Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 MANUALE E PRINCIPI DI ADOZIONE DEL MODELLO ORGANIZZATIVO Rev. 3 del 03/03/2014 Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 1 di 32 Sommario MATRICE DELLA REDAZIONE E REVISIONI ............................................................................................................ 3 ACRONIMI ED ABBREVIAZIONI ......................................................................................................................... 3 DEFINIZIONI............................................................................................................................................... 3 1. IL DECRETO LEGISLATIVO 231/2001 .................................................................................... 5 1.1 1.2 1.3 1.4 1.5 2. PREMESSA .......................................................................................................................................... 5 CRITERI DI ATTRIBUZIONE DELLA RESPONSABILITÀ AMMINISTRATIVA DA REATO .................................................... 5 REATI CHE POSSONO DETERMINARE LA RESPONSABILITÀ AMMINISTRATIVA DELL’ENTE............................................. 6 LE SANZIONI PREVISTE .......................................................................................................................... 7 ESENZIONE DALLA RESPONSABILITÀ AMMINISTRATIVA .................................................................................... 7 PRESENTAZIONE DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO .............. 9 2.1 FINALITÀ DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO .............................................................. 9 2.2 STRUTTURA DEL MODELLO 231 ............................................................................................................... 9 2.2.1 L’APPROCCIO INTEGRATO NELLA PREDISPOSIZIONE DEL MODELLO ORGANIZZATIVO E DEI PROTOCOLLI 231 ..... 10 2.3 I DESTINATARI DEL MODELLO................................................................................................................ 12 3. DESCRIZIONE DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ................. 13 3.1 MODALITÀ OPERATIVE SEGUITE PER LA COSTRUZIONE DEL RINNOVATO MODELLO 231 DI TS ................................. 13 3.2 MODELLO GESTIONALE DI TECNOLOGIE SANITARIE S.P.A. ............................................................................ 15 3.2.1 3.2.2 3.2.3 ATTIVITÀ DI TECNOLOGIE SANITARIE S.P.A. ................................................................................... 15 STRUTTURA ORGANIZZATIVA (RUOLI E RESPONSABILITÀ) .................................................................... 15 IL SISTEMA DI DELEGHE E PROCURE .............................................................................................. 17 3.3 RISK ASSESSMENT .............................................................................................................................. 18 3.3.1 3.3.2 3.3.3 3.3.4 ANALISI PRELIMINARE ................................................................................................................ 18 IDENTIFICAZIONE E VALUTAZIONE DELLE ATTIVITÀ/PROCESSI A RISCHIO ................................................ 18 IDENTIFICAZIONE DEI PRESIDI DI RISCHIO E DEFINIZIONE DEI PROTOCOLLI ............................................ 20 VALORIZZAZIONE DEL RISCHIO RESIDUO......................................................................................... 20 3.4 L’ORGANISMO DI VIGILANZA ................................................................................................................. 21 3.4.1 3.4.2 3.4.3 REQUISITI E COMPOSIZIONE DEL’ODV............................................................................................ 21 FUNZIONI E POTERI DELL’ORGANISMO DI VIGILANZA.......................................................................... 22 FLUSSI INFORMATIVI ................................................................................................................. 24 Flussi informativi dell’Organismo di Vigilanza verso il vertice societario ................................. 24 Flussi informativi verso l’Organismo di Vigilanza: informative obbligatorie............................. 24 3.5 SISTEMA DISCIPLINARE ....................................................................................................................... 26 3.5.3.1 3.5.3.2 3.5.1 3.5.2 3.5.3 3.5.4 AMMINISTRATORI E COLLEGIO SINDACALE ...................................................................................... 26 LAVORATORI DIPENDENTI SUBORDINATI......................................................................................... 26 DIRIGENTI .............................................................................................................................. 28 COLLABORATORI ESTERNI E TERZI DESTINATARI ............................................................................... 29 3.6 FORMAZIONE, INFORMAZIONE E DIFFUSIONE DEL MODELLO ........................................................................... 30 3.6.1 3.6.2 3.6.3 3.6.4 3.6.5 4. INFORMAZIONE AGLI AMMINISTRATORI E SINDACI............................................................................. 30 INFORMAZIONE E FORMAZIONE AI DIRIGENTI E AI RESPONSABILI DI UNITÀ ORGANIZZATIVA .......................... 30 INFORMAZIONE E FORMAZIONE AI DIPENDENTI ................................................................................. 30 INFORMAZIONE E FORMAZIONE AI NEOASSUNTI................................................................................. 31 INFORMAZIONE A COLLABORATORI ESTERNI E TERZI DESTINATARI ......................................................... 31 REGOLE GENERALI PER L’AGGIORNAMENTO DEL MODELLO ............................................... 32 Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 2 di 32 Matrice della redazione e revisioni STATO Adozione Prima revisione DESCRIZIONE Prima stesura del Modello di organizzazione, gestione e controllo ai sensi del decreto legislativo n. 231/2001 Aggiornamento del Modello di organizzazione, gestione e controllo ai sensi del decreto legislativo n. 231/2001 APPROVAZIONE Approvato con Delibera del Consiglio di Amministrazione di Tecnologie Sanitarie S.p.A. dell’11 Aprile 2008 Datato 23 Aprile 2009 Revisione ed ottimizzazione totale del Modello di Seconda revisione organizzazione, gestione e controllo ai sensi del decreto legislativo n. 231/2001 ed inserimento dei reati ambientali Approvato con Delibera del Consiglio di Amministrazione di Tecnologie Sanitarie S.p.A. del 24 ottobre 2011 Aggiornamento del modello con inserimento delle più recenti fattispecie introdotte dalla normativa: corruzione tra privati Terza revisione induzione indebita a dare o promettere utilità impiego di cittadini di paesi terzi il cui soggiorno è Datato 10 Marzo 2014, in attesa di approvazione da parte del CDA. irregolare Revisione della metodologia di analisi dei rischi-reato Integrazioni al Codice etico Le ultime modifiche ai documenti del sistema sono identificate con il segno in corrispondenza delle stesse Acronimi ed abbreviazioni D.Lgs. 231/2001 o Decreto Modello 231 o Modello Linee guida TS o Società CdA OdV PA SGI Reati Decreto Legislativo 8 giugno 2001, n. 231 Modello di organizzazione, gestione e controllo di Tecnologie Sanitarie S.p.A. Linee guida per la costruzione dei Modelli di organizzazione, gestione e controllo ex D.Lgs. 231/2001 (approvate dalla Commissione Direttiva di Assobiomedica il 25 febbraio 2003 ed aggiornate a marzo 2009) Tecnologie Sanitarie S.p.A. Consiglio di Amministrazione di Tecnologie Sanitarie S.p.A. Organismo di Vigilanza, organo interno preposto alla vigilanza sul funzionamento e sull’osservanza del Modello e al relativo aggiornamento Pubblica Amministrazione, inclusi i relativi funzionari ed i soggetti incaricati di un pubblico servizio Sistema di Gestione Integrato di Tecnologie Sanitarie S.p.A. Reati presupposto della responsabilità amministrativa degli enti, come previsti dal D.Lgs 231/2001 Definizioni Si riportano di seguiti alcune definizioni contenute nel Modello di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001 di Tecnologie Sanitarie S.p.A.: o Consulenti: coloro che agiscono sulla base di un mandato o di altro rapporto di collaborazione professionale con Tecnologie Sanitarie S.p.A.; Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 3 di 32 o o o o o o o o o o Correttezza: l’agire in modo assolutamente corretto sia nei rapporti esterni che in quelli interni all’organizzazione aziendale, evitando qualsiasi comportamento contrario ai principi di massima trasparenza, lealtà, onestà, integrità morale, responsabilità, rispetto reciproco e buona fede; Diligenza: l’operare con il massimo impegno e professionalità nello svolgimento degli incarichi e delle mansioni affidate nei limiti delle proprie competenze e funzioni; Dipendenti: tutti i dipendenti (compresi i dirigenti) di Tecnologie Sanitarie S.p.A.; Equità: il comportamento ispirato a valori di obiettività ed imparzialità che eviti ogni forma di favoritismo o discriminazione; Etica Professionale: lo svolgere gli incarichi e le mansioni affidate con il massimo grado di responsabilità professionale e morale; Legalità: l’agire nel pieno rispetto dell’ordinamento giuridico vigente, in particolare delle leggi, dei regolamenti e di qualunque altra fonte normativa primaria e secondaria, sia italiana che europea, come pure degli eventuali Paesi esteri in cui la società dovesse esercitare la propria attività, delle disposizioni interne della Società, comprese quelle del Codice Etico e di Condotta, nonché di tutti gli accordi, contratti e convenzioni con i soggetti terzi; Partner: controparti contrattuali di Tecnologie Sanitarie S.p.A., quali ad esempio le società fornitrici ed agenti, sia persone fisiche che giuridiche, con cui la Società addivenga ad una qualunque forma di collaborazione contrattualmente regolata (collaborazione anche occasionale, società, associazione temporanea d’impresa, joint venture, consorzio, ecc.), ove destinati a cooperare con l’azienda nell’ambito del presente Modello organizzativo; Responsabilità verso la Società: l’agire salvaguardando l’onorabilità, la reputazione, l’immagine e l’integrità morale e patrimoniale della Società; Riservatezza: il principio in base al quale ogni informazione, dato o documento conosciuto durante la propria attività lavorativa, è riservato e non può essere divulgato in alcun modo se non in coerenza con le procedure aziendali; Trasparenza: garantire, nei limiti delle proprie competenze e funzioni, la correttezza, completezza e tempestività delle informazioni. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 4 di 32 1. Il Decreto Legislativo 231/2001 1.1 Premessa Il Decreto Legislativo n. 231, approvato l’8 giugno 2001 in esecuzione della delega contenuta nell’art. 11 della Legge 29 settembre 2000 n. 300 ed entrato in vigore il 4 luglio 2001, ha inteso adeguare la normativa interna in materia di responsabilità delle persone giuridiche ad alcune Convenzioni internazionali a cui l’Italia aveva già da tempo aderito1. Tale Decreto, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica”, rappresenta un fattore di assoluta innovazione nel quadro normativo italiano in quanto afferma il principio che non solo i singoli individui ma anche gli enti possono essere perseguiti e sanzionati per i reati commessi - purché nell’interesse o a vantaggio dell’organizzazione - dai soggetti che vi operano. In sintesi, il D.Lgs. 231/2001: introduce i principi generali e i criteri di attribuzione della responsabilità amministrativa; individua i reati in relazione ai quali può insorgere la responsabilità amministrativa delle società (cd. reati-presupposto della suddetta responsabilità amministrativa); prevede le sanzioni che possono derivare a carico delle società dalla commissione del reatopresupposto; individua gli adempimenti necessari affinchè, anche in ipotesi di avvenuta commissione di uno dei reati-presupposto (e ferma la responsabilità penale personale di chi ha agito) la società possa essere esonerata dalla suddetta responsabilità amministrativa che normalmente consegue alla commissione di uno dei reati-presupposto. 1.2 Criteri di attribuzione della responsabilità amministrativa da reato Dal punto di vista soggettivo, la Società può essere sanzionata per un reato commesso da: a) “persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché da persone che esercitano, anche di fatto, la gestione e il controllo degli stessi” (cosiddetti soggetti apicali2) b) “persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera (a)” (cosiddetti sottoposti). La responsabilità in esame si aggiunge a quella della persona fisica che ha realizzato materialmente il fatto. 1 Quali la Convenzione di Bruxelles del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità Europee, la Convenzione - anch’essa firmata a Bruxelles il 26 maggio 1997 - sulla lotta alla corruzione nella quale sono coinvolti funzionari della Comunità Europea o degli Stati membri e la Convenzione OCSE del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche e internazionali. 2 Soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell'ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale, nonché da soggetti che esercitano, anche di fatto, la gestione e il controllo dello stesso possono essere, ad esempio: l’Amministratore Unico, l’Amministratore Delegato (C.E.O. chief executive officer), i membri del Consiglio di Amministrazione, i Consiglieri di gestione, i Direttori Generali, gli Institori (figura ausiliaria dell'imprenditore, di norma un dipendente con la qualifica di dirigente, preposto dal titolare all’esercizio di un'impresa commerciale), i Direttori di Stabilimenti e di Divisioni, i Liquidatori, i Procuratori delegati dai precedenti soggetti. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 5 di 32 Elemento qualificante della condotta di tali soggetti è che essi abbiano agito: c) nell’interesse dell’ente, inteso come convenienza ed utilità che la Società potrebbe ottenere dalla commissione del comportamento illecito (ad es., aumento del fatturato, risparmio sui tempi operativi, notorietà e referenze, etc.)3 oppure d) a vantaggio dell’ente stesso, inteso come effettivo ottenimento di un risultato economico come conseguenza del comportamento illecito (ad es., risparmio sui costi necessari a garantire la sicurezza sui luoghi di lavoro, utile economico, etc.). 1.3 Reati che possono determinare la responsabilità amministrativa dell’ente I reati da cui può scaturire la responsabilità amministrativa dell’ente (cd. reati-presupposto) sono esclusivamente quelli indicati nel D.Lgs. n. 231/2001 (e successive modifiche ed integrazioni, che hanno via via allargato la portata dell’impianto originario della norma, con l’inserimento di nuove tipologie di reato-presupposto). Inizialmente, i reati presupposto (della responsabilità amministrativa dell’ente) previsti dal D.Lgs. 231/2001 erano esclusivamente i seguenti: • • art. 24: indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico; art. 25: concussione e corruzione (ora: Concussione, induzione indebita a dare o promettere utilità e corruzione) Successivamente sono state incluse, nel novero dei reati-presupposto, le seguenti ulteriori fattispecie: • • • • • • • • • • • art. 24 bis: delitti informatici e trattamento illecito di dati (introdotti dall’art. 7, comma 1, L. 48/2008); art. 24 ter: delitti di criminalità organizzata (introdotti dall’art. 2, comma 29, L. 94/2009); art. 25 bis: falsità in monete, in carte di pubblico credito, in valori di bollo ed in strumenti o segni di riconoscimento (introdotti dall’art. 6, comma 1, del D.L. 350/2001, convertito in L. 409/2001); art. 25 bis.1: delitti contro l’industria e il commercio (introdotti dall’art. 15, comma 7 lett. b), L. 99/2009); art. 25 ter: reati societari (introdotti dall’art. 3, comma 2, del D.Lgs. 61/2002 e modificati dall'articolo 34, comma 2, della legge 28 dicembre 2005 n. 262 e dall’articolo 37, comma 34, del decreto legislativo 27 gennaio 2010, n. 39); art. 25 quater: delitti con finalità di terrorismo o di eversione dell’ordine democratico (introdotti dall’art. 3, comma 1, L. 7/2003); art. 25 quater.1: pratiche di mutilazione degli organi genitali femminili (introdotti dall’art. 8, comma 1, L. 7/2006); art. 25 quinquies: delitti contro la personalità individuale (introdotti dall’art. 5, comma 1, della L. 228/2003 e modificati dall’art. 10 L. 38/2006); art. 25 sexies: abusi di mercato (introdotti dall’art. 9, comma 3, L. 62/2005); art. 25 septies: omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza del lavoro (introdotti dall’art. 9, comma 1, L. 123/2007 e modificati dall’art. 300, comma 1, del D.Lgs. 81/2008); art. 25 octies: ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (introdotti dall’art. 63, comma 3, del D.Lgs. 231/2007); 3 Tale valutazione viene compiuta dal magistrato anche a prescindere dal fatto che l’interesse “economico” si sia effettivamente materializzato. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 6 di 32 • • • • • 1.4 art. 25 novies: delitti in materia di violazione del diritto d’autore (introdotti dall’art. 15, comma 7, lett. c), L. 99/2009); art. 25 decies: induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria (introdotto dall’art. 4, comma 1, L. 116/2009); art. 25-undecies: reati ambientali (introdotti dall’art. 2 del D. Lgs. 7 luglio 2011, n. 121, in vigore dal 16 agosto 2011) art. 25- duodecies: Impiego di cittadini di paesi terzi il cui soggiorno e' irregolare (introdotto dal D. Lgs. 16 luglio 2012, n. 109, in vigore dal 09 agosto 2012) reati transnazionali (art. 10 Legge 16 marzo 2006 n. 146). Le sanzioni previste Il sistema sanzionatorio stabilito dal Decreto, applicabile all’ente, prevede: 1. Sanzione pecuniaria: viene applicata dal Giudice “per quote” in un numero non inferiore a cento né superiore a mille (tenendo conto della gravità del fatto, del grado di responsabilità dell'ente, nonché dell'attività svolta per eliminare o attenuare le conseguenze del fatto illecito); l’importo di ogni singola quota è stabilita dal Decreto (art. 10, comma 3) da un minimo di € 258,23 ad un massimo di € 1.549,37, a seconda delle condizioni economiche e patrimoniali della società, allo scopo di assicurare l'efficacia della sanzione (art. 11, comma 2, del Decreto). 2. Sanzioni interdittive4: interdizione dall'esercizio dell'attività; sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell'illecito; divieto di contrattare con la PA, salvo che per ottenere le prestazioni di un pubblico servizio; esclusione da agevolazioni, finanziamenti, contributi o sussidi e l'eventuale revoca di quelli già concessi; divieto di pubblicizzare beni o servizi. 3. Confisca del provento del reato. 4. Pubblicazione della sentenza di condanna. 1.5 Esenzione dalla responsabilità amministrativa Il D.Lgs. 231/2001 prevede espressamente, agli artt. 6 e 7, l’esenzione dalla responsabilità amministrativa qualora l’ente dimostri di essersi dotato e di aver efficacemente attuato, prima della commissione del fatto costituente reato, effettivi ed efficaci modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi. 4 Le sanzioni interdittive vengono applicate in relazione ai reati per i quali sono espressamente previste, allorquando ricorra almeno una delle seguenti condizioni: a) l’ente ha tratto dal reato un profitto di rilevante entità e il reato è stato commesso da soggetti in posizione apicale ovvero da soggetti sottoposti all’altrui direzione quando, in questo caso, la commissione del reato è stata determinata o agevolata da gravi carenze organizzative; b) in caso di reiterazione degli illeciti. Le sanzioni interdittive si applicano in aggiunta alle sanzioni pecuniarie, normalmente in via temporanea (fino a due anni), ma possono eccezionalmente essere applicate con effetti definitivi (combinato disposto degli artt. 13, 14 e 16 del D.Lgs. 231/2001). Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 7 di 32 L’adeguata organizzazione rappresenta pertanto il solo strumento in grado di escludere la “colpa organizzativa” dell’ente e, conseguentemente, di evitare o quanto meno attenuare l’applicazione delle sanzioni a carico dello stesso. Segnatamente, se il reato è stato commesso da soggetti in posizione apicale, l’ente non risponde (art. 6, comma 1, del Decreto) se prova che: a) l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; b) il compito di vigilare sul funzionamento e l’osservanza dei modelli e di curare il loro aggiornamento è stato affidato a un organismo dell’ente dotato di autonomi poteri di iniziativa e di controllo (l’Organismo di vigilanza); c) le persone hanno commesso il fatto eludendo fraudolentemente i modelli di organizzazione e di gestione; d) non vi è stata omessa o insufficiente vigilanza da parte dell’organismo di cui alla lettera b). Se invece il reato è stato commesso da soggetti sottoposti alla direzione o alla vigilanza dei soggetti apicali, la società è responsabile se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza da parte degli organi dirigenti (art. 7 del Decreto). L’adozione e l’efficace attuazione del Modello costituisce, dunque, la misura della diligenza definita dal legislatore e ha una doppia valenza: scriminante, se è adottato ed efficacemente attuato prima della commissione del fatto costituente reato; attenuante, nel caso in cui sia adottato – nel corso di un procedimento giudiziario conseguente alla commissione di un reato-presupposto - prima della dichiarazione di apertura del dibattimento di primo grado, garantendo così una riduzione da un terzo alla metà della pena pecuniaria e l’esenzione dalle sanzioni interdittive. La mera adozione del Modello da parte dell’organo dirigente non appare dunque misura sufficiente a determinare l’esonero da responsabilità dell’ente, essendo necessario che il modello sia anche efficace ed effettivo. Quanto all’efficacia del Modello, il legislatore, all’art. 6, comma 2, del D.lgs. 231/2001, statuisce che il Modello deve rispondere alle seguenti esigenze: a) individuare le attività nel cui ambito possono essere commessi reati (cosiddetta “mappatura” delle attività/processi a rischio); b) prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; c) individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; d) prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza dei modelli. La caratteristica dell’effettività del Modello è invece legata alla sua efficace attuazione che, a norma dell’art. 7, comma 4, del D.Lgs. 231/2001, richiede: a) una verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell’organizzazione o nell’attività (aggiornamento del modello); b) un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 8 di 32 2. Presentazione del Modello di organizzazione, gestione e controllo Il presente documento, unitamente a tutti i suoi allegati e appendici, illustra il Modello di organizzazione, gestione e controllo redatto ai sensi del D.Lgs. 231/2001, con il quale TS ha inteso attuare i principi di corretta gestione e prevenzione penale affermati dal Decreto. Essendo TS un’associata di Assobiomedica (associazione nazionale per le tecnologie biomediche, diagnostiche, apparecchiature medicali, servizi e telemedicina), nella predisposizione del presente Modello la Società si è ispirata alle Linee Guida elaborate dalla propria associazione di categoria, come di volta in volta aggiornate alla luce delle integrazioni delle fattispecie tipiche di reato contemplate dal D.Lgs. 231/2001. Le indicazioni ivi contenute sono state integrate ed adattate alle specificità organizzative e gestionali di TS, nell’ottica di rendere il Modello il più confacente possibile alla realtà concreta della Società. 2.1 Finalità del Modello di organizzazione, gestione e controllo Il Modello 231 di TS, così come riportato nel presente documento, rappresenta il sistema di regole operative e comportamentali che disciplinano l’attività della Società, nonché gli ulteriori elementi di controllo di cui la Società si è dotata al fine di prevenire la commissione delle diverse tipologie di reato contemplate dal Decreto da parte dei propri amministratori, dipendenti, collaboratori, rappresentanti e partner. Nei limiti delle attività svolte nell’interesse di TS, si richiede a tutti i destinatari del Modello di porre in essere condotte tali da non comportare alcun rischio – neppure potenziale - di commissione dei suddetti reati. In particolare, il presente documento si pone l’obiettivo di: a) ingenerare, in tutti coloro che operano in nome e per conto di TS nelle cd. “aree a rischio reato” e nelle cd. “aree strumentali alla commissione dei reati”, la consapevolezza di poter commettere, in caso di violazione delle disposizioni ivi riportate, un illecito in grado di determinare l’applicazione di sanzioni sul piano penale ed amministrativo, non solo nei propri confronti ma anche nei confronti della Società; b) ribadire che tali forme di comportamento illecito sono fortemente condannate da TS in quanto (anche nel caso in cui la Società fosse apparentemente in condizione di trarne vantaggio) sono contrarie, oltre che alle disposizioni di legge, anche ai principi etici e morali cui la Società ha deciso di attenersi nell’espletamento della propria missione aziendale; c) informare di conseguenza tutti i possibili destinatari del Modello dell’esigenza di un puntuale, costante e rigoroso rispetto dello stesso e della circostanza che alla sua eventuale violazione consegue l’applicazione di severe sanzioni disciplinari; d) sensibilizzare tutti coloro che operano a qualsiasi titolo e livello in nome e per suo conto che la Società censura fattivamente i comportamenti posti in essere in violazione del Modello, attraverso l’applicazione di apposite sanzioni proporzionate alla gravità della violazione riscontrata fino alla risoluzione del rapporto contrattuale o di lavoro; e) consentire alla Società, grazie ad una azione di monitoraggio e controllo continuo nelle “aree a rischio reato” e nelle “aree strumentali alla commissione dei reati”, di intervenire tempestivamente al fine di ridurre il rischio di commissione dei reati previsti dal D.Lgs. 231/2001 connessi con l’attività aziendale. 2.2 Struttura del Modello 231 Il Modello 231 di TS, così come articolato e descritto nel presente documento, si compone delle seguenti parti: Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 9 di 32 1) Manuale del Modello 231: costituisce la parte sintetica e descrittiva del Modello e della sua struttura documentale, ed è articolato nelle seguenti sezioni: • le modalità operative seguite per la costruzione del Modello; • l‘attività di TS; • il modello organizzativo generale di TS (sistema di responsabilità, poteri, deleghe e procure); • la metodologia di analisi dei rischi; • l’identificazione dei presidi di rischio e la definizione dei protocolli; • l’Organismo di Vigilanza; • il sistema disciplinare; • formazione, informazione e diffusione del Modello; • le regole generali per l'aggiornamento del Modello. 2) Individuazione delle attività sensibili e delle aree a rischio reato: è il documento che analizza le attività ed i processi maggiormente sensibili ed a rischio reato, valuta il sistema di controllo interno esistente e propone ipotesi di miglioramento). 3) Parte speciale del Modello (Allegato I): reca le Appendici relative a quelle tipologie di reati contemplati dal Decreto cui la Società risulta maggiormente esposta, sulla base dei risultati dell’analisi dei processi e delle attività effettuata, e riguardano: • (i) i reati realizzabili nei rapporti con la PA; • (ii) i reati contro la vita e l’incolumità individuale (omicidio colposo o lesioni gravi o gravissime); • (iii) i reati societari; • (iv) i reati informatici e il trattamento illecito dei dati personali; • (v) altri reati, tra cui i reati ambientali. 4) Codice Etico e di Condotta: è il documento che esprime gli impegni e le responsabilità etiche nella conduzione degli affari e delle attività aziendali e ha la principale funzione di rendere noti all’interno dell’organizzazione e a tutti gli interlocutori esterni i valori e i principi fondamentali che guidano l’attività della Società. 5) Protocolli specifici: • gestione spese di rappresentanza • assunzione stranieri non comunitari 2.2.1 L’approccio integrato nella predisposizione del Modello organizzativo e dei protocolli 231 Dall’analisi della situazione esistente sono emersi punti in comune tra i sistemi di gestione già adottati da parte della Società, sia in ordine alla struttura documentale, sia in ordine ai contenuti prescritti dalle norme di riferimento ed all’approccio metodologico per la progettazione dei Sistemi/Modelli. La struttura del SGI conforme alle Norme UNI EN ISO 9001, UNI EN ISO 13485, UNI EN ISO 14001 ed OHSAS 18001 e la struttura del Modello 231 così come definito dal D.lgs. 231/2001 presentano diversi punti in comune tra cui, a titolo indicativo e non esaustivo si richiamano: - l’analisi e la mappatura dei processi; la chiara definizione di compiti e responsabilità per lo svolgimento delle attività, con particolare riferimento alle attività critiche; la garanzia della disponibilità di risorse finanziarie per tenere sotto controllo i processi; la formazione/informazione e coinvolgimento di tutti i collaboratori della Società; Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 10 di 32 - il monitoraggio dei processi e delle attività; il riesame periodico della struttura documentale definita al fine di valutarne la continua adeguatezza sulla base dei risultati dei monitoraggi ed alla luce di eventuali modifiche normative ed organizzative, dell’orientamento giurisprudenziale, nonché di eventi avversi verificatisi (ad esempio: infortuni, malattie professionali, incidenti sugli individui e sull’ambiente, contenzioso). Quanto al Servizio Prevenzione e Protezione, si può osservare come il Testo Unico in materia di Salute e Sicurezza (rif. D.lgs 81/2008) abbia richiamato l’attenzione sulla necessità di adottare un approccio “risk based” nell’analisi dei rischi e nella definizione delle azioni da intraprendere, approccio metodologico del tutto coincidente con quello indicato dal D.lgs 231/2001 per l’implementazione dei Modelli 231. Anche nella impostazione dei protocolli di controllo si è tenuto conto delle procedure e dei sistemi di governance esistenti, derivanti dall’applicazione del SGI. Infatti, le procedure/regole di comportamento riconducibili al Modello sono state integrate con i documenti di sistema (linee guida/procedure organizzative, istruzioni di lavoro, documenti di registrazione) già utilizzati o operanti nell’ambito della Società relativamente alle attività sensibili rispetto al D.Lgs. 231/2001, opportunamente integrati/modificati al fine di renderli idonei a valere anche come misure di prevenzione dei reati-presupposto. Il Modello 231 che ne consegue è del tipo di quello di seguito rappresentato: Modello 231 SGQ (ISO 9001) SGSL (OHSAS 18001) Descrizione del modello organizzativo Identificazione e valorizzazione dei rischi Sistema di deleghe e procure Sistema privacy (D.Lgs. 196/2003) Processi/Aree sensibili Analisi dei rischi di reato Codice e principi etici Procedure ed istruzioni SGQ Procedure ed istruzioni SGSL Applicazione delle contromisure Protocolli specifici 231 Procedure ed istruzioni privacy Strumenti di monitoraggio (flussi informativi) Piano di formazione ed informazione Monitoraggio e revisione del sistema Attività di vigilanza dell’OdV Piano di audit Sistema disciplinare Modello organizzativo integrato La metodologia operativa seguita quindi è stata basata sui concetti di semplificazione, sostenibilità ed integrazione con gli altri sistemi di gestione implementati, al fine di: minimizzare, per quanto possibile, i cambiamenti nella struttura organizzativa e delle procedure gestionali; Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 11 di 32 evitare la eccessiva burocratizzazione delle attività che avrebbe potuto comportare un distacco tra il sistema “formalizzato” e quello sostanzialmente applicato; valorizzare gli strumenti gestionali già esistenti ed applicati (procedure organizzative ed informatiche, istruzioni, flussi informativi, etc.); attivare sinergie con gli organi di audit/controllo già esistenti (es., Collegio Sindacale, auditor SGQ e Ambiente). 2.3 I destinatari del Modello Il Modello è indirizzato a tutto il personale di TS e, in particolare, a quanti si trovino a svolgere le attività di seguito classificate quali “attività a rischio”. Le disposizioni contenute nel Modello devono dunque essere rispettate dal personale dirigente che opera in nome e per conto della Società e dai lavoratori subordinati o ad essi assimilabili (collaboratori della Società a vario titolo, apprendisti, stagiaire, ecc.), opportunamente formati ed informati dei contenuti del Modello medesimo, secondo le modalità di seguito indicate. Tra i soggetti obbligati al rispetto del complesso dei principi, delle prescrizioni e delle regole comportamentali cui TS riconosce valore nello svolgimento della propria attività e che sono declinati nel Modello 231 della Società, sono annoverati anche i cosiddetti Collaboratori Esterni e i Terzi. Nell’ambito di questa categoria rientrano i seguenti soggetti: tutti coloro che intrattengono con TS un rapporto di lavoro di natura non subordinata (ad es., i lavoratori a progetto, i lavoratori parasubordinati, i consulenti, i lavoratori somministrati); i collaboratori a qualsiasi titolo; i procuratori, gli agenti ed in generale tutti coloro che agiscono in nome e/o per conto della Società; i fornitori ed i partner. TS nelle lettere di incarico e/o negli accordi negoziali conclusi con tali soggetti inserisce apposite clausole con le quali questi ultimi dichiarano - nella conduzione delle attività svolte nell’interesse di TS - di impegnarsi a rispettare i principi e le norme di cui al Modello 231 della Società pena, in caso di violazione, l’applicazione di specifiche sanzioni. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 12 di 32 3. Descrizione del Modello di organizzazione, gestione e controllo “Il Consiglio di Amministrazione di Tecnologie Sanitarie S.p.A., avuto riguardo al ruolo dell’Azienda nel settore sanitario italiano, ha inteso attuare i principi di corretta gestione e prevenzione penale affermati dal D.Lgs. 231/2001, per meglio garantire la massima trasparenza nell’attività gestionale e per continuare ad ispirare l’azione aziendale a criteri di economicità, ma anche a valori etici largamente condivisi”. 3.1 Modalità operative seguite per la costruzione del rinnovato Modello 231 di TS Nella progettazione ed implementazione del rinnovato Modello 231 della Società si è seguito il modello studiato per il miglioramento continuo della qualità (ciclo di Deming / Deming Cycle o ciclo di PDCA). Questa metodologia parte dall’assunto che per il raggiungimento dell’efficacia massima di un processo/modello organizzativo è necessaria la costante interazione tra le seguenti fasi: • • • • P - Plan. Progettazione. D - Do. Implementazione. C - Check. Monitoraggio e verifica. A - Act. Riesame ed ottimizzazione. L’adattamento di tale metodologia alla implementazione del Modello 231 è di seguito rappresentata: Sistema di responsabilità, deleghe e procure Modello organizzativo, analisi dei processi/attività sensibili Analisi e valorizzazione dei rischi-reato Assessment Definizione del contesto/analisi organizzativa ed analisi dei rischi-reato ACT PLAN Review Riesame e verifica complessiva del sistema Verifica idoneità ed efficacia del Modello Revisione periodica del Modello e dei protocolli implementati in considerazione di modifiche organizzative/evoluzione normativa e giurisprudenziale Execution Implementazione dei controlli CHECK DO Control Monitoraggio del corretto funzionamento dei controlli implementati Codice etico Procedure, protocolli ed istruzioni operative specifiche Strumenti di monitoraggio (flussi informativi) Piano di formazione ed informazione Sistema disciplinare e sanzionatorio Audit specifici Attività di controllo del Collegio sindacale Attività di monitoraggio e controllo dell’Organismo di Vigilanza L’applicazione del D.Lgs. 231/2001 nell’ottica del miglioramento continuo (ciclo di Deming - PDCA) I passi operativi seguiti all’interno di TS sono di seguito rappresentati e descritti: Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 13 di 32 IMPLEMENTAZIONE PROGETTAZIONE RISK ANALISYS FASE MACROATTIVITÀ DETTAGLIO ATTIVITÀ TIPOLOGIA INTERVENTO Analisi del rischio potenziale Analisi del contesto di operatività dell’Azienda Individuazione dei reati potenziali Valorizzazione dei rischi di accadimento dei reati potenziali (probabilità x conseguenze) Analisi del rischio residuo Analisi dell’ambiente di controllo (sistema di governance esistente) in termini di: regolamentazione delle attività segregazione delle funzioni poteri, deleghe e procure tracciabilità delle attività Organizzativo Analisi dei comportamenti Analisi della consapevolezza ed applicazione delle misure di controllo esistenti Organizzativo Gap analisys Identificazione delle Non Conformità e delle raccomandazioni Giuridico / Organizzativo Presentazione al CdA/Amministratore Analisi della documentazione prodotta e validazione del Piano di implementazione Predisposizione del modello di organizzazione, gestione e controllo Predisposizione del Modello organizzativo e sistema sanzionatorio Predisposizione/integrazione delle procedure organizzative Predisposizione protocolli specifici Formalizzazione strumenti di monitoraggio (flussi informativi) Formalizzazione piano di formazione/informazione Analisi e proposta composizione OdV Presentazione al CdA/Amministratore Approvazione del Modello organizzativo Nomina dell’OdV Monitoraggio e controllo Applicazione modello organizzativo, attraverso: proposta del piano di audit ed avvio del sistema dei controlli (audit) avvio flussi informativi all’OdV Verifica dell’idoneità ed efficacia del modello Riunioni periodiche dell’OdV Rendicontazione Report semestrali dell’OdV al Consiglio di Amministrazione/Apicale ed al Collegio Sindacale OUTPUT DOCUMENTALI Giuridico Responsabili di processo / funzione Individuazione delle attività sensibili e delle aree di rischio Piano di implementazione delle contromisure / CdA/Amm. Del. Organizzativo Consulente Verbale riunione Documentazione del modello 231 CdA/Amm. Del. Verbale riunione Organismo di Vigilanza ed Internal Audit Verbali di audit / Organismo di Vigilanza Verbali OdV / Organismo di Vigilanza Reportistica OdV / Organizzativo Passi operativi di implementazione del modello 231 di Tecnologie Sanitarie SpA Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 ATTORI COINVOLTI 14 di 32 In tal modo, si è inteso “ritagliare” il Modello sugli specifici ambiti operativi e sulle strutture organizzative di TS, con riferimento ai rischi di reato in concreto prospettabili in relazione alle attività svolte dalla Società. 3.2 Modello gestionale di Tecnologie Sanitarie S.p.A. 3.2.1 Attività di Tecnologie Sanitarie S.p.A. TS è un’azienda attiva nel settore dell’ingegneria clinica, gestione e manutenzione di apparecchiature elettromedicali e centrali di sterilizzazione presso aziende ospedaliere pubbliche e private. TS è stata costituita il 18/01/02 ed è diventata operativa il 13/06/02 con l’acquisizione del ramo d’azienda “Divisione Elettromedicali” della Ditta Giuseppe Zanzi & Figli S.p.A., presente nel settore dei Servizi Tecnologici fin dal 1939 e con la divisione elettromedicali dal 1988. TS ha acquisito con il ramo d’azienda contratti, referenze, personale, know-how ed attività operative. Si presenta pertanto sul mercato con un’esperienza di oltre venti anni di attività nella Manutenzione e Gestione Globale delle Apparecchiature Elettromedicali, dei Servizi di Ingegneria Clinica e della Gestione di Centrali di Sterilizzazione. La mission aziendale è di fornire servizi di Ingegneria Clinica e di Gestione di Centrali di Sterilizzazione a strutture sanitarie, pubbliche e private, relativamente alle Apparecchiature Elettromedicali ed alla Sterilizzazione, dalla fase di progettazione del servizio, pianificazione degli acquisti, ai collaudi iniziali, alla gestione (ad es. pianificazione e programmazione delle verifiche di sicurezza, degli interventi manutentivi e correttivi, etc.), fino alla loro dismissione. Il personale di TS, che opera su tutto il territorio nazionale, può contare sull’apporto logistico di laboratori e magazzini situati presso le strutture ospedaliere in cui opera. La Società ha lo scopo di Progettazione e Realizzazione dei Servizi di Ingegneria Clinica Relativamente a: Inventario, Prove di Accettazione, Installazione, Manutenzione Correttiva, Preventiva e Straordinaria, Verifiche di Sicurezza Elettrica, Controlli Funzionali e Consulenza Tecnica ai Clienti per la Gestione delle Apparecchiature Elettromedicali. Manutenzione di Impianti Elettrici. Gestione Centrali di Sterilizzazione e Strumentario Chirurgico. L’attività di erogazione servizi è svolta in accordo alle norme UNI EN ISO 9001: 2008, UNI EN ISO 13845: 2004, UNI EN ISO 14001:2004 e OHSAS 18001:2007 ed in conformità alle normative tecniche CEI (Comitato Elettrotecnico Italiano) di riferimento. 3.2.2 Struttura organizzativa (ruoli e responsabilità) Di seguito è riportato l’organigramma generale di TS: Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 15 di 32 CDA DIRETTORE GENERALE UFF. REGISTRAZ. FLUSSI FINANZ. MEDICO COMPETENTE UFF. FATTURE ATTIVE SEGRETERIA GENERALE RSPP UFF. AMMINISTR.NE UFF. FATTURE PASSIVE UFF. CONTROLLO DI GESTIONE UFFICIO FINANZA UFF. GESTIONE INCASSI E PAGAMENTI GESTIONE RISORSE UMANE UFF. GARE/LEGALE UFF. APPROVV. MAT. E SERVIZI RESP. SGI UFF. ORGANIZZAZIONE e COMPLIANCE DIREZIONE COMMERCIALE SVILUPPO AREA NORD SVILUPPO AREA CENTRO DIREZIONE TECNICA SVILUPPO AREA SUD RESP. OPERATIVO AREA TECNICA AREA INFORMATICA RESP. TECNICO AREA/ DIRIGENTI SICUREZZA RESP COMMESSA/ PREPOSTO RESP LABORATORIO ADDETTI PRIMO SOCCORSO ADDETTI ANTINCENDIO/ EMERGENZA TECNICO LABORATORIO La descrizione analitica dei ruoli e delle responsabilità di ciascuna figura aziendale identificata all’interno dell’organigramma precedentemente riportato è analiticamente dettagliata al par. 5.2 (Responsabilità delle Unità e dei Ruoli) del Manuale del SGI che si intende qui integralmente richiamato. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 16 di 32 Anche la Struttura organizzativa generale della Società, come il modello di gestione, viene sottoposto annualmente al riesame della Direzione, al fine di verificarne l’adeguatezza (in termini di dimensionamento, funzionalità e responsabilità) in rapporto alle strategie, agli obiettivi aziendali ed ai servizi che devono essere svolti o si prevede di svolgere. Questo riesame annuale coinvolge anche le funzioni cui sono assegnate attività specifiche rilevanti per il sistema di gestione e controllo ex D.Lgs. 231/2001. 3.2.3 Il Sistema di Deleghe e Procure Il sistema di deleghe e procure di TS è caratterizzato da elementi di sicurezza ai fini della prevenzione dei reati-presupposto e, nel contempo, consente la gestione efficiente dell’attività aziendale. In particolare il sistema è incentrato sull’attribuzione di: Deleghe funzionali, che conferiscono ad un soggetto una serie di funzioni e compiti specifici; alle figure apicali di TS (titolari di funzione aziendale) che necessitano, per lo svolgimento dei loro incarichi, di poteri di rappresentanza, viene conferita una procura generale funzionale di estensione adeguata e coerente con le funzioni ed i poteri di gestione attribuiti al titolare attraverso la “delega”. Procure che conferiscono a un soggetto il potere legale di rappresentanza della Società in relazione all’espletamento delle attività aziendali; Procure speciali relative a singoli affari che definiscono le forme di rappresentanza in relazione ai singoli atti da stipulare. I requisiti essenziali del sistema di deleghe, ai fini di un’efficace prevenzione dei reati, sono i seguenti: tutti coloro che intrattengono per conto di TS rapporti con la P.A. devono essere dotati di delega formale in tal senso; le deleghe devono prevedere che a ciascun potere di gestione corrisponda la relativa responsabilità e una posizione adeguata nell’organigramma ed essere aggiornate in conseguenza dei mutamenti organizzativi; ciascuna delega deve definire in modo specifico e non equivoco: i poteri del delegato, la funzione cui il delegato riporta gerarchicamente; i poteri gestionali assegnati; il delegato deve disporre di poteri di spesa adeguati alle funzioni conferitegli. I requisiti essenziali del sistema di attribuzione delle procure, ai fini di un’efficace prevenzione dei reati, sono i seguenti: le procure generali funzionali sono conferite esclusivamente a soggetti dotati di delega interna o, nel caso dei Collaboratori e/o Consulenti, di specifico contratto di incarico, che descriva i relativi poteri di gestione e, ove necessario, sono accompagnate da apposita comunicazione che fissi l’estensione dei poteri di rappresentanza ed eventualmente i limiti numerici di spesa, richiamando comunque il rispetto dei vincoli posti dai processi di approvazione del budget e degli eventuali extrabudget e dai processi di monitoraggio delle attività a rischio da parte di funzioni diverse; la procura può essere conferita a persone fisiche espressamente individuate nella procura stessa, oppure a persone giuridiche, che agiranno a mezzo di propri procuratori investiti, nell’ambito della stessa, di analoghi poteri. L’attribuzione di delega o procura deve risultare da atto formale (scritto). La delega deve inoltre essere formalmente accettata dal delegato e alla stessa deve essere data adeguata e tempestiva pubblicità in azienda. Nell’ambito del Servizio Prevenzione e Protezione, in relazione agli adempimenti di competenza del Datore di Lavoro che possano essere da questi delegati ai sensi del D.Lgs. 81/2008, la delega è ammessa con i seguenti limiti e condizioni: Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 17 di 32 che essa risulti da atto scritto recante data certa; che il delegato possegga tutti i requisiti di professionalità ed esperienza richiesti dalla specifica natura delle funzioni delegate; che essa attribuisca al delegato tutti i poteri di organizzazione, gestione e controllo richiesti dalla specifica natura delle funzioni delegate; che essa attribuisca al delegato l’autonomia di spesa necessaria allo svolgimento delle funzioni delegate. L’eventuale sostituzione dell’RSPP dovrà essere comunicata all’OdV con l’espressa indicazione delle motivazioni a supporto di tale decisione. Il processo di attribuzione e revoca delle deleghe/procure deve essere sottoposto a riesame al verificarsi di cambiamenti nell’assetto organizzativo o dei processi aziendali; in questi casi la DG di TS verifica le eventuali esigenze di ampliamento di poteri, della loro limitazione o revoca, sottoponendo il documento all’approvazione dell’Amministratore Delegato e curandone le formalità. 3.3 Risk assessment 3.3.1 Analisi preliminare L’intero Modello 231 di TS si fonda su una attività specifica e propedeutica che consiste nell’analisi dei reati presupposto (della responsabilità amministrativa degli enti) contemplati dal Decreto e nella verifica della loro inerenza/attinenza alle attività concretamente svolte dalle Società. Da questa verifica può desumersi una valutazione di: • esclusione di singole fattispecie o intere categorie di reato, in quanto non affatto realizzabili in astratto oppure perché ritenute concretamente di assai improbabile realizzazione. Si ricorda, infatti, che un requisito necessario per la configurabilità della responsabilità in esame è costituito dall’interesse o dal vantaggio conseguito dalla Società, che in molte delle fattispecie prese in considerazione è del tutto ipotetico; • inclusione di singole fattispecie o intere categorie di reato in quanto si è ritenuta astrattamente possibile la realizzazione dell’illecito (nell’interesse o a vantaggio della Società). 3.3.2 Identificazione e valutazione delle Attività/Processi a Rischio L’analisi dei rischi (anche “as is analysis”) vera e propria inizia con l’analisi del contesto aziendale dal punto di vista strutturale e organizzativo, per individuare le specifiche aree e i settori di attività aziendale all’interno dei quali si possa astrattamente ipotizzare la commissione dei reati precedentemente individuati. L’individuazione delle attività aziendali ove può essere presente il rischio di commissione dei reati previsti dal Decreto - di seguito “attività sensibili” - è il risultato dell’analisi dei processi aziendali. In particolare, l’analisi è svolta con il supporto della documentazione societaria rilevante a questi fini e l’effettuazione di interviste con i soggetti che ricoprono funzioni chiave nell’ambito della struttura aziendale, vale a dire i soggetti che possiedono una conoscenza approfondita dei processi in essere e dei relativi meccanismi di controllo. Per ogni processo/attività sensibile sono state formulate considerazioni sull’efficacia/efficienza del livello di controllo esistente. I requisiti minimi (di natura organizzativa) tenuti in considerazione per questa analisi sono i seguenti: Regolamentazione delle attività: una determinata attività considerata sensibile deve essere regolamentata attraverso documenti gestionali/procedure/istruzioni di lavoro che definiscano in Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 18 di 32 modo chiaro ed esaustivo ruoli, responsabilità, principi di comportamento, modalità operative e di gestione, etc. Segregazione delle funzioni: non deve esserci identità soggettiva tra coloro che assumono le decisioni, coloro che le attuano e coloro che sono tenuti a svolgere sulle stesse i controlli previsti dalla legge o dalle procedure contemplate dal sistema di controllo interno; Controlli preventivi: sistema di controllo e di monitoraggio costruito in modo da prevenire il verificarsi del rischio reato; Deleghe e poteri (di firma ed autorizzativi): devono esistere regole formalizzate per l'esercizio di poteri di firma e poteri autorizzativi interni. In particolare, essi devono essere: coerenti con le responsabilità organizzative e gestionali assegnate, prevedendo, ove richiesto, l’indicazione delle soglie di approvazione delle spese; essere chiaramente definiti e conosciuti all’interno della Società. Tracciabilità: ogni operazione relativa all’attività sensibile deve essere adeguatamente registrata. Il processo di decisione, autorizzazione e svolgimento dell’attività sensibile deve essere verificabile ex post, anche tramite appositi supporti documentali che devono essere archiviati e conservati, a cura della funzione competente, con modalità tali da non permettere la modificazione successiva, se non con apposita evidenza. In ragione della tipologia di attività svolte da TS, nella definizione del Modello 231 si è ritenuto di porre particolare attenzione sull’individuazione delle aree sensibili alla commissione dei reati previsti dalle seguenti norme del Decreto: Art. 24: Indebita percezione di erogazioni, truffa in danno dello Stato o di un ente pubblico o per il conseguimento di erogazioni pubbliche e frode informatica in danno dello Stato o di un ente pubblico Art. 24 bis: Delitti informatici e trattamento illecito di dati Art. 25: Concussione, induzione indebita a dare o promettere utilità e corruzione Art. 25-bis.1. Delitti contro l'industria e il commercio Art. 25 ter: Reati societari Art. 25 septies: Omicidio colposo o lesioni gravi o gravissime commesse con violazione delle norme sulla tutela della salute e sicurezza sul lavoro Art. 25-novies. Delitti in materia di violazione del diritto d'autore Art. 25-decies: Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria Art. 25 –duodecies: impiego di cittadini di paesi terzi il cui soggiorno è irregolare Art. 25-undecies: Reati ambientali Alcuni dei reati previsti dai seguenti articoli del D.Lgs. 231/2001 presentano profili di rischio più attenuati, ma sono stati comunque analizzati e considerati nelle fasi successive del risk assessment: Art. 24-ter: Delitti di criminalità organizzata Art. 25-bis: Falsità in monete, in carte di pubblico credito, in valori di bollo e in strumenti o segni di riconoscimento Art. 25-quinquies. Delitti contro la personalità individuale Art. 25-octies: Ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita Per quanto attiene infine ai seguenti reati: Art. 25-quater: Delitti con finalità di terrorismo o di eversione dell'ordine democratico Art. 25-quater 1: Pratiche di mutilazione degli organi genitali femminili Art. 25-sexies: Abusi di mercato si è ritenuto che la specifica attività svolta da TS non presenti profili di rischio tali da rendere ragionevolmente fondata la possibilità della loro commissione nell’interesse o a vantaggio della stessa. L’identificazione delle aree a rischio di commissione di reati rilevanti ai sensi del Decreto è stata effettuata dai Responsabili di ciascuna Funzione/Area in cui è strutturata TS. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 19 di 32 I risultati degli incontri sono stati documentati con schede descrittive costituenti parte integrante del Modello. Tali schede, oltre ad illustrare i contenuti e le modalità operative di ciascuna struttura della Società, rappresentano i profili di rischio di commissione delle ipotesi di reato individuate. Per ciascuna attività si è indicata la ragione di sussistenza o insussistenza di ciascun profilo di rischio. L’attività svolta ha posto in rilievo le seguenti aree di rischio: 1. 2. 3. 4. 5. Partecipazione a Gare o Appalto Concorso; Gestione Operativa Erogazione Servizi; Gestione Operativa Approvvigionamenti (Acquisizione di Beni, Servizi e Consulenze); Gestione Operativa Amministrazione e Bilancio; Gestione del Personale e degli Adempimenti Relativi al Personale Dipendente (Risorse Umane). Il dettaglio dell’analisi formalizzata è riportata in un apposito documento classificato come “riservato” (doc.: individuazione delle attivita’ sensibili e delle aree a rischio). 3.3.3 Identificazione dei Presidi di Rischio e definizione dei Protocolli L’identificazione delle aree/processi a rischio ha avuto l’obiettivo di rilevare le attività svolte da TS per le quali è risultato necessario identificare specifici protocolli di gestione e controllo. All’interno del già citato documento “Individuazione delle attività sensibili e delle aree a rischio”, sono state quindi specificate nel dettaglio le attività di prevenzione definite per ragionevolmente contrastare le specifiche possibilità di reato e le attività di monitoraggio svolte dall’OdV al fine di valutare l’efficienza del sistema di controllo interno e proporre ipotesi di miglioramento). Nel documento appena citato sono richiamati le procedure ed i protocolli a presidio dei rischi. 3.3.4 Valorizzazione del Rischio residuo La metodologia utilizzata per la valorizzazione dei rischi/reato è di tipo semi-quantitativo: essa adotta valori obiettivi ed economicamente quantificabili (quali ad es., le sanzioni pecuniarie astrattamente applicabili alla Società determinate, nella cornice edittale, dalle specifiche disposizioni penali) e li riconduce ad un valore numerico abbinabile ad una valutazione puramente qualitativa (ad es., nella probabilità di accadimento) attraverso livelli significativi quali "alto", "medio", “medio-basso” e "basso": questa scelta, consente quindi di combinare e valutare congiuntamente conseguenze economiche (intese come impatto economico causato dal verificarsi di un determinato rischio di reato) e probabilità di accadimento dei rischi di reato, quest’ultimo valore espresso necessariamente attraverso criteri qualitativi in quanto frutto di una valutazione soggettiva. La valorizzazione del rischio inerente è stata effettuata attraverso: l’analisi delle conseguenze (severity = gravità del rischio), che consente di valutare qualitativamente l’entità potenziale del danno che il concretizzarsi di una specifica condotta di reato può causare (nel caso, quindi, della comminazione a TS delle sanzioni previste dal D.Lgs. 231/2001); la stima della pericolosità (esposizione al rischio di reato/probabilità di accadimento), che determina la probabilità di accadimento del reato stesso, calcolata sulla base di parametri compositi quali: l’impatto organizzativo, ovvero indice di rilevanza delle attività/processi aziendali (rilevanza interna e/o esterna – rapporti con terzi) l’analisi di dati storici pertinenti (esistenza di precedenti quali: denunce, procedimenti giudiziari, comminazione di sanzioni penali, amministrative etc.) l’analisi degli strumenti di controllo esistenti (in termini di: discrezionalità delle decisioni, regolamentazione delle attività, segregazione delle funzioni, tracciabilità della documentazione a supporto delle decisioni). Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 20 di 32 Nella revisione 2014 del modello, si è deciso di rendere maggiormente “oggettiva, ripetibile e comparabile” l’analisi dei rischi-reato, assumendo quale metodologia a fondamento dell’analisi i criteri ed i parametri di valutazione proposti dalla C.I.V.I.T. ora A.N.A.C. (Autorità Nazionale Anticorruzione), all’interno del Piano Nazionale Anticorruzione (Delibera CiVIT n. 72/2013, all. 5 - TABELLA VALUTAZIONE DEL RISCHIO) per i reati anticorruzione, opportunamente rivisti per renderli applicabili a tutti i reati presupposto del D.Lgs. 231/2001. La combinazione dei valori sopra indicati determina l’esposizione della Società a ciascun rischio di commissione di reato (c.d. “rischio residuo”, che costituisce il valore di rischio attuale, ovvero calcolato sulla realtà dell’organizzazione ed a seguito dell’applicazione delle specifiche contromisure e protocolli previsti dal presente Modello 231 identificati come idonei ed efficaci al fine di gestire e/o ridurre il rischio di commissione dei reati-presupposto). Il dettaglio della metodologia sono riportati in un apposito documento classificato come “riservato” (“ANALISI DEI RISCHI REATO”, allegato all’Individuazione delle attività sensibili e delle aree a rischio reato). Le risultanze dell’analisi sono riportate al cap. 3 del citato documento “Individuazione delle attività sensibili e delle aree a rischio reato”. 3.4 L’Organismo di Vigilanza 3.4.1 Requisiti e composizione del’OdV L’art. 6 del D.Lgs. 231/2001 prevede, quale requisito di efficacia del Modello di organizzazione, gestione e controllo adottato a fini di prevenzione dei reati, che l’ente non risponde se prova che “il compito di vigilare sul funzionamento e l’osservanza dei modelli e curare il loro aggiornamento è stato affidato ad un organismo dell’ente dotato di autonomi poteri di iniziativa e controllo” (comma 1, lett. b) e che non si sia verificata “omessa o insufficiente vigilanza da parte dell’organismo” di cui trattasi (comma 1, lett. d). Il Consiglio di Amministrazione di TS ha ritenuto opportuno che tale organismo abbia una composizione collegiale, composta da soggetti interni, soggetti indipendenti e soggetti con funzioni istituzionali di controllo. La composizione collegiale è stata quindi declinata nella ricerca del giusto rapporto tra professionalità esterne alla Società, in grado di conferire autorevolezza ed indipendenza all’OdV, e soggetti interni (ma avulsi dall’operatività gestionale di TS) in grado di assicurare, da un lato, approfondita conoscenza dei profili organizzativi e gestionali dell’ente, dall’altro lato la continuità d’azione richiesta dalla normativa e dalla prassi. In linea con l’orienamento giurisprudenziale e dottrinale in materia, l’OdV di TS deve possedere i seguenti requisiti: indipendenza, autonomia, professionalità, onorabilità e continuità d’azione, di cui si analizzano di seguito i contenuti: Indipendenza ed autonomia. Aspetti qualificanti a garanzia dei requisiti in esame relativamente all’OdV di TS, recepiti dalla delibera del CdA di nomina dell’organismo, sono i seguenti: a) collocazione nella posizione gerarchica più elevata possibile, e prevedendo il “riporto” al massimo vertice operativo aziendale ovvero al CdA nel suo complesso; b) insindacabilità delle relative attività da alcun altro organismo o struttura aziendale (e in particolare dell’organo dirigente); Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 21 di 32 c) divieto di attribuzione - neppure in via sostitutiva – di poteri di intervento gestionale, decisionale, organizzativo od operativo, nonché di coinvolgimento in attività operative oggetto di vigilanza e controllo (a rischio-reato), che ne minerebbero l’obiettività di giudizio nel momento delle verifiche sui comportamenti e sull’osservanza del Modello; d) possibilità di autoregolamentare le proprie attività mediante l’adozione autonoma di un proprio Regolamento di funzionamento5; e) assegnazione di un adeguato budget, al fine di garantire lo svolgimento dei compiti ad esso assegnati in piena autonomia. Professionalità. I membri dell’OdV sono stati individuati dal CdA in modo che siano assicurate le competenze relative a strumenti e tecniche per poter svolgere efficacemente l’attività assegnata. In particolare, le competenze presenti nell’OdV sono le seguenti: a) di tecniche specialistiche proprie di chi svolge attività “ispettiva” (ad es., audit, campionamento statistico, tecniche di intervista e di elaborazione di questionari, etc.), ma anche consulenziale; b) conoscenze e competenze relative a funzioni e procedure di vigilanza e di controllo (amministrativo, contabile, di gestione); c) competenze di tipo giuridico. Onorabilità. E’ richiesto ai membri dell’OdV6 di dichiarare a pena di decadenza: a) di essere in possesso dei requisiti di onorabilità di cui all’art. 109 del D.Lgs. 1 settembre 1993, n. 385; b) l’assenza di condanne, anche non passate in giudicato, ovvero di decreti di applicazione della pena su richiesta delle parti (cosiddetto “patteggiamento”), in Italia o all’estero, per violazioni rilevanti ai fini del D.Lgs. 231/2001; c) l’assenza delle cause soggettive di ineleggibilità/decadenza di cui all’art. 2382 c.c.7; d) l’assenza di relazioni di parentela, coniugio o affinità entro il IV grado con membri del CdA, soggetti che rivestono funzioni di rappresentanza, di amministrazione o di direzione della Società o di una sua struttura organizzativa dotata di autonomia finanziaria e funzionale; e) l’assenza di conflitti di interesse, anche potenziali, che ne compromettano l’indipendenza; f) l’assenza di un rapporto di pubblico impiego presso amministrazioni centrali o locali con le quali la società ha intrattenuto contatti nei tre anni precedenti alla nomina quale membro dell’OdV. La ricorrenza e la permanenza di detti requisiti verranno di volta in volta accertate dal CdA sia in sede di nomina sia durante tutto il periodo in cui il componente dell’ OdV resterà in carica. Il venir meno dei predetti requisiti in costanza di mandato determina la decadenza dell’incarico. Continuità d’azione. L’OdV invia almeno una relazione all’anno al CdA sul funzionamento, l’osservanza e l’eventuale necessità di ulteriore aggiornamento del Modello 231. La definizione degli aspetti attinenti alla continuità di azione quali la frequenza e calendarizzazione delle attività, la verbalizzazione delle riunioni, etc. è rimessa allo stesso Organismo attraverso il proprio Regolamento di funzionamento. 3.4.2 Funzioni e poteri dell’Organismo di Vigilanza L’Organismo è chiamato a svolgere le seguenti attività: 5 Tale regolamento, una volta approvato dall’OdV, dovrà essere inviato al CdA per conoscenza ed inserito tra la documentazione del SGI e del Modello 231 di TS. 6 Anche a quelli che dovessero in futuro sostituire gli attuali membri dell’OdV. 7 L'interdetto, l'inabilitato (414 e seguente), il fallito, o chi è stato condannato ad una pena che importa l'interdizione, anche temporanea, dai pubblici uffici o l'incapacità ad esercitare uffici direttivi delle persone giuridiche e delle imprese. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 22 di 32 a) promozione della diffusione, nel contesto aziendale, della conoscenza e della comprensione del Modello; b) vigilanza sull’osservanza del Modello in ambito aziendale; c) vigilanza sulla validità ed adeguatezza del Modello; d) verifica dell’effettiva capacità del Modello di prevenire la commissione dei reati previsti dal D.Lgs. n. 231/2001; e) proposte al CdA 8 di eventuali aggiornamenti del Modello nell’ipotesi in cui si renda necessario e/o opportuno effettuare correzioni e adeguamenti dello stesso, in relazione alle mutate condizioni aziendali e/o legislative; Nell’ambito delle adempimenti: attività precedentemente definite, l’Organismo provvederà ai seguenti a) diffondere e verificare nel contesto aziendale la conoscenza e la comprensione dei principi delineati nel Modello; b) predisporre un piano annuale di formazione volto a favorire la conoscenza dei principi contenuti nel Codice Etico, differenziato secondo il ruolo e la responsabilità dei destinatari; c) raccogliere, elaborare, conservare e aggiornare ogni informazione rilevante ai fini della verifica d) e) f) g) h) i) j) dell’osservanza del Modello; verificare e controllare periodicamente le aree/operazioni a rischio individuate nel Modello, predisponendo un piano delle attività che sarà comunicato al CdA ed al Collegio Sindacale, anche in occasione delle comunicazioni periodiche di cui al precedente punto g), fatte salve comunque verifiche a sorpresa; svolgere tutti gli accertamenti necessari per verificare se sia stata realizzata una violazione del Modello o dei protocolli ad esso connessi ed informarne tempestivamente i responsabili della funzione e/o il CdA per l’eventuale adozione dei provvedimenti sanzionatori previsti dal sistema disciplinare di cui al presente Modello; verificare e controllare la regolare tenuta ed efficacia di tutta la documentazione inerente le attività/operazioni individuate nel Modello; istituire specifici canali informativi “dedicati”, diretti a facilitare il flusso di segnalazioni ed informazioni verso l’Organismo; proporre al CdA eventuali modifiche o integrazioni al Modello, sulla base della lista di informazioni che i dipendenti sono tenuti ad inviare all’Organismo; valutare periodicamente l’adeguatezza del Modello rispetto alle disposizioni ed ai principi regolatori del D.Lgs. n. 231/2001; valutare, nell’espletamento dei compiti e delle funzioni attribuite, ogni informazione che dovesse pervenire dai dipendenti e consulenti della Società, nonché le relazioni e segnalazioni che venissero comunicate in esito ad attività di Audit. Ai fini dello svolgimento degli adempimenti elencati al paragrafo precedente, all’Organismo sono attribuiti i poteri di seguito indicati: a) emanare disposizioni ed ordini di servizio intesi a regolare l’attività dell’Organismo; b) accedere ad ogni documento aziendale rilevante per lo svolgimento delle funzioni attribuite all’Organismo ai sensi del D.Lgs. n. 231/2001; l’accesso e ogni successivo trattamento delle informazioni dovranno avvenire nel rispetto della legge ed in particolare della normativa in materia di riservatezza dei dati personali; c) coinvolgere, nell’espletamento delle proprie mansioni, personale interno appartenente alle funzioni aziendali di volta in volta interessate; d) disporre affinché i Responsabili di Funzione forniscano tempestivamente le informazioni, i dati e/o le notizie loro richieste per individuare aspetti connessi alle varie attività aziendali rilevanti ai sensi 8 Il CdA ha la responsabilità diretta dell’adozione e dell’efficace attuazione del Modello stesso. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 23 di 32 del Modello e per la verifica dell’effettiva attuazione dello stesso da parte delle strutture organizzative aziendali; e) ricorrere, avvalendosi autonomamente dell’apposito budget annuo stabilito, a professionisti esterni nei casi in cui ciò sia ritenuto opportuno per l’espletamento delle attività di verifica e controllo ovvero di aggiornamento del Modello; in ogni caso l’ OdV può richiedere un’integrazione dei fondi assegnati, motivando adeguatamente le ragioni per le quali essi risultino non sufficienti all’efficace espletamento delle proprie incombenze. Ai fini di un migliore e più efficace espletamento dei compiti e delle funzioni attribuiti all’Organismo, quest’ultimo può decidere di delegare uno o più specifici adempimenti a singoli membri dell’Organismo stesso o a funzioni aziendali specificatamente individuate. 3.4.3 Flussi informativi 3.5.3.1 Flussi informativi dell’Organismo di Vigilanza verso il vertice societario L’OdV riferisce in merito all’attuazione del Modello, all’emersione di eventuali aspetti critici e comunica l’esito delle attività svolte nell’esercizio dei compiti assegnati. Sono previste le seguenti linee di riporto: • periodica, nei confronti dell’Amministratore Delegato, il quale informa il CdA nell’ambito dell’informativa sull’esercizio delle deleghe conferite; • annuale verso il CdA ed il Collegio Sindacale. A tale proposito l’OdV predispone un rapporto annuale relativo: - all’attività svolta con segnalazione dell’esito delle verifiche effettuate, degli interventi correttivi e migliorativi e del loro stato di realizzazione; - alle eventuali novità normative in materia di responsabilità amministrativa degli enti. in tale occasione, possono essere organizzati incontri dedicati con il Collegio Sindacale e/o il CdA; il rapporto annuale è trasmesso inoltre all’Amministratore Delegato; • tempestiva nei confronti del CdA e del Collegio Sindacale, previa informativa all’Amministratore Delegato, dal momento in cui risultino accertati fatti di particolare materialità o significatività (ad es., accertamento di una condotta costituente reato); • tempestiva esclusivamente nei confronti del solo CdA o del solo Collegio sindacale dal momento in cui i fatti di particolare materialità o significatività riguardino alternativamente uno dei due organismi citati. Fermo restando i termini di cui sopra, il Collegio Sindacale, il CdA e l’Amministratore Delegato hanno comunque facoltà per motivi urgenti di convocare in qualsiasi momento l’OdV il quale - a sua volta ha la facoltà di richiedere, attraverso le funzioni o i soggetti competenti, la convocazione dei predetti organi per motivi urgenti. 3.5.3.2 Flussi informativi verso l’Organismo di Vigilanza: informative obbligatorie I dipendenti, i dirigenti e chi riveste funzioni di rappresentanza, di amministrazione o di direzione in posizione apicale, hanno l’obbligo di segnalare prontamente all’Organo di Vigilanza le disfunzioni del Modello di organizzazione, gestione e controllo di cui direttamente o indirettamente siano venuti a conoscenza. Gli stessi soggetti hanno l’obbligo di segnalare tempestivamente all’OdV eventuali violazioni alle modalità operative fissate nel Modello 231 di cui siano direttamente o indirettamente venuti a conoscenza. I responsabili delle funzioni devono far pervenire periodicamente all’OdV osservazioni sull’adeguatezza del Modello, evidenziando le esigenze emergenti. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 24 di 32 Valgono al riguardo le seguenti prescrizioni di carattere generale: i dirigenti, i preposti e i dipendenti hanno il dovere di trasmettere per iscritto all’OdV eventuali segnalazioni relative alla commissione, o alla ragionevole possibilità di commissione, dei reatipresupposto; coloro che in buona fede inoltrano segnalazioni devono essere garantiti contro qualsiasi forma di ritorsione, discriminazione o penalizzazione; in ogni caso sarà assicurata la riservatezza dell’identità del segnalante, fatti salvi gli obblighi di legge e la tutela dei diritti della Società e delle persone accusate erroneamente o in mala fede. I dipendenti che intendono segnalare una violazione (o presunta violazione) di quanto contenuto nei documenti del Modello 231, devono contattare il diretto superiore. Tuttavia, qualora la segnalazione non dia esito o il dipendente abbia oggettiva ragione di non rivolgersi al suo diretto superiore per la presentazione della segnalazione, può riferire direttamente per iscritto all’OdV, che attiverà un indirizzo di posta elettronica anche a tal fine. I membri degli organi, i dirigenti, i consulenti, i fornitori e gli altri collaboratori, per quanto riguarda l’attività svolta nei confronti o per conto della Società, effettuano le segnalazioni per iscritto o per il tramite di posta elettronica direttamente all’OdV. L’OdV può promuovere riunioni periodiche con i responsabili delle funzioni per verificare l’adeguatezza del Modello 231. Tutti i soggetti indicati agli artt. 6 e 7 del D.Lgs. 231/2001 sono obbligati a fare pervenire tempestivamente all’Organismo di Vigilanza notizie e documenti relativi alla commissione dei reati previsti dal citato Decreto. Oltre alle segnalazioni relative a violazioni di carattere generale sopra descritte, i Destinatari del Modello devono obbligatoriamente ed immediatamente trasmettere all’OdV le informazioni concernenti: - - - - - i flussi informativi standard definiti da specifiche procedure/istruzioni di lavoro del SGI; i provvedimenti e/o le comunicazioni provenienti da organi di Polizia Giudiziaria, o da qualsiasi altra Autorità, dai quali si evinca lo svolgimento di indagini per i reati previsti dal D.lgs 231/2001, anche nei confronti di ignoti, qualora tali indagini coinvolgano TS o suoi Dipendenti o membri dei suoi Organi Sociali; le richieste di assistenza legale inoltrate dai Destinatari in caso di avvio di procedimento giudiziario per i reati previsti dal D.lgs 231/2001; i rapporti preparati dai Responsabili di Funzione di TS nell’ambito della loro attività di controllo e dai quali potrebbero emergere fatti, atti, non conformità, eventi od omissioni con profili di criticità rispetto all’osservanza delle norme contenute nel D.lgs 231/2001; le notizie relative ai procedimenti disciplinari ed alle eventuali misure sanzionatorie irrogate (ivi compresi i provvedimenti verso i Dipendenti ed i Fornitori/Subappaltatori) ovvero ai provvedimenti di archiviazione di tali procedimenti con le relative motivazioni, qualora essi siano legati alla commissione di reati previsti dal D.lgs 231/2001 o violazione delle regole di comportamento o procedurali del Modello; le decisioni relative alla richiesta, erogazione ed utilizzo di finanziamenti pubblici e sostanzialmente qualsiasi altro rapporto intrapreso con la PA, che non sia tra quelli rilevati come in essere al momento della predisposizione dell’analisi di rischio; gli infortuni sul lavoro. Gli obblighi di segnalazione da parte dei Collaboratori, dei Consulenti, dei Fornitori e dei Subappaltatori saranno specificati in apposite clausole inserite nei contratti che legano tali soggetti a TS. La violazione dell’obbligo di informazione verso l’OdV è sanzionata secondo quanto previsto dal sistema disciplinare di seguito descritto. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 25 di 32 3.5 Sistema Disciplinare L’efficace attuazione del Modello 231 non può prescindere dalla predisposizione di un adeguato sistema sanzionatorio, che svolge una funzione essenziale nella architettura del D.Lgs. 231/01: costituisce infatti il presidio di tutela delle procedure interne. Presupposto sostanziale del potere disciplinare della Società è la sicura attribuzione della violazione al lavoratore (sia subordinato che in posizione apicale o collaboratore), e ciò a prescindere dalla circostanza che detto comportamento integri una violazione di rilevanza da cui scaturisca un procedimento penale. Infatti, l'attivazione del sistema sanzionatorio avviene in ogni caso al verificarsi dell'inosservanza: • • • • dei principi e degli obblighi previsti dal Codice Etico e di Condotta; delle disposizioni del Modello 231; dei protocolli integrati nelle procedure, linee guida ed istruzioni operative del SGI; delle specifiche prescrizioni e richieste formulate dall’OdV nell’esercizio delle proprie funzioni di vigilanza e controllo. Eventuali infrazioni poste in essere in tali ambiti comprometterebbero il legame di fiducia intercorrente fra TS e i suoi dipendenti o collaboratori, legittimando l’applicazione da parte della Società di sanzioni disciplinari. Requisito fondamentale delle sanzioni è la loro proporzionalità rispetto alla violazione rilevata, proporzionalità che dovrà essere valutata in ossequio a due criteri: la gravità, le conseguenze dannose e l’eventuale reiterazione della violazione; la tipologia di rapporto di lavoro instaurato con il prestatore (subordinato, parasubordinato, dirigenziale ecc.), tenuto conto della specifica disciplina normativa e contrattuale. Il tipo e l’entità delle sanzioni previste dalle disposizioni contrattuali vigenti saranno applicate tenendo conto: o dell’intenzionalità (dolo) o meno del comportamento e, in ipotesi di mera colpa, del grado di negligenza, imprudenza o imperizia con riguardo anche alla prevedibilità dell'evento; o del comportamento complessivo del lavoratore, con particolare riguardo alla sussistenza o meno di precedenti disciplinari, nei limiti consentiti dalla legge; o della posizione funzionale e delle mansioni/responsabilità del soggetto coinvolto; o dell’eventuale concorso, nella violazione, di più lavoratori in accordo e di ogni altra circostanza rilevante nell’ambito della violazione. L’OdV svolge tutti gli accertamenti necessari per verificare se sia stata commessa una violazione del Modello o dei protocolli ad esso connessi e ne informa tempestivamente i responsabili di funzione e/o il CdA per suggerire l’eventuale adozione dei provvedimenti sanzionatori conseguenti. 3.5.1 Amministratori e Collegio Sindacale La posizione degli Amministratori e dei componenti del Collegio Sindacale è della massima delicatezza: nell’ipotesi in cui si verificassero condotte in violazione delle prescrizioni del Modello 231 da parte di uno degli Amministratori e del Collegio Sindacale, l’OdV provvederà ad informarne l’intero CdA. Sarà, quindi, il CdA a valutare la situazione e ad adottare i provvedimenti ritenuti opportuni, nel rispetto della normativa vigente. 3.5.2 Lavoratori Dipendenti Subordinati Le violazioni delle regole di comportamento dettate nel Modello sono da definire come illeciti disciplinari. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 26 di 32 Pertanto la tipologia di sanzioni irrogabili è quella prevista dalla contrattazione collettiva applicata in TS (CCNL Commercio), tenuto conto della particolare delicatezza del sistema e quindi della gravità anche della più lieve delle violazioni del Modello. Non risultano ulteriori livelli aziendali di contrattazione. Sul piano procedurale, si applica l’art. 7 della l. n. 300 del 30 maggio 1970 (Statuto dei Lavoratori), di seguito integralmente riportato: Art. 7 - Sanzioni disciplinari. Le norme disciplinari relative alle sanzioni, alle infrazioni in relazione alle quali ciascuna di esse può essere applicata ed alle procedure di contestazione delle stesse, devono essere portate a conoscenza dei lavoratori mediante affissione in luogo accessibile a tutti. Esse devono applicare quanto in materia è stabilito da accordi e contratti di lavoro ove esistano. Il datore di lavoro non può adottare alcun provvedimento disciplinare nei confronti del lavoratore senza avergli preventivamente contestato l'addebito e senza averlo sentito a sua difesa. Il lavoratore potrà farsi assistere da un rappresentante dell'associazione sindacale cui aderisce o conferisce mandato. Fermo restando quanto disposto dalla legge 15 luglio 1966, n. 604, non possono essere disposte sanzioni disciplinari che comportino mutamenti definitivi del rapporto di lavoro; inoltre la multa non può essere disposta per un importo superiore a quattro ore della retribuzione base e la sospensione dal servizio e dalla retribuzione per più di dieci giorni. In ogni caso, i provvedimenti disciplinari più gravi del rimprovero verbale non possono essere applicati prima che siano trascorsi cinque giorni dalla contestazione per iscritto del fatto che vi ha dato causa. Salvo analoghe procedure previste dai contratti collettivi di lavoro e ferma restando la facoltà di adire l'autorità giudiziaria, il lavoratore al quale sia stata applicata una sanzione disciplinare può promuovere, nei venti giorni successivi, anche per mezzo dell'associazione alla quale sia iscritto ovvero conferisca mandato, la costituzione, tramite l'ufficio provinciale del lavoro e della massima occupazione, di un collegio di conciliazione ed arbitrato, composto da un rappresentante di ciascuna delle parti e da un terzo membro scelto di comune accordo o, in difetto di accordo, nominato dal direttore dell'ufficio del lavoro. La sanzione disciplinare resta sospesa fino alla pronuncia da parte del collegio. Qualora il datore di lavoro non provveda, entro dieci giorni dall'invito rivoltogli dall'ufficio del lavoro, a nominare il proprio rappresentante in seno al collegio di cui al comma precedente, la sanzione disciplinare non ha effetto. Se il datore di lavoro adisce l'autorità giudiziaria, la sanzione disciplinare resta sospesa fino alla definizione del giudizio. Non può tenersi conto ad alcun effetto delle sanzioni disciplinari decorsi due anni dalla loro applicazione.” 1) RICHIAMO ORALE Il richiamo orale è previsto per le infrazioni di minima gravità. 2) RICHIAMO SCRITTO Il richiamo scritto è previsto nei casi di recidiva nelle infrazioni di minima gravità. 3) MULTA Il lavoratore che violi le procedure interne previste dal Modello o adotti un comportamento non conforme alle prescrizioni del Modello stesso nell’espletamento di una attività in un’area a rischio, è sottoposto alla sanzione disciplinare della multa, per una somma non eccedente l’importo di quattro ore di normale retribuzione. 4) SOSPENSIONE Il lavoratore che violi più volte le procedure interne previste dal Modello o adotti reiteratamente un comportamento non conforme alle prescrizioni del Modello stesso nell’espletamento di una attività in Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 27 di 32 un’area a rischio, è sottoposto alla sanzione disciplinare della sospensione dalla retribuzione e dal servizio per un periodo fino a dieci giorni. 5) LICENZIAMENTO A. Il lavoratore che, nell’espletamento di un’attività in una delle aree/processi a rischio, adotti un comportamento non conforme alle prescrizioni del Modello e diretto in modo non equivoco a commettere uno dei reati sanzionati dal D.Lgs. 231/01, è sottoposto per ciò stesso alla sanzione disciplinare del licenziamento con indennità sostitutiva del preavviso e con trattamento di fine rapporto. B. Il lavoratore che, nell’espletamento di un’attività in una delle aree/processi a rischio, adotti un comportamento non conforme alle prescrizioni del Modello e tale da determinare la concreta applicazione a carico della Società di misure previste dal D.Lgs. 231/01, è sottoposto alla sanzione disciplinare del licenziamento senza preavviso e con trattamento di fine rapporto. Le sanzioni saranno applicate da colui che, in forza dei poteri attribuiti dalla Società, riveste il ruolo di Datore di Lavoro (Titolare della Funzione / Amministratore Delegato). Alla prima riunione successiva del CdA la decisione sulle sanzioni applicate dovrà essere sottoposta al vaglio di quest’organo per la ratifica. 3.5.3 Dirigenti La contrattazione collettiva applicata non prevede un vero e proprio sistema disciplinare per i dirigenti, per cui appare necessario esplicitare nel contratto individuale (o in apposita lettera integrativa, sottoscritta per accettazione e di competenza del CdA) gli inadempimenti ritenuti rilevanti e le relative sanzioni, di seguito indicate. In mancanza di specifica previsione nel contratto individuale, nel caso in cui la violazione delle norme di condotta sia posta in essere da un Dirigente, troveranno applicazione le misure disciplinari per i Dipendenti sopra esposte con riferimento specifico al CCNL Dirigenti ed Industria. Inoltre, in riferimento alla procedura da applicare ed in accoglimento dell’orientamento più rigoroso, appare opportuno procedere secondo le prescrizioni dell’art. 7 dello Statuto dei Lavoratori, dai più ritenuto applicabile anche ai dirigenti con le seguenti precisazioni in ordine alla sospensione ed al licenziamento: 1) SOSPENSIONE A. Il Dirigente che, nell’ambito delle aree/processi a rischio, adotti un comportamento non conforme alle prescrizioni del Modello o violi le procedure interne dal medesimo previste, dovrà essere sottoposto alla sanzione disciplinare della sospensione dal lavoro per un lasso di tempo adeguato all’importanza della violazione commessa, comunque non superiore a 10 giorni, con corrispondente decurtazione del compenso, e potrà essere trasferito ad altra sede territoriale o ad altro settore funzionale, con parità di mansioni, laddove al comportamento sanzionato consegua una necessità obbiettiva derivante da ragioni d’incompatibilità ambientale. B. In ipotesi di reiterazione del comportamento, il dirigente sarà tenuto – oltre all’applicazione di quanto previsto sub A) - anche al versamento di una penale per una somma pari al 50% dell’importo di una retribuzione mensile. 2) LICENZIAMENTO Il Dirigente che, nell’ambito delle aree/processi a rischio, adotti un comportamento non conforme alle prescrizioni del Modello o violi le procedure interne dal medesimo previste ponendo in essere una condotta diretta in modo non equivoco a commettere uno dei reati sanzionati dal d.lgs. 231/01, sarà per ciò stesso sottoposto a licenziamento. Le sanzioni saranno applicate, decorsi 5 giorni dallo loro contestazione scritta, dal Responsabile Gestione Risorse Umane e dovranno essere successivamente ratificate dal CdA. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 28 di 32 3.5.4 Collaboratori Esterni e terzi destinatari Le condotte poste in essere dai Collaboratori Esterni e i Terzi identificati in precedenza, rilevanti per il sistema disciplinare adottato da TS, sono costituite da azioni e comportamenti posti in essere in violazione del Modello, e precisamente: 1. mancato rispetto del Modello, qualora si tratti di violazioni afferenti in particolare i principi indicati nel Codice Etico e di Condotta di TS e sempre che non ricorra una delle condizioni previste nei successivi nn. 3 e 4; 2. mancato rispetto del Modello, qualora si tratti di violazioni connesse, in qualsiasi modo, alle “aree a rischio reato” indicate nel Modello 231, e sempre che non ricorra una delle condizioni previste nei successivi nn. 3 e 4; 3. mancato rispetto del Modello, qualora si tratti di violazione idonea ad integrare uno dei reati previsti dal D.Lgs. 231/2001; 4. mancato rispetto del Modello, qualora si tratti di violazione finalizzata alla commissione di uno dei reati previsti dal Decreto, o comunque sussista il pericolo che sia contestata la responsabilità di TS ai sensi del D.Lgs. 231/2001. Nell’ipotesi in cui venga accertata la commissione di una delle suddette violazioni da parte dei Collaboratori Esterni o di Terzi verranno applicate, a seconda del tipo e della gravità delle stesse, le seguenti sanzioni: per le violazioni di cui ai nn. 1 e 2, sarà applicata la sanzione della diffida ovvero quella della penale convenzionale ovvero quella della risoluzione del contratto, a seconda della gravità della violazione; per le violazioni di cui al n. 3, sarà applicata la sanzione della decurtazione del corrispettivo a titolo di penale o quella della risoluzione del contratto; per le violazioni di cui al n. 4, sarà applicata la sanzione della risoluzione del contratto. Le procedure da seguire nell’ambito della fase di irrogazione delle sanzioni conseguenti alla eventuale commissione di una delle violazioni di cui si è detto da parte dei Collaboratori Esterni o di Terzi sono le seguenti. a) L’OdV - deputato a vigilare sul funzionamento e sull’osservanza del Modello 231 – svolge tutti gli accertamenti necessari per verificare se sia stata realizzata una violazione del Modello o dei protocolli ad esso connessi. b) In caso positivo, segnala la violazione al Presidente del CdA il quale, entro 10 giorni dalla ricezione della relazione da parte dell’OdV, si pronuncia in merito alla determinazione ed alla concreta applicazione della misura. c) Il Presidente del CdA invia, quindi, all’interessato una comunicazione scritta, contenente l’indicazione della condotta contestata e delle previsioni del Modello oggetto di violazione, nonché il rimedio contrattualmente previsto applicabile. d) Nei successivi 5 giorni l’interessato può far avere al Presidente del CdA le sue osservazioni in merito a quanto contestatogli. e) L’eventuale provvedimento definitivo di irrogazione della sanzione è comunicato per iscritto all’interessato a cura del Presidente del CdA, che provvede anche alla effettiva applicazione della sanzione stessa nel rispetto delle norme di legge e di regolamento. f) L’ OdV, di cui è inviata per conoscenza la comunicazione, verifica l’applicazione della sanzione. Tutti i Collaboratori Esterni e i Terzi potranno indirizzare le richieste di informazioni sul Modello di TECNOLOGIE SANITARIE a: POSTA ORDINARIA FAX EMAIL Organismo di Vigilanza c/o Responsabile del Sistema di Gestione Integrato Tecnologie Sanitarie S.p.A., Via Laurentina, 456/458 - 00144 Roma 06-54408234 [email protected] Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 29 di 32 3.6 Formazione, informazione e diffusione del Modello L’adeguata formazione e la costante informazione del personale in ordine ai principi ed alle prescrizioni contenute nel Modello rappresentano fattori di grande importanza per la corretta ed efficace attuazione del sistema di prevenzione aziendale. Tutti gli esponenti che operano all’interno della Società, nonché i partner ed i collaboratori esterni sono tenuti ad avere piena conoscenza degli obiettivi di correttezza e trasparenza che si intendono perseguire con il Modello e delle modalità attraverso le quali la Società ha inteso perseguirli, approntando un adeguato sistema di procedure e controlli. Al fine di assicurare una idonea efficacia preventiva del Modello, TS ha ritenuto opportuno differenziare la formazione rivolta ai dipendenti nella loro generalità, da quella rivolta a specifiche figure (che rivestano funzioni direttive o di vigilanza ovvero che operino in specifiche aree a rischio reato). Di tutte le attività di formazione ed informazione sarà conservata idonea evidenza documentale nelle forme previste dal SGI, trasmessa all’OdV per conoscenza (anche in forma di report). 3.6.1 Informazione agli Amministratori e Sindaci Il Modello 231 è comunicato formalmente dall’OdV a ciascun componente del CdA che dovesse subentrare ai Consiglieri che lo hanno approvato. Il Modello è parimenti comunicato a ciascun componente del Collegio Sindacale che sottoscrive una dichiarazione di conoscenza e adesione ai principi e ai contenuti tutti del Modello. La dichiarazione è archiviata e conservata dall’OdV. 3.6.2 Informazione e formazione ai dirigenti e ai responsabili di unità organizzativa Il Modello 231 è comunicato formalmente dall’OdV a tutti i dirigenti e ai responsabili di unità organizzativa. I principi e contenuti del D.Lgs. 231/2001 e del Modello sono inoltre divulgati mediante specifici corsi di formazione. L’OdV supporta TS nella definizione dei fabbisogni informativi e formativi relativi al Modello. Il livello di informazione e formazione è stabilito sulla base di un differente grado di approfondimento in relazione al diverso livello di coinvolgimento delle risorse medesime nelle “attività sensibili” descritte nel Modello. 3.6.3 Informazione e formazione ai dipendenti In particolare, per ciò che concerne la comunicazione si prevede: a) l’invio iniziale di una lettera/email a firma del DG a tutto il personale, sui contenuti del Decreto e le modalità di informazione/formazione previste all’interno della Società; b) la possibilità di consultare il Modello ed il Codice Etico e di Condotta che sarà affisso nelle bacheche di tutte le sedi aziendali e diffuso attraverso canali telematici (ad es., email, sito internet di TS, ecc.); c) la predisposizione e diffusione di newsletter e/o specifici documenti descrittivi ed esplicativi. L’OdV supporta la Società nella definizione dei fabbisogni informativi e formativi relativi al Modello, ed in particolare nella individuazione del livello di informazione e formazione da perseguire sulla base del diverso livello di coinvolgimento delle risorse medesime nelle “attività sensibili” descritte nel Modello. In particolare l’OdV provvede a definire, a seguito della implementazione del Modello e successivamente con cadenza annuale (anche in relazione alle verifiche effettuate ed alle criticità Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 30 di 32 eventualmente riscontrate), quali risorse aziendali debbano essere coinvolte in specifici corsi/incontri di sensibilizzazione/approfondimento che avranno ad oggetto le seguenti tematiche: introduzione della normativa e delle modalità di attuazione di quanto previsto dai documenti del Modello 231 adottato ed attuato. In particolare, tutto il personale sarà reso edotto delle conseguenze derivanti alla Società dall’eventuale commissione di reati da parte di soggetti che per essa agiscano, delle caratteristiche essenziali dei reati previsti dal Decreto e della funzione che il Modello svolge in tale contesto; illustrazione delle singole componenti del Modello organizzativo e delle specifiche finalità preventive che esso è chiamato ad assolvere; illustrazione, con riferimento ai singoli processi aziendali, delle modalità operative connesse all’esercizio delle singole aree di attività ritenute a rischio, con modalità di formazione di tipo interattivo. La partecipazione al programma di formazione è obbligatoria. La partecipazione ai momenti formativi sopra descritti sarà formalizzata attraverso la richiesta della firma di presenza e l’inserimento nella banca dati dell’OdV dei nominativi dei presenti. 3.6.4 Informazione e formazione ai neoassunti Ai nuovi assunti viene consegnato dal Responsabile delle Risorse Umane il Modello e il Codice Etico e di Condotta. I nuovi assunti sono tenuti a rilasciare una dichiarazione sottoscritta ove si attesti la ricezione del suddetto materiale informativo. Gli stessi, previa richiesta del proprio Responsabile (ovvero referente), potranno essere coinvolti in eventuali incontri illustrativi specifici. 3.6.5 Informazione a collaboratori esterni e terzi destinatari I Collaboratori e Terzi destinatari identificati in precedenza sono informati del contenuto del Modello e delle regole e dei principi etici e di controllo ivi previsti, come pure della necessità che il loro comportamento sia conforme alle prescrizioni di cui al D.lgs 231/2001 nonché alle predette norme. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 31 di 32 4. Regole generali per l’aggiornamento del Modello Il D.lgs 231/2001 prevede espressamente la necessità di aggiornare il Modello affinché lo stesso rifletta costantemente le specifiche esigenze dell’Ente/Organizzazione/Società e ne sia così garantita la sua concreta operatività ed efficacia. Il processo di aggiornamento del Modello 231 e della documentazione di supporto è attivato in presenza di una o più delle seguenti circostanze: 1. individuazione di significative violazioni o elusioni delle prescrizioni nello stesso contenute che ne evidenzino l’inadeguatezza a garantire l’efficace prevenzione dei reati-presupposto; 2. aggiornamenti legislativi che riguardino la disciplina della responsabilità amministrativa degli enti; 3. cambiamenti significativi della struttura organizzativa o dei settori di attività della Società. Di seguito si descrive l’iter procedurale: a) l’OdV comunica all’Amministratore Delegato ogni informazione della quale sia a conoscenza che determina l’opportunità di procedere a interventi di aggiornamento del Modello; b) l’Amministratore Delegato approva l’avvio e i contenuti dell’intervento di aggiornamento; c) l’OdV predispone l’aggiornamento del Modello 231 avvalendosi delle competenze professionali dei propri membri ovvero, qualora lo ritenga opportuno, mediante reperimento di adeguato supporto professionale esterno (in particolare, ad es., nel caso si renda necessaria una modifica della documentazione del SGI ovvero nel caso di introduzione di particolari reati presupposto la cui analisi richieda competenze specifiche); d) l’OdV provvede a monitorare lo stato di avanzamento e i risultati del programma di aggiornamento e l’attuazione delle azioni disposte e l’esito delle attività. e) l’aggiornamento viene sottoposto all’approvazione del CdA. Le modifiche formali o che non incidono significativamente sul sistema di controllo già in essere posso essere approvate dall’Amministratore Delegato. Tecnologie Sanitarie SpA: Modello organizzativo – Manuale rev. 3 del 03/03/2014 32 di 32
© Copyright 2024 Paperzz