Banca Intesa
Transcript
Banca Intesa
L’attuazione del D. Lgs. 231/01 in un gruppo bancario L’esperienza Intesa Sanpaolo Gabriella Cazzola – Direzione Legale e Contenzioso Paradigma - 24 maggio 2013 L’esperienza di Intesa Sanpaolo Problemi applicativi Impianto normativo per principi e intermittenza/scarsità della giurisprudenza su questioni chiave relative ai presupposti di «idoneità» dei modelli, con conseguente difficoltà nell‟individuare le «best practices» da seguire Progressiva estensione della 231 a nuove tipologie di illecito effettuata dal legislatore senza coordinamento con i principi generali della legge e senza coordinamento con l‟evoluzione della normativa di riferimento Necessità di inserire nella rete già intensa di controlli interni un nuovo presidio, nuove regole e un nuovo organo di controllo Estensione del Modello al Gruppo Bancario e connessi profili di responsabilità L‟art. 52 del D.Lgs. 231/2007 (antiriciclaggio) e i nuovi compiti (e responsabilità) dell‟OdV 2 Gli impatti del D.Lgs. 231/01 sul sistema bancario Da: Linee Guida ABI (febbraio 2004) ..........le banche, in ragione della disciplina speciale primaria e regolamentare ad esse applicabile, sono società in cui la cultura del controllo è fortemente sviluppata. Le banche sono così dotate di complessi sistemi di regole interne che assolvono alla funzione di organizzare il sistema dei poteri e delle deleghe; di regolamentare e procedimentalizzare le attività che si svolgono all‟interno della società; di gestire i rapporti tra i vari attori del sistema dei controlli interni; di disciplinare i flussi informativi tra le varie funzioni, organi, ecc.. Tali regole – contenute in ordini di servizio, disposizioni interne, normative aziendali, codici di autodisciplina, codici deontologici, codici disciplinari, ecc. – già di per sé possono costituire la base precettiva di ciò che è un modello organizzativo secondo il d.lgs. n. 231/2001. Se, infatti, per modello organizzativo si intende, come si diceva sopra, un insieme di regole coerente e funzionale ad un certo scopo, ciò che ciascuna banca dovrà valutare è se l‟insieme di regole di cui essa già dispone sia coerente e funzionale (oltre che alle finalità per cui esso è stato creato) anche alla prevenzione dei reati contemplati dal decreto legislativo (ovvero almeno di quei reati che, in base ad una valutazione di rischiosità in concreto, è emerso possano essere commessi da soggetti „collegati‟ alla banca stessa) e trarne elementi per l‟elaborazione del proprio modello organizzativo. Pertanto l‟adozione del modello organizzativo da parte delle banche richiederà una attività tanto meno complessa quanto più adeguato e razionale risulta essere il sistema di controlli e di procedimentalizzazione già presente all‟interno della struttura. 3 Il Modello 231 Intesa Sanpaolo Struttura aree sensibili (10) 7. Illeciti presupposto ed aree sensibili attività sensibili (21) - Attività sensibili - Macro descrizione attività - Principi di controllo - Principi di comportamento La parte generale (A) riporta le caratteristiche e gli elementi essenziali del Modello A componente “stabile” del Modello, approvata da CdG e CdS Reati riconducibili ad abusi di mercato parte generale 1.Contesto normativo 2.Modello di organizzazione, gestione e controllo 3.Organismo di Vigilanza 4.Flussi informativi verso OdV 5.Sistema sanzionatorio 6.Formazione e comunicazione interna B I protocolli (B) dettagliano principi di comportamento e di controllo sulle attività aziendali sensibili attori C componente dinamica, emanata con normativa interna elenco dei processi normativa interna D 4 I processi e la normativa aziendali (C e D) sono collegati ai protocolli e ne fanno parte integrante Il Modello 231 Intesa Sanpaolo L’Organismo di Vigilanza In sede di approvazione del Modello l‟OdV è stato individuato nel Comitato per il Controllo composto da cinque membri indipendenti del Consiglio di Sorveglianza. Le considerazioni che avevano portato, in sede di approvazione del Modello di Capogruppo, a tale scelta erano legate essenzialmente alla circostanza che nel sistema dualistico adottato da ISP il Comitato per il Controllo è composto non da amministratori (e quindi da soggetti direttamente investiti della gestione della società) bensì da membri dell‟organo di controllo, in possesso di pregnanti requisiti di professionalità e indipendenza, oltre che di specifici, ampi ed incisivi poteri di controllo: ciò assicura adeguati livelli di autonomia e continuità di azione e fa sì che detto organo possa assolvere le funzioni che la legge assegna all‟OdV in modo più efficiente ed effettivo di qualsiasi altro organo aziendale. Le funzioni ed i compiti del Comitato per il controllo sono contigui/in parte sovrapponibili a quelle dell‟OdV. Sono stati previsti requisiti di onorabilità specifici (es. rilevanza di sentenze di condanna anche non definitive o di aver fatto parte di OdV di società cui siano state irrogate sazioni ex D.Lgs. 231/01). 5 Il Modello 231 Intesa Sanpaolo I flussi informativi La lett. d) dell‟art. 6 del d.lgs. 231/2001 dispone espressamente la necessità di istituire un sistema di reportistica che coinvolga l‟OdV, per permettere a tale organo di svolgere correttamente i compiti ad esso affidati. Per quanto concerne i flussi informativi “in entrata” verso l‟OdV, l‟obbligo di informazione all‟OdV rappresenta un ulteriore strumento per agevolare l‟attività di vigilanza sull‟efficacia del modello e di accertamento a posteriori delle cause che hanno reso possibile il verificarsi del reato. L‟attività di reporting “in entrata” può essere distinta fra flussi informativi da effettuarsi al verificarsi di particolari eventi e flussi informativi periodici. In merito ai primi, gli obblighi informativi verso l‟OdV riguardano i soggetti apicali e sottoposti che siano a conoscenza di notizie o di fatti che possano evidenziare la sussistenza di violazioni del modello. I flussi periodici prevedono, invece, che i soggetti coinvolti con funzioni di controllo nei processi sensibili comunichino all‟OdV le risultanze periodiche delle attività di controllo poste in essere. Parimenti, risulta fondamentale implementare dei flussi informativi “in uscita” dall‟OdV verso gli altri organi sociali e funzioni coinvolte nel sistema di controllo interno, permettendo così la necessaria condivisione di informazioni tra gli stessi. La suddivisione tra flussi occasionali e periodici può applicarsi anche ai flussi “in uscita” dall‟OdV verso gli organi di governo e controllo individuati nel modello e/o nel regolamento dell‟OdV.- 6 Il Modello 231 Intesa Sanpaolo I flussi informativi Il Modello prevede diversi flussi informativi verso l‟Organismo di Vigilanza: Flussi spontanei inviati all‟OdV da parte di qualunque attore interessato da eventi meritevoli di specifica segnalazione Flussi periodici previsti in capo a Auditing: con l‟indicazione delle rilevazioni svolte sulle aree sensibili 231 Trimestrale Compliance: con l‟indicazione delle attività svolte sull‟adeguatezza e funzionamento del Modello Semestrale Process Owner: mediante un processo di autodiagnosi complessivo sull‟attività svolta Annuale Le singole unità organizzative «autocertificano» la propria conformità ai principi di organizzazione, di comportamento e di controllo previsti dal Modello 231/01. L‟attività viene svolta in concorso con la funzione Risk Management nell‟ambito del più generale processo di monitoraggio dei rischi operativi Il Modello prevede inoltre che, con cadenza semestrale, sia data informativa al Consiglio di Gestione circa le modifiche intervenute nei processi e nella normativa aziendale “sensibile” 7 Il Modello 231 Intesa Sanpaolo I flussi informativi: le segnalazioni dei dipendenti L‟Organismo di Vigilanza deve: poter essere informato, mediante apposite segnalazioni da parte di tutti i dipendenti aziendali, degli Organi Societari nonché dei soggetti esterni, in merito ad eventi che potrebbero ingenerare responsabilità della Società ai sensi del Decreto valutare con attenzione le segnalazioni ricevute. Al termine delle sue analisi riferirà sull‟esito all‟Organo amministrativo proponendo gli eventuali provvedimenti prendere in considerazione anche le segnalazioni anonime purché siano circostanziate e presentino elementi fattuali essere raggiungibile direttamente, ad esempio anche via e-mail da parte dei potenziali segnalanti 8 Il Modello 231 Intesa Sanpaolo Il rapporto dell’OdV con gli organi aziendali e le funzioni di controllo «Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione nell’esercizio dei compiti (d’indirizzo, di attuazione, di verifica, di valutazione) fra gli organi aziendali, gli eventuali comitati costituiti all’interno di questi ultimi, i soggetti incaricati della revisione legale dei conti, le funzioni aziendali di controllo» ……. «…..nell’attività dell’organismo di vigilanza, che attiene in generale all’adempimento di leggi e regolamenti, può essere proficuo uno stretto raccordo, in termini di suddivisione di attività che di condivisione di informazioni, con le funzioni di conformità alle norme e di revisione interna» (Documento di consultazione di Banca d‟Italia in materia di sistema dei controlli) In ISP l‟Organismo di Vigilanza: in ogni circostanza in cui sia ritenuto necessario o opportuno, ovvero se richiesto, riferisce al Consiglio di Gestione ed al Consiglio di Sorveglianza circa il funzionamento del Modello e l‟adempimento agli obblighi imposti dal Decreto. L‟Organismo di Vigilanza, su base almeno semestrale, trasmette ai predetti Organi una specifica informativa sull‟adeguatezza e sull‟osservanza del Modello, che ha ad oggetto: l‟attività svolta; le risultanze dell‟attività svolta; gli interventi correttivi e migliorativi pianificati ed il loro stato di realizzazione opera in stretto raccordo con le funzioni di controllo interno (in primis, Audit e Compliance), avvalendosi delle stesse ai fini delle proprie verifiche. 9 Il Modello 231 Intesa Sanpaolo I protocolli La definizione dei principi di controllo di ciascun protocollo si fonda sui seguenti fattori qualificanti: Separazione dei compiti attraverso la corretta distribuzione delle responsabilità e la adeguati livelli autorizzativi Chiara e formalizzata assegnazione di poteri e responsabilità Esistenza di regole comportamentali idonea a garantire il rispetto di leggi e regolamenti Tracciabilità dei processi sia a livello di sistema informativo che in termini documentali Coerenza dei sistemi premianti Esistenza e documentabilità dell‟attività di controllo e supervisione Esistenza di meccanismi di sicurezza che garantiscano un‟adeguata protezione/accesso fisico logico ai dati ed ai beni aziendali L‟efficace e concreta attuazione dei Protocolli deve essere garantita dai Responsabili delle varie strutture organizzative della Società in relazione alle attività a rischio dalle stesse svolte. 10 previsione di Formazione e comunicazione Erogazione di corsi di formazione specifica «a distanza» 231/01 per tutti i dipendenti delle società del Gruppo di diritto italiano Corsi «in aula» 231/01 per personale con esigenze di tipo specifico operante, in particolare, verso la Pubblica Amministrazione e nelle aree più «sensibili» Intervento formativo per i dipendenti delle Filiali estere Iniziative formative specifiche per il personale dirigente e per i componenti degli Organismi di Vigilanza/Collegi Sindacali Produzione di materiale di comunicazione/informazione di carattere divulgativo (anche tramite WEB TV) a supporto del processo formativo e destinato a tutti i dipendenti del Gruppo 11 Gestione nel tempo del Modello Adottato il 9 ottobre 2007 e formalizzato sulla base di un primo risk mapping (derivante dalle mappature ante fusione), il Modello è stato aggiornato più volte per tener conto dell'evoluzione normativa nel frattempo intervenuta nonché delle modifiche organizzative apportate alla struttura della Banca Nel 2012 è stato condotto, su iniziativa dell‟OdV, un progetto di «Assessment del Modello 231/01» di ISP Annualmente la funzione Compliance effettua un‟attività di risk mapping della normativa interna volto confermare/aggiornare la mappature dei rischi «231/2001» Tale attività origina una «mappa» aggiornata dei processi «sensibili» e «prioritari». Per i processi identificati come «prioritari» l‟ottenimento della concordanza preventiva da parte della Funzione di Compliance costituisce una condizione necessaria per il rilascio della nuova normativa L‟attività di allineamento normativo viene infatti effettuata in modo «selettivo» adottando un approccio c.d. risk based che prevede la selezione della normativa sulla base di una valutazione dell‟esposizione al rischio di commissione dei reati presupposto del Decreto 231/2001 12 Gestione nel tempo del Modello La responsabilità del presidio del rischio 231/01 è condivisa fra più strutture della Banca, per quanto di competenza PRIMA LINEA DI PRESIDIO Legale e Contenzioso: evidenze su principali aggiornamenti normativi e aspetti interpretativi delle norme e collaborazione all‟aggiornamento Organizzazione: definizione struttura e processi organizzativi e adeguamento normativa interna Risorse Umane: formazione e sistema sanzionatorio Datore di Lavoro (D.Lgs. 81/08) e Committente (D.Lgs. 81/08): evidenza su insorgenza fattori di rischio in materia di sicurezza sul lavoro e normativa cantieri e proposta delle modifiche organizzative e procedurali ai fini del presidio di tali rischi Compliance: presidio del rischio 231/01: definizione e aggiornamento del Modello, monitoraggio della sua efficacia, verifica della conformità dei processi ai principi del Modello. CONTROLLI DI SECONDO LIVELLO CTR. TERZO LIVELLO Antiriciclaggio: controlli in ambito antiriciclaggio Risk Management: processo di valutazione dei rischi operativi Internal Audit: controlli su ambiti operativi e supporto all‟OdV 13 Estensione Modello a società del Gruppo Principi La presenza di un gruppo non fa venir meno l‟onere di ogni singola società di dotarsi di un autonomo sistema di prevenzione dei rischi di reato, adottando un modello ritagliato sulle proprie peculiarità È necessario che le singole società valutino in autonomia quale sia l‟assetto organizzativo più idoneo in relazione alla propria realtà operativa La capogruppo non può quindi sostituirsi alle singole società nell‟assumere le decisioni relative all‟adozione ed all‟attuazione del modello. Peraltro, nell‟ambito dei poteri di indirizzo e controllo che le spettano anche sulla base della normativa di Vigilanza, la Capogruppo ha il potere-dovere di: Stabilire delle linee guida di gruppo cui le società devono attenersi nell‟adozione dei propri modelli; Chiedere a tutte le società del gruppo di adottare un proprio modello, sulla base delle linee guida definite, da adattare ovviamente alle rispettive realtà aziendali Verificare l‟effettiva adozione del modello da parte delle società del gruppo ed il rispetto delle predette linee guida Esigere flussi informativi dalle società Garantire uniformità di interpretazione della normativa 14 Estensione Modello a società del Gruppo Definizione, sulla base del Modello di Capogruppo, delle linee guida relative ai Modelli 231 delle Società del Gruppo con particolare focus su: Composizione dell‟Organismo di Vigilanza nelle società controllate tenendo conto sia dei più recenti orientamenti in materia, sia delle strutture di governance delle stesse Regolamentazione dei flussi informativi tra la Capogruppo e le società controllate Definizione dei Protocolli tenendo conto delle specificità aziendali e delle aree di rischio individuate Trasmissione alle società controllate dei “Principi di indirizzo di gruppo in materia di responsabilità amministrativa degli enti” cui le società stesse devono attenersi sia in sede di adozione che ai fini dell‟attuazione/gestione del Modello. 15 Estensione Modello a società del Gruppo In base alle Linee Guida di Capogruppo nell‟ambito delle sue funzioni di direzione e coordinamento, ogni società del Gruppo ISP: adotta un proprio Modello attenendosi ai principi e ai contenuti del Modello di Capogruppo ed adattandoli alle proprie specificità provvede tempestivamente alla nomina dell‟Organismo di Vigilanza assicura il sistematico aggiornamento del Modello predispone piani di formazione e di comunicazione adotta un idoneo presidio dei «processi sensibili» avvia, con cadenza annuale, il processo di autodiagnosi sulle attività svolte fornisce alla funzione Compliance di Capogruppo copia delle relazioni periodiche presentate dalla funzione di conformità all‟Organismo di Vigilanza fornisce al Comitato per il Controllo di Capogruppo copia delle Relazioni periodiche presentate dall‟OdV al CdA 16 Modelli delle Società appartenenti al Gruppo ISP Composizione dell’Organismo di Vigilanza – scelta iniziale Organismo di Vigilanza distinto per ogni società Nel caso di società che svolgano attività complesse ovvero abbiano rilevanti dimensioni o che presentino un elevato rischio 231 si è optato per una composizione collegiale di 3 membri: Amministratore non esecutivo e indipendente (o sindaco ove non vi sia un amministratore con tali caratteristiche) Responsabile Audit Membro o soggetto delegato in caso di funzione svolta in outsourcing esterno I componenti diversi dal Responsabile Audit devono avere specifici requisiti di indipendenza e professionalità, oltre che di onorabilità Si è previsto un membro supplente (da identificarsi in un sindaco supplente) che subentrerebbe nei casi di conflitto di interessi e/o di sospensione di un membro dell‟OdV Sono state previste altre composizioni (anche monocratiche) per le società che non abbiano le caratteristiche sopra indicate 17 Le esigenze di semplificazione L‟esperienza applicativa ha fatto emergere, oltre che alcuni spunti di attenzione nel funzionamento degli OdV, anche esigenze di semplificazione organizzativa, specie nelle Banche del territorio Reporting Comitato per il Controllo OdV Informativa a evento INTESA SANPAOLO CdA OdV 231 Referente Audit Collegio (AD/DG) Sindacale Internal Audit Compliance Eccessivo frazionamento meccanismi di controllo/governance Responsabile Antiriciclaggio 18 CdA + Collegio Sindacale OdV 231/01 Referente Audit (se in service) Referente Compliance (se in service) Comitato Audit (in certi casi) Rendicontazione plurima per Compliance e Resp. Antiriciclaggio Audit, Il collegio sindacale con funzioni di OdV In un‟ottica di: - semplificazione e razionalizzazione delle strutture di controllo nelle controllate - efficientamento delle attività delle strutture di Audit, di Compliance e di Antiriciclaggio - maggiore efficacia del presidio 231/01, si è deciso di avvalersi nell‟ambito delle società controllate della possibilità introdotta dalla legge 183/2011, attribuendo ai Collegi Sindacali i compiti di Organismo di Vigilanza. In analogia a quanto già accade in ISP, viene assicurata un‟adeguata separatezza (in termini di convocazione, verbalizzazione, ecc.) e tracciabilità delle attività svolte dal Collegio Sindacale quale OdV. Considerato che gli OdV hanno normalmente una durata correlata a quella dei Consigli che li hanno nominati, si è ritenuto opportuno procedere, in linea generale, alla modifica organizzativa rispettando la naturale scadenza dei vari Organismi. Il Responsabile dell‟Audit della controllata non fa parte dell‟OdV, ma viene convocato a tutte le riunioni in cui il Collegio Sindacale si riunirà in veste di OdV. I membri supplenti del Collegio Sindacale fungono anche da supplenti per l‟OdV. Avute presenti le indicazioni della migliore dottrina e giurisprudenza circa i requisiti che debbono essere posseduti dagli OdV (come organi) e dai loro componenti, si è ritenuto opportuno prevedere espressamente nei modelli che almeno uno dei membri del Collegio Sindacale abbia particolari requisiti di professionalità specifica in aggiunta a quelli già richiesti dalle diverse normative di settore di volta in volta applicabili a seconda della natura e dell‟attività della singola controllata. Le funzioni di OdV sono state attribuite dall‟assemblea, ferma restando la competenza del CdA sul Modello 231 19 Il collegio sindacale con funzioni di OdV Il Comitato per il Controllo di Capogruppo ha promosso la predisposizione delle «Linee Operative per i Collegi Sindacali delle società controllate italiane del Gruppo Intesa Sanpaolo», ad adozione volontaria, con le quali viene fornito un supporto operativo ai Collegi Sindacali, nel rispetto della loro autonomia Il documento è stato aggiornato alla luce del nuovo ruolo del Collegio Sindacale in qualità di OdV L‟ultima edizione delle «Linee Operative» è stata presentata in data 4 ottobre 2012 nel corso di un convegno cui hanno preso parte alcuni esponenti del Consiglio di Sorveglianza, i Collegi Sindacali che avevano già assunto il ruolo di OdV e i Presidenti dei Collegi Sindacali delle altre società controllate, oltre ai rappresentanti delle funzioni interne deputate al presidio dei rischi 231. 20