Banca Intesa

L’attuazione del D. Lgs. 231/01 in un
gruppo bancario
L’esperienza Intesa Sanpaolo
Gabriella Cazzola – Direzione Legale e Contenzioso
Paradigma - 24 maggio 2013
L’esperienza di Intesa Sanpaolo
Problemi applicativi

Impianto normativo per principi e intermittenza/scarsità della giurisprudenza su questioni chiave
relative ai presupposti di «idoneità» dei modelli, con conseguente difficoltà nell‟individuare le «best
practices» da seguire

Progressiva estensione della 231 a nuove tipologie di illecito effettuata dal legislatore senza
coordinamento con i principi generali della legge e senza coordinamento con l‟evoluzione della
normativa di riferimento

Necessità di inserire nella rete già intensa di controlli interni un nuovo presidio, nuove regole e un
nuovo organo di controllo

Estensione del Modello al Gruppo Bancario e connessi profili di responsabilità

L‟art. 52 del D.Lgs. 231/2007 (antiriciclaggio) e i nuovi compiti (e responsabilità) dell‟OdV
2
Gli impatti del D.Lgs. 231/01 sul sistema bancario
Da: Linee Guida ABI (febbraio 2004)
..........le banche, in ragione della disciplina speciale primaria e regolamentare ad esse applicabile,
sono società in cui la cultura del controllo è fortemente sviluppata.
Le banche sono così dotate di complessi sistemi di regole interne che assolvono alla funzione di
organizzare il sistema dei poteri e delle deleghe; di regolamentare e procedimentalizzare le attività
che si svolgono all‟interno della società; di gestire i rapporti tra i vari attori del sistema dei controlli
interni; di disciplinare i flussi informativi tra le varie funzioni, organi, ecc..
Tali regole – contenute in ordini di servizio, disposizioni interne, normative aziendali, codici di
autodisciplina, codici deontologici, codici disciplinari, ecc. – già di per sé possono costituire la base
precettiva di ciò che è un modello organizzativo secondo il d.lgs. n. 231/2001.
Se, infatti, per modello organizzativo si intende, come si diceva sopra, un insieme di regole coerente
e funzionale ad un certo scopo, ciò che ciascuna banca dovrà valutare è se l‟insieme di regole di cui
essa già dispone sia coerente e funzionale (oltre che alle finalità per cui esso è stato creato) anche
alla prevenzione dei reati contemplati dal decreto legislativo (ovvero almeno di quei reati che, in base
ad una valutazione di rischiosità in concreto, è emerso possano essere commessi da soggetti
„collegati‟ alla banca stessa) e trarne elementi per l‟elaborazione del proprio modello organizzativo.
Pertanto l‟adozione del modello organizzativo da parte delle banche richiederà una attività tanto
meno complessa quanto più adeguato e razionale risulta essere il sistema di controlli e di
procedimentalizzazione già presente all‟interno della struttura.
3
Il Modello 231 Intesa Sanpaolo
Struttura
aree
sensibili
(10)
7. Illeciti presupposto
ed aree sensibili
attività
sensibili
(21)
- Attività sensibili
- Macro descrizione
attività
- Principi di controllo
- Principi di
comportamento
 La parte generale (A) riporta
le caratteristiche e gli
elementi essenziali del
Modello
A
componente “stabile” del Modello,
approvata da CdG e CdS
Reati riconducibili
ad abusi di mercato
parte
generale
1.Contesto normativo
2.Modello di organizzazione,
gestione e controllo
3.Organismo di Vigilanza
4.Flussi informativi verso OdV
5.Sistema sanzionatorio
6.Formazione e
comunicazione interna
B
 I protocolli (B) dettagliano
principi di comportamento e
di controllo sulle attività
aziendali sensibili
attori
C
componente
dinamica,
emanata con
normativa
interna
elenco dei
processi
normativa
interna
D
4
 I processi e la
normativa
aziendali (C e
D) sono
collegati ai
protocolli e ne
fanno parte
integrante
Il Modello 231 Intesa Sanpaolo
L’Organismo di Vigilanza

In sede di approvazione del Modello l‟OdV è stato individuato nel Comitato per il Controllo
composto da cinque membri indipendenti del Consiglio di Sorveglianza.

Le considerazioni che avevano portato, in sede di approvazione del Modello di Capogruppo, a tale
scelta erano legate essenzialmente alla circostanza che nel sistema dualistico adottato da ISP il
Comitato per il Controllo è composto non da amministratori (e quindi da soggetti direttamente investiti
della gestione della società) bensì da membri dell‟organo di controllo, in possesso di pregnanti
requisiti di professionalità e indipendenza, oltre che di specifici, ampi ed incisivi poteri di controllo: ciò
assicura adeguati livelli di autonomia e continuità di azione e fa sì che detto organo possa assolvere
le funzioni che la legge assegna all‟OdV in modo più efficiente ed effettivo di qualsiasi altro organo
aziendale.

Le funzioni ed i compiti del Comitato per il controllo sono contigui/in parte sovrapponibili a quelle
dell‟OdV.

Sono stati previsti requisiti di onorabilità specifici (es. rilevanza di sentenze di condanna anche non
definitive o di aver fatto parte di OdV di società cui siano state irrogate sazioni ex D.Lgs. 231/01).
5
Il Modello 231 Intesa Sanpaolo
I flussi informativi
 La lett. d) dell‟art. 6 del d.lgs. 231/2001 dispone espressamente la necessità di istituire un sistema
di reportistica che coinvolga l‟OdV, per permettere a tale organo di svolgere correttamente i compiti
ad esso affidati.
 Per quanto concerne i flussi informativi “in entrata” verso l‟OdV, l‟obbligo di informazione all‟OdV
rappresenta un ulteriore strumento per agevolare l‟attività di vigilanza sull‟efficacia del modello e di
accertamento a posteriori delle cause che hanno reso possibile il verificarsi del reato.
 L‟attività di reporting “in entrata” può essere distinta fra flussi informativi da effettuarsi al verificarsi
di particolari eventi e flussi informativi periodici.
 In merito ai primi, gli obblighi informativi verso l‟OdV riguardano i soggetti apicali e sottoposti che
siano a conoscenza di notizie o di fatti che possano evidenziare la sussistenza di violazioni del
modello.
 I flussi periodici prevedono, invece, che i soggetti coinvolti con funzioni di controllo nei processi
sensibili comunichino all‟OdV le risultanze periodiche delle attività di controllo poste in essere.
 Parimenti, risulta fondamentale implementare dei flussi informativi “in uscita” dall‟OdV verso gli
altri organi sociali e funzioni coinvolte nel sistema di controllo interno, permettendo così la
necessaria condivisione di informazioni tra gli stessi.
 La suddivisione tra flussi occasionali e periodici può applicarsi anche ai flussi “in uscita” dall‟OdV
verso gli organi di governo e controllo individuati nel modello e/o nel regolamento dell‟OdV.-
6
Il Modello 231 Intesa Sanpaolo
I flussi informativi
Il Modello prevede diversi flussi informativi verso l‟Organismo di Vigilanza:
 Flussi spontanei inviati all‟OdV da parte di qualunque attore interessato da
eventi meritevoli di specifica segnalazione
 Flussi periodici previsti in capo a

Auditing: con l‟indicazione delle rilevazioni svolte sulle aree sensibili 231
Trimestrale

Compliance: con l‟indicazione delle attività svolte sull‟adeguatezza e
funzionamento del Modello
Semestrale

Process Owner: mediante un processo di autodiagnosi complessivo
sull‟attività svolta

Annuale
Le singole unità organizzative «autocertificano» la propria
conformità ai principi di organizzazione, di comportamento e di
controllo previsti dal Modello 231/01. L‟attività viene svolta in
concorso con la funzione Risk Management nell‟ambito del più
generale processo di monitoraggio dei rischi operativi
Il Modello prevede inoltre che, con cadenza semestrale, sia data informativa al Consiglio di
Gestione circa le modifiche intervenute nei processi e nella normativa aziendale “sensibile”
7
Il Modello 231 Intesa Sanpaolo
I flussi informativi: le segnalazioni dei dipendenti

L‟Organismo di Vigilanza deve:
 poter essere informato, mediante apposite segnalazioni da parte di tutti i dipendenti aziendali,
degli Organi Societari nonché dei soggetti esterni, in merito ad eventi che potrebbero ingenerare
responsabilità della Società ai sensi del Decreto
 valutare con attenzione le segnalazioni ricevute. Al termine delle sue analisi riferirà sull‟esito
all‟Organo amministrativo proponendo gli eventuali provvedimenti
 prendere in considerazione anche le segnalazioni anonime purché siano circostanziate e
presentino elementi fattuali
 essere raggiungibile direttamente, ad esempio anche via e-mail da parte dei potenziali segnalanti
8
Il Modello 231 Intesa Sanpaolo
Il rapporto dell’OdV con gli organi aziendali e le funzioni di controllo
 «Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione
nell’esercizio dei compiti (d’indirizzo, di attuazione, di verifica, di valutazione) fra gli organi aziendali, gli
eventuali comitati costituiti all’interno di questi ultimi, i soggetti incaricati della revisione legale dei conti, le
funzioni aziendali di controllo» …….
 «…..nell’attività dell’organismo di vigilanza, che attiene in generale all’adempimento di leggi e
regolamenti, può essere proficuo uno stretto raccordo, in termini di suddivisione di attività che di
condivisione di informazioni, con le funzioni di conformità alle norme e di revisione interna» (Documento
di consultazione di Banca d‟Italia in materia di sistema dei controlli)
 In ISP l‟Organismo di Vigilanza:

in ogni circostanza in cui sia ritenuto necessario o opportuno, ovvero se richiesto, riferisce al
Consiglio di Gestione ed al Consiglio di Sorveglianza circa il funzionamento del Modello e
l‟adempimento agli obblighi imposti dal Decreto.

L‟Organismo di Vigilanza, su base almeno semestrale, trasmette ai predetti Organi una specifica
informativa sull‟adeguatezza e sull‟osservanza del Modello, che ha ad oggetto:


l‟attività svolta;

le risultanze dell‟attività svolta;

gli interventi correttivi e migliorativi pianificati ed il loro stato di realizzazione
opera in stretto raccordo con le funzioni di controllo interno (in primis, Audit e Compliance),
avvalendosi delle stesse ai fini delle proprie verifiche.
9
Il Modello 231 Intesa Sanpaolo
I protocolli

La definizione dei principi di controllo di ciascun protocollo si fonda sui seguenti fattori
qualificanti:

Separazione dei compiti attraverso la corretta distribuzione delle responsabilità e la
adeguati livelli autorizzativi

Chiara e formalizzata assegnazione di poteri e responsabilità

Esistenza di regole comportamentali idonea a garantire il rispetto di leggi e regolamenti

Tracciabilità dei processi sia a livello di sistema informativo che in termini documentali

Coerenza dei sistemi premianti

Esistenza e documentabilità dell‟attività di controllo e supervisione

Esistenza di meccanismi di sicurezza che garantiscano un‟adeguata protezione/accesso fisico logico
ai dati ed ai beni aziendali

L‟efficace e concreta attuazione dei Protocolli deve essere garantita dai Responsabili delle varie
strutture organizzative della Società in relazione alle attività a rischio dalle stesse svolte.
10
previsione di
Formazione e comunicazione
 Erogazione di corsi di formazione specifica «a distanza» 231/01 per tutti i dipendenti delle società
del Gruppo di diritto italiano
 Corsi «in aula» 231/01 per personale con esigenze di tipo specifico operante, in particolare, verso la
Pubblica Amministrazione e nelle aree più «sensibili»
 Intervento formativo per i dipendenti delle Filiali estere
 Iniziative formative specifiche per il personale dirigente e per i componenti degli Organismi di
Vigilanza/Collegi Sindacali
 Produzione di materiale di comunicazione/informazione di carattere divulgativo (anche tramite WEB
TV) a supporto del processo formativo e destinato a tutti i dipendenti del Gruppo
11
Gestione nel tempo del Modello
 Adottato il 9 ottobre 2007 e formalizzato sulla base di un primo risk mapping (derivante dalle
mappature ante fusione), il Modello è stato aggiornato più volte per tener conto dell'evoluzione
normativa nel frattempo intervenuta nonché delle modifiche organizzative apportate alla struttura
della Banca
 Nel 2012 è stato condotto, su iniziativa dell‟OdV, un progetto di «Assessment del Modello 231/01» di
ISP
 Annualmente la funzione Compliance effettua un‟attività di risk mapping della normativa interna volto
confermare/aggiornare la mappature dei rischi «231/2001»
 Tale attività origina una «mappa» aggiornata dei processi «sensibili» e «prioritari». Per i processi
identificati come «prioritari» l‟ottenimento della concordanza preventiva da parte della Funzione di
Compliance costituisce una condizione necessaria per il rilascio della nuova normativa
 L‟attività di allineamento normativo viene infatti effettuata in modo «selettivo» adottando un
approccio c.d. risk based che prevede la selezione della normativa sulla base di una valutazione
dell‟esposizione al rischio di commissione dei reati presupposto del Decreto 231/2001
12
Gestione nel tempo del Modello
La responsabilità del presidio del rischio 231/01 è condivisa fra più strutture della Banca, per
quanto di competenza
PRIMA
LINEA DI
PRESIDIO

Legale e Contenzioso: evidenze su principali aggiornamenti normativi e aspetti
interpretativi delle norme e collaborazione all‟aggiornamento

Organizzazione: definizione struttura e processi organizzativi e adeguamento
normativa interna
Risorse Umane: formazione e sistema sanzionatorio


Datore di Lavoro (D.Lgs. 81/08) e Committente (D.Lgs. 81/08): evidenza su
insorgenza fattori di rischio in materia di sicurezza sul lavoro e normativa cantieri e
proposta delle modifiche organizzative e procedurali ai fini del presidio di tali rischi

Compliance: presidio del rischio 231/01: definizione e aggiornamento del Modello,
monitoraggio della sua efficacia, verifica della conformità dei processi ai principi
del Modello.
CONTROLLI
DI
SECONDO 
LIVELLO

CTR. TERZO

LIVELLO
Antiriciclaggio: controlli in ambito antiriciclaggio
Risk Management: processo di valutazione dei rischi operativi
Internal Audit: controlli su ambiti operativi e supporto all‟OdV
13
Estensione Modello a società del Gruppo
Principi
 La presenza di un gruppo non fa venir meno l‟onere di ogni singola società di dotarsi di un
autonomo sistema di prevenzione dei rischi di reato, adottando un modello ritagliato sulle proprie
peculiarità
 È necessario che le singole società valutino in autonomia quale sia l‟assetto organizzativo più
idoneo in relazione alla propria realtà operativa
 La capogruppo non può quindi sostituirsi alle singole società nell‟assumere le decisioni relative
all‟adozione ed all‟attuazione del modello.
 Peraltro, nell‟ambito dei poteri di indirizzo e controllo che le spettano anche sulla base della
normativa di Vigilanza, la Capogruppo ha il potere-dovere di:
Stabilire delle linee guida di gruppo cui le società devono attenersi nell‟adozione dei propri
modelli;
Chiedere a tutte le società del gruppo di adottare un proprio modello, sulla base delle linee
guida definite, da adattare ovviamente alle rispettive realtà aziendali
Verificare l‟effettiva adozione del modello da parte delle società del gruppo ed il rispetto delle
predette linee guida
Esigere flussi informativi dalle società
Garantire uniformità di interpretazione della normativa
14
Estensione Modello a società del Gruppo
 Definizione, sulla base del Modello di Capogruppo, delle linee guida relative ai Modelli 231 delle
Società del Gruppo con particolare focus su:

Composizione dell‟Organismo di Vigilanza nelle società controllate tenendo conto sia dei
più recenti orientamenti in materia, sia delle strutture di governance delle stesse

Regolamentazione dei flussi informativi tra la Capogruppo e le società controllate

Definizione dei Protocolli tenendo conto delle specificità aziendali e delle aree di rischio
individuate
 Trasmissione alle società controllate dei “Principi di indirizzo di gruppo in materia di
responsabilità amministrativa degli enti” cui le società stesse devono attenersi sia in sede di
adozione che ai fini dell‟attuazione/gestione del Modello.
15
Estensione Modello a società del Gruppo

In base alle Linee Guida di Capogruppo nell‟ambito delle sue funzioni di direzione e
coordinamento, ogni società del Gruppo ISP:

adotta un proprio Modello attenendosi ai principi e ai contenuti del Modello di Capogruppo
ed adattandoli alle proprie specificità

provvede tempestivamente alla nomina dell‟Organismo di Vigilanza

assicura il sistematico aggiornamento del Modello

predispone piani di formazione e di comunicazione

adotta un idoneo presidio dei «processi sensibili»

avvia, con cadenza annuale, il processo di autodiagnosi sulle attività svolte

fornisce alla funzione Compliance di Capogruppo copia delle relazioni periodiche
presentate dalla funzione di conformità all‟Organismo di Vigilanza

fornisce al Comitato per il Controllo di Capogruppo copia delle Relazioni periodiche
presentate dall‟OdV al CdA
16
Modelli delle Società appartenenti al Gruppo ISP
Composizione dell’Organismo di Vigilanza – scelta iniziale
 Organismo di Vigilanza distinto per ogni società
 Nel caso di società che svolgano attività complesse ovvero abbiano rilevanti dimensioni o
che presentino un elevato rischio 231 si è optato per una composizione collegiale di 3
membri:
 Amministratore
non esecutivo e indipendente (o sindaco ove non vi sia un
amministratore con tali caratteristiche)
 Responsabile Audit
 Membro
o soggetto delegato in caso di funzione svolta in outsourcing
esterno
 I componenti diversi dal Responsabile Audit devono avere specifici requisiti di
indipendenza e professionalità, oltre che di onorabilità
 Si è previsto un membro supplente (da identificarsi in un sindaco supplente) che
subentrerebbe nei casi di conflitto di interessi e/o di sospensione di un membro dell‟OdV
 Sono state previste altre composizioni (anche monocratiche) per le società che non
abbiano le caratteristiche sopra indicate
17
Le esigenze di semplificazione
L‟esperienza applicativa ha fatto emergere, oltre che alcuni spunti di attenzione nel funzionamento degli
OdV, anche esigenze di semplificazione organizzativa, specie nelle Banche del territorio
Reporting
Comitato per il Controllo
OdV
Informativa a
evento
INTESA SANPAOLO

CdA
OdV 231
Referente Audit
Collegio
(AD/DG)
Sindacale






Internal Audit
Compliance
Eccessivo frazionamento meccanismi di
controllo/governance
Responsabile
Antiriciclaggio
18
CdA + Collegio Sindacale
OdV 231/01
Referente Audit (se in service)
Referente Compliance (se in service)
Comitato Audit (in certi casi)
Rendicontazione
plurima
per
Compliance e Resp. Antiriciclaggio
Audit,
Il collegio sindacale con funzioni di OdV

In un‟ottica di:
- semplificazione e razionalizzazione delle strutture di controllo nelle controllate
- efficientamento delle attività delle strutture di Audit, di Compliance e di Antiriciclaggio
- maggiore efficacia del presidio 231/01,
si è deciso di avvalersi nell‟ambito delle società controllate della possibilità introdotta dalla legge
183/2011, attribuendo ai Collegi Sindacali i compiti di Organismo di Vigilanza.

In analogia a quanto già accade in ISP, viene assicurata un‟adeguata separatezza (in termini di
convocazione, verbalizzazione, ecc.) e tracciabilità delle attività svolte dal Collegio Sindacale quale
OdV.

Considerato che gli OdV hanno normalmente una durata correlata a quella dei Consigli che li hanno
nominati, si è ritenuto opportuno procedere, in linea generale, alla modifica organizzativa rispettando
la naturale scadenza dei vari Organismi.

Il Responsabile dell‟Audit della controllata non fa parte dell‟OdV, ma viene convocato a tutte le
riunioni in cui il Collegio Sindacale si riunirà in veste di OdV.

I membri supplenti del Collegio Sindacale fungono anche da supplenti per l‟OdV.

Avute presenti le indicazioni della migliore dottrina e giurisprudenza circa i requisiti che debbono
essere posseduti dagli OdV (come organi) e dai loro componenti, si è ritenuto opportuno prevedere
espressamente nei modelli che almeno uno dei membri del Collegio Sindacale abbia particolari
requisiti di professionalità specifica in aggiunta a quelli già richiesti dalle diverse normative di settore
di volta in volta applicabili a seconda della natura e dell‟attività della singola controllata.

Le funzioni di OdV sono state attribuite dall‟assemblea, ferma restando la competenza del CdA sul
Modello 231
19
Il collegio sindacale con funzioni di OdV

Il Comitato per il Controllo di Capogruppo ha promosso la predisposizione delle «Linee
Operative per i Collegi Sindacali delle società controllate italiane del Gruppo Intesa
Sanpaolo», ad adozione volontaria, con le quali viene fornito un supporto operativo ai Collegi
Sindacali, nel rispetto della loro autonomia

Il documento è stato aggiornato alla luce del nuovo ruolo del Collegio Sindacale in qualità di
OdV

L‟ultima edizione delle «Linee Operative» è stata presentata in data 4 ottobre 2012 nel corso di un
convegno cui hanno preso parte alcuni esponenti del Consiglio di Sorveglianza, i Collegi
Sindacali che avevano già assunto il ruolo di OdV e i Presidenti dei Collegi Sindacali delle altre
società controllate, oltre ai rappresentanti delle funzioni interne deputate al presidio dei rischi
231.
20