parte generale
Transcript
parte generale
MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO ai sensi del decreto legislativo 8 giugno 2001 n. 231 approvato dal Consiglio di Amministrazione nella seduta del 31/03/2011 PARTE GENERALE SOMMARIO DEFINIZIONI PER IL PRESENTE DOCUMENTO ...................................................................................................................... 2 1. IL DECRETO LEGISLATIVO N. 231/2001 .................................................................................................................. 2 1.1. Il regime di responsabilità amministrativa previsto a carico delle persone giuridiche, società e associazioni............................. 2 1.2. Excursus normativo ed estensione del Decreto........................................................................................................................................ 3 1.3. Il «Modello di Organizzazione, Gestione e Controllo» quale possibile esimente della responsabilità amministrativa................ 4 1.4. Destinatari del Modello................................................................................................................................................................................. 5 1.5. Le Linee Guida e le fonti per la redazione dei modelli organizzativi ..................................................................................................... 6 1.6. Il Codice Etico e le parti di cui si compone il Modello.............................................................................................................................. 6 2. LA STRUTTURA ORGANIZZATIVA E IL SISTEMA DI CONTROLLO INTERNO....................................................... 6 2.1. Definizioni generali ....................................................................................................................................................................................... 6 2.2. Il contesto aziendale..................................................................................................................................................................................... 7 2.3. La struttura organizzativa............................................................................................................................................................................ 8 2.4. Il sistema delle procure, delle deleghe e delle autorizzazioni ............................................................................................................... 9 2.5. La certificazione di qualità, le procedure aziendali e il Manuale della Qualità.................................................................................. 10 2.6. Il sistema informativo................................................................................................................................................................................. 11 2.7. La gestione delle risorse finanziarie......................................................................................................................................................... 11 3. IL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO......................................................................... 12 3.1. Accreditamenti e certificazioni di ISFOR 2000 ....................................................................................................................................... 12 3.2. L’oggetto sociale di ISFOR 2000, l’assetto societario e le partecipazioni azionarie. ....................................................................... 13 3.3. La funzione del Modello per ISFOR 2000................................................................................................................................................. 14 3.4. La struttura del Modello di ISFOR 2000: Parte Generale e Parte Speciale ........................................................................................ 15 3.5. L’adozione del Modello ............................................................................................................................................................................... 17 3.6. Il Documento di Analisi dei Rischi ............................................................................................................................................................ 17 3.7. L’analisi dei conti economici ...................................................................................................................................................................... 18 3.8. Compliance sulle procedure esistenti alla luce delle vicende storiche di interesse del d.lgs n.231/2001 ................................... 19 4. L’ORGANISMO DI VIGILANZA ................................................................................................................................ 20 4.1. Compiti e funzioni dell’Organismo di Vigilanza di ISFOR 2000. .......................................................................................................... 20 4.2. Requisiti dell’Organo di Vigilanza ............................................................................................................................................................. 21 4.3. Nomina, durata e cessazione dell’OdV ..................................................................................................................................................... 21 4.4. Requisiti per la nomina, ineleggibilità ed incompatibilità dei membri dell’OdV................................................................................ 21 4.5. Indipendenza dell’OdV e risorse per il suo funzionamento .................................................................................................................. 22 4.6. Piano delle attività, rapporto consuntivo periodico e reporting in itinere agli organi societari ..................................................... 22 4.7. Il reporting verso l’Organismo di Vigilanza............................................................................................................................................. 22 4.8. Verbalizzazione e archiviazione dei documenti ...................................................................................................................................... 23 5. LA DIFFUSIONE DELLA CONOSCENZA DEL MODELLO...................................................................................... 24 5.1. La formazione del personale...................................................................................................................................................................... 24 5.2. L’informativa a Collaboratori esterni e Partner ...................................................................................................................................... 24 6. IL SISTEMA DISCIPLINARE..................................................................................................................................... 24 6.1. La funzione del sistema disciplinare......................................................................................................................................................... 24 6.2. Le misure nei confronti dei lavoratori dipendenti .................................................................................................................................. 25 6.3. Le misure nei confronti di dirigenti, amministratori, sindaci e organi di controllo........................................................................... 26 6.4. Clausola di manleva per i membri dell'OdV di ISFOR 2000 .................................................................................................................. 26 6.5. Le misure nei confronti dei collaboratori esterni ................................................................................................................................... 26 7. LE VERIFICHE SULL’ADEGUATEZZA DEL MODELLO ......................................................................................... 27 1 DEFINIZIONI per il presente documento • «Società» o «Ente» o «Istituto»: ISFOR 2000 S.C.p.A.; • «Modello»: il presente Modello di organizzazione aziendale ex d.lgs 231/2001 di ISFOR 2000; • «Decreto»: decreto legislativo n. 231/2001; • «Organismo di Vigilanza» o «OdV»: organismo interno preposto alla vigilanza sul funzionamento e sull’osservanza del Modello e al relativo aggiornamento; • «CdA»: Consiglio di Amministrazione di ISFOR 2000; • «collaboratori esterni o consulenti»: soggetti che non sono legati alla società da rapporto di subordinazione, ma da un rapporto contrattuale di cooperazione e collaborazione per la realizzazione degli scopi sociali; • «partner»: istituzioni locali e soggetti di rappresentanza-economico sociale con i quali la società instauri significativi rapporti di collaborazione anche contrattualizzati (ATS o ATI, consorzi, accordi di partenariato per la gestione di progetti, convenzioni etc.); • «P.A.»: Pubblica Amministrazione compresi gli enti pubblici economici e gli organismi di diritto pubblico secondo la giurisprudenza nazionale e comunitaria; • «stakeholders»: i soggetti portatori di interessi nei confronti della società; • «corporate governance»: le regole di direzione e di controllo della società; • «gap analysis»: processo di identificazione delle lacune del sistema alle quali porre rimedio con azioni di miglioramento del sistema di controllo interno; • «as-is analysis»: processo di identificazione delle procedure e attività aziendali in essere che possono condurre alla commissione di reati tutelati dal D.Lgs. n.231/2001; • «operazione sensibile»: operazione ritenuta a rischio di commissione di reati tutelati dal D.Lgs. n. 231/2001; • «processi sensibili»: procedure e attività aziendali che possono condurre alla commissione di reati tutelati dal D.Lgs. n.231/2001; • «controllo» o «protocollo»: specifica procedura per la prevenzione dei reati e per l’individuazione dei soggetti coinvolti nelle fasi a rischio dei processi aziendali; • «Reati»: i reati ai quali si applica la disciplina prevista dal D.Lgs. n.231/2001; 1. IL DECRETO LEGISLATIVO N. 231/2001 1.1. Il regime di responsabilità amministrativa previsto a carico delle persone giuridiche, società e associazioni Il decreto legislativo 8 giugno 2001, n. 231 (“disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”), a norma della legge n. 300 del 2000, ha per la prima volta introdotto nel nostro ordinamento la responsabilità in sede penale delle persone giuridiche, che si affianca a quella della persona fisica che ha realizzato materialmente il reato. Lo scopo è di coinvolgere, tramite meccanismi sanzionatori (pene pecuniarie ed interdittive), il patrimonio dell’ente e gli interessi dei soci al verificarsi di reati compiuti da amministratori e dipendenti nell’interesse o a vantaggio della società. L’innovazione normativa (che ha disapplicato il consolidato principio “societas delinquere non potest”) obbliga pertanto tutti i soggetti direttamente interessati alla situazione patrimoniale dell’ente (soci, partner,…) a rafforzare il controllo sul rispetto della legalità nelle attività gestite dalla società stessa. La responsabilità delineata dalla norma, nonostante sia definita “amministrativa”, ha caratteristiche tipiche della responsabilità penale; il sistema processuale adottato è infatti quello previsto per le condotte penalmente rilevanti. 2 «Tale responsabilità – recita la relazione di accompagnamento al Decreto - poiché conseguente da reato e legata (per espressa volontà della legge delega) alle garanzie del processo penale, diverge in non pochi punti dal paradigma dell’illecito amministrativo ormai classicamente desunto dalla legge 689/1981, con la conseguenza di dare luogo ad un tertium genus che coniuga i tratti essenziali del sistema penale e di quello amministrativo nel tentativo di contemperare le ragioni dell’efficacia preventiva con quelle, ancor più ineludibili, della massima garanzia». La responsabilità amministrativa è autonoma, ma è la conseguenza della condotta di un soggetto persona fisica, nei casi in cui tale azione sia riconducibile ad un reato previsto dal decreto. La responsabilità dell’ente è configurabile nei casi in cui: • sia stato commesso un reato contemplato dal decreto; • tale reato sia stato commesso nell’interesse o a vantaggio dell’ente; • l’autore del reato sia un soggetto in posizione cosiddetta «apicale» o sia un soggetto cosiddetto «sottoposto». La condizione che il reato sia commesso nell’interesse o a vantaggio dell’ente consente di escludere la responsabilità della società qualora l’autore del reato abbia commesso il fatto esclusivamente al fine di perseguire un interesse personale o di terzi. L’interpretazione giurisprudenziale più recente aggrava la posizione dei soggetti “apicali” autori di reati di cui al d.lgs 231/2001, considerata la loro immedesimazione organica con la persona giuridica dell’ente. Nel loro caso si presume l’interesse o il vantaggio dell’ente, al quale si chiede pertanto di provare la tesi contraria, subentrando il meccanismo dell’onere della prova. È utile pertanto precisare che, ai sensi dell’art. 5 lettera a) del Decreto, i soggetti in posizione apicale sono «coloro che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonché coloro che esercitano, anche di fatto, la gestione e il controllo dell’ente». La lettera b) del medesimo articolo definisce soggetti “sottoposti” «coloro che sottostanno alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)». 1.2. Excursus normativo ed estensione del Decreto Il Decreto è entrato in vigore inizialmente per dare attuazione agli impegni alla lotta alla corruzione internazionale assunti dallo stato italiano con la ratifica di alcuni accordi internazionali (in particolare la Convenzione di Bruxelles del 26 maggio 1997 e la “Convenzione OCSE del 17 dicembre 1997. Per questo motivo in un primo tempo le fattispecie di reato affrontate riguardavano solo reati contro la Pubblica Amministrazione: malversazione a danno dello Stato o di altro ente pubblico (art. 316-bis c.p.); indebita percezione di contributi, finanziamenti o altre erogazioni da parte dello Stato o di altro ente pubblico (art. 316-ter c.p.); truffa in danno dello Stato o di altro ente pubblico (art. 640, 2° comma, n. 1 c.p.); truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640-bis c.p.); frode informatica in danno dello Stato o di altro ente pubblico (art. 640-ter c.p.); corruzione per un atto d’ufficio (art. 318 c.p.); istigazione alla corruzione (art. 322 c.p.); corruzione per un atto contrario ai doveri d’ufficio (art. 319 c.p.); corruzione in atti giudiziari (art. 319-ter c.p.); concussione (art. 317 c.p.). In seguito il decreto ha subito numerose modifiche, sia per rafforzare la tutela di norme nazionali preesistenti ritenute meritevoli di particolare cogenza, sia per la sopravvenuta ratifica di convenzioni internazionali. Si configura pertanto come una norma in continua espansione che, in attuazione della delega contenuta nell’art. 11 della legge n. 300/2000, dovrà disciplinare anche la categoria dei reati in materia di tutela ambientale e del territorio e dei reati relativi alla tutela dell’incolumità pubblica. In sintesi, successivamente alla sua promulgazione: a) la legge 23 novembre 2001 ha aggiunto al decreto l’art. 25 bis relativo ai reati di falso in moneta, carte di credito e valori bollati; b) il d. lgs. 61/2002, con l’inserimento dell’art. 25 ter, ha esteso la responsabilità dell’ente ai reati societari previsti dal codice civile (falsità nelle comunicazioni sociali, falso in prospetto, impedito controllo, illecite operazioni sul capitale, ostacolo all’esercizio delle funzioni delle autorità pubbliche di vigilanza, indebita influenza sull’assemblea); c) la legge di ratifica ed esecuzione della “Convenzione internazionale per la repressione del finanziamento del terrorismo fatta a New York il 9 dicembre del 1999” del 27 gennaio 2003 n°21 con l’art 25 quater, ha introdotto i reati relativi al terrorismo e all’eversione dell’ordine democratico; 3 d) la legge n. 228 dell’11 agosto 2003 ha introdotto all’art. 25 quinquies i reati relativi alla tratta delle persone; e) la legge n. 62 del 2005 ha ampliato la sfera di responsabilità degli enti anche ai casi di reati di manipolazione del mercato ed insider trading (art. 25 sexies); f) la legge 16 marzo 2006, n. 146, "Ratifica ed esecuzione della Convenzione e dei Protocolli delle Nazioni Unite contro il crimine organizzato transnazionale, adottati dall’Assemblea generale il 15 novembre 2000 ed il 31 maggio 2001" all’art. 10 ha esteso la responsabilità amministrativa dell’ente anche per i reati di associazione per delinquere, associazioni per delinquere finalizzate al contrabbando di tabacchi lavorati esteri o finalizzati al traffico illecite di sostanze stupefacenti o psicotrope, associazione di tipo mafioso, favoreggiamento personale, riciclaggio, impiego di denaro, beni o utilità di provenienza illecita ed in materia di immigrazione clandestina; g) la legge n. 123 del 3 agosto 2007 con l’art. 9 ha aggiunto al Decreto 231 l’art. 25 septies che prevede la responsabilità amministrativa dell’ente per i reati di omicidio colposo (art. 589 c.p.) e lesioni personali colpose (art. 590 c.p.) commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul luogo di lavoro; h) con l’attuazione da parte del Governo della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, nonché della direttiva 2006/70/CE che ne reca misure di esecuzione, è stato introdotto nella disciplina del D. Lgs. 231/2001 con il D. Lgs. 231 del 2007, l’art. 25 octies, che prevede la responsabilità degli enti per i reati di ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita di cui agli artt. 648, 648 bis e 648 ter del codice penale. i) il 27 febbraio 2008 il Senato ha approvato il disegno di legge di ratifica ed esecuzione della Convenzione del Consiglio d’Europa sulla criminalità informatica, che ha introdotto l’art. 24 bis al Decreto 231/01, intitolato “Delitti informatici e trattamento illecito dei dati”. j) la legge del 15 luglio 2009, n. 94 ha introdotto l’art. 24-ter relativo ai ”Delitti di criminalità organizzata”; k) la legge del 23 luglio 2009, n. 99 ha introdotto l’art. 25-bis 1 “Delitti contro l’industria ed il commercio” e l’art. 25 novies “Delitti in materia di violazione del diritto d’autore”; l) la legge n. 116 del 3 agosto 2009 (pubblicata sulla G.U. n. 188 del 14 agosto 2009), "Ratifica ed esecuzione della Convenzione dell'Organizzazione delle Nazioni Unite contro la corruzione, adottata dalla Assemblea generale dell'ONU il 31 ottobre 2003 con risoluzione n. 58/4, firmata dallo Stato italiano il 9 dicembre 2003, nonché norme di adeguamento interno e modifiche al codice penale e al codice di procedura penale", all'art. 4 ha introdotto nel D. Lgs. 231/01 l'art. 25-novies2 "Induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria". Per una più estesa descrizione dei reati la cui commissione comporta la responsabilità amministrativa dell’ente si rimanda alla tabella reati contenuta nella Parte Speciale del Modello. 1.3. Il «Modello di Organizzazione, Gestione e Controllo» quale possibile esimente della responsabilità amministrativa L’adozione e l’efficace attuazione di modelli di organizzazione, gestione e controllo idonei a prevenire gli illeciti penali considerati, costituisce una possibile forma di esonero dell’ente dalla responsabilità e dalle relative sanzioni pecuniarie ed interdittive purché sia evidente o si possa dimostrare che il Modello introdotto consente di: - individuare le attività che possono condurre alla commissione dei reati tutelati dalla norma; - prevedere protocolli specifici finalizzati a programmare la formazione e l’attuazione delle decisioni dell’Ente in relazione ai reati da prevenire; - individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione di tali reati; - individuare un organismo a cui affidare il compito di vigilare sul funzionamento e l’osservanza del Modello e di curarne l’aggiornamento (OdV); - prevedere obblighi di informazione nei confronti dell’organismo deputato a vigilare sul funzionamento e l’osservanza del Modello; - introdurre un sistema disciplinare interno idoneo a sanzionare il mancato rispetto delle misure indicate nel Modello. 4 Il legislatore, nel disciplinare il modello «di salvaguardia» che consente di escludere le sanzioni conseguenti ad un reato contemplato dal decreto, fa riferimento ad un adeguato sistema di prevenzione e di controllo interno tale da non poter essere aggirato se non intenzionalmente da parte del soggetto operante nell’ambito dell’ente (art. 6, comma 1, lett.c del decreto). Ne consegue che il sistema di controllo preventivo posto in essere dall’azienda deve: - escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali; - evitare che il reato possa essere causato da errore, negligenza o imperizia nella valutazione delle direttive aziendali. Benché il decreto richiami la natura facoltativa del modello, è evidente che la mancata adozione esponga patrimonialmente l’ente in relazione ad un considerevole elenco di reati. Nel caso di ISFOR 2000, la mancata adozione comporterebbe altresì un danno economico e di immagine in quanto l’adeguamento al d.lgs n. 231/2001 costituisce requisito essenziale per il mantenimento dell’accreditamento Regionale ad erogare servizi di istruzione e formazione professionale (decreto 5808 del 8.6.2010 in attuazione della DGR VIII/10882 del 23.12.2009). L’ art. 6, comma 3, del decreto prevede che i modelli organizzativi possano essere realizzati ed adottati sulla base di codici di comportamento redatti dalle associazioni di categoria rappresentative degli enti (es. Linee guida per la costruzione dei Modelli di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001 di Confindustria). Tuttavia è opportuno considerare che l’adozione di uno standard aziendale contemplato dalle citate linee guida conferisce al modello un’idoneità puramente teorica, poiché l’ente deve essere in grado di dimostrare non soltanto l’adozione di un modello organizzativo, ma anche l’attuazione e la perfetta attinenza dello stesso con le caratteristiche peculiari della società. 1.4. Destinatari del Modello I destinatati del presente Modello sono i soggetti individuati rispettivamente alle lett. a) e b) del comma 1 art. 5 del Decreto, ossia: a) “persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente (o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale) nonché da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso”; b) “persone sottoposte alla direzione o alla vigilanza di uno dei soggetti di cui alla lettera a)”. A titolo meramente esemplificativo, si citano: - soci ed amministratori; - personale dirigente che opera in nome e per conto dell’ente; - lavoratori dipendenti e figure ad essi assimilate (subordinati e parasubordinati); Ai sensi del decreto, infatti, l’ente è ritenuto responsabile solo per i reati commessi nel suo interesse o a suo vantaggio dai soggetti di cui sopra. Tuttavia, poiché astrattamente è possibile che si configuri una coincidenza di interessi nella commissione dei reati anche da parte di collaboratori esterni, intesi come persone fisiche o giuridiche (in particolare docenti o fornitori di servizi in outsourcing), è opportuno che l’Ente vincoli gli stessi al rispetto di specifiche prescrizioni. In particolare, il Modello prevede l’applicazione di protocolli di prevenzione del rischio per tutti coloro che a qualunque titolo cooperano con l’Istituto nell’ambito dei processi sensibili, sanzionandone la mancata applicazione o la violazione con modalità differenti a seconda del rapporto contrattuale che li lega all’ente. Gli stessi membri dell’OdV, del Collegio Sindacale o i revisori esterni potranno essere revocati dai loro incarichi per gravi violazioni del Modello come previsto da apposite clausole contrattuali. Per maggiori dettagli si rinvia al Documento di Analisi dei Rischi e alla sezione del presente Modello. 5 1.5. Le Linee Guida e le fonti per la redazione dei modelli organizzativi Ai sensi dell’art. 6 comma 3 del Decreto, i Modelli possono essere adottati sulla base dei codici di comportamento o linee guida, redatte dalle associazioni di categoria rappresentative degli enti e preventivamente comunicate al Ministero di Giustizia. Il presente Modello Organizzativo, dovendo disciplinare un ente accreditato ai servizi formativi presso la Regione Lombardia, è stato formulato in conformità: - alle “Linee Guida Regionali per la definizione di modelli di organizzazione, gestione e controllo degli enti accreditati che erogano servizi nell’ambito della filiera istruzione–formazione-lavoro” - e alle prescrizioni o indicazioni contenute in recenti decreti, circolari o note regionali (per tutti: dGR 58080 del 8.6.2010). - Sono state inoltre seguite le indicazioni contenute nelle «Linee guida per la costruzione dei Modelli di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001» di Confindustria, prima associazione di categoria ad aver emanato linee guida nel 2002 (poi modificate nel 2004 ed infine a marzo 2008). Si è tenuto conto inoltre della giurisprudenza sviluppatasi a seguito dell’entrata in vigore del Decreto, nonché delle buone prassi pubblicate da associazioni di categoria o professionali competenti in materia (ad es., Position Papers dell’Associazione Italiana Internal Auditors). Oltre alle scritture societarie e alla documentazione ufficiale (statuto, bilancio, procure e verbali CdA), molti dati, in particolare per la suddivisione in processi, sono stati desunti dal Manuale della Qualità, mentre la struttura organizzativa interna il riferimento è l’organigramma aggiornato a marzo 2011. La coerenza tra dati, documenti ufficiali e la prassi aziendale è stata appurata con interviste mirate e questionari, atti a fornire altresì informazioni di dettaglio contestualizzate. 1.6. Il Codice Etico e le parti di cui si compone il Modello L’efficacia del sistema di controllo interno dipende in primo luogo dall’applicazione e condivisione di principi etici e di regole comportamentali chiare da parte di dipendenti, amministratori e soggetti preposti al monitoraggio dei controlli. Conseguentemente assume particolare importanza l’adozione e la diffusione del codice etico, che costituisce un elemento essenziale per la definizione di un modello adeguato. Le regole di comportamento e i principi etici sottesi al presente Modello sono coerenti con il Codice Etico, approvato il 20/12/2010 e non contrastano con le strategie, la vision e la mission definite nelle scritture societarie. Il Codice Etico è considerato parte integrante del Modello Organizzativo: ne consegue che qualsiasi modifica apportata ad uno od all’altro documento deve necessariamente comportare la verifica di compatibilità per le eventuali modifiche. Il Modello Organizzativo è sua volta composto da una Parte Generale e da una Parte Speciale contenente il Documento di Analisi dei Rischi, la Tabella dei Reati e la Mappa dei Processi Sensibili. Si tratta di un unico corpus normativo destinato a ridurre al minimo il rischio di commissione dei reati d.lgs 231/2001: è pertanto creato su misura dell’Ente a cui deve costantemente adattarsi, con aggiornamenti frequenti quanto lo sono le vicende societarie rilevanti ai fini del Decreto. 2. LA STRUTTURA ORGANIZZATIVA E IL SISTEMA DI CONTROLLO INTERNO 2.1. Definizioni generali Prima di descrivere l’insieme dei meccanismi aziendali che costituiscono o rafforzano i “filtri” attraverso i quali si attua una limitazione o un abbattimento del rischio di commissione di reati di cui al d.lgs 231/2001 nelle aree “sensibili” della società, è opportuna qualche precisazione terminologica. 6 Il sistema di controllo interno è definibile come l’insieme dei processi attuati dal Consiglio di Amministrazione, dal management e dal personale di una organizzazione, finalizzato a garantire con ragionevole affidabilità: - l’efficacia ed efficienza delle attività operative; - la correttezza delle informazioni contabili e finanziarie ai fini interni e nei confronti dei terzi; - la conformità alle leggi, ai regolamenti, alle norme e alle politiche interne. Il sistema di controllo interno aziendale può essere analizzato distinguendo tra: - elementi di «struttura» quali l’ambiente in cui opera il sistema di controllo interno, la struttura organizzativa, il sistema informativo; - elementi di «processo», ovvero le attività di monitoraggio che devono essere svolte quali l’identificazione e valutazione dei rischi, la definizione delle attività di controllo e la loro gestione. 2.2. Il contesto aziendale Nella predisposizione del presente Modello è stato analizzato il sistema di controllo interno di ISFOR 2000, costituito dall’ambiente in cui si trova ad operare la struttura organizzativa la quale esprime gli organi aziendali, le funzioni loro assegnate (direttive, esecutive, deleghe e responsabilità) e le relazioni tra i diversi organi (definizione delle gerarchie e dei livelli in cui si compone verticalmente la struttura). Questi elementi di struttura, unitamente agli elementi di processo cioè l’insieme delle procedure e dei sistemi di controllo operanti in azienda, consentono di verificare l’idoneità del sistema di controllo di ISFOR 2000 a monitorare i processi sensibili per la prevenzione dei reati contemplati dal Decreto. Nell’indagare l’ambiente di controllo nell’Ente è stato esaminato il ruolo e l’efficacia dei seguenti elementi: - la struttura organizzativa; - le procedure aziendali; - il sistema delle deleghe e delle procure; - il sistema di controllo di gestione; - la certificazione di qualità; - il sistema informativo; - il Codice Etico; - la gestione delle risorse finanziarie; - il collegio sindacale - il RSPP Tali elementi misurano la sensibilità verso il controllo da parte del CdA, dei dirigenti, dei dipendenti e dei collaboratori in genere. E’ opportuno evidenziare che ISFOR 2000 eroga principalmente servizi di formazione già proceduralizzati nel sistema di gestione qualità, disciplinati da norme o regolamenti della PA o dei Fondi Paritetici finanziatori e condivisi con le Istituzioni locali, con gli organismi o associazioni di categoria che usufruiscono dei servizi erogati dall’Ente. Dall’analisi della documentazione societaria e dalle interviste effettuate ai soggetti apicali e ai dipendenti (in particolare quelli aventi responsabilità o autonomia in processi sensibili) è emerso un clima aziendale di condivisione, motivazione e responsabilizzazione del personale interno. Apicali e loro sottoposti sono in numero limitato e in servizio presso la società da diversi anni. Il turn over basso ha perciò determinato una conoscenza radicata e diffusa delle strategie e dei metodi organizzativi e di produzione dei servizi erogati. Sebbene talvolta non dettagliatamente formalizzate, le procedure sono standardizzate e conosciute o conoscibili da tutti i dipendenti. La condivisione, la flessibilità e la cooperazione dei diversi soggetti nell’ambito del medesimo ufficio o di un medesimo processo, realizza un controllo “di fatto” tra funzioni o all’interno di esse tale da non richiedere un’alta frequenza di verifiche ispettive interne. Queste caratteristiche, giustificano l’assenza di una figura che si dedichi esclusivamente all’internal auditing, alla compliance o al controllo di gestione. 7 La stabilità nella struttura direttiva e il raggiungimento degli obiettivi strategici e di risultato economicogestionale hanno consolidato un clima di fiducia e di rispetto tra Consiglio di Amministrazione e Amministratore Delegato dimostrato da un numero di sedute del CdA sufficienti ma non eccessivamente frequenti nel corso dell’anno. Dal punto di vista economico-contabile l’Istituto è costantemente monitorato da un collegio sindacale i cui membri sono revisori contabili e da revisori esterni preposti alla certificazione della rendicontazione e della correttezza degli aspetti contabili dei progetti finanziati. 2.3. La struttura organizzativa La governance dell’Ente è affidata a: Assemblea dei soci: competente a deliberare in materia di ordinaria e straordinaria amministrazione, sulle materie alle stesse riservate dalle legge e dallo Statuto. Si riunisce almeno una volta all’anno in seduta ordinaria ed è presieduta dal Presidente del CdA o dal Vice Presidente più anziano; Consiglio di amministrazione: delinea gli indirizzi strategici dell’Istituto e ne valuta periodicamente l’andamento economico finanziario, l’attività e gli orientamenti strategici. E’ investito dei più ampi poteri per la gestione ordinaria e straordinaria della società senza alcuna limitazione e potrà quindi compiere tutti gli atti esclusi quelli che non siano dalla legge tassativamente riservati alla competenza dell’assemblea (art 24 dello Statuto). Può nominare, da Statuto, uno più amministratori delegati, ma anche, eventualmente un Comitato Esecutivo, un Comitato Tecnico Scientifico o istituire commissioni per singoli problemi scientifici. Il Cda può essere composto da un minimo di 5 ad un massimo di 19 membri. Attualmente i membri sono 17, in rappresentanza di: Associazione Industriale Bresciana, Camera di Commercio di Brescia, Collegio Costruttori Edili di Brescia e provincia, Confartigianato Unione di Brescia, Provincia di Brescia, Gruppo A2A, Unicredit Group, Intesa San Paolo, UBI Banco di Brescia; Presidente del Consiglio di amministrazione: presiede il CdA (in sua assenza, le riunioni sono coordinate da un vice presidente) pertanto si occupa delle funzioni di indirizzo strategico ed economico. Firma e rappresenta la società di fronte ai terzi ed in giudizio, assieme all’amministratore delegato. Secondo lo Statuto, ha la facoltà di compiere tutti gli atti che ritenga opportuni per il conseguimento dell’oggetto sociale, compresi quelli di ordinaria amministrazione. Può contrarre linee di finanziamento con gli istituti bancari, perfezionare rapporti e compiere qualsiasi operazione di utilizzo dei crediti concessi. Il tutto con promessa di rato e valido e facoltà di delegare a terzi parte dei propri poteri; Amministratore Delegato: all’Amministratore Delegato spetta la direzione e il coordinamento della gestione aziendale. Per procura del CdA, tra i suoi compiti rientra: la gestione del personale, il coordinamento generale delle attività scientifiche e progettuali, la direzione di progetti finanziati da fondi UE; la stipula di contratti per servizi, forniture ed incarichi; la costituzione di ATS, la sottoscrizione di convenzioni, la negoziazione di operazioni bancari, il tutto con i più ampi poteri gestionali e con facoltà di delega per singoli poteri; Collegio sindacale: Il Collegio Sindacale si compone di tre membri effettivi e due sindaci supplenti, scelti tra gli iscritti nel registro dei revisori contabili istituito presso il Ministero della Giustizia. Il Collegio Sindacale ha i doveri ed i poteri previsti dagli articoli 2403 e ss. del codice civile ed esercita il controllo contabile con le funzioni stabilite dall'art.2409 - ter del cc. Tra i requisiti dei soci, lo Statuto dell’Ente prevede che gli azionisti consorziati debbano rivestire una delle qualità specificatamente definite dall’art 7, ossia rappresentare enti pubblici, fondazioni o associazioni con finalità scientifiche o culturali, imprese, banche o assicurazioni, consorzi o società consortili esercenti attività connesse o compatibili con l’oggetto sociale dell’Ente etc. Per quanto concerne il sistema di organizzazione della Società e del personale interno, esso si propone di rispettare i requisiti fondamentali di formalizzazione e chiarezza, di comunicazione e separazione dei ruoli, in particolare per quanto attiene l’attribuzione di responsabilità, di rappresentanza, di definizione delle linee gerarchiche per le attività operative. 8 ISFOR 2000 si dota pertanto di strumenti organizzativi (organigramma, funzionigramma-mansionario, piano delle deleghe e delle autorizzazioni, lettere di incarico) improntati ad una chiara identificazione e delimitazione dei ruoli, con una descrizione dei compiti di ciascuna funzione e dei relativi poteri. Di seguito si riporta l’organigramma istituzionale oggetto di approvazione da parte del CdA, mentre il funzionigramma che funge da raccordo con il Manuale della Qualità e con le definizioni dei ruoli delle risorse umane contemplati dall’accreditamento regionale, è reperibile nei documenti del Sistema di Gestione per la Qualità. [OMISSIS] 2.4. Il sistema delle procure, delle deleghe e delle autorizzazioni Premesso che, conformemente allo Statuto di ISFOR 2000, la firma e la rappresentanza legale della società di fronte ai terzi ed in giudizio spettano al Presidente del CDA e all’Amministratore Delegato, il Consiglio di amministrazione è l’organo preposto a conferire e a formalizzare le procure e i poteri di spesa, in coerenza con le responsabilità organizzative e gestionali del sistema organizzativo che emergono dall’organigramma aziendale. Il Consiglio di Amministrazione ha perciò formalmente conferito al Presidente del Consiglio di Amministrazione e all’Amministratore Delegato apposita procura triennale rinnovabile contestualmente alle altre cariche sociali. Per “procura” si intende il negozio giuridico unilaterale con cui la società attribuisce ad una funzione o ad una persona fisica espressamente identificata, poteri organizzativo-direttivi interni e poteri di rappresentanza nei confronti dei terzi fissando l’estensione dei poteri attribuiti anche ricorrendo a limiti di spesa numerici. Per “delega” si intende un’attribuzione formale, anche scritta, di poteri ed incarichi a svolgere particolari funzioni e compiti che abbiano rilevante riflesso nel sistema di organizzazione e comunicazione interna ed esterna all’ente. La delega è perciò di estensione adeguata e coerente con le funzioni del delegato. 9 I requisiti essenziali del sistema delle deleghe adottato dall’Ente sono i seguenti: a) le deleghe coniugano ciascun potere di gestione alla relativa responsabilità e ad una posizione adeguata nell’organigramma e sono aggiornate in conseguenza dei mutamenti organizzativi; b) ciascuna delega definisce in modo specifico ed inequivocabile i poteri del delegato e il soggetto (organo o individuo) a cui il delegato riferisce gerarchicamente; c) i poteri gestionali assegnati con le deleghe e la loro attuazione sono coerenti con gli obiettivi aziendali. L’Amministratore Delegato può inoltre riconoscere autorizzazioni a tempo indeterminato, temporanee o vincolate a controllo periodico ai titolari di mansioni aziendali che implichino la conoscenza e l’utilizzo di dati societari riservati o che comportino un impegno dell’Ente nei confronti dell’utenza esterna. Il sistema delle deleghe e delle autorizzazioni adottato dall’Ente ed inserito nel software di risk analysis citato nel documento di analisi del rischio, costituisce uno strumento di gestione efficace ai fini della prevenzione dei Reati. In linea di principio, il sistema delle deleghe consente di calare i poteri necessari al funzionamento aziendale dal Consiglio di Amministrazione al Presidente/Amministratore Delegato e, da quest’ultimo, ai vari delegati. Questo sistema deve essere caratterizzato da elementi di “sicurezza” ai fini della prevenzione dei Reati (rintracciabilità ed evidenziabilità delle Operazioni Sensibili) e, nello stesso tempo, consentire la gestione efficiente dell’attività aziendale. 2.5. La certificazione di qualità, le procedure aziendali e il Manuale della Qualità ISFOR 2000 è certificato UNI EN ISO 9001:2008. Il sistema di gestione per la qualità prevede le attività di controllo necessarie a verificarne in itinere la conformità e costituisce parimenti un supporto fondamentale all’affidabilità del sistema di controllo interno ai fini del D.lgs 231/01. I processi che si svolgono all’interno dell’Ente, finalizzati alla produzione del servizio formativo, sono stati formalizzati nel Manuale della Qualità in procedure caratterizzate da: - individuazione, all’interno di ciascun processo, del soggetto che ha funzione decisionale o responsabilità diretta, del soggetto che esegue e conclude il processo e del soggetto che lo controlla; - descrizione ed evidenza scritta di ciascun passaggio rilevante del processo; - adeguato livello di formalizzazione. Le procedure aziendali sono soggette a continue revisioni ed aggiornamenti da parte della funzione di Responsabile del Sistema Qualità (RSQ o RAQ) interno all’organizzazione aziendale. A titolo meramente esplicativo e non esaustivo si riporta un estratto del Manuale della qualità inerente alle verifiche ispettive interne: “Per quanto concerne l’audit condotto su tutto il Sistema Qualità, si precisa che, in considerazione del tipo di Organizzazione non complessa (sia per numero di dipendenti che per tipologie di funzioni), in un contesto lavorativo basato sulla flessibilità delle funzioni e sulla stretta interrelazione tra i diversi ruoli compresi quelli di coordinamento e di controllo, non si ritiene necessario innescare un processo complesso di verifiche interne comportante pianificazioni e report di audit strutturati. L’attività di verifica ispettiva si concretizza in un monitoraggio in itinere dei processi che il RSQ conduce durante tutta la programmazione affiancando e supportando il personale nella realizzazione di alcune attività, intervistando i referenti di ogni funzione e cogliendo da questi richieste, sollecitazioni, spunti per il miglioramento. Evidenze ed esiti di queste consultazioni possono essere parzialmente forniti con la raccolta di email scambiante tra RSQ e referenti interni, quale sintesi non esaustiva di una serie di interrelazioni verbali. Maggior evidenza degli audit condotti su tutti i processi è data nella relazione annuale di audit ove il RSQ sintetizza l’andamento del sistema qualità, evidenziando osservazioni per il miglioramento, criticità o non conformità che richiamano azioni correttive/preventive intraprese. La relazione di audit, accompagnata dalla documentazione di supporto in essa richiamata, funge da riferimento essenziale per il Riesame annuale della direzione e per il controllo che la direzione attiva nei confronti del RSQper le attività di sua competenza”. 10 2.6. Il sistema informativo La realizzazione di un sistema di controllo efficace non può prescindere da un efficace sistema informativo. Il sistema informativo di Isfor 2000 incide considerevolmente sul sistema di controllo interno in quanto il suo utilizzo è trasversale a tutti i processi ed ha maturato un significativo livello di informatizzazione con l’automazione di numerose procedure e l’ottimizzazione della relativa modulistica. L’attuale architettura informatica di Isfor 2000 si connota dunque per una progressiva razionalizzazione orientata al miglioramento continuo dei servizi prestati e dei supporti offerti al personale interno coinvolto nei processi. Per quanto attiene la sicurezza e la riservatezza dei dati trattati sono stati adottati provvedimenti utili alla salvaguardia e all’archiviazione dei dati sui server della rete aziendale e su copie di backup giornaliere custodite in luogo sicuro; l’accesso al dominio di rete aziendale e ai dati è gestita da apposite credenziali individuali, riservate e modificabili ogni 6 mesi; sono stati introdotti livelli di autorizzazione alla gestione degli archivi differenziati per categorie di dati e per mansioni degli operatori; l’accesso a internet è controllato da appositi apparati configurabili per concedere abilitazioni differenziate; i client, protetti in tempo reale da file ed email potenziamente infetti, sono sottoposti quotidianamente a scansione antivirus su tutto il sistema e si avvalgono di definizioni antivirus aggiornate al giorno stesso del rilascio da parte della software house; salvo rare eccezioni gli operatori non hanno poteri amministrativi sui client. Il responsabile informatico che gestisce in autonomia le operazioni di ordinaria manutenzione dell’infrastruttura informatica, ha l’autorizzazione ad ingaggiare qualificati professionisti esterni ogni qualvolta si rendano necessari interventi specialistici di straordinaria amministrazione. Il personale interno di ISFOR 2000, per quanto consapevole dei rischi che possono derivare da una inadeguata gestione degli strumenti informatici e di telecomunicazione, potrà beneficiare in futuro di un apposito regolamento per il corretto utilizzo dell’hardware e software aziendale. 2.7. La gestione delle risorse finanziarie La gestione finanziaria di un Ente deve impedire la creazione di provviste finanziare extracontabili (c.d.”nero”) da utilizzare per finalità corruttive o illecite. ISFOR 2000 ha adottato una procedura per la gestione del ciclo dei pagamenti (ciclo passivo), che prevede: - autorizzazione dei soli pagamento supportati da adeguata documentazione. Pertanto anche gli acquisti di minimo importo, devono essere sempre fatturati o supportati da ricevuta fiscale nel caso di prestazioni alberghiere o di ristorazione. Spese non documentate di minimo importo o spese di viaggio e di trasporto (pedaggi, parcheggi, mezzi pubblici), come pure i rimborsi chilometrici calcolati in base alle tariffe ACI, confluiscono nella nota spese del dipendente autorizzato ad imputarla nella busta paga. - centralizzazione di tutti i pagamenti nella figura del referente amministrativo, unico autorizzato a conoscere la password d’accesso ai servizi di remote banking (in sua assenza subentra l’autorizzazione concessa al referente organizzativo). - confronto delle fatture pervenute con i rispettivi ordini, preventivi di acquisto, lettere d’incarico e segnalazione degli scostamenti o richiesta di chiarimenti al dirigente/responsabile competente. Il controllo di conformità compete al referente amministrativo. E’ stata parimenti adottata una procedura per la gestione del ciclo incassi (ciclo attivo), conseguente ad un’attività di fatturazione dei servizi formativi erogati che vede coinvolti sia il referente gestionalecommerciale sia il referente amministrativo coadiuvato dal soggetto di ausilio organizzativo. All’emissione della fattura segue una fase di registrazione del documento in contabilità realizzata dal referente amministrativo o dal suo ausilio. Le fatture emesse riportano le coordinate bancarie del conto che ISFOR 2000 ha individuato come preferenziale per gli accrediti. Ogni altra modalità di pagamento (assegni o contanti) è marginale e non incoraggiata. Nel prossimo futuro, ISFOR 2000 non contemplerà tra le forme di pagamento il denaro contante e ne dissuaderà dall’utilizzo. In nessun caso potranno essere accettati versamenti superiori a € 5.000,00 (normativa antiriciclaggio). Ulteriori disposizioni sono previste per la gestione dei due conti correnti bancari intestati alla società, la cui gestione è monitorata dall’Amministratore Delegato tramite le sintesi periodiche delle condizioni bancarie e dei saldi conto fornite dal referente amministrativo. Come detto, il referente amministrativo gestisce la password d’accesso ai servizi di telebanking, non nota all’amministratore delegato, ed è delegato a gestire la password dispositiva previa firma autorizzativa della distinta delle disposizioni da parte dell’Amministratore delegato. L’Amministratore Delegato è autorizzato da procura a negoziare operazioni bancarie finalizzate all’impiego ottimale della liquidità disponibile nell’ambito esclusivo di strumenti del mercato monetario. 11 Non sono previste altre modalità di accantonamento di risorse finanziarie. La cassa contanti per spese urgenti di modesta entità ammonta in media a € [OMISSIS] e non vi sono carte di credito aziendali. L’Ente non è titolare di vetture, di altri immobili oltre alla sede o di altre utilità che possano essere messe a disposizione di terzi a titolo gratuito e senza registrazione. 3. IL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO 3.1. Accreditamenti e certificazioni di ISFOR 2000 Di seguito si riportano alcune tappe fondamentali del processo di acquisizione di riconoscimenti formali dell’Ente. Il 25 ottobre 1999 l'organismo indipendente internazionale di certificazione Det Norske Veritas ha attestato che il Sistema Qualità di ISFOR 2000 è conforme ai requisiti della normativa UNI EN ISO 9001: 1994 per la progettazione di servizi di formazione interaziendale e su commessa realizzati in sede. Il 18 ottobre 2002 l’Istituto ha ottenuto la conversione alle norme UNI EN ISO 9001:2000. Il 15 aprile 2002 ISFOR 2000 si è accreditato come Test Center ECDL autorizzato dall'Associazione Italiana per l'informatica ed il Calcolo Automatico (AICA) diventando sede di rilascio della Patente Europea per l'utilizzo del computer. Sempre nel 2002 ISFOR 2000 si è accreditato presso il Ministero della Salute ottenendo l’abilitazione ad erogare Seminari di formazione per Ottici concordando con la Commissione Nazionale per l'Educazione Continua in Medicina l’attribuzione di 120 crediti formativi nel quinquennio 2002-2006. Il 12 luglio 2002 la Regione Lombardia ha accreditato ISFOR 2000 quale ente di formazione idoneo ad organizzare ed erogare attività di formazione professionale finanziata con risorse pubbliche riscontrando il possesso dei requisiti imposti per la dotazione logistica, la situazione economico-finanziaria e per un'adeguata relazione con il territorio. Il 30 settembre 2003 ISFOR 2000 ha superato anche la seconda fase dell’accreditamento risultando idoneo ad erogare le seguenti macrotipologie di servizi: formazione superiore, formazione continua, orientamento di base, orientamento specialistico, servizi orientativi di accompagnamento e sostegno al lavoro. La terza fase dell'accreditamento riconosce ad ISFOR 2000 analoga abilitazione in data 5 luglio 2005. L’11 giugno 2004 ISFOR 2000 ha ottenuto da DNV l’attestazione di recepimento dei requisiti imposti dalla Regione Lombardia per gli enti accreditati nell’ambito delle “Linee Guida per la gestione dei processi”. Il 20 dicembre 2005, FONTER – Fondo paritetico per il Terziario, riconosce ad ISFOR 2000 l’accreditamento della struttura formativa al Fondo. L’8 aprile 2008 gli esiti del rating per il monitoraggio regionale degli enti accreditati evidenziano il primato di ISFOR 2000 per la categoria della formazione continua e superiore. L’1 agosto 2008 ISFOR 2000 supera anche la IV Fase del processo di accreditamento regionale vedendo confermata la sua iscrizione nell’albo regionale1 degli accreditati per la formazione continua e superiore in sezione B. 1 Albo Regionale dei soggetti pubblici e privati accreditati per I'erogazione dei servizi di istruzione e formazione professionale istituito ai sensi dell’art.25 L.R. Regione Lombardia n.19 del 06/08/2007 in attuazione della D.G.R. n. VIII / 6263 del 21/12/2007 è così strutturato: Sezione B: soggetti pubblici e privati che offrono percorsi formativi di istruzione e formazione professionale di cui all'articolo 11, comma 2 della 1.r. 1912007 e specificamente: specializzazione professionale, formazione continua, formazione permanente, formazione abilitante. Sezione A: soggetti che offrono percorsi formativi di istruzione e formazione professionale di cui all'articolo 11, comma 1 e 2 della 1.r. 1912007 e specificamente: percorsi di secondo ciclo, per I'assolvimento del diritto-dovere e dell'obbligo di istruzione, di durata triennale cui consegue una qualifica di Il livello europeo, nonché di un quarto anno cui consegue una certificazione di competenza di III livello europeo; percorsi successivi al secondo ciclo, di istruzione e formazione tecnica superiore, di durata annuale, biennale o triennale, cui consegue una certificazione di competenza di IV livello europeo; quinto anno integrativo, realizzato di intesa con le università, con l'alta formazione artistica, musicale e coreutica, ai fini dell'ammissione all'esame di Stato per I'accesso all'università, all'alta formazione artistica, musicale e coreutica. specializzazione professionale, formazione continua, formazione permanente e formazione abilitante. 12 3.2. L’oggetto sociale di ISFOR 2000, l’assetto societario e le partecipazioni azionarie. L’Istituto Superiore di Formazione e Ricerca - ISFOR 2000 - è una società consortile per azioni costituita il 13 marzo 1989 per favorire lo sviluppo delle risorse umane attraverso la progettazione e la realizzazione di interventi formativi in grado di sostenere le piccole e medie imprese nei mutamenti organizzativi, nella ristrutturazione dei processi produttivi, nella diversificazione e nell'innovazione dei prodotti e nello sviluppo di nuove competenze e professionalità imposti dal progresso tecnologico. L’Istituto nasce per iniziativa delle seguenti organizzazioni imprenditoriali: • Associazione Industriale Bresciana, • Collegio dei Costruttori Edili di Brescia e Provincia, • Confartigianato-Unione di Brescia • Unione Provinciale Agricoltori di Brescia. Nel mese di maggio 1989, l’Università degli studi di Brescia e ISFOR 2000 sottoscrivono una convenzione intesa a delineare la collaborazione tra le due istituzioni. A seguito di due operazioni di aumento di capitale promosse nel 1994 e nel 2002, l’originario assetto societario di ISFOR 2000 si è ampliato con l’innesto di significative partecipazioni, a conferma sia del crescente successo dell’azione formativa promossa dall’istituto, sia della credibilità di una funzione diretta a tutti i settori del mondo del lavoro e nei riguardi di un bacino d’utenza ormai ben più ampio di quello iniziale: la Lombardia orientale. La compagine azionaria di ISFOR 2000, nell’ambito della quale l’Associazione Industriale Bresciana mantiene la quota di maggioranza assoluta, risulta così attualmente articolata: • Organizzazioni imprenditoriali territoriali e loro emanazioni (58,30%)2 • enti creditizi (21,79%)3 • istituzioni e aziende pubbliche (10,90%)4 • imprese (8,91%) • ordini professionali (0,05%) • istituti scolastici (0,0005%) • università (0,04%) Nel 1990 ISFOR 2000 diventa socio ordinario di SFC: Sistemi Formativi Confindustria e nel 1996 entra a far parte di ASFOR, l’Associazione per la Formazione alla Direzione Aziendale. Dal 1999 ISFOR 2000 è partner della Società consortile a responsabilità limitata Università & Impresa scrl per la quale Isfor è sede operativa, destinata ad accogliere le attività formative. L’assemblea dei soci provvede, ogni tre anni, alla costituzione di un consiglio di amministrazione a cui è demandata la gestione della società. Il consiglio d’amministrazione nomina un presidente e un segretario generale, che svolge le funzioni di amministratore delegato della società. Al presidente, legale rappresentante della società, sono attribuiti compiti di straordinaria amministrazione. All’amministratore delegato sono invece attribuiti compiti di ordinaria amministrazione e di gestione operativa della società. La società conta su un team di collaboratori che, diretto dall’amministratore delegato, svolge compiti di progettazione didattica, di organizzazione dei processi e di gestione commerciale/amministrativa. L’oggetto sociale desumibile dallo Statuto della Società avente scopo consortile e non lucrativo, è il seguente: - la ricerca finalizzata alla rilevazione dei fabbisogni formativi con particolare riguardo alle esigenze della piccola e media impresa; - la progettazione, la promozione, la realizzazione e la gestione di iniziative finalizzate alla 2 Associazione Industriale Bresciana, Associazione Commercianti della provincia di Brescia, Associazione Industriali di Cremona, Collegio dei Costruttori Edili di Brescia e provincia, Confar tigianato Unione di Brescia, Confederazione Nazionale dell’Artigianato Associazione di Brescia, Confesercenti Provinciale di Brescia, Confidi Lombardia, Confindustria Bergamo, Confindustria Mantova, Unione Provinciale Agricoltori di Brescia. 3 Banca di Credito Cooperativo dell’Agro Bresciano, Bipop Carire-Unicredit Group, Intesa San Paolo, UBI-Banco di Brescia. 4 Gruppo A2A, Associazione Comuni Bresciani, Azienda Sanitaria Locale della provincia di Brescia, Camera di Commercio di Brescia, Cogeme, Opera Pia Richiedei, Provincia di Brescia. 13 - - formazione ed all'aggiornamento degli imprenditori, dei dirigenti, dei quadri e degli impiegati e dei collaboratori di imprese, sia pubbliche, che private, appartenenti a tutti i settori merceologici; la progettazione e la realizzazione di itinerari formativi destinati a dirigenti, funzionari e impiegati della pubblica amministrazione, di aziende pubbliche, di banche, di compagnie di assicurazione e di imprese di servizi; la progettazione e la realizzazione di percorsi formativi destinati agli iscritti alle associazioni professionali di categoria; la progettazione e la realizzazione di corsi post qualifica, post diploma e post laurea destinati a giovani in cerca di occupazione; la cooperazione con le università pubbliche e private finalizzata all'attivazione di diplomi universitari. La Società può compiere ogni attività necessaria e opportuna per il conseguimento dello scopo consortile indicato e ad esso affine, connesso, complementare o strumentale e conseguentemente può, tra l'altro: a) pianificare e divulgare calendari didattici comprendenti corsi e seminari orientati alla formazione permanente interaziendale; b) programmare azioni formative in funzione di specifiche richieste commissionate da: aziende private, pubbliche amministrazioni, aziende pubbliche, enti creditizi, compagnie di assicurazione, imprese di servizi e associazioni professionali; c) predisporre i materiali didattici a supporto delle azioni formative; d) curare lo svolgimento di programmi di ricerca scientifica e tecnologica, di sperimentazione tecnica e di aggiornamento nel campo della gestione aziendale; e) promuovere, coordinare e, ove necessario, gestire attività di ricerca sulle metodologie di formazione alla gestione aziendale; f) partecipare ad iniziative universitarie finalizzate alla realizzazione di diplomi universitari; g) accogliere e formare studenti universitari e tirocinanti da avviare alla funzione di tutore connessa ad azioni formative post qualifica, post diploma e post laurea. Nell'ambito dello scopo consortile la Società potrà, inoltre, compiere operazioni immobiliari, mobiliari, commerciali, industriali, di leasing, in qualità di utilizzatore, di factoring, in qualità di cedente, e di natura finanziaria. La Società potrà inoltre partecipare ad iniziative promosse da enti pubblici o privati e collaborare in ogni forma ad iniziative anche internazionali attinenti al suo oggetto, associandosi ad organismi nazionali ed internazionali aventi analoghe finalità. Potrà altresì acquistare interessenze e assumere partecipazioni anche azionarie in altre società o imprese nazionali ed estere le cui finalità siano analoghe o affini o complementari e non siano in contrasto con lo scopo sociale previsto nel presente statuto e comunque in via non prevalente, non a fini di collocamento e non nei confronti del pubblico nel rispetto del D.Lgs. 1 settembre 1993 N. 385. 3.3. La funzione del Modello per ISFOR 2000 Per mantenere l’accreditamento regionale, ISFOR 2000 deve dotarsi, entro il 31.03.2011, di un Modello Organizzativo ex d.lgs n. 231/2001, come previsto dal decreto 5808 del 8.6.2010 attuativo della DGR VIII/10882 del 23.12.2009. La perdita dell’accreditamento regionale comporterebbe certamente un danno economico e di immagine, ma considerando che circa il 60% del valore della produzione dell’Ente è costituito da ricavi per corsi di formazione a pagamento e considerandone anche la forte rappresentatività istituzionale nell’ambito del bacino sud orientale lombardo, si può sostenere che l’adeguamento alla disposizione regionale, più che un’imposizione rappresenti una scelta strategica. L’imminente scadenza ha perciò semplicemente accelerato e stimolato un più ampio processo di “codificazione” del sistema dei controlli interni ed una formalizzazione delle deleghe e dei poteri per una maggiore efficienza della struttura nel conseguire gli obiettivi strategici e di risultato prefissati. Il Modello Organizzativo di ISFOR 2000 è volto principalmente alla pianificazione e alla formalizzazione di un sistema strutturato ed organico di procedure di controllo preventive ed ex post per ridurre in maniera consistente il rischio di commissione dei reati contemplati nel Decreto 231/01. 14 In particolare, mediante l’individuazione dei «processi sensibili» costituiti dalle attività maggiormente a «rischio di reato» e la loro conseguente proceduralizzazione, il Modello si propone di: - determinare, in tutti coloro che operano in nome e per conto della società, la piena consapevolezza di poter incorrere, in caso di violazione delle disposizioni contenute in tale documento, in un illecito passibile di sanzioni penali e amministrative; - sensibilizzare tali soggetti sul fatto che loro comportamenti illeciti potrebbero comportare sanzioni penali ed amministrative anche per l’azienda; - sottolineare come i comportamenti illeciti siano fortemente condannati e contrari agli interessi dell’Istituto, anche quando esso potrebbe trarne apparente vantaggio, in quanto contrari ai principi eticosociali della società oltre che alle disposizioni di legge; - consentire all’Ente, grazie ad un monitoraggio costante dei processi sensibili e quindi dei rischi di commissione di reato, di reagire tempestivamente per prevenire e contrastare. Con l’adozione del Codice Etico e del Modello deve emergere chiaramente la ferma volontà di ISFOR 2000 di condannare tutti i comportamenti contrari alla legge ed ai regolamenti interni. In altri termini, l’Ente non intende approfittare o trarre alcun vantaggio, neppure in modo passivo (con atteggiamenti omertosi, non trasparenti o semplicemente superficiali) da comportamenti illeciti o non eticamente corretti di soggetti apicali e loro sottoposti. I Principi cardine a cui il Modello si ispira, oltre a quanto già espresso, sono: a) le citate linee guida di Confindustria e della Regione Lombardia, in base alle quali è stata predisposta la mappatura dei «processi sensibili»; b) le disposizioni e le prescrizioni del D.Lgs. 231/2001, in particolare per quanto riguarda: - l’attribuzione ad un organismo di vigilanza collegiale del compito di promuovere l’attuazione efficace e corretta del Modello fornendo e ricevendo le più opportune informazioni sulle attività rilevanti ai fini del Decreto. l’attribuzione all’OdV di specifici compiti di vigilanza sul funzionamento del Modello con conseguente aggiornamento periodico (controllo ex post); - l’attività di sensibilizzazione e diffusione a tutti i livelli aziendali delle regole comportamentali e delle procedure istituite; c) i principi generali di un adeguato sistema di controllo interno ed in particolare: - ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua; - nessuno deve poter gestire in totale autonomia un intero processo, ovvero deve essere rispettato il principio della separazione delle funzioni; - i poteri autorizzativi devono essere concessi coerentemente con le responsabilità assegnate; - l’effettuazione dei controlli e la supervisione deve essere documentata. 3.4. La struttura del Modello di ISFOR 2000: Parte Generale e Parte Speciale La predisposizione del Modello ha richiesto una serie di attività volte alla costruzione di un sistema di prevenzione e gestione dei rischi, in linea con le disposizioni del Decreto. Il lavoro svolto all’interno di ISFOR 2000 si è articolato in più fasi di seguito sintetizzate: Fase 1: Assessment – Valutazione Lo scopo di questa fase è stato ottenere, grazie alla stretta cooperazione con le risorse interne dell’ente, una precisa mappatura della situazione As-Is necessaria alla realizzazione del Modello Organizzativo 231/01. A tal proposito sono state realizzate interviste alle risorse aziendali, al fine di analizzare il modello organizzativo esistente con particolare focus su processi, procedure, attività forme di controllo, poteri di firma, procure, poteri autorizzativi interni, con l’obiettivo di individuare le aree/processi e attività che comunemente vengono definiti “sensibili” e le modalità attraverso cui possono essere commessi i reati previsti dal Decreto 231/01. Fase 2: To be e Gap Analysis – Progettazione In questa fase si è identificato il modello organizzativo ed il sistema di controllo “a tendere” (To-Be), che rappresenta il modello ideale a cui l’Ente deve ispirarsi al fine di definire le modalità organizzative e di controllo. Si è trattato di identificare i protocolli operativi ottimali orientati a programmare la formazione e l’attuazione delle decisioni in funzione della prevenzione dei reati. 15 Fase 3: Predisposizione del Modello Il Modello si è realizzato sulla base dei risultati raggiunti nelle fasi precedenti e delle scelte di indirizzo della Direzione dell’Ente e degli organi decisionali interni. La fase di valutazione delle aree di rischio è stata posta in essere in conformità all’art. 6, comma 2, lett.a D.lgs. 231/2001 che prevede esplicitamente che il Modello costruisca la cosiddetta “mappatura dei rischi”. In altri termini, occorreva realizzare un’analisi approfondita dell’attività dell’Ente ed individuare conseguentemente le fasi operative o gestionali in grado di esporre l’azienda al rischio di commissione di atti illeciti. L’analisi delle aree a rischio è stata preceduta dalla formazione di un team di valutazione composto da consulenti esterni e da personale interno. Il team ha proceduto alla valutazione dei rischi attraverso incontri con i Responsabili delle aree/funzioni aziendali. Al fine di procedere ad una corretta valutazione delle aree di rischio, si è preliminarmente effettuata la mappatura dei macroprocessi aziendali attraverso una verifica, da parte dei consulenti, della governance e dell’assetto organizzativo, delle prassi aziendali presenti in azienda e della documentazione interna, costituita da: • Statuto sociale; • Organigramma aziendale; • Deleghe, procure formalizzate e relativi verbali del C.d.A.; • Regolamenti interni; • Visura camerale; • Procedure aziendali contenute nel Manuale Qualità; • Contratti di lavoro, appalto, fornitura ecc.; • DPS (documento programmatico della sicurezza); • DVR (documento valutazione dei rischi inerenti sicurezza e salute sul luogo di lavoro) e altri documenti relativi alla gestione della sicurezza sul lavoro; • Ultimi due Bilanci dell’Ente approvati; • Eventuali situazioni di contenzioso o pre-contenzioso in essere con la PA; • Eventuale elenco dei casi giudiziari pendenti ed eventuali sentenze a carico dell’ente; • Altra documentazione Si è proceduto, quindi, all’individuazione degli “ambiti aziendali a rischio 231” attraverso interviste ai soggetti responsabili dei processi aziendali più rilevanti. Le funzioni e i soggetti coinvolti, sono risultati i seguenti: • Amministratore Delegato e Direttore Generale; • Direttore e soggetto di coordinamento didattico; • Responsabile Sistema Qualità e Sistema Informatico; • Un Soggetto di riferimento didattico • Soggetto di riferimento amministrativo • Soggetto di riferimento gestionale • Responsabile del servizio prevenzione e protezione Per ogni processo sono stati identificati uno o più referenti, in particolare quelli aventi contatti con la pubblica amministrazione e coloro che all’interno della società esprimono la volontà dell’ente in tutti i suoi rapporti esterni. Tali soggetti, unitamente a coloro che esercitano, la gestione e il controllo dell’ente, risultano essere infatti i più esposti ai rischi che il modello organizzativo tende a prevenire (soggetti apicali). La determinazione delle figure apicali e l’analisi della loro operatività ha favorito la costruzione di una matrice di relazione tra aree aziendali, comportamenti a rischio, opportunità di commissione del reato nei comportamenti a rischio e valutazione del rischio. Per quanto riguarda più specificatamente la struttura, il presente Modello è costituito da una «Parte Generale» e da una «Parte Speciale». 16 In base ai reati di cui si è appurato il rischio di commissione in ISFOR 2000, la Parte Speciale è stata suddivisa nelle seguenti Sezioni, che rappresentano altrettante categorie di illeciti: 1. reati contro la PA - art. 24 e art. 25 d.lgs 231/2001 2. delitti informatici e trattamento illecito dei dati -art 24-bis d.lgs 231/2001 3. delitti contro l'industria e il commercio -art. 25-bis.1 d.lgs 231/2001 4. delitti in materia di violazioni del diritto d'autore - art.25-novies d.lgs 231/2001 5. reati societari - art. 25-ter d.lgs 231/2001 6. disposizioni in materia di criminalità organizzata e all’infiltrazione mafiosa - art. 24-ter d.lgs 231/2001 7. ricettazione, riciclaggio - art.25-octies d.lgs 231/2001 8. reati di omicidio colposo e lesioni colpose gravi o gravissime - art 25-septies d.lgs 231/2001 9. induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria art.25-novies d.lgs 231/2001 10. altre categorie di reato previste nel d.lgs 231/2001 In considerazione della tipologia dell’Ente e dell’attività sociale, che rende improbabile la commissione di reati di cui agli articoli: - 25 bis “Illeciti penali in materia di falsità in moneta e carte di pubblico credito e di valori di bollo” - 25 quater “Delitti con finalità di terrorismo o di eversione dell’ordine democratico”, - 25 quinquies “Delitti contro la personalità individuale”, si è ritenuto di non dedicare una sezione autonoma alla trattazione degli stessi. 3.5. L’adozione del Modello Il Modello è approvato dal Consiglio di Amministrazione di ISFOR 2000 che delibera con le maggioranze previste dallo statuto, è immediatamente adottato e monitorato dall’OdV per la sua efficace attuazione. Poiché il presente Modello costituisce «atto di emanazione dell’organo dirigente», ai sensi dell’art. 6 co. 1 lett. a) del D.Lgs. 231/2001, la competenza in merito anche alle sue eventuali successive modifiche e integrazioni spetta altresì al Consiglio di Amministrazione, che le approva con le modalità di cui sopra. L’Amministratore Delegato, sentito l’OdV, ha facoltà di apportare al testo eventuali modifiche ed integrazioni urgenti, dettate dalla sopravvenuta entrata in vigore di modifiche del d.lgs n. 231/2001 o di norme ad esso sottese o connesse, sottoponendo dette modifiche all’approvazione della prima seduta del CdA. Tutti i membri del Consiglio di Amministrazione dichiarano di impegnarsi al rispetto del presente Modello. Analogo impegno viene preso dal Collegio sindacale. 3.6. Il Documento di Analisi dei Rischi Il Documento di Analisi dei Rischi, come già anticipato, è parte integrante del Modello, di cui rappresenta uno degli elementi essenziali, da tenere costantemente monitorato ed aggiornato. Si basa sull’individuazione delle aree a rischio e dei processi sensibili, per questo è anche definito Mappa dei Processi Sensibili. Il documento di analisi dei rischi di ISFOR 2000 ha identificato le seguenti aree a rischio: [OMISSIS] 17 Dall’elenco di cui sopra le uniche attività sensibili che risultano ad elevato rischio assoluto di commissione di alcuni dei reati previsti dal Decreto sono le seguenti: [OMISSI ] Mentre l’unica attività a rischio assoluto estremo è: [OMISSIS] Ove per rischio assoluto si intende il prodotto di due fattori: la “gravità” (data essenzialmente dalla sanzione in cui incorrerebbe l’Ente per una condanna ex d.lgs 231/2001) e la “potenzialità” (determinata dalla frequenza del comportamento rischioso ma anche dal vantaggio/danno ad esso connesso). Attraverso il filtro dei controlli interni e delle procedure già esistenti, ma soprattutto grazie all’adozione di protocolli di prevenzione del rischio contenuti nel Modello e la cui applicazione deve essere monitorata dall’OdV, il rischio assoluto elevato è stato ridotto generando un rischio “residuo” “basso” e, come tale, accettabile. Il rischio assoluto estremo è stato parimenti ridotto generando un rischio residuo medio”. In questo caso i comportamenti ritenuti a rischio sono: [OMISSIS] Diversi sono i soggetti coinvolti come pure i reati che è astrattamente possibile compiere (Reati contro la PA Corruzione e concussione - ART. 25 d.lgs 231/2001. Indebita percezione di erogazioni, Truffa, Frode informatica - ART. 24 d.lgs 231/2001). Anche le possibili modalità di commissione dei reati sono molteplici: incaricare persone/società gradite ad un ente pubblico al fine di ottenere favori nell'ambito dello svolgimento di attività aziendali; realizzare, in accordo con fornitore compiacente, fondi neri per attività illecite e pratiche corruttive, ricevere false fatture da porre in rendicontazione per i progetti formativi finanziati. Per questo motivo il Modello suggerisce l’applicazione di una serie di protocolli di prevenzione del rischio, riconducibili alla predisposizione di procedure interne atte a disciplinare e definire nel dettaglio le regole per la gestione degli incarichi a docenti e per l’affidamento di servizi e l’approvvigionamento di materiali (a titolo esemplificativo e non esaustivo: gestione operativa e livelli di autorizzazione delle spese, abbinamento delle firme per validazione e autorizzazione dei pagamenti, diffusione interna del Modello organizzativo, lettere di incarico a docenti con clausole specifiche disciplinanti l’osservanza al Modello organizzativo e al Codice Etico, la responsabilità sui contenuti didattici forniti). Introducendo pertanto questi ed altri protocolli che saranno oggetto di costante monitoraggio e valutazione da parte dell’OdV, anche questo ultimo livello di rischio può essere definito accettabile. 3.7. L’analisi dei conti economici Riguardo all’analisi dei conti economici e patrimoniali sensibili, sono state analizzate le voci del conto economico e dello stato patrimoniale che possono evidenziare livelli di criticità per quanto attiene il rischio potenziale di compimento degli illeciti previsti dal D.lgs 231/2001. Le voci analizzate sono le seguenti: ‐ gli acquisti di beni e servizi, ‐ l’affidamento di incarichi di consulenza, 18 ‐ ‐ ‐ le spese di rappresentanza degli amministratori e degli apicali, gli omaggi, retribuzioni del personale e dei collaboratori a vario titolo Dall’esame delle scritture contabili, si è verificata l’assenza o una motivazione plausibile a : ‐ operazioni o saldi rilevanti o anomali; ‐ operazioni che appaiono essere state effettuate senza apparenti motivazioni di logica economica; ‐ operazioni numerose o rilevanti concentrate su alcuni clienti o fornitori; ‐ operazioni rilevanti riguardanti le spese di rappresentanza effettuate dagli amministratori o dai soggetti apicali. 3.8. Compliance sulle procedure esistenti alla luce delle vicende storiche di interesse del d.lgs n.231/2001 ISFOR 2000, come ogni società, è soggetta al controllo periodico degli aspetti economico-contabili da parte del Collegio Sindacale, controlli in merito al rispetto degli adempimenti in materia di sicurezza e tutela sul lavoro come pure degli obblighi retributivi e previdenziali nei confronti di dipendenti e collaboratori. In qualità di ente di formazione accreditato presso la Regione Lombardia per i servizi formativi, è altresì sottoposto a verifiche e ispezioni relativamente alle attività didattiche finanziate e ai requisiti di accreditamento. La Società deve pertanto ottemperare a numerosi obblighi e adempimenti di carattere fiscale, contabile, amministrativo e giuslavoristico, i quali possono originare ricorrenti attività ispettive da parte di funzionari pubblici o incaricati di pubblico servizio. A titolo esemplificativo si citano: Regione Lombardia, ASL, Agenzia delle Entrate, INPS e Ispettorato del Lavoro, Vigili del fuoco, Guardia di Finanza. Attualmente non è presente nell’Ente un ufficio legale o un soggetto precipuamente incaricato della gestione dei contenziosi o precontenziosi. Normalmente questa mansione è svolta dal responsabile di funzione e dal referente del progetto finanziato coinvolto nell’ispezione (ad es. soggetti di coordinamento e di riferimento didattico per i progetti finanziati, il referente dell’ufficio amministrativo a supporto delle operazioni di tracciabilità della documentazione inserita in rendicontazione o per problematiche connesse alla gestione del personale, il RSPP per l’area Sicurezza, il soggetto di riferimento organizzativo per questioni inerenti all’accreditamento). Analizzando gli esiti delle numerose ispezioni cui l’ente è stato sottoposto da quando ha iniziato ad essere destinatario di finanziamenti pubblici, non emergono verbali che rilevino violazioni di legge e men che meno reati di cui al d.lgs 231/2001. Si citano esclusivamente minime irregolarità contabili nella fase di rendicontazione di progetti, imputabili principalmente ai partner aderenti alle ATS costituite per gestire i progetti finanziati. Per quanto concerne la sicurezza sul luogo di lavoro, nella sede è stato denunciato un solo infortunio non grave (non riconosciuto dall’INAIL) ed un infortunio “in itinere” subito da un dipendente durante il normale percorso di andata e ritorno dall'abitazione al posto di lavoro. Dalla documentazione esaminata non risultano inoltre sentenze di condanna od altre pronunce e patteggiamenti dell’Autorità Giudiziaria a carico di amministratori o di dipendenti per reati previsti dal Decreto. Non risultano altresì vicende rilevanti dal punto di vista delle controversie sul lavoro o contenziosi aperti dinnanzi al Tribunale del Lavoro di Brescia. Dalle interviste è peraltro emerso un clima aziendale sereno, un elevato senso di responsabilità da parte dei dipendenti e buona motivazione professionale. Considerando il livello di complessità e di rilevanza dei progetti che ISFOR 2000 gestisce da anni come capofila in ATS con partner consolidati, si può dedurre che le procedure e i controlli esistenti abbiano raggiunto un significativo livello di adeguatezza e che, sebbene non sempre formalizzati, siano applicati e conosciuti efficacemente dal personale interno. Significativo rammentare che l’Ente eroga servizi formativi da più di 20 anni, con riconoscimenti anche formali da parte di Istituzioni pubbliche e private e dai soggetti di rilevanza economico-sociali presenti sul 19 territorio (assenza di non-conformità nelle verifiche ispettive annuali sul sistema di gestione della qualità, primato nel rating della Regione Lombardia ecc..). Tutto concorre a ribadire che ISFOR 2000 vive l’adeguamento al DLgs 231 non come un’imposizione quanto come un opportunità di miglioramento e di formalizzazione di processi e funzioni già ben collaudati. 4. L’ORGANISMO DI VIGILANZA 4.1. Compiti e funzioni dell’Organismo di Vigilanza di ISFOR 2000. Il D. Lgs.231/2001 (art. 6, lett. b.) richiede, quale condizione per ottenere l’esimente dalla responsabilità amministrativa, che il compito di vigilare sul funzionamento e l’osservanza delle indicazioni del Modello nonché di curarne l’aggiornamento, sia affidato ad un organismo interno alla società dotato di autonomi poteri di iniziativa e di controllo. ISFOR 2000 è tuttavia consapevole che la responsabilità primaria del controllo rimane in capo alla Governance aziendale. Ne consegue che spettano, all'OdV, i seguenti compiti: - verificare l’efficacia e l’adeguatezza del Modello e l’idoneità delle procedure adottate alla prevenzione dei reati rilevanti per il Decreto; - vigilare sulla corretta attuazione del Modello redatto dalla Società; - raccogliere informazioni relative alle attività in corso e a quelle previste, verificando se queste possano determinare potenziali comportamenti a rischio dei reati previsti dal Decreto; - controllare che sia data, e se necessario promuovere e assicurare, un’adeguata diffusione e conoscenza del Modello tra i dipendenti della società e a tutti i destinatari dello stesso; - proporre, ove ritenuto opportuno, aggiornamenti periodici o straordinari del modello, - promuovere verifiche della mappatura delle aree di rischio, ISFOR 2000 garantisce all’OdV l’accesso a tutti le informazioni e alla documentazione aziendale necessaria all’espletamento delle sue funzioni senza alcuna formalità e senza alcuna limitazione e senza necessità di consenso preventivo. L’OdV ha parimenti facoltà di raccogliere dati con colloqui o interviste a dipendenti, collaboratori ed esponenti aziendali, senza formalità o limitazione alcuna se non quelle dettate dal rispetto di legge e dei principi di discrezione e riservatezza. A titolo esemplificativo l’OdV si incarica di: - attuare le procedure di controllo previste dal Modello, - condurre ricognizioni sull’attività aziendale al fine di aggiornare la mappatura dei «processi sensibili», in particolare nel caso di attivazione di nuove attività di business comportanti ulteriori processi aziendali; - effettuare verifiche periodicamente mirate nell’ambito di alcuni «processi sensibili»; - coordinarsi con il management aziendale, per valutare l’adozione di eventuali sanzioni disciplinari, ferma restando la competenza di quest’ultimo per l’irrogazione della sanzione e il relativo procedimento disciplinare; - -coordinarsi con l’Amministratore Delegato per la definizione di programmi di formazione per il personale e del contenuto delle comunicazioni periodiche da inoltrare ai dipendenti e agli Organi Sociali, per sensibilizzazione ed aggiornamento in materia di D.Lgs. 231/01; - dare impulso alle iniziative per la diffusione della conoscenza e della comprensione del Modello - predisporre documentazione interna necessaria a garantire il funzionamento del Modello, contenente istruzioni d’uso, chiarimenti o sintesi dello stesso; - coordinarsi con le altre funzioni aziendali per il monitoraggio delle procedure stabilite nel Modello. - verificare costantemente l’adeguatezza del Modello alle prescrizioni normative per le opportune proposte di aggiornamento. 20 4.2. Requisiti dell’Organo di Vigilanza L’OdV è organo collegiale composto da n. 3 membri, aventi i seguenti requisiti: a) un esterno alla società esperto in materia di controllo legale dei conti, di audit e di organizzazione aziendale; b) un esterno alla società esperto in tematiche societarie, controllo di gestione, contabilità e bilancio e revisione legale dei conti; c) un interno alla società, possibilmente un funzionario dipendente che abbia maturato una significativa esperienza organizzativo-gestionale e la cui indipendenza di giudizio sia favorita dalla natura collegiale dell’OdV e dalla possibilità da parte dei due membri esterni di condurre ispezioni a sorpresa e in autonomia. Uno dei membri esterni sopra identificati con la lettera a) o b) è nominato dal CdA presidente dell’OdV mentre la supervisione degli aspetti organizzativi interni è in capo al soggetto di cui alla lett. c). Particolari competenze in ambito giuridico e tecnico-specialistiche possono essere acquisite a discrezione dell’OdV ricorrendo a rapporti di collaborazione temporanei esterni all’Organismo. Nello svolgimento delle proprie funzioni, sia per mansioni operative sia per ricerche documentali ai fini dell’istruttoria, l’OdV, e in particolare il suo membro interno, si può avvalere di uno o più collaboratori, interni o esterni all’ente. 4.3. Nomina, durata e cessazione dell’OdV L’OdV è nominato dal Consiglio di Amministrazione il quale ne stabilisce composizione, qualifiche dei membri, durata in carica e risorse. Il CdA può revocarlo con deliberazione motivata e all’unanimità degli aventi diritto in caso di gravi e comprovate violazioni del Codice Etico e del Modello Organizzativo. L’Organismo di Vigilanza è altresì revocabile in caso di comprovata inattività o di gravi inadempimenti protrattisi per un periodo non inferiore ad un anno. Decade automaticamente dalla carica il componente che: ‐ è stato assente ingiustificato per più di 2 sedute consecutive; ‐ è destinatario di sentenza di condanna o di patteggiamento, ancorché non passata in giudicato, per avere commesso uno dei reati previsti dal d.lgs 231/2001 o un reato che comporti l’interdizione, anche temporanea, dai pubblici uffici oppure l’interdizione, anche temporanea, dagli uffici direttivi delle persone giuridiche. L’OdV dura in carica per n. 3 annualità; svolge le proprie funzioni fino all’insediamento del nuovo OdV. L’incarico può essere rinnovato da parte del Consiglio di Amministrazione. Nel caso di revoca, rinuncia, decesso dei componenti dell’OdV, il Consiglio di Amministrazione provvede tempestivamente alle nuove nomine; i nuovi nominati rimarranno in carica fino alla scadenza prevista per gli altri componenti dell’OdV. 4.4. Requisiti per la nomina, ineleggibilità ed incompatibilità dei membri dell’OdV I componenti l’OdV oltre ai requisiti di cui al par 4.2, devono possedere requisiti di onorabilità e autorevolezza in linea con i principi di riferimento contenuti nel Codice Etico, così come altresì previsto nelle Linee Guida di Confindustria. Sono ineleggibili anche i soggetti che hanno riportato i provvedimenti dell’autorità giudiziaria che comportano la decadenza dall’incarico sopra definiti. Sono incompatibili con la nomina di membro dell’OdV tutti quei soggetti che svolgono incarichi e ruoli interni o esterni all’ente tali da influenzarne la terzietà ed indipendenza di giudizio oppure coloro che versano in situazioni di conflitto di interesse. Sono incompatibili anche parenti ed affini fino al terzo grado di dirigenti dell’ente o di pubblici ufficiali o di incaricati di pubblico servizio aventi autonome capacità decisionali o ispettive per sussidi, contributi, concessioni o contratti economicamente rilevanti. 21 4.5. Indipendenza dell’OdV e risorse per il suo funzionamento Come previsto nel Codice Etico, l’OdV: - è dotato di autonomi poteri di spesa sulla base di un budget appositamente stanziato dal Consiglio di Amministrazione; - non è vincolato da altre componenti della struttura aziendale, alle quali sono precluse azioni di ostacolo o di opposizione; - riferisce direttamente al Consiglio di Amministrazione. All’OdV ISFOR 2000 garantisce risorse finanziarie e strumentali proprie, oltre che dell’eventuale supporto di risorse umane e di tutto ciò che è necessario per l’espletamento delle funzioni proprie dell’Organismo con autonomia ed indipendenza. È altresì messa a disposizione dall’ente una sede idonea, dove tenere le sedute, i colloqui e la documentazione. Deve comunque essere garantito autonomo potere di spesa all’OdV tale da consentire che possa svolgere le proprie attività in modo autonomo, efficiente e terzo rispetto ad influenze da parte della dirigenza. 4.6. Piano delle attività, rapporto consuntivo periodico e reporting in itinere agli organi societari L’OdV presenta annualmente il piano delle attività per l’anno successivo, che individua in termini generali le procedure ed i protocolli da verificare, la definizione dei tempi e delle risorse da impiegare. Tra i contenuti minimi del Piano vi è anche un programma degli interventi formativi inerenti il d.lgs 231/2001. Il Piano, che è trasmesso anche all’Amministratore Delegato, è flessibile, in quanto può essere modificato ogni qualvolta si verifichino eventi o modifiche normative tali da richiedere interventi immediati nell’organizzazione aziendale. L’OdV presenta annualmente all’Amministratore Delegato che provvederà a relazionare il Consiglio di Amministrazione, anche un reporting sull’attività svolta durante l’anno trascorso, motivando gli scostamenti dal piano delle attività preventive. Il reporting ha per oggetto l’attività svolta dall’OdV e le eventuali criticità emerse sia in termini di comportamenti o eventi, sia in termini di efficacia del Modello. L’OdV propone, sulla base delle criticità riscontrate, le azioni correttive ritenute adeguate al fine di migliorare l’efficacia del Modello. Ogni grave violazione del Modello o segnalazione di illeciti, indipendentemente dall’inserimento nei report periodici, dovrà essere prontamente riferita all’Amministratore Delegato al fine dell’applicazione tempestiva dei più opportuni rimedi e provvedimenti. Il Collegio sindacale, il Consiglio di Amministrazione, il Presidente e l’Amministratore Delegato hanno la facoltà di convocare in qualsiasi momento l’OdV il quale, a sua volta, ha la facoltà di richiedere, attraverso le funzioni o i soggetti competenti, la convocazione dei predetti organi per motivi urgenti. L’OdV deve, inoltre, coordinarsi con gli apicali presenti in società per i diversi profili specifici, anche invitando alle proprie sedute esponenti aziendali o consulenti esterni qualora necessario. In particolare è consentita ed auspicata la presenza del RSPP almeno una volta l’anno, come pure è proposta la partecipazione di almeno un membro del Collegio Sindacale una volta all’anno, in quanto i rapporti tra i due organi devono essere volti alla massima collaborazione. 4.7. Il reporting verso l’Organismo di Vigilanza L’OdV deve essere informato, mediante apposite segnalazioni da parte degli amministratori, dei dirigenti e dei dipendenti o dei consulenti in merito ad eventi che potrebbero ingenerare responsabilità dell’Istituto ai sensi del D.Lgs. 231/2001. 22 Di seguito sono esposte alcune prescrizioni di carattere generale: qualsiasi variazione al Modello organizzativo da parte del CdA e dell’Amministratore Delegato deve essere preventivamente comunicata all’OdV; - ogni violazione o disapplicazione del Codice Etico, del Modello o della Legge in generale dovrà essere riferita all’Organismo di Vigilanza da parte di dipendenti, amministratori, collaboratori ed organismi di controllo senza alcun timore di ritorsioni o discriminazioni. - deve essere altresì reso noto il fondato sospetto di commissione di reati previsti dal Decreto - se un subordinato ritiene di segnalare una violazione (o presunta violazione) del Modello è opportuno che si riferisca inizialmente al suo superiore gerarchico. In alternativa può riferire direttamente all’OdV. I collaboratori esterni o gli organi aventi funzione di controllo devono riferirsi direttamente all’OdV; - l’OdV valuta le segnalazioni ricevute e riferisce all’Amministratore Delegato o direttamente al CdA per l’adozione degli opportuni provvedimenti; - è garantita la riservatezza dell’identità del segnalante, fatti salvi gli obblighi di legge e la tutela dei diritti della società o dei soggetti accusati erroneamente o in malafede; - nei casi più gravi, è opportuno inoltrare denunce o segnalazioni scritte corredate da documentazione possibilmente non in forma anonima, al fine di consentire l’audizione del segnalante. - È possibile comunicare con l’OdV attraverso l’apposito indirizzo di posta elettronica istituito presso l’ente [email protected] oppure tramite comunicazioni o consegna di documenti di persona ai membri dell’Odv. L’ente adotterà misure idonee a consentire anche segnalazioni anonime, a seguito delle quali l’OdV aprirà un’istruttoria, ad eccezione del caso in cui siano palesemente infondate oppure irrilevanti o inammissibili in quanto non inerenti ai reati del Decreto. - Devono inoltre essere obbligatoriamente trasmesse all’OdV le informazioni concernenti: qualsiasi modifica al Codice Etico o al Modello Organizzativo proposta dal CdA o dall’Amministratore i provvedimenti e/o le notizie provenienti da organi di polizia giudiziaria, o da qualsiasi altra autorità, dai quali si evinca lo svolgimento di indagini, anche nei confronti di ignoti, per i reati tutelati dal D.Lgs. 231/2001; - le richieste di assistenza legale inoltrate dai dirigenti o dai dipendenti in caso di avvio di procedimento giudiziario per i reati tutelati dal D.Lgs. 231/2001; - i rapporti predisposti dai responsabili di altre funzioni aziendali dai quali potrebbero emergere fatti, atti, eventi od omissioni con profili di criticità rispetto all’osservanza delle norme del D.Lgs. 231/2001; - le notizie relative ai procedimenti disciplinari avviati e alle eventuali sanzioni irrogate nonché i provvedimenti di archiviazione di tali procedimenti con le relative motivazioni; - lo scadenzario degli adempimenti in materia di sicurezza mantenuto aggiornato dal RSPP; - eventuale reportistica predisposta dal RSPP in materia di infortuni sul lavoro o denunce in materia di violazione delle norme antinfortunistiche e tutelanti l’igiene e la salute sul lavoro; - E’vietato agli esponenti aziendali, ai collaboratori esterni ed ai terzi che operano in nome e per conto della Società: • esporre fatti non rispondenti al vero; • omettere informazioni la cui comunicazione è imposta dalla legge, sulla situazione economica, patrimoniale o finanziaria della Società; • occultare dati o notizie al fine di indurre in errore i destinatari degli stessi; • impedire o comunque ostacolare lo svolgimento delle attività di controllo o di revisione legalmente attribuite. 4.8. Verbalizzazione e archiviazione dei documenti Per ogni attività rilevante svolta, l’OdV redige un verbale sintetico trascritto su apposito registro. I verbali restano agli atti a disposizione dei competenti organi societari o giudiziari che ne facciano richiesta. Saranno altresì verbalizzate tutte le riunioni dell’OdV, quelle con la dirigenza e quelle cui partecipano soggetti terzi. Detti verbali, così come tutti i documenti anche informali o non definitivi, sia su supporto cartaceo che informatico, sono archiviati presso la sede legale dell’ente con sistemi atti a garantirne la segretezza e riservatezza per almeno 5 anni. Il Presidente può altresì disporre autonomamente per una custodia della documentazione in altro luogo più consono esterno alla sede. 23 L’OdV si riunisce con cadenza almeno quadrimestrale trimestrale. Sedute straordinarie possono essere convocate ogni qualvolta si renda necessario l’adeguamento/aggiornamento del modello organizzativo o allorquando si verifichino eventi significativi nella gestione o nell’assetto societario. L’accertata o sospetta commissione di un reato tra quelli contemplati nel d.lgs 231/2001 (a mezzo di pronunce giudiziarie, informazioni di garanzia, denuncie, querele…) obbliga l’OdV a riunirsi nel più breve tempo possibile al fine dell’apertura della necessaria istruttoria. 5. LA DIFFUSIONE DELLA CONOSCENZA DEL MODELLO 5.1. La formazione del personale Ai fini dell’efficacia del presente Modello, è obiettivo dell’Ente garantire alle risorse umane presenti e future una corretta conoscenza delle regole di condotta ivi contenute, con un differente grado di approfondimento in relazione al livello di coinvolgimento nei «processi sensibili». Dando per scontato una puntuale comunicazione iniziale alle risorse umane operanti in azienda all’atto dell’adozione del presente Modello, la formazione del personale ai fini della corretta attuazione del Modello è organizzata dall’Amministratore Delegato o da suo incaricato e può essere differenziata, nei contenuti e nelle modalità di erogazione, in funzione della qualifica dei destinatari, del livello di rischio dell’area in cui operano, dell’avere o meno funzioni di rappresentanza della società. Contenuto minimo dell’attività formativa: 1. Per le posizioni apicali di cui alla lett a) comma 1 art 5 del Decreto: - seminario iniziale; - eventuali seminari di aggiornamento; - occasionali e-mail di aggiornamento; - informativa nella lettera di assunzione per i neoassunti. 2. Per le posizioni subordinate di cui alla lett b) comma 1 art 5 del Decreto: - comunicazione a tutti i dipendenti tramite riunione informativa; - eventuale seminario o documentazione scritta per le informazioni di dettaglio (anche differenziando per livello di rischio; - occasionali e-mail di aggiornamento; - informativa nella lettera di assunzione per i neoassunti; 5.2. L’informativa a Collaboratori esterni e Partner I collaboratori esterni, i consulenti, i partner e tutti i soggetti che cooperano per la realizzazione degli obiettivi aziendali sono messi a conoscenza dell’adozione del Modello organizzativo e il contenuto del Codice Etico è reso loro noto tramite pubblicazione sul sito internet aziendale. 6. IL SISTEMA DISCIPLINARE 6.1. La funzione del sistema disciplinare La definizione di un adeguato sistema sanzionatorio (o Codice Disciplinare) costituisce, ai sensi dell’art. 6 secondo comma lettera e) del D.Lgs. 231/2001, un requisito essenziale del Modello ai fini dell’esimente della responsabilità della società. La definizione di un sistema di sanzioni commisurate alla violazione costituisce un deterrente alla violazione di reati e favorisce di conseguenza l’applicazione del Modello oltre che l’azione di vigilanza dell’OdV. L’applicazione delle sanzioni disciplinari prescinde dall’esito di un eventuale procedimento penale avviato dall’autorità giudiziaria nel caso in cui il comportamento da censurare integri una fattispecie di reato rilevante ai sensi del D.Lgs. 231/2001. 24 Per quanto concerne l’entità della sanzione da irrogare, si applicano i principi generali del diritto penale quali la proporzionalità, la gradualità e la garanzia del diritto di difesa, tenendo conto dei seguenti fattori: grado di intenzionalità della condotta, reiterazione, corresponsabilità di colleghi o altri soggetti eventuali circostanze aggravanti, attenuanti o esimenti, danno causato e nesso di causalità. L’imprudenza, l’imperizia o la negligenza sono valutate tenendo conto dell’incarico assegnato, della funzione svolta e dell’esperienza maturata nello specifico settore. In ogni caso per giudicare la gravità della violazione del modello si dovrà considerare se questa determini una bassa, media o alta esposizione al rischio (assoluto). Sulla base dei principi e delle disposizioni contenute o richiamate nel Modello e nel Codice Etico, l’Amministratore Delegato o il soggetto apicale potranno divulgare ai subordinati dettagliate direttive al proposito, esemplificando condotte considerate illecite e corredandole con le possibili sanzioni. 6.2. Le misure nei confronti dei lavoratori dipendenti Il rispetto delle prescrizioni del presente Modello rientra nel generale obbligo del lavoratore di rispettare le disposizioni aziendali e di agire in conformità agli interessi aziendali. I comportamenti dei dipendenti che generano una violazione del Modello sono: - violazione dei precetti contenuti nel Codice Etico aziendale; - violazione di procedure interne previste dal presente Modello o adozione di comportamenti non conformi alle prescrizioni del Modello nell’espletamento di attività connesse ai «processi sensibili», - adozione di comportamenti miranti al compimento di uno o più Reati previsti dal D.Lgs. 231/2001. Tali comportamenti, costituendo illecito disciplinare, sono pertanto sanzionabili. Le sanzioni e l’eventuale richiesta di risarcimento dei danni verranno commisurate, nella logica dell’equilibrio tra comportamento e conseguenza disciplinare, in relazione: - al livello di responsabilità ed autonomia del dipendente; - all’eventuale esistenza di precedenti disciplinari a carico dello stesso; - all’intenzionalità del suo comportamento nonché alla gravità del medesimo, intesa come il livello di rischio a cui la società può ragionevolmente ritenersi esposta a seguito della condotta censurata; - alle altre particolari circostanze in cui si è manifestato il comportamento in violazione del presente Modello. I provvedimenti disciplinari irrogabili - nel rispetto delle procedure previste dall’articolo 7 della legge 30 maggio 1970, n. 300 (Statuto dei Lavoratori) e delle eventuali normative speciali applicabili – sono quelli previsti dall’apparato sanzionatorio di cui al CCNL vigente. Per ISFOR 2000 bisogna riferirsi all’art 217 del Contratto Collettivo Nazionale di Lavoro per i dipendenti delle Aziende del Terziario della Distribuzione e dei Servizi sottoscritto il 2.7.2004. Il contratto prevede: 1. biasimo inflitto verbalmente per le mancanze lievi; 2. biasimo inflitto per iscritto nei casi di recidiva delle infrazioni di cui al precedente punto 1); 3. multa in misura non eccedente l'importo di 4 ore della normale retribuzione di cui all'art. 185; 4. sospensione dalla retribuzione e dal servizio per un massimo di giorni 10; 5. licenziamento disciplinare senza preavviso e con le altre conseguenze di ragione (posso togliere?) e di legge. La procedura per l’irrogazione delle sanzioni disciplinari per violazioni del presente Modello deve prevedere il coinvolgimento dell’OdV, chiamato ad esprimere una sua valutazione sulla sussistenza della violazione. 25 6.3. Le misure nei confronti di dirigenti, amministratori, sindaci e organi di controllo Analoghe violazioni da parte dei dirigenti determineranno l’applicazione dei provvedimenti disciplinari previsti dal Contratto Collettivo Nazionale di Lavoro della categoria. Nei casi più gravi di violazione del Modello è possibile la revoca parziale o totale delle deleghe, la sospensione dall’incarico o il licenziamento per giusta causa. In caso di violazione del presente Modello da parte dell’Amministratore delegato, di amministratori o di Sindaci, l’OdV informa il Consiglio di Amministrazione ed il Collegio sindacale, i quali prenderanno gli opportuni provvedimenti contemplati dalla normativa vigente. Per amministratori, sindaci e membri dell’OdV, in aggiunta all’eventuale risarcimento dei danni, è possibile prevedere contrattualmente una riduzione dei compensi per gravi violazioni del Modello. Inoltre gli incarichi dovranno prevedere sanzioni per l’inerzia o l’imperizia nella vigilanza sull’attuazione del Modello da parte di soggetti apicali o controllori 6.4. Clausola di manleva per i membri dell'OdV di ISFOR 2000 Conformemente a quanto precisato nelle Linee guida di riferimento, il presente Modello intende attribuire all'OdV esclusivamente compiti di controllo in ordine al funzionamento e all'osservanza del modello di salvaguardia e non in ondine alla prevenzione dei reati in quanto non può essergli attribuito il ruolo di garante del bene giuridico protetto. La Società solleva inoltre tale organo di controllo da alcuna responsabilità civile, amministrativa o penale per i reati commessi da altri soggetti aziendali. Stante la carenza di produzione giurisprudenziale in materia di responsabilità dell'Organismo di vigilanza, la Società garantisce parimenti ai membri di tale Organo di controllo: - idonea copertura assicurativa contro il rischio di responsabilità civile verso terzi, conseguente a colpa nello svolgimento delle proprie mansioni contrattuali; - assistenza legale giudiziale e stragiudiziale nonché copertura delle spese connesse, incluse le "spese di giustizia penale" in caso di procedimenti civili penali o amministrativi per cause non dipendenti da dolo, e relative all’esercizio delle proprie funzioni. Tali garanzie annullano l’effetto di eventuali clausole contrattuali riservate a Dirigenti e Quadri aziendali che prevedano specifiche responsabilità civili, penali o amministrative. La precisazione va ricondotta ai soli incarichi assunti in qualità di membri interni dell’OdV. 6.5. Le misure nei confronti dei collaboratori esterni La violazione del presente Modello da parte di collaboratori esterni e dei partner in caso di comportamenti tali da determinare il rischio di commissione di un reato sanzionato dal D.Lgs. 213/2001 potrà comportare, in relazione a quanto previsto dalle specifiche clausole contrattuali che verranno inserite nelle lettere di incarico o negli accordi, la risoluzione del rapporto contrattuale per clausola risolutiva espressa5. ISFOR 2000 potrà procedere a richiesta di risarcimento qualora da tali comportamenti derivino danni concreti alla società quali l’applicazione da parte del giudice delle misure previste dal D.Lgs. 231/2001. 5 Con la clausola risolutiva espressa, i contraenti convengono che, il contratto si risolva nel caso in cui una determinata obbligazione non sia adempiuta secondo le modalità previste dal contratto stesso 26 7. LE VERIFICHE SULL’ADEGUATEZZA DEL MODELLO L’OdV svolge un’attività di vigilanza continua sull’efficacia del Modello, inoltre periodicamente effettua specifiche verifiche sulla reale capacità del Modello per la prevenzione dei reati, eventualmente avvalendosi della collaborazione di soggetti terzi. La verifica consiste in un’attività di audit, svolta a campione, dei principali atti societari e dei contratti di maggior rilevanza conclusi dall’Ente per riscontrare la conformità dei «processi sensibili» alle prescrizioni del presente Modello. Gli esiti delle verifiche concorrono ad implementare il report annuale indirizzato al CdA. Per quanto concerne le metodologie utilizzate dall’OdV per svolgere i propri compiti, i quorum deliberativi e ogni altra informazione di dettaglio, si rinvia al Regolamento per il funzionamento dell’Organismo di Vigilanza. 27