Compliance
Aziendale
Politiche e procedure per gestire
i rischi di non conformità
Indagine conoscitiva 2013
cop assiteca R.indd 1
21/11/13 15.27
LA GESTIONE DEL RISCHIO
DI COMPLIANCE NELLE IMPRESE ITALIANE
a cura di Lorenza Altieri e Alberto Floreani
Realizzazione:
Gruppo 24 ORE
Progetto Grafico:
Design&Grafica - Anna Benetti
Coordinamento editoriale:
Maria Cristina Origlia
Redazione:
Paola Conversano
Impaginazione:
Emmegi Group S.r.l.
Stampa:
Tipolito Casma S.r.l.
Via B. Provaglia 3b/3c/3d
40138 Bologna
Chiuso in redazione il 20 novembre 2013
cop assiteca R.indd 2
21/11/13 15.27
Premessa
2
Introduzione3
SEZIONE 1
La compliance aziendale e il contesto normativo di riferimento
1.LA COMPLIANCE AZIENDALE:
LO SCENARIO DI RIFERIMENTO
5
2.RUOLI, RESPONSABILITÀ E MODELLI ORGANIZZATIVI
6
3.IL PROCESSO DI COMPLIANCE
7
4.IL CONTESTO NORMATIVO DI RIFERIMENTO
8
4.1RESPONSABILITÀ AMMINISTRATIVA
DELLE PERSONE GIURIDICHE (DLGS 231/01)
9
4.2ANTIRICICLAGGIO E CONTRASTO
DEL FINANZIAMENTO DEL TERRORISMO (DLGS 231/07)
13
4.3SICUREZZA E SALUTE SUI LUOGHI DI LAVORO (DLGS 81/08)
14
4.4DANNI AMBIENTALI E INQUINAMENTO
(DLGS 152/06 E DLGS 121/11)
16
4.5PRIVACY E PROTEZIONE DEI DATI PERSONALI (DLGS 196/03)
16
4.6NORME SULLA SICUREZZA INFORMATICA
18
4.7QUALITÀ E CERTIFICAZIONE ISO 9001
19
4.8NORMATIVE SPECIFICHE NAZIONALI E INTERNAZIONALI
20
5.IL PROGETTO DI RICERCA:
METODOLOGIA IMPIEGATA E ANALISI DEL CAMPIONE
23
6.IL RUOLO DELLA COMPLIANCE NELLE AZIENDE
ITALIANE: I RISULTATI DELLA RICERCA
24
7.IL MODELLO ORGANIZZATIVO DELLA COMPLIANCE
NELLE AZIENDE ITALIANE: LE EVIDENZE DELLA SURVEY 30
Allegato 1 - Comitato Tecnico Scientifico
37
Allegato 2 - Questionario
38
1
Sommario
SEZIONE 2
I risultati della ricerca
N
ell’attività di consulenza, intermediazione e gestione del portafoglio assicurativo prestata alle proprie aziende clienti, Assiteca ha sempre operato nella
convinzione che l’impresa che attua politiche di risk management possa meglio competere sul mercato. Con l’obiettivo di segnalare le aziende che maggiormente
si sono dimostrate sensibili a questa tematica e dare quindi voce alle eccellenze del
nostro paese, nel 2010 Assiteca ha lanciato la prima edizione del Premio “La gestione
del rischio nelle imprese italiane”, un riconoscimento unico nel panorama nazionale.
L’iniziativa si basa sulla realizzazione di un’indagine, strutturata con il supporto di un
autorevole Comitato Tecnico Scientifico, funzionale a inquadrare il grado di preparazione delle aziende italiane sul tema della gestione del rischio e propedeutica all’attribuzione del Premio, ogni anno approfondisce un focus specifico. Dopo aver affrontato il
tema della sicurezza sul lavoro, dei crediti commerciali e della business continuity, il focus
del Premio Assiteca 2013 è dedicato alla gestione del rischio di compliance aziendale.
Novità dell’edizione 2013 la partnership con il Gruppo 24 ORE e la premiazione
delle imprese vincitrici nell’ambito del 10° Annual Economia & Finanza. L’indagine
2013 si è posta l’obiettivo di verificare come le aziende italiane si sono organizzate e
strutturate per gestire il rischio di non conformità, quali le politiche, i processi e le
procedure adottate per garantire la compliance aziendale e migliorare la competitività.
Ai fini dell’assegnazione del Premio, il questionario è stato strutturato con domande
chiuse con un sistema di punteggio che ha permesso di definire il ranking delle aziende
partecipanti. In questo modo sono state identificate le aziende più virtuose che sono
state successivamente contattate per verificare in modo più approfondito le politiche
di compliance adottate. Questa seconda fase qualitativa, gestita dal Comitato Tecnico
Scientifico, ha portato a definire le aziende finaliste:
Premessa
Categoria piccole e medie imprese
• F.I.V. Fabbrica Italiana Valvole – Produzione di rubinetti e accessori per termoidraulica
• LEO Pharma – Ricerca e produzione di farmaci per curare le patologie dermatologiche
• Petroltecnica – Bonifiche e smaltimento di rifiuti industriali
• SECH – Terminal contenitori Porto di Genova
Categoria grandi imprese
• Bosch Rexroth – Tecnologie per l’azionamento e il controllo del movimento
• Isagro – Produzione e distribuzione di agrofarmaci
• NTV Nuovo Trasporto Viaggiatori – Trasporto ferroviario ad alta velocità
• SKF Industrie – Produzione e vendita cuscinetti volventi
Al termine dell’incontro dedicato alla presentazione delle best practice delle aziende
svolto lo scorso 29 ottobre a Milano presso la sede del Gruppo 24 ORE, il Comitato
Tecnico Scientifico si è riunito per selezionare le aziende vincitrici:
• Petroltecnica per la categoria piccole e medie imprese
• Isagro per la categoria grandi imprese
2
• nella maggior parte delle imprese che hanno risposto al questionario, il rischio di
compliance è stato preso nella dovuta considerazione attraverso la realizzazione
di adeguati presidi organizzativi e operativi;
• le imprese che hanno investito risorse nell’attività di compliance sembrano
consapevoli dell’utilità che questa attività può comportare in termini di miglioramenti organizzativi e procedurali, di immagine aziendale e di migliore garanzia
per gli stakeholder aziendali, primi fra tutti gli azionisti;
• le imprese rispondenti valutano come non particolarmente elevati i loro rischi
di compliance; ciò quale probabile conseguenza dell’introduzione di adeguati
presidi organizzativi e operativi atti a mitigarli;
• la diffusione tra le imprese italiane di una specifica funzione di compliance per
la gestione del rischio di non conformità è ancora limitata alle imprese di più
grande dimensione.
3
Introduzione
I
l report – realizzato da Lorenza Altieri, senior research analyst di CeTIF, e
Alberto Floreani, professore associato presso la Facoltà di Scienze Bancarie Finanziarie e Assicurative dell’Università Cattolica del Sacro Cuore – sintetizza i
risultati dell’indagine sul ruolo e sulla gestione del rischio compliance nelle imprese
italiane realizzata nell’ambito della IV edizione del Premio Assiteca.
Il rischio di non conformità alle norme, o rischio di compliance, è «il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di
regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici
di autodisciplina)»1. Nell’ambito del più articolato sistema di risk management, il
rischio di compliance è già da diversi anni all’attenzione di banche, imprese di assicurazione e grandi gruppi multinazionali. Per il mondo delle istituzioni finanziarie,
in particolare, esistono delle disposizioni che rendono obbligatoria l’esistenza di
una specifica funzione di compliance2. Per le istituzioni non finanziarie, la presenza di una funzione di compliance non è obbligatoria, ma il progressivo ampliarsi
dell’ambito applicativo del Dlgs 231/01 sulla responsabilità amministrativa delle
persone giuridiche costituisce un elemento che dovrebbe incrementare l’attenzione
delle imprese verso l’istituzione di una tale funzione e, più in generale, verso una
più articolata gestione del rischio di non conformità.
Il presente scritto si propone di introdurre alla compliance aziendale e al contesto
normativo di riferimento (Sezione 1) e di esporre i risultati dell’indagine, effettuata
tramite un questionario3, sul ruolo della compliance nelle imprese italiane operanti
al di fuori del settore finanziario (Sezione 2).
Come si avrà modo di illustrare, dall’indagine emergono alcuni spunti interessanti.
In particolare, il ridotto numero dei questionari compilati rispetto al numero degli
invii sembrerebbe indicare una scarsa sensibilità delle imprese italiane al rischio di
compliance. È doveroso sottolineare però:
Sezione 1
C
La compliance
aziendale
e il contesto
normativo
di riferimento
4
1. La compliance aziendale: lo scenario di riferimento
Il sistema della compliance è quell’insieme di strutture organizzative, attività, politiche e procedure che vengono poste in essere al fine di prevenire il rischio di non conformità dell’operato
aziendale alle norme, ai regolamenti, alle procedure e ai codici di condotta vigenti, suggerendo
– ove si riscontrino disallineamenti – le più opportune soluzioni da porre in essere per sanarli.
La funzione compliance presente all’interno delle aziende è il referente unico dell’intero
processo di compliance ed è la struttura organizzativa cui è affidato il compito di:
• prevenire i disallineamenti tra le procedure aziendali e l’insieme delle regole interne ed
esterne all’azienda;
• assistere le strutture aziendali nell’applicazione delle norme, dei regolamenti, delle procedure e dei codici, coordinandone e garantendone l’attuazione;
• segnalare le più recenti novità normative al fine di aggiornare periodicamente la documentazione in essere presso l’azienda, predisponendo interventi formativi per adeguare le
procedure interne alle normative, qualora necessario;
• risolvere situazioni di discordanza tra la disciplina in vigore e le specifiche realtà operative
aziendali;
• prevenire il rischio di sanzioni legali o amministrative, di perdite operative, di provvedimenti di interdizione parziale o totale dell’attività (rischio normativo);
• prevenire l’impresa dal deterioramento della reputazione aziendale presso l’opinione pubblica, la comunità finanziaria, la propria clientela e, più in generale, tutti i suoi stakeholder
(dipendenti, fornitori, clienti, Pubblica Amministrazione, azionisti, mercato finanziario
ecc.); la reputazione dipende da fattori quali l’affidabilità, l’autorevolezza e l’effettiva
capacità nello svolgere la propria attività e, per essere correttamente tutelata, deve essere
gestita attraverso una comunicazione efficace e il mantenimento di una relazione positiva
con i principali soggetti portatori d’interesse (rischio reputazionale).
I controlli di conformità sono dunque da inserire nel più ampio scenario del sistema di
monitoraggio dei rischi aziendali; pertanto, affinché tali controlli possano essere svolti
in modo ottimale e la funzione compliance possa operare efficacemente, è essenziale il
coordinamento con le altre aree aziendali (funzione legale, organizzazione, organismo
di vigilanza ecc.) e, in particolare, con le funzioni che presidiano il sistema dei controlli
interni e quello di risk management, garantendo una precisa definizione degli ambiti di
azione e di responsabilità di ciascuna di queste funzioni, al fine di evitare sovrapposizioni
e ridondanza nelle attività di controllo.
Sinteticamente, il sistema della compliance d’azienda è quindi da intendersi come uno
strumento che supporta le aziende a promuovere e consolidare i propri principi etici, a
migliorare le relazioni con la clientela, a tutelare gli amministratori da possibili responsabilità personali e ad armonizzare i comportamenti dei dipendenti, rendendo le imprese
anche maggiormente competitive nei confronti dei propri concorrenti.
La compliance si pone come interlocutore istituzionale privilegiato delle differenti unità di
5
controllo presenti all’interno delle strutture operative d’azienda, validandone le procedure
interne e verificandone costantemente la congruenza rispetto alla normativa vigente.
2.RUOLI, RESPONSABILITÀ E MODELLI ORGANIZZATIVI
La funzione compliance è la struttura aziendale alla quale è affidato il compito di porre in
essere tutte le azioni necessarie per garantire la mitigazione del rischio di non conformità.
Dal punto di vista strettamente operativo, la funzione dovrà procedere a:
• valutare le principali fonti di rischio di non conformità cui l’impresa è soggetta;
• definire le politiche e le procedure che dovranno essere poste in essere per contrastare
efficacemente i rischi individuati;
• elaborare un piano periodico di verifiche di conformità, al fine di controllare lo stato dell’arte, il grado di disallineamento e le eventuali carenze nella gestione dei rischi aziendali;
• stilare un reporting periodico relativo all’attività di compliance e ai risultati ottenuti.
Affinché la funzione possa operare efficacemente è essenziale che essa risulti:
• indipendente rispetto alle aree operative aziendali; a tale scopo deve essere chiaramente
formalizzato il mandato della funzione, attraverso una precisa indicazione di compiti,
responsabilità, addetti, prerogative, oltre a essere assicurata la presenza di adeguati presidi
per la prevenzione dell’insorgenza di eventuali conflitti di interesse. La funzione compliance deve inoltre essere ben separata rispetto alle unità dedicate allo svolgimento dei
controlli interni, affinché sia garantita un’attività di revisione indipendente;
• dotata di risorse qualitativamente e quantitativamente adeguate rispetto ai compiti da espletare; in tal senso, le risorse impiegate all’interno della funzione dovranno possedere specifiche competenze tecniche e professionali ed essere inserite in programmi di formazione
continua, in base alle effettive necessità riscontrate;
• libera di accedere a tutte le attività svolte in azienda, sia presso gli uffici centrali che presso
le strutture di periferia, e di consultare tutte le informazioni giudicate rilevanti per lo svolgimento della propria operatività.
La sua composizione può essere definita in maniera autonoma e individuale da ciascuna
impresa, che può scegliere di affidare l’incarico di responsabile della compliance a un singolo
soggetto aziendale, piuttosto che affidarlo a una pluralità di risorse interne operanti in aree
differenti dell’organizzazione.
Più precisamente, possono essere adottati i seguenti approcci:
• costituzione di una specifica funzione dedicata;
• attribuzione di competenze di compliance alla direzione generale;
6
• attribuzione di competenze di compliance in capo ad altre funzioni preesistenti;
• attribuzione di competenze specifiche a consiglieri di amministrazione indipendenti;
• attribuzione di competenze specifiche a soggetti operanti all’interno dell’azienda ai quali
vengono delegate alcune funzioni di controllo;
• attribuzione di competenze specifiche a comitati già presenti e attivi, con compiti di natura varia (di consulenza, deliberativi ecc.);
• attribuzione di compiti di verifica a organismi di controllo esterni4.
Nello specifico, poi, è possibile che la funzione compliance – nella figura del compliance officer al
quale è generalmente affidata – si trovi a coordinare risorse che espletano funzioni di controllo
di conformità ma siano inserite all’interno di funzioni aziendali diverse; il grado di delega delle
attività determina il grado di decentramento del processo di conformità. In altri casi, invece, la
funzione di compliance coordina e controlla l’operato di altre unità di compliance che possono
essere dislocate in altre divisioni aziendali/sul territorio.
I modelli organizzativi come questi sono connotati da un’operatività decentrata che risulta
essere meno onerosa (in termini di risorse ma anche di costi organizzativi) rispetto a quella
delle funzioni compliance che operano in modo accentrato e autonomo.
I sistemi decentrati saranno quindi di più facile e frequente applicazione e adattabili a un numero maggiore di realtà aziendali con caratteristiche e strutture operative differenti.
Non di rado le organizzazioni optano per un modello organizzativo “flessibile”, connotato
da un grado di accentramento delle attività più elevato nelle fasi intense di recepimento di
nuove normative, seguito da una seconda fase di maggiore decentramento delle attività nella
gestione quotidiana e operativa della compliance d’azienda5.
3. Il processo di compliance
La funzione compliance governa un processo trasversale e ciclico, che consta di presidi organizzativi e operativi atti a evitare disallineamenti rispetto alle regole del contesto nel quale
l’azienda si trova a operare, garantendo nel continuo la conformità alla normativa vigente.
Il processo di compliance può essere schematicamente organizzato nei seguenti quattro
sottoprocessi.
• Individuazione e applicazione della normativa: individuazione di norme, regole e principi
rilevanti per l’azienda e traduzione di tali leggi del complesso di regole e procedure che
dovranno guidare lo svolgimento dell’operatività aziendale. Tale eventualità si potrà verificare nel caso in cui vengano emessi una nuova normativa, un nuovo regolamento o un
nuovo standard al quale attenersi, da parte delle istituzioni, delle associazioni di categoria,
degli organismi di vigilanza o dell’impresa stessa.
• Valutazione dei rischi: verifica della situazione aziendale corrente, con riguardo alle modifiche/ai cambiamenti richiesti dalla normativa vigente, identificazione dei processi e
7
delle aree aziendali impattate e che potrebbero risultare quindi esposte al rischio di non
conformità, valutando anche il grado di rischio di tale esposizione.
• Implementazione degli adeguamenti: adozione delle regole e delle procedure operative definite come necessarie al fine di riequilibrare i disallineamenti interni all’azienda dovuti a
una non conformità alla normativa vigente; sviluppo delle competenze e delle professionalità necessarie a garantire un’efficace applicazione di tali regole, per mezzo di un adeguato
processo di comunicazione e di formazione.
• Attività di monitoraggio e reporting: verifiche periodiche e nel continuo relative all’effettiva
applicazione degli adeguamenti organizzativi/operativi resisi necessari e all’efficacia del
corpo di regole sviluppato; eventuale predisposizione di interventi correttivi, di nuovi
processi informativi o di formazione, qualora non siano risultati sufficienti/adeguati. Rendicontazione agli organi supervisori dei risultati raggiunti o di eventi di non conformità
con carattere di rilevanza.
4. Il contesto normativo di riferimento
L’insieme di norme, regolamenti e procedure in relazione ai quali le aziende operano per
il mantenimento della compliance e per l’implementazione di eventuali azioni correttive o
preventive è composito e variabile, in relazione allo specifico settore operativo di ciascuna
azienda, al suo ambito di attività e alle sue caratteristiche.
Esistono tuttavia alcune normative fondamentali rispetto alle quali il rischio di non conformità delle imprese è maggiormente marcato e che meritano dunque di essere opportunamente analizzate e studiate per comprenderne appieno le implicazioni e le prescrizioni
organizzative e operative che esse generano in capo alle imprese.
In particolare, si fa riferimento alle seguenti disposizioni:
a.Responsabilità amministrativa delle persone giuridiche (Dlgs 231/01);
b.Antiriciclaggio e contrasto del finanziamento del terrorismo (Dlgs 231/07);
c.Sicurezza e salute sui luoghi lavoro (Dlgs 81/08);
d.Danni ambientali e inquinamento (Dlgs 152/06 e Dlgs 121/11);
e.Privacy e protezione dei dati personali (Dlgs 196/03);
f. Norme sulla sicurezza informatica;
g.Qualità e certificazione ISO 9001;
h.Normative specifiche nazionali e internazionali.
Per ciascuna delle normative richiamate, qualora esse siano effettivamente parte del quadro
normativo di riferimento per la singola realtà aziendale, esisterà un insieme di risorse organizzate e finalizzate a garantire conformità alle prescrizioni in esse contenute. Di seguito vengono
analizzate le previsioni e le implicazioni organizzative e operative dettate da queste normative.
8
4.1 Responsabilità amministrativa delle persone giuridiche
(Dlgs 231/01)
Il decreto legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità
giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300” ha introdotto per la
prima volta nel nostro ordinamento la responsabilità in sede penale degli enti, che si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto illecito, adeguando la
normativa nazionale in materia di responsabilità delle persone giuridiche ad alcune convenzioni internazionali a cui l’Italia ha aderito6.
L’ampliamento della responsabilità mira a coinvolgere nella punizione di taluni illeciti penali
il patrimonio degli enti e gli interessi economici dei soci, i quali, fino all’entrata in vigore
della legge in esame, non pativano conseguenze dalla realizzazione di reati commessi, con
vantaggio della società, da amministratori e/o dipendenti. L’innovazione normativa è perciò particolarmente significativa, determinando peraltro un interesse di quei soggetti che
partecipano alle vicende patrimoniali dell’ente, al controllo della regolarità e della legalità
dell’operato sociale.
La responsabilità dell’ente giuridico si aggiunge a quella della persona fisica che ha commesso materialmente l’illecito ed è autonoma rispetto ad essa, sussistendo anche quando
l’autore del reato non sia stato identificato, non sia imputabile oppure nel caso in cui il reato
si estingua per una causa diversa dall’amnistia.
I reati perseguiti
Il regime di responsabilità amministrativa a carico dell’impresa è configurabile per reati
puntualmente elencati e commessi nel suo interesse o vantaggio:
“a) da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o
di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che
esercitano, anche di fatto, la gestione e il controllo dello stesso;
b) da persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)”7.
Le fattispecie di reato rilevanti sono molteplici; a titolo esemplificativo ne vengono qui riportate alcune categorie, rimandando alla lettura integrale della norma per una definizione
maggiormente puntuale dei reati cui essa fa riferimento:
• delitti contro la pubblica amministrazione (quali induzione indebita a dare o promettere
utilità, corruzione e malversazione ai danni dello Stato, truffa ai danni dello Stato e frode
informatica ai danni dello Stato ecc.);
• reati informatici e trattamento illecito dei dati;
• reati societari (quali false comunicazioni sociali, impedito controllo, illecita influenza
sull’assemblea ecc.);
• delitti in materia di terrorismo e di eversione dell’ordine democratico (incluso il finanziamento ai suddetti fini);
• delitti contro la personalità individuale (quali lo sfruttamento della prostituzione, la pornografia minorile, la tratta di persone e la riduzione e mantenimento in schiavitù);
9
• reati in materia di abusi di mercato (abuso di informazioni privilegiate e manipolazione
del mercato);
• reati in materia di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita;
• delitti di omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione
delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro;
• delitti di criminalità organizzata;
• reati ambientali.
Limiti della responsabilità, modelli organizzativi dell’ente e linee guida operative
L’art. 6 del decreto legislativo 231/01 contempla tuttavia una forma di “esonero” di responsabilità qualora l’ente dimostri, in occasione di un procedimento penale per uno dei reati
considerati, di aver adottato ed efficacemente attuato modelli di organizzazione, gestione
e controllo idonei a prevenire la realizzazione dei reati considerati, provando quindi che la
commissione del reato non deriva da una propria “colpa organizzativa”.
Il decreto sancisce infatti che la società non debba rispondere degli illeciti commessi se
prova che:
“a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di
organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
b) il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato
affidato a un organismo della società dotato di autonomi poteri di iniziativa e di controllo;
c) le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b)”8.
Il legislatore si è preoccupato di delineare, all’interno del decreto, quello che deve essere il contenuto dei modelli di organizzazione e di gestione considerati efficaci per prevenire il rischio di
commissione dei reati indicati. Nello specifico, la norma indica che le imprese devono:
“a) individuare le attività nel cui ambito possono essere commessi reati;
b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente
in relazione ai reati da prevenire;
c) individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati;
d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e
l’osservanza dei modelli;
e) introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello”9.
Alla luce delle previsioni normative, dunque, è possibile individuare alcuni passi operativi che le
imprese dovrebbero compiere per realizzare all’interno delle proprie realtà dei modelli di organizzazione e gestione coerenti con i requisiti specifici contenuti nel decreto legislativo 231/01.
Di seguito vengono brevemente descritte le prassi che dovrebbero essere poste in essere.
• Indagine degli ambiti aziendali di attività. L’analisi del contesto aziendale nel suo complesso
dovrebbe essere finalizzata a evidenziare quelle aree/settori di attività nei quali potrebbero
10
essere compiuti dei reati, con l’obiettivo di realizzare una mappatura delle aree aziendali
maggiormente a rischio.
• Analisi dei rischi potenziali. L’analisi dei rischi potenziali è finalizzata a verificare le modalità con le quali gli eventi illeciti potrebbero essere realizzati in ciascuna delle aree aziendali
individuate come potenzialmente a rischio; lo scopo è ottenere una rappresentazione esaustiva di come le differenti fattispecie di reato potrebbero essere attuate rispetto al contesto
operativo interno ed esterno in cui opera l’azienda.
• Valutazione, costruzione e adeguamento del sistema di controlli attualmente esistente. Il sistema
dei controlli finalizzato a prevenire il compimento di reati eventualmente esistente all’interno dell’azienda dovrà essere valutato alla luce dei risultati dell’indagine degli ambienti
aziendali e dell’individuazione dei rischi potenziali; tale valutazione di conformità/non
conformità dovrà quindi portare a un adeguamento del sistema attuale qualora venga
rilevata la necessità di modificarlo/integrarlo, piuttosto che a una costruzione del sistema
dei controlli ex novo, qualora l’ente ne sia sprovvisto.
Le caratteristiche del sistema di controllo preventivo
I contenuti del decreto permettono di desumere quelle che dovrebbero essere le componenti
di un sistema di controllo realmente efficace nell’esecuzione della propria funzione preventiva del rischio di compimento dei reati. Nello specifico, gli elementi chiave di tale modello
risultano essere quelli riportati di seguito10.
• Il codice etico (o di comportamento) relativo ai reati individuati, il sistema disciplinare e i
meccanismi sanzionatori. L’adozione di princìpi etici rilevanti ai fini della prevenzione dei
reati identificati, inseriti all’interno di un codice etico aziendale, costituisce un elemento
di grande importanza del sistema di controllo preventivo. I codici etici sono documenti
ufficiali dell’ente che contengono l’insieme dei diritti, dei doveri e delle responsabilità
della società e dei suoi esponenti nei confronti dei propri stakeholder.
Un codice etico è finalizzato a raccomandare, promuovere o vietare determinati comportamenti, indipendentemente da quanto previsto a livello normativo; in esso possono anche
essere indicate sanzioni proporzionate alla gravità delle eventuali infrazioni commesse.
Prevedere un adeguato sistema disciplinare e sanzionatorio per la violazione delle norme
del codice etico potrebbe essere un elemento particolarmente rilevante per il positivo
funzionamento del modello adottato; tali violazioni ledono il rapporto di fiducia instaurato tra i soggetti in posizione apicale, i lavoratori subordinati, i lavoratori autonomi e
altri soggetti terzi con l’impresa e devono dunque determinare azioni disciplinari volte a
dissuadere i soggetti dal violare le norme vigenti, oltre che a ristabilire l’ordine aziendale.
• Il sistema organizzativo e i poteri autorizzativi e di firma. Un sistema organizzativo formalizzato e ben definito contribuisce ad assegnare in maniera chiara le responsabilità,
descrive puntualmente i compiti e le attività degli organismi aziendali e definisce le linee
di dipendenza gerarchica, il sistema dei poteri e delle deleghe. Esso, inoltre, definisce
i sistemi premianti dei dipendenti eventualmente previsti dalla società, con lo scopo di
indirizzare le attività del personale operativo e manageriale verso l’efficiente consegui-
11
mento degli obiettivi aziendali. I poteri autorizzativi e di firma, assegnati in coerenza con
le responsabilità organizzative e gestionali assegnate, indicano i soggetti ai quali è stato
conferito il potere di autorizzare determinate tipologie di operazioni.
• Le procedure manuali e informatiche e il sistema di controllo di gestione. I sistemi di informazioni regolamentano lo svolgimento delle attività prevedendo opportuni punti
di controllo finalizzati a verificare il corretto svolgimento dell’operatività aziendale.
Il sistema di controllo di gestione è invece in grado di fornire tempestiva segnalazione
dell’esistenza e dell’insorgere di situazioni di criticità; funzionali a ciò sono la definizione
di opportuni indicatori per le singole tipologie di rischio rilevato e i processi di risk assessment interni alle singole funzioni aziendali.
• Processi di comunicazione al personale e sua formazione. Si tratta dei processi continuativi
di comunicazione/diffusione al personale d’azienda delle previsioni contenute nel codice
etico, della struttura dei poteri autorizzativi, delle linee di dipendenza gerarchica, delle
procedure e dei flussi di informazione ecc. Al processo di comunicazione deve essere
affiancato un solido programma di formazione rivolto al personale di ogni livello e, in
particolar modo, a quello operante nelle aree a rischio, al fine di dargli illustrazione delle
logiche e della portata delle regole aziendali.
L’Organismo di Vigilanza
Come si è detto, l’art. 6 del Dlgs 231/01 prevede che l’ente possa essere esonerato dalla
responsabilità conseguente alla commissione dei reati indicati se l’organo dirigente ha
adottato modelli di organizzazione, gestione e controllo idonei a prevenire efficacemente
l’esecuzione degli illeciti, oltre ad aver affidato a un organismo della società dotato di
autonomi poteri di iniziativa e controllo il fondamentale compito di vigilare sul corretto
funzionamento del modello di organizzazione e gestione, curandone la verifica periodica
e l’eventuale modifica/aggiornamento dello stesso, qualora vengano scoperte significative
violazioni delle prescrizioni o quando intervengano mutamenti rilevanti nell’organizzazione
e nelle attività aziendali.
L’esistenza di un Organismo di Vigilanza (OdV) è dunque un elemento essenziale per l’implementazione di ottimali dinamiche di verifica e controllo del buon funzionamento del modello.
Le attività che questo è chiamato ad assolvere possono essere così sinteticamente riassunte:
• vigilare sull’effettività del modello, verificando la coerenza fra i comportamenti posti in
essere all’interno dell’azienda e il modello istituito;
• constatare l’adeguatezza del modello, ossia la sua capacità di prevenire, almeno in linea di
massima, i comportamenti non desiderati, e verificare il permanere nel tempo dei requisiti
di solidità e funzionalità;
• procedere a un aggiornamento del modello, nell’ipotesi in cui si verifichi che si sono resi
necessari opportuni adeguamenti e correzioni.
Con riferimento, invece, ai requisiti che si ritiene debbano connotare l’Organismo di Vigilanza e il suo operato, sono stati individuati i seguenti:
12
• autonomia e indipendenza: l’Organismo deve essere autonomo e indipendente nello svol-
gimento delle proprie attività di controllo, risultando libero da qualsiasi interferenza o
condizionamento (in particolare se proveniente dall’organo dirigente) che possa gravare
sul suo operato; per garantire ciò è indispensabile che l’OdV non svolga alcun compito
operativo che, rendendolo partecipe di decisioni e attività d’azienda, ne minerebbe l’obiettività di giudizio nel momento delle verifiche sui comportamenti e sul modello;
• professionalità: l’Organismo deve possedere un set adeguato di strumenti e tecniche specialistiche (ispettive, ma anche d’analisi dei sistemi, di tipo giuridico e penalistico ecc.) che
gli permettano di svolgere efficacemente la propria attività;
• continuità di azione: deve esistere una struttura dedicata esclusivamente e a tempo pieno
all’attività di vigilanza sul modello, senza che alla stessa vengano affidate attività operative
di alcuna sorta.
4.2 Antiriciclaggio e contrasto del finanziamento
del terrorismo (DLgs 231/07)
Il riciclaggio di denaro è quell’insieme di operazioni mirate a dare una parvenza lecita a
capitali la cui provenienza è, in realtà, illecita.
Un’importante azione contro il riciclaggio è stata svolta dall’Unione Europea, da ultimo con
la direttiva 2005/60/CE acquisita dal legislatore italiano nel Dlgs 231/07 del 16 novembre
2007, che introduce, con la sua entrata in vigore, un collegamento diretto tra la disciplina
antiriciclaggio e la responsabilità amministrativa degli enti prevista dalle disposizioni del
Dlgs 231/01 con l’art. 25-octies, relativo ai reati di “ricettazione, riciclaggio e l’impiego di
denaro, beni o utilità di provenienza illecita” (artt. 648, 648-bis e 648-ter del codice penale),
nel quale è indicato che:
“1) In relazione ai reati di cui agli articoli 648, 648-bis e 648-ter del codice penale, si applica all’ente la
sanzione pecuniaria da 200 a 800 quote. Nel caso in cui il denaro, i beni o le altre utilità provengono
da delitto per il quale è stabilita la pena della reclusione superiore nel massimo a cinque anni si applica
la sanzione pecuniaria da 400 a 1000 quote.
2) Nei casi di condanna per uno dei delitti di cui al comma 1 si applicano all’ente le sanzioni interdittive
previste dall’art. 9, comma 2, per una durata non superiore a due anni”.
I soggetti destinatari degli obblighi previsti dalla normativa antiriciclaggio comprendono sia il
sistema bancario, finanziario e assicurativo, sia professionisti e operatori non finanziari (quali
i notai e gli avvocati quando, in nome o per conto dei propri clienti, compiono qualsiasi operazione di natura finanziaria o immobiliare, nonché i soggetti iscritti nell’albo dei ragionieri
e dei periti commerciali, dei dottori commercialisti e in quello dei consulenti del lavoro ecc.).
In merito agli obblighi posti in capo a tali tipologie di soggetti, essi possono essere così
sintetizzati:
• obbligo di adeguata verifica sul cliente;
• obbligo di adottare nella valutazione un approccio basato sul rischio (risk based approach);
13
• obbligo di registrazione e di tenuta di tutta la documentazione acquisita per assolvere
l’obbligo di verifica sul cliente;
• obbligo di immediata segnalazione di eventuali operazioni sospette all’Unità di Informazione Finanziaria;
• obbligo di vigilanza e controllo, ciascuno nell’ambito delle proprie attribuzioni e competenze, affidato a specifici organismi aziendali, quali il Collegio Sindacale, il Consiglio
di Sorveglianza, il Comitato di Controllo di Gestione, l’Organismo di Vigilanza e, in
generale, a tutti gli incaricati della funzione di controllo di gestione.
I rischi di riciclaggio devono quindi essere oggetto di particolari misure di gestione e controllo,
integrate nel sistema di controllo interno dell’impresa, ed essere sottoposti a una valutazione
periodica al fine di salvaguardare l’ente dal vedersi attribuita una responsabilità relativa allo
specifico reato. Dovranno essere definiti modelli di prevenzione e contrasto del riciclaggio
connotati da un insieme strutturato di istruzioni, procedure e regole operative interne per
gestire il rischio individuato.
4.3 Sicurezza e salute sui luoghi di lavoro (DLgs 81/08)
In Italia la salute e la sicurezza sul lavoro sono regolamentate dal Dlgs 9 aprile 2008, n. 81
(anche noto come “Testo unico in materia di salute e sicurezza sul lavoro”, entrato in vigore
il 15 maggio 2008) e dalle relative disposizioni correttive, ovvero dal Dlgs 3 agosto 2009, n.
106 e da successivi ulteriori decreti.
Il Dlgs 81/08 e i successivi hanno notevolmente ampliato il campo di applicazione delle previsioni in ambito antinfortunistico e di tutela della salute sul luogo di lavoro, estendendole a
tutti i settori di attività, privati e pubblici, a tutte le classi di rischio e a tutte le tipologie di
lavoratori (dipendenti, parasubordinati, autonomi, volontari ecc.).
È importante evidenziare che l’art. 25-septies del Dlgs 231/01 (introdotto dalla L. 123/07 e
poi modificato dal Dlgs 81/08) ha creato una sostanziale connessione tra sicurezza sul lavoro
e responsabilità amministrativa di società ed enti. Infatti, i reati di omicidio colposo e lesioni
personali colpose gravi o gravissime, commessi in violazione delle norme antinfortunistiche e
di tutela dell’igiene e della salute sul lavoro, hanno rilevanza anche ai fini della responsabilità
amministrativa ex Dlgs 231/01, purché la loro commissione sia relazionabile a un interesse e/o
un vantaggio per la società/ente (vantaggio che potrebbe configurarsi anche in termini di risparmio delle spese necessarie ad adattare l’ambiente lavorativo alle previsioni del Dlgs 81/08).
Il datore di lavoro ha l’obbligo di effettuare la valutazione dei rischi di esposizione dei lavoratori e, in base a quanto rilevato, di prendere tutte le misure di prevenzione e protezione,
collettiva e individuale, necessarie a ridurre al minimo il rischio. La valutazione dovrebbe
procedere attraverso:
• la creazione di una base dati anagrafica comune, comprendente i pericoli a cui i lavoratori
possono essere esposti, l’identificazione di un indice di pericolo, la valutazione di un indice
di rischio per ogni mansione-pericolo;
14
• la verifica periodica dell’esposizione dei lavoratori mediante misurazioni e confronto con
i valori limite professionali, ambientali e biologici;
• la valutazione del rischio correlato a ciascuna mansione;
• la verifica degli adempimenti di legge e della conformità degli ambienti di lavoro e delle
postazioni;
• l’analisi del rischio degli ambienti di lavoro e la stesura di un documento di valutazione,
anche al fine di contribuire al percorso di formazione/informazione dei lavoratori;
• la gestione delle attività conseguenti la valutazione dei rischi (sorveglianza sanitaria, piani
di emergenza ecc.), con la creazione di un registro per la gestione delle azioni migliorative
conseguenti e dell’aggiornamento periodico.
L’art. 30 del Dlgs 81/08 descrive il modello di organizzazione e di gestione idoneo ad avere
efficacia esimente, come previsto dal Dlgs 231/01, ossia di quel modello in grado di assicurare un sistema aziendale che permetta l’adempimento di tutti gli obblighi in materia di
salute e sicurezza sul luogo di lavoro.
Il comma 4 ribadisce la necessità che il modello preveda un’entità di controllo sull’attuazione e sul mantenimento nel tempo dell’idoneità del modello stesso (Organismo di Vigilanza). Al comma 5 viene inoltre indicato come criterio fondamentale per essere compliant
alla normativa l’adozione di un Sistema di Gestione per la Salute e Sicurezza nei Luoghi
di Lavoro (SGSSLL) che sia conforme allo standard Ohsas 18001:200711 o alle linee guida
UNI-INAIL12.
Un SGSSLL è un sistema di gestione permanente e organicamente strutturato, che permette di tenere sotto controllo i risultati aziendali in materia di sicurezza e salute del lavoro
e garantire la conformità alle previsioni normative.
Si tratta di un elemento del sistema complessivo di gestione dell’organizzazione che comprende la struttura organizzativa, le attività di pianificazione, le responsabilità, le azioni di
coinvolgimento, le pratiche, le procedure, i processi e le risorse necessarie per sviluppare, attuare, raggiungere e mantenere la politica dell’organizzazione in materia di salute e sicurezza
sul lavoro, nell’ottica del miglioramento continuo.
Il sistema aziendale deve garantire l’adempimento di tutti gli obblighi giuridici relativi a:
• il rispetto degli standard tecnico-strutturali di legge relativi ad attrezzature, impianti,
luoghi di lavoro, agenti chimici, fisici e biologici;
• le attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e
protezione conseguenti;
• le attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti,
riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la
sicurezza;
• le attività di sorveglianza sanitaria;
• le attività di informazione e formazione dei lavoratori;
• le attività di vigilanza con riferimento al rispetto delle procedure e delle istruzioni di
lavoro in sicurezza da parte dei lavoratori;
15
• l’acquisizione di documentazioni e certificazioni obbligatorie di legge;
• le periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate.
Il modello organizzativo e gestionale adottato dovrebbe inoltre prevedere un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure in esso contenute e un idoneo
sistema di controllo sulla sua attuazione.
4.4 Danni ambientali e inquinamento (DLgs. 152/06 e DLgs 121/11)
Per effetto del Dlgs 7 luglio 2011, n. 121 sono state ricomprese nel campo di applicazione del
Dlgs 231/01 (per mezzo dell’integrazione nel decreto dell’art. 25-undecies) alcune fattispecie
di reati contro l’ambiente e, nello specifico, reati contro specie animali e vegetali protette,
illeciti di distruzione di habitat all’interno di un sito protetto, di scarichi idrici, di gestione dei
rifiuti, di emissioni in atmosfera eccetera13. Tali ipotesi di reato determinano la responsabilità
amministrativa dell’impresa in ogni caso in cui l’illecito sia stato posto in essere da un dipendente dell’azienda stessa, nell’interesse/vantaggio della società; a carico degli enti sono previste
sanzioni di carattere pecuniario, interdittive, di confisca e di pubblicazione della sentenza.
In linea con le previsioni normative contenute nel Dlgs 231/01, anche con riferimento ai
reati ambientali la predisposizione di adeguati modelli organizzativi ha efficacia esimente.
In merito a ciò le best practice più diffuse prevedono l’adozione di Sistemi di Gestione
Ambientale (SGA) conformi allo standard ISO 1400114 o al regolamento europeo 1221/09
(EMAS)15; tuttavia, è opportuno specificare che tali protocolli, sebbene di grande importanza, rappresentano unicamente un primo punto di partenza sulla base del quale sviluppare un
modello organizzativo compliant rispetto alle previsioni del Dlgs 231/01.
Infatti, un Sistema di Gestione Ambientale conforme agli standard ISO 14001/EMAS
ha lo scopo di identificare preliminarmente le prescrizioni normative applicabili al proprio
ambito di attività e gli aspetti di rischio ambientale connessi alla propria operatività; un
modello organizzativo adeguato deve andare oltre, individuando le aree, le attività e i processi aziendali nell’ambito dei quali possono più facilmente ricorrere i reati ambientali e di
inquinamento, procedendo a una valutazione e a una costruzione/adeguamento del sistema
di controlli attualmente esistente in azienda.
Nella prospettiva di conformità ai requisiti del modello organizzativo 231, lo svolgimento
delle attività di progettazione e attuazione di un sistema di gestione ambientale deve essere
integrato con attività ulteriori, quali il coordinamento tra politica ambientale prevista dal
SGA e il codice etico aziendale, il controllo dell’effettiva separazione tra compiti e funzioni
per le attività a rischio, l’istituzione dell’Organismo di Vigilanza e la puntuale definizione
dei suoi compiti.
4.5 Privacy e protezione dei dati personali (DLgs 196/03)
Il Dl 14 agosto 2013, n. 93, recante disposizioni urgenti in materia di sicurezza e per il
contrasto della violenza di genere, ha introdotto alcuni provvedimenti in materia di delitti
16
in ambito privacy (nello specifico, trattamento illecito dei dati personali, falsità nelle dichiarazioni e notificazioni al Garante e inosservanza dei provvedimenti del Garante).
Le fattispecie di reato citate entrano a far parte dell’elenco dei reati per i quali le imprese sono
chiamate a rispondere, qualora gli illeciti vengano commessi, nell’interesse o a vantaggio della
società, da rappresentanti, amministratori, dirigenti o soggetti ad essi sottoposti; la conseguenza è la necessità di aggiornare i modelli organizzativi degli enti, per non incorrere nelle
specifiche sanzioni previste.
Le disposizioni di legge sulla privacy e protezione dei dati personali in Italia sono contenute
nel Dlgs 196/03 (e successive integrazioni), nominato “Codice in materia di protezione dei
dati personali”; oltre a sancire il diritto per chiunque alla protezione dei dati personali, esso
pone in carico ai soggetti che effettuano il trattamento dei dati, sia con l’ausilio di strumenti
elettronici che mediante supporti cartacei, l’onere di adottare misure atte a rendere sempre
più garantite e riservate le informazioni di natura personale e sensibile in loro possesso, di
utilizzarle in modo quanto più parsimonioso possibile, di procedere a un loro adeguato aggiornamento, oltre a prevedere per tali soggetti numerosi altri obblighi operativi16.
Per attuare in modo completo la normativa sulla privacy è necessario implementare alcuni
cambiamenti organizzativi, adottando un modello di organizzazione che chiarisca e definisca in maniera precisa ruoli e responsabilità, procedure e istruzioni da applicare per risultare
effettivamente compliant al corpo normativo di riferimento.
In sostanza, è necessario adottare un Modello organizzativo privacy i cui tratti più rilevanti sono:
• l’individuazione di un privacy officer, il cui ruolo fondamentale è quello di verificare
l’adempimento alle previsioni normative della L. 196/03 di riferimento, analizzando i
rischi di violazione della norma e definendo quindi le linee guida per l’aggiornamento del
modello organizzativo aziendale, supportando l’operato degli altri organi/soggetti responsabili che svolgono le differenti attività necessarie alla tutela della privacy;
• l’istituzione di un Comitato privacy, con compiti di indirizzo, individuazione delle aree a
priorità di intervento e governo del modello organizzativo interno;
• l’identificazione delle tre figure chiave del modello organizzativo privacy, cioè il titolare, il
responsabile e l’incaricato al trattamento dei dati17;
• la redazione del Documento Programmatico della Sicurezza (DPS) da parte di tutte le aziende, associazioni, enti e professionisti che trattano i dati personali – anche sensibili – con
strumenti elettronici; il DPS deve riportare le caratteristiche e gli aspetti più rilevanti
dell’infrastruttura tecnologica aziendale coinvolta nella gestione di dati personali e sensibili, verificando che essa sia coerente con quanto richiesto dalla normativa sulla privacy.
Un modello organizzativo privacy opportunamente integrato con un modello organizzativo
conforme alle previsioni del Dlgs 231/01, con lo sviluppo degli opportuni protocolli interni
e dei flussi informativi tra l’Organismo di Vigilanza e il privacy officer, dovrebbe dunque
permettere alle imprese di non incorrere nella responsabilità amministrativa dell’ente per
gli illeciti previsti.
17
4.6 Norme sulla sicurezza informatica
Tra i reati per i quali il Dlgs 231/01 prevede il regime di responsabilità amministrativa a
carico dell’impresa rientrano i reati informatici, ossia quegli illeciti compiuti per mezzo o nei
confronti di un sistema informatico. Il sistema IT può infatti essere oggetto di un reato finalizzato a distruggere o manipolare l’elaboratore, piuttosto che a sottrarre o eliminare le informazioni o i programmi in esso contenuti; alternativamente, può rappresentare lo strumento
attraverso il quale gli illeciti vengono compiuti, come nel caso delle frodi informatiche.
La Convenzione di Budapest del 2001, ratificata e resa esecutiva con la L. 18 marzo 2008,
n. 48, ha cercato di fornire una soluzione al problema dei computer crimes prevedendo una
specifica forma di responsabilità in capo agli enti dotati di personalità giuridica, alle società e
associazioni, anche prive di personalità giuridica, quando tale particolare tipologia di illeciti
sia commessa nel loro interesse o a loro vantaggio. Questo è stato reso possibile mediante
l’inserimento nel Dlgs 231/08 dell’art. 24-bis, denominato “Delitti informatici e trattamento
illecito di dati”, che determina la necessità per gli enti di dotarsi di un adeguato modello
organizzativo anche in relazione alla prevenzione dei reati informatici, al fine di non incorrere nella responsabilità per i computer crimes eventualmente posti in essere al suo interno.
L’adozione di un adeguato modello organizzativo e lo svolgimento di tutti i controlli da esso
previsti possono essere fortemente facilitati dall’adozione di un Sistema di Gestione della
Sicurezza delle Informazioni (SGSI), in coerenza con le linee guida e i requisiti definiti dalla
norma ISO 27001, applicabile a qualsiasi tipo di organizzazione, a prescindere dal settore
e dalle dimensioni. Un SGSI modellato opportunamente potrà ottenere anche la relativa
certificazione internazionale ISO 27001, che definisce lo standard condiviso per la gestione
della sicurezza delle informazioni. La norma ISO 27001 propone un modello che tratta tutti
gli aspetti relativi alla sicurezza informatica, col fine di proteggere le informazioni aziendali:
dai documenti in formato elettronico a quelli cartacei e agli strumenti informatici, fino alla
conoscenza individuale dei singoli dipendenti.
Il SGSI si posiziona a un livello più alto rispetto alle scelte tecnologiche di dettaglio, dalle
quali dipende la cosiddetta sicurezza fisica (da intendere in termini di infrastrutture, sistemi
di continuità, sistemi di controllo degli accessi fisici); infatti, esso comprende anche le previsioni in ambito di sicurezza logica (sicurezza dei sistemi di autenticazione e identificazione,
impostazione dei firewall e gestione del sistema di e-mailing ecc.) e di sicurezza organizzativa, che si realizza attraverso:
• un’opportuna definizione delle figure, dei ruoli e delle responsabilità delle risorse che,
all’interno dell’organizzazione, si occupano di gestione della sicurezza informatica;
• una definizione delle procedure operative rilevanti per la gestione della sicurezza IT e per
l’utilizzo sicuro delle risorse informatiche, con la redazione di una policy di utilizzo dei
sistemi informatici (norme per l’uso corretto del personal computer, per la creazione di
password sicure, per l’utilizzo di internet e della posta elettronica ecc.);
• una pianificazione di opportune attività formative finalizzate a incrementare la conoscenza e la competenza in materia di sicurezza IT degli addetti e degli utenti che operano
sulle risorse informatiche.
18
4.7 Qualità e certificazione ISO 9001
Tra le differenti certificazioni che un’azienda può scegliere di conseguire al fine di garantire
l’adeguatezza a standard di qualità riconosciuti a livello internazionale, oltre alle già citate
Ohsas 18001:2007 per la salute e la sicurezza sul luogo di lavoro, ISO 14001 per un sistema
di gestione ambientale compliant alle normative vigenti e ISO 27001 per la gestione della
sicurezza delle informazioni, vi è la certificazione ISO 9001, recepita in Italia con la denominazione di UNI EN ISO 9001:2008.
La norma ISO 9001 rappresenta il riferimento per i requisiti caratteristici di un sistema di gestione finalizzato a migliorare le performance di un’organizzazione e dei processi che essa pone
in essere per ottenere uno specifico prodotto/servizio; è rilevante sottolineare che la norma e
la certificazione si riferiscono ai processi di produzione, mai al prodotto o servizio stesso. Lo
standard ISO 9001 è l’unica norma della famiglia ISO 900018 per cui un’azienda può essere
certificata; le altre sono solo guide utili per favorire la corretta applicazione e interpretazione
dei princìpi del sistema qualità.
La corretta applicazione della norma ISO 9001 permette:
• l’ottimizzazione dei processi interni a un’organizzazione;
• l’impostazione di un efficace sistema di monitoraggio sui propri processi;
• il controllo dei costi e la riduzione di inefficienze e sprechi nell’operatività aziendale;
• il miglioramento della soddisfazione dei clienti e la loro fidelizzazione, incrementando la
credibilità dell’azienda e la sua visibilità sul mercato.
La certificazione deve essere richiesta a un ente indipendente ufficialmente riconosciuto che
constata che l’azienda risponda ai requisiti della norma di riferimento, quindi che l’azienda
sia in grado di assicurare il livello di qualità richiesto.
Sebbene il Dlgs 231/01 e la certificazione di qualità ISO 9001 abbiano finalità differenti, è
evidente lo stretto legame fra di essi; sarebbe infatti impensabile avere un sistema adeguato
di prevenzione dei reati in assenza di un modello gestionale conforme agli standard internazionali di qualità, poiché, in concreto, il primo non è che uno degli strumenti necessari ai
fini della qualità gestionale promossa dallo standard ISO. Infatti, il percorso che le imprese
devono compiere per allinearsi alle previsioni contenute nel Dlgs 231/01 non è differente
da quello necessario per ottenere la certificazione di qualità. A titolo meramente esemplificativo, evidenziamo le seguenti analogie:
• la progettazione e l’attuazione del sistema di gestione per la qualità di un’organizzazione
sono influenzate dal contesto del mercato di riferimento e dai rischi associati, dai suoi
obiettivi, dai prodotti/servizi che fornisce e dai processi necessari alla loro produzione; il
modello organizzativo 231 prevede, in relazione alla natura e alla dimensione dell’organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell’attività nel rispetto della legge, eliminando tempestivamente eventuali situazioni di rischio;
• la normativa ISO 9001 richiede che al fine di comunicare all’interno e all’esterno della
propria organizzazione gli indirizzi da seguire in termini di qualità, la direzione debba
19
sottoscrivere una politica per la qualità, che espliciti gli obiettivi aziendali e dichiari formalmente i princìpi di riferimento sui quali il processo dovrà modellarsi; la politica per
la qualità è un documento analogo al codice etico, uno degli elementi più rilevanti del
modello organizzativo 231;
• il rappresentante della direzione per la qualità, previsto dalla ISO 9001, ha la responsabilità di mantenere attivo il sistema di gestione della qualità, svolgendo un ruolo analogo a
quello dell’Organismo di Vigilanza che vigila sull’osservanza del modello organizzativo
adottato da parte di tutti i membri dell’impresa.
Il modello organizzativo 231 può dunque essere correttamente identificato con un’applicazione, tra le tante possibili, del modello gestionale codificato dalla norma ISO 9001.
4.8 Normative specifiche nazionali e internazionali
Le leggi fin qui analizzate si applicano, ciascuna per il proprio specifico ambito di intervento, a tutte le aziende operanti nel territorio nazionale, indipendentemente dalla tipologia di
ente, dalle relazioni che lo possano legare ad altre società, dal settore e dalle caratteristiche
della sua operatività.
Tuttavia, per completare il quadro rappresentativo delle normative rispetto alle quali il
rischio di non conformità delle imprese è particolarmente elevato, è necessario rendere
manifesta l’esistenza di ulteriori direttive di carattere specifico, che si applicano soltanto ad
alcune imprese operanti in particolari settori o con caratteristiche peculiari.
Non essendo possibile prenderle in esame integralmente, si farà qui riferimento, a mero
titolo esemplificativo, a quattro disposizioni, col fine di darne un rapido inquadramento
nell’ambito del sistema della compliance aziendale.
Normative sulla sicurezza dei prodotti
I prodotti offerti in vendita al consumatore finale devono essere sicuri, non devono cioè
presentare alcun rischio per la salute e la sicurezza o presentare solo rischi minimi e accettabili compatibili con un livello elevato di tutela della salute e della sicurezza delle persone:
lo stabilisce la direttiva comunitaria 2001/95/CE, recepita dal nostro codice del consumo.
Nello specifico, un prodotto è considerato sicuro se rispetta le disposizioni di sicurezza previste dalla legislazione europea o, in assenza di tali disposizioni, se rispetta le disposizioni
nazionali specifiche dello Stato membro di commercializzazione. Le aziende dovranno
dotarsi di un modello organizzativo e di processi produttivi in grado di garantire la sicurezza
dei prodotti offerti, al fine di assicurare una corretta tutela della salute e della sicurezza dei
loro acquirenti e utenti.
Certificazione delle attività di informazione scientifica
Si tratta di una certificazione delle procedure relative all’attività di informazione scientifica
per i farmaci in commercio che può essere ottenuta dalle aziende farmaceutiche. Il processo
di verifica per l’ottenimento della certificazione prevede che un ente terzo accreditato a li-
20
vello europeo accerti ogni anno il rispetto delle norme, la corretta esecuzione dei processi di
informazione scientifica, la trasparenza nel rapporto con tutti gli interlocutori dell’industria
farmaceutica: medici, operatori sanitari, enti pubblici. In caso di esito positivo della verifica
annuale, l’ente incaricato rilascia all’azienda un certificato di conformità che attesta eticità e
qualità del processo di informazione scientifica. Il corpo normativo di riferimento è il Dlgs
219/0619 e le relative modifiche e integrazioni successive.
Tutela del risparmio e disciplina dei mercati finanziari
Si tratta di disposizioni finalizzate al rafforzamento e all’incremento dell’efficacia della
tutela del risparmio investito in strumenti finanziari, contenute nella legge di riferimento
(Dlgs 262/05 e successive modifiche). Esse si applicano a tutte le aziende, italiane ed estere
quotate sul mercato italiano, e introducono una serie di adempimenti organizzativi e operativi a cui le aziende devono uniformarsi. Tra essi vi sono nuove regole di governo per le
società quotate in borsa, alcuni provvedimenti per una maggiore trasparenza su emissione e
circolazione di prodotti finanziari, disposizioni in merito ai conflitti di interesse nelle attività
finanziarie, norme più stringenti per le società di revisione ecc.
Sarbanes-Oxley Act
La Sarbanes-Oxley Act (SOX) è una legge federale emanata nel luglio 2002 dal governo degli Stati Uniti, equiparabile alle nostre “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”; essa è connotata da alcuni adempimenti quali: la creazione di un
board indipendente che si occupi del monitoraggio delle società di revisione, la previsione di
regole per assicurare l’indipendenza dei revisori contabili, la certificazione da parte del senior
corporate management della veridicità del bilancio annuale e delle relazioni finanziarie della
società quotata, la regolamentazione più rigorosa delle operazioni in titoli effettuate dagli
insider, l’aggravio delle sanzioni civili e penali in caso di frode nei confronti degli investitori. In Italia la SOX trova applicazione presso le società quotate nelle piazze borsistiche
statunitensi e presso le controllate di società quotate negli Stati Uniti, che dovranno quindi
adeguare la propria operatività ai provvedimenti contenuti in tale legge federale.
21
Sezione 2
R
I risultati
della ricerca
22
5. Il progetto di ricerca: metodologia impiegata e analisi
del campione
Al fine di indagare il ruolo rivestito dalla compliance nelle imprese italiane ed elaborare una panoramica sullo stato dell’arte dell’oggetto d’analisi, è stato predisposto un questionario di 15 domande
con l’obiettivo di identificare le politiche, i processi e le procedure adottate al fine di garantire la
conformità alla normativa, ai regolamenti e ai codici di condotta vigenti in Italia (Allegato 2).
Il questionario è stato sottoposto all’attenzione delle aziende italiane operanti nei settori
industria, commercio e servizi con fatturato superiore ai 10 milioni di euro escluso il settore
finanziario (banche, assicurazioni e altri intermediari finanziari)20. Il processo di contatto delle
aziende selezionate21 ha permesso di raccogliere un totale di 77 questionari compilati.
Da un’analisi delle aziende rispondenti emerge una certa uniformità nel campione di aziende
di diverse dimensioni. Considerando come parametro di grandezza il numero di dipendenti,
infatti, notiamo che il panel è composto per un quarto da organizzazioni con meno di 50
dipendenti, al 23,68% da imprese con
Figura 1 – Composizione del campione per numero
un numero di dipendenti tra i 50 e i 150
di dipendenti
e al 28,95% da enti con un numero di
28,95%
6,58%
15,79%
dipendenti variabile tra i 150 e i 500. Il
< 50
campione si completa con il 6,58% comDa 50 a 150
posto da realtà con 500-1.000 dipendenti
Da 150 a 500
Da 500 a 1.000
e il 15,79% da imprese con oltre 1.000
> 1.000
lavoratori subordinati (Fig. 1).
23,68%
25,00%
Una distribuzione analoga si osserva analizzando la composizione del panel dal
punto di vista del fatturato. Le aziende con un giro d’affari tra i 10 e i 25 milioni di euro
sono il 31,58% del totale delle rispondenti; la percentuale si riduce al 23,68% per quelle
con fatturato tra i 25 e i 50 milioni ed è pari al 26,32% per quelle con fatturato oltre i 250
milioni di euro. Il restante 18,42% del panel si divide perfettamente fra le organizzazioni
con ricavi tra i 50 e i 100 milioni di euro e tra i 100 e i 250 milioni. Le lievi differenze
non permettono quindi di affermare che il campione sia fortemente sbilanciato verso una
particolare tipologia di aziende o che sia Figura 2 – Composizione del campione di imprese
connotato da un trend rilevante in termi- analizzate in base al fatturato
ni di fatturato (Fig. 2).
23,68%
9,21%
9,21%
Il gruppo dei rispondenti è invece conDa 10 a 25 mln
notato da una marcata presenza interDa 25 a 50 mln
nazionale: ben il 57,89% delle imprese
Da 50 a 100 mln
Da 100 a 250 mln
analizzate sono infatti realtà operanti
Oltre 250 mln
tanto in Italia che all’estero, mentre il
31,58%
26,32%
32,89% delle organizzazioni opera unicamente entro i nostri confini, avendo
posto in essere più sedi dislocate nel territorio. Il restante 9,21% è rappresentativo di enti
con un’unica sede sita nel nostro paese (Fig. 3).
23
Se ne può desumere che il modo di
interpretare il ruolo della compliance
all’interno delle organizzazioni, nonché
57,89%
9,21%
le logiche in base alle quali sono state
Presenza in Italia
adottate politiche, processi e proceducon una sede
re operative all’interno di queste realtà,
Presenza in Italia
con più sedi
potranno essere fortemente influenzati
Presenza
dall’impronta internazionale, che connointernazionale
32,89%
ta quasi il 60% del campione d’indagine.
Da ultimo, con riferimento ai settori merceologici di appartenenza, è il settore industriale quello che risulta maggiormente coinvolto
nella ricerca, essendo ad esso riconducibile ben il 50% dei rispondenti (Fig. 4). Il 39,47% del
campione è composto da aziende del setFigura 4 – Settore merceologico di appartenenza
tore del commercio e il residuo 10,53% da delle aziende intervistate
enti operanti nel settore dei servizi.
Figura 3 – Grado di internazionalizzazione del panel
di indagine
50,00%
10,53%
Industria
Il quadro identificativo delle aziende inServizi
tervistate è rilevante per una più agevole
Commercio
comprensione dei risultati della ricerca.
Questi hanno posto in evidenza come il
39,47%
tema della compliance coinvolga in maniera omogenea le aziende, a prescindere
dal loro dimensionamento e dalla grandezza del fatturato generato; la preponderanza di organizzazioni rispondenti appartenenti al settore dell’industria non è invece da intendersi come
un elemento che segnali una rilevanza maggiore dei temi di conformità presso tali tipologie di
aziende, quanto più probabilmente come segno di un più elevato livello di attenzione prestato
dalle imprese industriali a tali tematiche, o, forse, a una loro maggiore propensione o preparazione al confronto con realtà differenti.
Nelle sezioni che seguono verrà indagato dapprima il ruolo riconosciuto alla funzione di
compliance dalle aziende del campione, analizzando quindi prassi, politiche e processi che
ne connotano il modo di svolgere le attività (domande 1-5 e 13-15 del questionario); quindi,
verranno presi in considerazione più nel dettaglio i modelli organizzativi adottati e le caratteristiche dell’operatività delle funzioni di conformità (domande 6-12 del questionario).
6. Il ruolo della compliance nelle aziende italiane:
i risultati della ricerca
Il sistema della compliance d’azienda svolge il rilevante ruolo di supportare le aziende nella
definizione e nel consolidamento dei princìpi etici e delle norme che ne dovrebbero ispirare
l’attività, al fine di permettere alle organizzazioni di operare in modo più efficace ed efficiente,
di essere maggiormente consce dei rischi di conformità che gravano sui processi e sulle aree
24
aziendali, di validare le proprie procedure interne verificandone costantemente la congruenza
rispetto alla normativa vigente, di migliorare le relazioni con la clientela, rendendole anche più
competitive nei confronti dei concorrenti.
Le imprese sembrano aver inteso in maniera corretta i differenti compiti e le funzioni ascrivibili al sistema della compliance aziendale e il positivo impatto che può generare sull’operatività. Ben il 38,16% del panel, infatti, è sicuro che dotarsi di una funzione di conformità possa
rappresentare una concreta opportunità per migliorare le procedure, le prassi e l’organizzazione
aziendale, generando un circolo virtuoso che porti benefìci a tutti i livelli operativi. La funzione
compliance viene inoltre riconosciuta (21,05% dei rispondenti) come una preziosa fonte di
credibilità nei confronti di tutti gli stakeholder, prevenendo il deterioramento della reputazione aziendale presso l’opinione pubblica, migliorandone nel complesso anche l’immagine e la
percezione esterna (10,53% del panel).
Tuttavia, è pur vero che l’adozione di un sistema di conformità e la sua integrazione all’interno
della dimensione aziendale hanno un’implicazione in termini di necessità di procedere con riorganizzazioni interne, di creare organismi ad hoc (es. l’Organismo di Vigilanza), di incrementare i
flussi informativi circolanti fra le unità aziendali, di elaborare e adottare un codice etico ecc. Se
per taluni (13,16% delle aziende indagate) questo rappresenta un impegno accettabile a fronte
dei benefìci ottenibili, per altri (17,11%) lo sforzo richiesto e il significativo aumento della
burocrazia interna che si rende necessario
Figura 5 – Impatti e implicazioni di un sistema
sembrano troppo gravosi per essere equadi compliance aziendale
mente controbilanciati dagli effetti positivi
ricavabili dalla creazione di una funzione
Maggior garanzia per
38,16%
10,53% 13,16%
terzi e stakeholder
di compliance aziendale (Fig. 5).
Opportunità per migliorare
procedure e organizzazione
Prendendo in considerazione il processo
Miglioramento immagine
di compliance – che in modo trasversale
Impegno accettabile
Impegno elevato e
e ciclico opera al fine di evitare disallinea21,05%
17,11%
aumento burocrazia
menti organizzativi e operativi rispetto alle
regole del contesto nel quale l’azienda si
trova inserita – si sono analizzate le modalità attraverso le quali le imprese lo pongono in essere.
Dapprima, si è voluto verificare se esse svolgessero l’attività preliminare di valutazione dei
rischi, con lo scopo di confrontare la situazione aziendale corrente con le prescrizioni della
disciplina vigente, identificando quei processi/aree aziendali che potrebbero risultare non
conformi alle richieste normative. La
Figura 6 – Valutazione dei rischi di conformità
valutazione del rischio viene svolta nella rinvenibili all’interno dell’organizzazione
maggior parte dei casi in modo completo
55,26%
su tutte le dimensioni dell’organizzazione (55,26% dei rispondenti), ma ben il
Sì, parziale
44,74% delle imprese, pur dichiarando
Sì, completa
di svolgerla, afferma di farlo in modo
parziale, lasciando quindi spazio a situa44,74%
zioni di non conformità potenzialmente
pericolose per l’azienda (Fig. 6). Quindi,
25
prendendo a riferimento quell’insieme
di normative che abbiamo visto nella
Sezione 1 e rispetto alle quali il rischio
50,00%
14,47%
di non conformità delle imprese è maggiormente marcato, le aziende sono state
Alto
interrogate affinché esplicitassero quello
Medio
Basso
che secondo loro è il grado di rischio
sopportato dall’azienda con riferimento
35,53%
a ciascuna di tali norme.
Possiamo notare che in merito alla
responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni
anche prive di personalità giuridica, ben il 50% del campione ritiene che rappresenti per la
propria azienda un rischio contenuto; circa un terzo del totale dei rispondenti (il 35,53%)
lo valuta invece come un rischio di grado medio e solo il 14,47% del panel interpreta le
prescrizioni contenute nel Dlgs 231/01 come una fonte di rischi elevati per la propria
organizzazione (Fig. 7).
Una percezione del livello di rischio analoga si rileva anche in relazione ad altre normative
(Fig. 8) a prescindere dal settore di attività, dalla dimensione e dalle modalità operative
adottate: antiriciclaggio e per il contrasto del finanziamento al terrorismo (Dlgs 231/07);
sicurezza e salute sui luoghi lavoro (Dlgs 81/08); danni ambientali e inquinamento (Dlgs
152/06 e Dlgs 121/11); privacy e protezione dei dati personali (Dlgs 196/03); norme sulla
sicurezza informatica; qualità e certificazione dei processi secondo lo standard ISO 9001.
La percezione diffusa è che tali normative rappresentino un rischio contenuto per tutte le
imprese rispondenti; addirittura, nei casi dell’antiriciclaggio e dei danni ambientali ben il
75% del panel si è dimostrato concorde su tale posizione. Le discipline che, nel complesso,
sono viste come maggiormente rischiose sono quelle relative alla sicurezza e salute sui
luoghi di lavoro, alla privacy e alla sicurezza informatica, ma le percentuali di aziende che
le percepiscono come fonte di un rischio di grado elevato sono comunque molto ridotte e
di minoranza rispetto al campione totale (percentuale pari al 15,79% in tutti e tre i casi).
Le ragioni di una simile uniformità nella percezione del rischio potrebbero essere ricondotte
al fatto che le aziende hanno probabilmente già posto in essere quegli adeguamenti specifici
previsti da tali normative (adozione di standard specifici, adeguamento del modello organizzativo, adeguamento delle infrastrutture aziendali ecc.) e possono dunque essere pressoché
certe di essere compliant e non passibili di alcuna delle sanzioni previste.
Con riferimento alle direttive, nazionali e internazionali, di carattere specifico che si applicano solo ad alcune imprese operanti in particolari settori o con caratteristiche peculiari, la
distribuzione dei rischi percepiti comunque non varia. Oltre al grado di rischiosità relativo
alle normative di settore, si è analizzato quello relativo alle prescrizioni in materia di sicurezza dei prodotti, di tutela del risparmio e disciplina dei mercati finanziari e a quelle contenute
nella legge federale statunitense Sarbanes-Oxley Act (SOX), che in Italia trova applicazione
presso le società quotate nelle Borse statunitensi e presso le controllate di società quotate
negli Stati Uniti.
Figura 7 – Grado di rischio della normativa
sulla responsabilità amministrativa degli enti
26
Figura 8 – Grado di rischio delle principali normative generiche in materia di compliance
Antiriciclaggio
Sicurezza salute e luoghi di lavoro
11,84% 13,16%
15,79%
Alto
Medio
Basso
Alto
Medio
Basso
75,00%
60,53%
Sicurezza informatica
23,68%
Privacy e protezione dati personali
15,79%
15,79%
Alto
Medio
Basso
59,21%
Alto
Medio
Basso
25,00%
60,53%
Danni ambientali
9,21%
23,68%
Qualità e certificazione
15,79%
11,84%
Alto
Medio
Basso
Alto
Medio
Basso
75,00%
63,16%
25,00%
La SOX è la disciplina percepita come meno rischiosa in assoluto (il grado di rischio basso è
stato indicato addirittura dall’82,89% del panel), mentre quelle percepite come maggiormente
rischiose (dal 17,11% del panel) sono le normative specifiche di settore (Fig. 9). Le ragioni di
una simile uniformità nella percezione del rischio possono essere in questo caso ricondotte al
fatto che, al di là della normativa specifica relativa al settore d’operatività di ciascuna azienda, le
leggi analizzate si applicano solo ad alcune realtà delle organizzazioni rispondenti. Con riferimento alla SOX, per esempio, le aziende potrebbero non essere quotate nella Borsa statunitense
o non essere controllate di società statunitensi, nonostante si sia visto che il profilo internazionale del panel è molto forte. Oppure, in maniera simile a quanto considerato con riferimento
alle normative generiche, i membri del campione intervistato potrebbero aver già provveduto ad
adottare tutte le misure necessarie per essere conformi alle disposizioni di tali norme.
27
Figura 9 – Grado di rischio delle principali normative specifiche in materia di compliance
Normative di settore
Sicurezza dei prodotti
17,11% 23,68%
7,89%
Alto
Medio
Basso
Alto
Medio
Basso
59,21%
65,79%
Disciplina mercati finanziari
10,53%
26,32%
SOX Sarbanes-Oxley
7,89%
13,16%
9,21%
Alto
Medio
Basso
Alto
Medio
Basso
76,32%
82,89%
A valle del processo di valutazione dei rischi, si potrebbe rendere necessaria l’adozione di
nuove regole, politiche e procedure operative finalizzate al riequilibro dei disallineamenti
interni all’azienda dovuti a una non conformità rispetto alla normativa vigente.
Le aziende rispondenti si distribuiscono in modo piuttosto omogeneo tra coloro che
hanno già provveduto a elaborare un sistema completo di politiche e procedure che coinvolga l’organizzazione nel suo complesso (48,68% delle realtà analizzate), e coloro che
hanno, per il momento, definito regole
Figura 10 – Definizione di regole, politiche
operative compliant con la normativa
e procedure di compliance
in modo parziale (il 51,32%), coinvol48,68%
gendo soltanto alcune aree aziendali
o alcune figure rilevanti, piuttosto che
Sì, parzialmente
adottando solo alcuni standard e best
Sì, completamente
practice che dovrebbero essere integrati
nelle organizzazioni al fine di garantire
51,32%
un livello massimo di tutela della conformità aziendale (Fig. 10).
Anche relativamente all’elaborazione e all’adozione preventiva di un piano di verifiche di
compliance da svolgere periodicamente e nel continuo, allo scopo di constatare l’effettiva
applicazione degli adeguamenti organizzativi/operativi effettuati e l’efficacia del sistema di
regole sviluppato (predisponendo eventuali interventi correttivi, qualora necessario), il panel
28
si distribuisce piuttosto omogeneamente
Figura 11 – Adozione preventiva di un piano
in un gruppo di maggioranza di aziende di verifiche di compliance
che hanno sviluppato un piano di ve52,63%
rifiche completo (il 52,63%), relativo a
tutti i processi e le aree aziendali, e in un
Sì, parziale
insieme di organizzazioni (il 47,37%) che
Sì, completo
invece sono per il momento dotate di un
piano di verifiche solo parziale (Fig. 11).
47,37%
Tale sistema di verifiche e controlli periodici e continui si è tradotto per il
19,74% delle realtà indagate in un numero annuo di verifiche piuttosto numeroso (oltre i 10
controlli annuali) e in un numero tra le 5 e le 10 per il 36,84% delle organizzazioni. La grande maggioranza (il 43,42%) ha invece realizzato un numero di controlli periodici inferiore ai
5 annui (Fig. 12); tale risultato potrebbe
Figura 12 – Numero annuo di controlli di conformità
essere un segnale del fatto che le logiche
svolti presso le aziende del panel
di controllo e verifica periodica sottese a
43,42%
19,74%
un buon funzionamento di un sistema
di compliance sono ancora in corso di
Meno di 5
assimilazione da parte delle imprese; proPiù di 10
Tra 5 e 10
babilmente la numerosità dei controlli è
destinata a crescere nel corso del tempo.
36,84%
Un piano di verifiche di compliance
si pone, tra i suoi molteplici obiettivi,
quello di accertare l’efficacia del sistema di conformità sviluppato anche in relazione alle
politiche di sviluppo delle competenze e degli skill delle risorse umane aziendali; non ci si
riferisce unicamente a coloro che sono impiegati all’interno della funzione di compliance
e alle competenze che necessitano per espletare i propri compiti, ma, in generale, a tutto il
personale d’azienda. Lo scopo dei programmi formativi è permettere al personale di essere
sempre aggiornato in merito alle previsioni contenute nel codice etico, alle procedure interne
e ai flussi di informazione, alla struttura dei poteri autorizzativi ecc.
Le imprese rispondenti si dimostrano consce della rilevanza delle attività formative: ben il
68,42% ha infatti posto in essere percorsi educativi rivolti, in particolar modo, proprio a quei
soggetti che operano in ognuna delle
Figura 13 – Attività di formazione per il personale
aree aziendali soggette a rischio di con- presso le imprese intervistate
formità; la restante parte del campione
31,58%
(31,58%) ha invece progettato corsi formativi rivolti alle risorse operanti solo in
Su tutte le aree a
rischio di conformità
alcune delle aree a rischio, probabilmente
Solo su alcune
optando per quelle connotate da un tasso
di non conformità superiore (Fig. 13).
68,42%
Al termine di ogni processo di verifica
di conformità deve essere svolta una
29
puntuale attività di rendicontazione agli organi supervisori e di controllo dei risultati
raggiunti con le procedure e le politiche realizzate mediante il sistema di compliance
in atto; tale attività di reporting non può non includere anche le segnalazioni relative ai
possibili eventi di non conformità con
Figura 14 – Svolgimento dell’attività di reporting
carattere di rilevanza che si siano ridi compliance presso le imprese del panel
scontrati all’interno dell’organizzazione.
31,58%
Lo scopo è garantire agli organismi di
controllo la possibilità di disporre di tutte
Sì
le informazioni rilevanti per definire le
No
logiche operative future della funzione di
conformità, supportandola nell’ideazione
68,42%
degli interventi correttivi che possano
essersi resi necessari. Con riferimento al
regolare svolgimento delle attività di reporting, nonché all’attribuzione della responsabilità
per la sua redazione a specifiche risorse/unità dell’organizzazione, la grande maggioranza
delle imprese rispondenti (68,42% del totale) ha dichiarato di provvedervi puntualmente;
il restante 31,58% del panel, invece, non ha ancora strutturato processi formalizzati, né ha
elaborato un sistema di responsabilità per l’esecuzione di questa attività (Fig. 14). Tale parte
del panel dovrà sicuramente provvedere a farlo nel più breve tempo possibile se desidera
porre in essere un sistema di conformità d’azienda completo.
7. Il modello organizzativo della compliance nelle aziende
italiane: le evidenze della survey
La survey ha voluto anche indagare il livello di avanzamento nello sviluppo del modello
organizzativo della compliance aziendale e nella definizione delle figure, dei ruoli e delle
responsabilità propri della funzione stessa. Gli aspetti organizzativi di gestione della funzione di conformità sono particolarmente
Figura 15 – Definizione degli aspetti organizzativi
rilevanti per garantirle di poter operare della compliance: ruoli e responsabilità
in maniera efficace ed efficiente; una
53,95%
loro corretta formalizzazione permette
di comprendere in maniera chiara le
Parzialmente
logiche di distribuzione delle responsaTotalmente
bilità, i compiti e le attività posti in capo
a specifici organismi aziendali, le linee
46,05%
di dipendenza gerarchica, il sistema dei
poteri e delle deleghe.
La maggior parte del campione (il 53,95%) ha dichiarato di aver già completato l’attribuzione
di ruoli, mansioni e responsabilità, mentre il restante 46,05% ha affermato di averlo fatto
solo in modo parziale e di avere dunque ancora alcuni aspetti organizzativi da definire per
completare questo processo (Fig. 15).
30
Con un grado superiore di dettaglio, si è quindi voluto verificare a quale funzione aziendale,
nello specifico, fossero stati affidati l’incarico di gestione e le competenze della funzione
compliance, data la molteplicità di approcci e scelte organizzative possibili. Il campione
in questo caso appare particolarmente
Figura 16 – Funzione che gestisce la compliance
composito e variato nelle opzioni stratenelle aziende intervistate
giche che sono state prescelte (Fig. 16). Il
36,84% ha preferito affidarne la gestione
Funzione specifica
36,84%
19,74%
(compliance, ufficio legale)
a una funzione aziendale di controllo (es.
Altra funzione di controllo
(auditing, risk management,
internal audit, risk management, sistemi
sistemi gestionali)
di gestione ecc.); il 28,95% ha attribuito
Direzione generale
Altre funzioni per le parti
le attività di gestione a una funzione
28,95%
14,47%
di loro spettanza
specifica, che potrebbe essere un’unità
preesistente (es. l’ufficio legale) piuttosto
che un’unità creata ad hoc per lo svolgimento di tali attività, mentre il 19,74% dei rispondenti
ha attribuito le competenze di compliance alla direzione generale. Infine, il restante 14,47%
del campione ha optato per un modello nel quale le risorse che espletano compiti di controllo
di conformità sono inserite all’interno di funzioni aziendali diverse e che dunque svolgono
le specifiche attività di controllo unicamente per gli ambiti e le parti del processo di loro
spettanza (modello organizzativo decentrato).
Ovviamente, affinché la funzione di compliance possieda le caratteristiche desiderabili di
autonomia, indipendenza, professionalità e continuità di azione, risulta auspicabile la previsione di una specifica funzione aziendale preposta esclusivamente o prevalentemente dedicata
a tale attività. Certo è che le piccole e medie imprese probabilmente non dispongono della
dimensione sufficiente per la creazione di una specifica funzione. In effetti, solo il 16,66% delle
imprese rispondenti di piccola dimensione (fatturato inferiore a 25 milioni di euro) dispone
di una funzione di compliance specifica,
Figura 17 – Adozione del modello organizzativo 231
mentre ne dispongono il 27,7% delle im- presso le realtà del panel
prese rispondenti appartenenti alla classe
72,37%
dimensionale superiore (tra 25 e 50 milioni di euro) e il 38,2% delle imprese con
Sì
fatturato superiore a 50 milioni di euro.
No
Sempre con riferimento all’approccio organizzativo, al panel è stato richiesto se
27,63%
avesse già provveduto ad adottare e attuare
un modello di organizzazione, gestione e
controllo idoneo a prevenire la realizzazione dei reati considerati generatori della responsabilità
amministrativa degli enti, secondo quanto previsto in merito dal Dlgs 231/01, modello che,
se conforme a quanto previsto nel decreto, ha efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità
giuridica ed è dunque uno strumento fondamentale per prevenire il rischio di non conformità.
Ben il 72,37% del campione ha già adottato un modello organizzativo 231, mentre il 27,63%
non lo ha ancora fatto (Fig. 17).
31
Con specifico riferimento all’organismo deputato a svolgere attività di controllo sul sistema di compliance aziendale, la cui esistenza è prevista dall’art. 6 del Dlgs 231/01, la survey
ha rilevato che il 71,05% delle imprese ha già nominato un OdV (Fig. 18). Le percentuali non sono difformi da quelle relative
Figura 18 – Nomina dell’Organismo di Vigilanza 231
all’adozione del modello organizzativo
presso le organizzazioni analizzate
231 presso le imprese del panel e questo
71,05%
potrebbe essere indicazione del fatto
che, essendo l’Organismo di VigilanNo
za un elemento essenziale del modello
Sì
organizzativo 231, l’adozione dell’uno
vada necessariamente di pari passo con
28,95%
quella dell’altro.
Quanto alla frequenza delle riunioni
dell’OdV, nel corso dell’ultimo esercizio, è possibile notare che nella maggior parte dei
casi (il 48,68% dei rispondenti) esso è riuscito a incontrarsi dalle 3 alle 6 volte nel corso
dei 12 mesi, numero che arriva a essere superiore a 6 nel 14,47% dei casi. Se è vero che
un buon 36,84% delle aziende rispondenti ha dichiarato che l’Organismo è riuscito a
riunirsi soltanto meno di 3 volte nell’anno di riferimento, è pur vero che in generale si
sta delineando una tendenza a confeFigura 19 – Numero annuo di riunioni dell’Organismo
rire una grande rilevanza all’attività di di Vigilanza 231 presso le aziende del panel
tale entità e a incentivare l’azione di
36,84%
14,47%
vigilanza sul corretto funzionamento del
Più di 6
modello di organizzazione e gestione,
Tra 3 e 6
anche mediante un ricorso maggiore
Meno di 3
alle occasioni di riunione nel corso delle
quali l’OdV può concretamente e fat48,68%
tivamente svolgere i propri compiti di
controllo (Fig. 19).
Infine, poiché autonomia e indipendenza sono due dei requisiti fondamentali che devono connotare l’Organismo di Vigilanza e il suo operato, si è proceduto a verificare se
nelle imprese che hanno risposto al questionario gli organismi di controllo svolgessero
la loro funzione in totale indipendenza, in linea dunque con quanto espressamente
richiesto dal Dlgs 231/01.
Ben il 72,37% del campione ha conFigura 20 – Indipendenza degli organismi di controllo
fermato la totale e completa autonomia
72,37%
dell’organismo di verifica e controllo,
mentre nel 27,63% dei casi il livello di
Parziale
indipendenza è solo parziale (Fig. 20).
Totale
Un maggioranza così larga è segno del
fatto che le imprese sono ben consce
27,63%
di quanto sia rilevante garantire totale
indipendenza all’ente di controllo nello
32
svolgimento della propria azione; infatti, risultando libero da qualsiasi interferenza o condizionamento (in particolare se proveniente dall’organo dirigente) che possa gravare sul
suo operato, l’organismo potrà assolvere
Figura 21 – Realizzazione e certificazione di sistemi
in modo massimamente efficiente ed gestionali specifici
efficace il proprio compito.
53,95%
18,42%
Per concludere, alle imprese del camPiù di uno
pione è stato richiesto di esprimersi in
Uno
merito al grado di realizzazione di sisteNessuno
mi gestionali specifici nelle loro realtà,
facendo riferimento al conseguimento di
27,63%
certificazioni per questi sistemi, dichiarandoli conformi agli standard di riferimento riconosciuti a livello internazionale. Fra le certificazioni citate nella presente analisi
ricordiamo quella Ohsas 18001:2007, per la salute e la sicurezza sul luogo di lavoro; ISO
14001, che stabilisce i requisiti di un sistema di gestione ambientale compliant alle normative
vigenti; la certificazione ISO 9001, che attesta la corretta implementazione di un sistema di
qualità dei processi aziendali.
In riferimento a questo aspetto della compliance aziendale, le imprese hanno dichiarato nel
53,95% dei casi di aver adottato più di un sistema gestionale specifico certificato, nel 18,42%
di averne adottato almeno uno e nel 27,63% dei casi di non averne implementato nessuno
(Fig. 21). Appare chiaro come il panel attribuisca una rilevanza significativa all’adozione e
certificazione dei sistemi gestionali, che rappresentano una garanzia di qualità agli occhi
degli stakeholder e un elemento di differenziazione e vantaggio rispetto ai competitor.
33
Note
1
Banca d’Italia, 2007, p. 2.
2
Ne sono un esempio Banca d’Italia, 2007 per le banche e il regolamento 20/08 dell’ISVAP per le imprese
di assicurazione.
3
Il questionario è stato elaborato con il supporto del Comitato Tecnico Scientifico del Premio Assiteca
(Allegato 1) ed è stato somministrato attraverso l’invio di e-mail dedicate da parte de Il Sole 24 ORE,
partner dell’iniziativa, per totale di 40mila contatti complessivi a livello nazionale. Il testo del questionario
è riportato in Appendice (Allegato 2).
4
Si faccia riferimento a quanto riportato in merito in: Anolli M., Rajola F. (a cura di) (2010), Il rischio di
reputazione e di non conformità – Strumenti e metodi per la governance e la gestione operativa, Bancaria
Editrice, Roma, p. 100.
5
Si veda: Anolli M., Rajola F., Il rischio di reputazione e di non conformità – Strumenti e metodi per la governance e la gestione operativa, op. cit., p. 93.
6
Si tratta della Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari della
Comunità Europea, della Convenzione di Bruxelles del 26 maggio 1997 sulla lotta alla corruzione dei
funzionari della Comunità Europea o degli Stati membri e della Convenzione OCSE del 17 dicembre 1997
sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche e internazionali.
7
Decreto legislativo 231/01, art. 5.
8
Decreto legislativo 231/01, art. 6, comma 1.
9
Decreto legislativo 231/01, art. 6, comma 2.
10
Per una trattazione esaustiva delle caratteristiche del sistema dei controlli preventivi si faccia riferimento al documento “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex
Dlgs 231/01” di Confindustria.
11
Standard britannico per la salute e la sicurezza dei luoghi lavorativi; è il riferimento valido per la certificazione dei propri sistemi di gestione per la salute e sicurezza sui luoghi di lavoro.
12
Le linee guida UNI-INAIL sono un documento di indirizzo alla progettazione, implementazione e attua­
zione di sistemi di gestione della salute e della sicurezza sul lavoro, rivolto soprattutto alle Pmi che
caratterizzano il sistema produttivo italiano; tali linee guida (a differenza di Ohsas 18001:2007) non sono
destinate alla certificazione dei sistemi.
13
Per la casistica completa dei reati ambientali e di inquinamento oggetto della norma si faccia riferimento
al Dlgs 231/01, art. 25-undecies.
14
La norma UNI EN ISO 14001:2004 è uno standard riconosciuto e condiviso a livello internazionale al quale
si aderisce volontariamente; esso prevede un set di requisiti per l’attuazione e la verifica di un sistema
di gestione ambientale che può essere applicato da organizzazioni di tutte le dimensioni e i settori merceologici.
15
Il Regolamento CE 1221/09 del Parlamento Europeo e del Consiglio Europeo del 25 novembre 2009
definisce un sistema comunitario di ecogestione e audit denominato EMAS, al quale può aderire volontariamente qualsiasi organizzazione che intenda valutare e migliorare le sue prestazioni ambientali e
comunicarle al pubblico.
16
Per una trattazione completa si rimanda alla lettura del decreto di riferimento.
34
17
Quando il trattamento è effettuato da persona giuridica, pubblica amministrazione o qualsiasi altro ente,
associazione o organismo, il titolare coincide con l’entità giuridica nel suo complesso ovvero con l’unità
o l’organismo periferico che esercita un potere decisionale autonomo sulle finalità e sulle modalità del
trattamento, compreso il profilo della sicurezza; il responsabile è il soggetto che, nominato per iscritto
dal titolare, sovraintende all’intero processo del trattamento dei dati, dall’acquisizione fino all’eventuale
cessazione o distruzione, sulla base delle istruzioni impartitegli; l’incaricato è qualsiasi soggetto che
esegue materialmente il trattamento dei dati, sotto la diretta autorità del titolare o del responsabile, con
l’ausilio di strumenti informatici e mediante supporti cartacei.
18
La sigla ISO 9000 identifica una serie di normative e linee guida sviluppate dall’Organizzazione Internazionale per la Normazione (ISO) finalizzate a definire i requisiti per la realizzazione di un sistema di
gestione della qualità all’interno delle imprese, al fine di condurre in maniera ottimale i processi aziendali,
migliorare l’efficacia e l’efficienza nella realizzazione dei propri prodotti/nell’erogazione dei propri servizi,
ottenendo e incrementando la soddisfazione della clientela.
19
Recepimento della direttiva 2001/83/CE e successive direttive di modifica, relativa a un codice comunitario
concernente i medicinali per uso umano, e direttiva 2003/94/CE.
20
L’esclusione è determinata dal fatto che, per la specificità dell’attività svolta e per l’esistenza di normative di settore, il rischio di compliance e la sua gestione si caratterizzano diversamente per le imprese
finanziarie.
21
Le aziende appartenenti al campione selezionato sono state contattate via e-mail e invitate alla compilazione del questionario pubblicato su una piattaforma on-line dedicata.
Bibliografia di riferimento
Aldini S., Romaniello A. (2012), «Imprese e reati ambientali: le novità su “Modelli” e OdV», in
Ambiente e Sicurezza, n. 6, 27 marzo 2012
Anolli M., Rajola F. (a cura di) (2010), Il rischio di reputazione e di non conformità – Strumenti e
metodi per la governance e la gestione operativa, Bancaria Editrice, Roma
Assonime (2012), Circolare 28 maggio 2012, n. 15/12 – Reati ambientali e responsabilità amministrativa degli Enti
Banca d’Italia, Disposizioni di vigilanza. La funzione di conformità (compliance), n. 608006, 10
luglio 2007
CeTIF (2006), Riflessi organizzativi della compliance nelle banche, Rapporto di ricerca
CeTIF (2007), Riflessi operativi della compliance nelle istituzioni finanziarie, Rapporto di ricerca
Confindustria (2008), Linee guida per la costruzione dei modelli di organizzazione, gestione e
controllo ex Dlgs 231/01, 31 marzo 2008
Moti-F, Il Dlgs 231/07 contro il riciclaggio – Impatti sulle persone giuridiche, White paper
Siti web di riferimento
www.assoaicom.com
www.lavoro.gov.it
www.puntosicuro.it
www.leggioggi.it
www.solidgroup.it
www.certificazioneiso.com
35
www.farmindustria.it
europa.eu
Allegati
A
Gli allegati
36
Bruno Giuffré - (Presidente)
Presidente AODV231 (Associazione dei Componenti
degli Organismi di Vigilanza ex Dlgs 231/01)
Alberto Floreani - (Direttore Scientifico)
Professore Associato Facoltà di Scienze Bancarie
Finanziarie e Assicurative Università Cattolica del Sacro Cuore
Federica Seganti
Direttore Master in Insurance & Risk Management MIB
School of Management; Docente di Finanza Aziendale
Paolo Rubini
Presidente ANRA (Associazione Nazionale Risk Manager
e Responsabili delle Assicurazioni Aziendali)
Giancarlo Veltroni
Vice Presidente ANDAF (Associazione Nazionale Direttori
Amministrativi e Finanziari) - Sezione Lombardia
Renato Gazzola
Presidente e co-fondatore - Sernet SpA
Fabio Pavesi
Giornalista - Il Sole 24 ORE
Maria Rosa Alaggio
Direttore - Insurance Magazine
Edmondo Tettamanzi
Partner - ASSITECA SpA
37
Allegato 1 - Comitato Tecnico Scientifico
Il Comitato Tecnico Scientifico del Premio Assiteca definisce i contenuti dell’indagine e garantisce la correttezza dell’analisi dei risultati propedeutici all’individuazione delle aziende candidate a concorrere al Premio.
Allegato 2 - Questionario
La gestione del rischio nelle imprese italiane: politiche, processi e procedure per garantire la compliance aziendale e migliorare la competitività
Per gestire i rischi di compliance le aziende mettono a punto un insieme di processi e strutture
organizzative funzionali alla prevenzione delle violazioni di norme, regole o standard, da cui
possono derivare sanzioni, perdite operative, danni reputazionali e provvedimenti di interdizione parziale o totale dell’attività. Una corretta gestione dei rischi di non conformità aiuta
le aziende a promuovere e consolidare i propri principi etici, a migliorare le relazioni con la
clientela, a tutelare gli amministratori da possibili responsabilità personali e ad armonizzare
i comportamenti dei dipendenti: questo si traduce anche in un miglioramento della loro
competitività. Una buona gestione della compliance può infine prevenire ricadute negative sul
bilancio, sull’immagine e sulla reputazione presso l’opinione pubblica, la comunità finanziaria
e tutti gli stakeholder. Il presente questionario si pone l’obiettivo di verificare come le aziende
italiane si sono organizzate e strutturate per gestire questi rischi: quali le politiche, i processi
e le procedure adottate.
RAGIONE SOCIALE NOME COGNOME
RUOLO
INDIRIZZO
TELEMAIL
SETTORE DI APPARTENENZA
INDUSTRIA
COMMERCIO
SERVIZI
Specificare ..........................................................................................................................................
N. DIPENDENTI
< 50
da 50 a 150
da 500 a 1.000
> 1.000
da 150 a 500
CLASSE DI FATTURATO
da 10 a 25 mln da 25 a 50 mln
da 100 a 250 mln
oltre 250 mln
da 50 a 100 mln
TIPOLOGIA
Società quotata
Società multinazionale
Altro
Informativa ex art. 13 Dlgs 196/03 - “Tutela della privacy”
I Suoi dati personali liberamente conferiti saranno trattati da Il Sole 24 ORE SpA, titolare del trattamento, per permetterLe di partecipare all’indagine e per elaborazioni di tipo statistico. I dati potranno essere trattati da incaricati
preposti all’organizzazione e gestione dell’indagine e dal servizio clienti e saranno necessariamente comunicati ad
Assiteca, con sede in Milano, Via G. Sigieri 14, che li tratterà in qualità di autonomo titolare del trattamento per le
finalità e con le modalità strettamente connesse alla gestione del questionario e all’assegnazione del Premio Assiteca
2013. I trattamenti, eventualmente anche ulteriori, eseguiti da Assiteca ed estranei all’attività di Sole 24 ORE SpA,
saranno resi noti direttamente da Assiteca a mezzo dell’informativa ex art. 13 del codice della privacy. Potrà esercitare
i diritti dell’art. 7 Dlgs 196/03 (accesso, correzione, integrazione, opposizione ecc.) e richiedere l’elenco completo e
aggiornato dei Responsabili del trattamento scrivendo a Database di Marketing – Via Carlo Pisacane 1, Pero (Mi).
SÌ, autorizzo NO, non autorizzo (questa opzione interrompe la
compilazione del form e preclude quindi la candidatura al
Premio Assiteca 2013)
38
DOMANDA
1.
RISPOSTA
Qual è il livello di rischio di non conformità della Sua azienda rispetto alle seguenti normative?
a) Sicurezza e salute sui luoghi lavoro (Dlgs 81/08)
b)Responsabilità amministrativa delle persone giuridiche (Dlgs 231/01)
c)Danni ambientali e inquinamento (Dlgs 152/06)
d)Privacy e protezione dei dati personali (Dlgs 196/03)
e) Security – Sicurezza informatica
f)Antiriciclaggio e contrasto del finanziamento del terrorismo (Dlgs 231/07)
g) Qualità e certificazione ISO 9001
h) Sicurezza dei prodotti
i) Normative italiane o straniere di settore
j)Tutela del risparmio e disciplina dei mercati finanziari
(Dlgs 262/05 - Società quotate in Italia)
k)SOX Sarbanes-Oxley (Società quotate o controllate di
società quotate a Wall Street)
a)
b)
Alto
Alto
Medio
Medio
Basso
Basso
c)
d)
e)
f)
Alto
Alto
Alto
Alto
Medio
Medio
Medio
Medio
Basso
Basso
Basso
Basso
g)
h)
i)
j)
Alto
Alto
Alto
Alto
Medio
Medio
Medio
Medio
Basso
Basso
Basso
Basso
k)
Alto
Medio
Basso
2.
È stata eseguita in azienda una valutazione dei rischi di
compliance?
Sì, per ogni area/attività
Sì, per alcune aree/attività
3.
Sono state definite le politiche e le procedure di compliance?
Sì, per ogni area/attività
Sì, per alcune aree/attività
4.
È prevista l'adozione preventiva di un piano di verifiche di
compliance?
Sì, per ogni area/attività
Sì, per alcune aree/attività
5.
Quante verifiche di compliance sono state effettuate
nell'ultimo esercizio?
Più di 10
Meno di 5
6.
Gli organismi di controllo previsti esercitano la loro funzione in totale indipendenza?
Sì
7.
Sono stati definiti gli aspetti organizzativi di gestione della
compliance (ruoli e responsabilità)?
Tutti
Quale funzione aziendale si occupa della gestione della
compliance?
unzione specifica (compliance,
F
ufficio legale)
Altra funzione di controllo
(auditing, risk management,
sistemi gestionali)
Direzione generale
Altre funzioni per le parti di loro
spettanza (produzione,
amministrazione, personale)
9.
Sono stati realizzati e certificati sistemi gestionali specifici
(ISO 9001; ISO 14001; OHSAS 18001 ecc.)
Più di uno
10.
È stato adottato il Modello Organizzativo 231/01?
Sì
No
11.
È stato nominato l'Organismo di Vigilanza 231?
Sì
No
12.
Quante riunioni ha tenuto l'Organismo di Vigilanza 231 nel
corso dell'ultimo esercizio?
Più di 6
L'azienda svolge attività di formazione del personale?
u tutte le aree a rischio di conS
formità
Solo su alcune
Esiste un reporting regolare ed è prevista l'attribuzione
della responsabilità per la sua redazione?
Sì
Come valuta l'azienda l’impatto della compliance?
Impegno elevato e aumento burocrazia
Impegno accettabile
Miglioramento immagine
Opportunità per regolamentare
alcuni aspetti aziendali (procedure e organizzazione)
Maggior garanzia per terzi e
stakeholder
8.
13.
14.
15.
39
Tra 5 e 10
Parzialmente
Alcuni
Uno
Tra 3 e 6
Nessuno
Meno di 3
No
Il Gruppo Assiteca nasce nel 1982 per iniziativa di alcuni professionisti del settore
assicurativo e oggi rappresenta il più grande gruppo italiano nel mercato del brokeraggio assicurativo: 430 milioni di premi intermediati a giugno 2012, 43,2 milioni di
provvigioni e oltre 400 addetti.
In Italia la presenza in 18 città – Milano, Lecco, Torino, Genova, Manzano (Ud), Verona,
Piacenza, Modena, Cesena, Firenze, Livorno, Prato, Ancona, Pescara, Roma, Napoli, Salerno, Taranto – la conoscenza delle particolarità territoriali e l’esperienza maturata
nei principali settori industriali, commerciali e dei servizi, garantiscono alle aziende
clienti la massima attenzione nel soddisfare ogni esigenza.
In Spagna è presente con 3 uffici diretti a Madrid, Barcellona e Siviglia.
Nel resto dell’Europa e nel mondo, in qualità di membro di EOS RISQ e Lockton
Global Networks, può contare su una presenza in oltre 100 Paesi, confermando
tempestività nell’affrontare le nuove sfide di un mercato globale.
Per rispondere alle richieste di un mercato in continua evoluzione, Assiteca ha costituito una serie di divisioni specializzate in particolari aree di rischio.
Oltre alla Divisione Tecnica, che offre i migliori servizi di Risk Management, le Divisioni Trasporti, Crediti commerciali, Energie rinnovabili, Grandine e rischi agricoli,
Employee Benefits & Previdenza, Rischi edili, Cauzioni e fidejussioni, Pubblica amministrazione e Internazionale.
Assiteca pone costantemente al centro delle proprie azioni la piena soddisfazione
del cliente nel rispetto di codici deontologici basati su princìpi di etica e trasparenza. Ne sono testimonianza la certificazione del Bilancio Consolidato, del proprio
Sistema Qualità, l’adozione del Modello Organizzativo 231 e il Bilancio Sociale
pubblicato dal 2003.
Nel 2010 è stato lanciato il Premio Assiteca “La Gestione del Rischio nelle Imprese italiane”, un riconoscimento unico in Italia, che si basa sulla realizzazione di
un’indagine funzionale a valutare il grado di preparazione delle aziende italiane sul
tema della gestione del rischio. Ogni edizione indaga un focus specifico: I edizione
2010 “Sicurezza sul Lavoro”; II edizione 2011 “Crediti Commerciali”; III edizione 2012
“Business Continuity”; IV edizione 2013 “Compliance”.
Direzione Generale:
ASSITECA SPA
Palazzo Assiteca
Via G. Sigieri, 14 – 20135 Milano
Tel. 02.54679.1 – www.assiteca.it
40
Compliance
aziendale
Politiche e procedure per gestire
i rischi di non conformità
Indagine conoscitiva 2013

vd file contenente determina

Certificato ISO 22000

certificato del sistema di gestione per la qualità schurter ag emc

Contratto di fornitura linea ADSL e TELEFONIA

Caos 231 sui reati presupposto

ATTI CONVEGNO DM 115 2014 11 06

company profile - banche

schema percorso formativo gestione e controllo del

Forum delle funzioni di controllo

LA COMPLIANCE E IL SISTEMA DEI CONTROLLI