante pianificazione attuazione delle opportune registrazioni delle attività (attività operative, di decisione e di controllo) svolte nell ambito dei processi gestionali maggiormente sensibili. Il Codice Etico adottato dall Azienda definisce inoltre i principi comportamentali che tutti i destinatari (organi amministrativi, dipendenti soggetti apicali, dipendenti collaboratori, fornitori) sono tenuti a osservare in ottica di prevenzione dei rischi di reato considerati. Pagina21 di 25

9.1 TRATTAMENTO DEI RISCHI EX ART.24 DEL DLGS 231/01 Fattispecie di reato considerate: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico Le misure di sicurezza adottate dall Azienda sono quelle predisposte per il trattamento dei rischi di cui all art. 25 ter. 9.2 TRATTAMENTO DEI RISCHI EX ART. 24-BIS DEL DLGS 231/01 Fattispecie di reato considerate: Delitti informatici e trattamento illecito di dati Le misure di sicurezza adottate dall Azienda sono di natura organizzativa, fisica e logico informatica con riferimento a quanto definito nel Documento Programmatico per la Sicurezza ai sensi del d.lgs. 196/03, documento a cui si rimanda. 9.3 TRATTAMENTODEI RISCHI EX ART.25 DEL DLGS 231/01 Fattispecie di reato considerate: Concussione e corruzione Le misure di sicurezza adottate dall Azienda sono essenzialmente di natura organizzativa, con riferimento a: Adozione di regolamenti per assicurare il controllo delle attività e maggiormente sensibili ai rischi in oggetto, quali: o Regolamento degli approvvigionamenti in economia o Regolamento delle assunzioni Formalizzazione, nell ambito del SGQ ISO 9001 adottato, di procedure che specificano le modalità di svolgimento dei processi dell area approvvigionamento e dell area tecnica. 9.4 TRATTAMENTO DEI RISCHI EX ART. 25-TER DEL DLGS 231/01 Fattispecie di reato considerate: Reati societari Le misure di sicurezza adottate dall Azienda sono essenzialmente di natura organizzativa, con riferimento a: Adozione di regolamenti per assicurare il controllo delle attività e maggiormente sensibili ai rischi in oggetto, quali: o Regolamento di contabilità Formalizzazione di procedure che specificano, in ottica di tenuta sotto controllo, le modalità di svolgimento dei processi dell area amministrativa (gestione flussi finanziari, gestione ciclo attivo e ciclo passivo, gestione del patrimonio). Inoltre l Azienda ha adottato misure di sicurezza di natura logico informatico in relazione al fatto che la tenuta delle registrazioni contabili avviene mediante l utilizzo di SW applicativi gestionali. Tali misure di sicurezza sono rappresentate nel Documento Programmatico sulla Sicurezza, redatto ai sensi del dlgs 196/03, documento a cui si rimanda. Pagina22 di 25

9.5 TRATTAMENTODEI RISCHI EX ART. 25-SEPTIES DEL DLGS 231/01 Fattispecie di reato considerate: Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro Le misure di sicurezza adottate dall Azienda sono di natura organizzativa e fisica. Tali misure sono descritte nel Documento di Valutazione dei Rischi, adottato ai sensi del d.lgs. 81/08, documento a cui si rimanda. 9.6 TRATTAMENTODEI RISCHI EX ART. 25-NOVIES DEL DLGS 231/01 Fattispecie di reato considerate: Delitti in materia di violazione del diritto d'autore Le misure di sicurezza adottate dall Azienda sono di natura organizzativa, fisica e logico informatica con riferimento a quanto definito nel Documento Programmatico per la Sicurezza ai sensi del d.lgs. 196/03, documento a cui si rimanda. 9.7 TRATTAMENTODEI RISCHI EX ART. 25-DECIES DEL DLGS 231/01 Fattispecie di reato considerate: induzione a non rendere o a rendere dichiarazioni mendaci all'autorità giudiziaria Le misure di sicurezza adottate dall Azienda sono di natura organizzativa e attengono essenzialmente all adozione di apposito Codice Etico e alla relativa attività di comunicazione e sensibilizzazione dello stesso presso i soggetti destinatari. 9.8 TRATTAMENTODEI RISCHI EX ART. 25-UNDECIES DEL DLGS 231/01 Fattispecie di reato considerate: reati ambientali Le misure di sicurezza adottate dall Azienda sono di natura organizzativa e attengono, nell ambito del SGQ ISO 9001 adottato, essenzialmente alla definizione di specifici requisiti per la corretta gestione dei rifiuti prodotti sui cantieri a carico dei fornitori interessati e alla definizione di specifiche politiche per la bonifica di edifici in dotazione. 10. PROCESSI DI MONITORAGGIO E RIESAME 10.1 PROCESSO DI MONITORAGGIO L Azienda ha pianificato e attuato un processo finalizzato a monitorare sulla base di indicatori specifici le dinamiche evolutive del contesto di riferimento (esterno e interno) tali da influenzare il profilo di rischio. 10.2 PROCESSO DI RIESAME L Azienda ha pianificato e attuato un processo di riesame del profilo di rischio tale da rivalutare in modo regolare e sistematico tale profilo. Questo al fine di assicurare nel tempo l aderenza del profilo di rischio al contesto di riferimento interno o esterno in cui l Azienda opera. Pagina23 di 25