Seminario - Modelli organizzativi e responsabilità penali nei gruppi d'imprese ex Dlgs 231/2001

Attenzione: questo evento non è più attivo!

Business International organizza, per il 28 novembre 2008 a Milano, un seminario sulla responsabilità penale nei gruppi aziendali conseguente alla commissione di uno dei reati previsti dal D.Lgs. 231/01. Anche a causa delle lacune normative esistenti, colmate dalle interpretazioni dei giudici, uno degli aspetti oggi più dibattuti è quello delle responsabilità penali nei gruppi di impresa. Il seminario di Business International è finalizzato ad analizzare gli aspetti organizzativi e procedurali relativi ad una corretta ed efficace applicazione del D.Lgs. 231/01 nei gruppi d’imprese.

Tra gli argomenti affrontati nel corso dell'incontro:

• Aspetti organizzativi: la governance dei gruppi
• L’attribuzione di responsabilità nei gruppi: le lacune della disciplina e l’interpretazione dei giudici
• Organigramma funzionale delle responsabilità del gruppo
• La predispozione dei Modelli organizzativi 231
• Composizione dell’Organismo Di Vigilanza
• La funzione di Internal Audit nei gruppi aziendali: il sistema di controllo interno

Workshop su "L’ esternalizzazione del rischio"

Attenzione: questo evento non è più attivo!

DEDO Risorse ha organizzato un workshop su "L’ esternalizzazione del rischio", che si terrà a Milano (Sede UNI - via Sannio, 2) il prossimo 21 Novembre 2008 con inizio alle ore 14.05:

"Caro collega,

stiamo riscontrando una preoccupazione crescente nei confronti della gestione del “rischio” e della scelta dei fornitori: recenti sentenze infatti confermano la necessità e l’urgenza per i dirigenti industriali di cautelarsi in vari modi e con la massima trasparenza. L'inerzia rischia di costare cara e portare anche a risarcimenti col patrimonio personale.
Con le ultime disposizioni legislative, i decreti 231/2001 e 81/2008, i sistemi di gestione sono entrati di diritto nelle disposizioni di legge.
Le nostre scelte in materia di salute e sicurezza devono allora tenerne conto, dal livello strategico a quello operativo, e devono essere compiute col massimo delle informazioni disponibili.

Per questi motivi, con questo workshop, desidero fornirvi un quadro generale, pur se sintetico, su come tale “rischio” possa essere drasticamente diminuito mediante:

• Un modello di gestione efficace per le attività esposte a rischio
• L’esternalizzazione gestita dei servizi alla produzione (outsourcing)
• Un ente terzo per certificare la buona gestione del rischio
• Un’assicurazione ad hoc per tutelare il dirigente.

I relatori che parteciperanno ai lavori appartengono, ciascuno nel proprio ambito, ad aziende leader come lo Studio Legale Imperiali - Gruppo Imperiali, il gruppo Bureau Veritas, le società U.I.A e GALASSIA Lloyd’s correspondents, e DEDO RISORSE".

Per ogni informazione (e per l'iscrizione) è possibile contattare la segreteria organizzativa:
DEDO RISORSE
Via Pietro Colletta 37, 20135 Milano, Tel. 02.89075511 int. 721 - Fax: 02.89076717
Riferimenti: Dr. Daniela Buzzi, Dr. Giusi Basile | e-mail: eventi@dedosrl.it

L'Internal Auditing in Geox

Nell'ambito dell'iniziativa "Il tour dell'Internal Auditing" abbiamo intervistato il dott. Simone Colombo, Chief Internal Auditor di Geox.
L'intervista presenta diversi punti di interesse: parliamo infatti di una funzione di internal audit di recente costituzione ma già attiva su più fronti, in un'azienda che opera in un contesto internazionale e che è (fonte SGI, 2007) il primo marchio di calzature in Italia e il terzo nel mondo.
E' possibile commentare gli spunti offerti dal dott. Colombo sia in calce a questo post (cliccando su "commenti") sia sul forum CA.

Origine, responsabilità e collocazione della funzione di Internal Audit
ComplianceAziendale.com: Buongiorno dottore e grazie per aver aderito a questa iniziativa. Può raccontarci quando è stata istituita la funzione di Internal Auditing e quali responsabilità le sono state assegnate?
Simone Colombo: Nel 2006 è nata la funzione aziendale di Internal Auditing con l’obiettivo di contribuire alla copertura dei rischi di business mediante la valutazione dei processi aziendali.
E siccome la parola d’ordine è "Sistema di Controllo Interno Integrato", per non disperdere sforzi e risultati, l’internal auditing collabora proattivamente con altre Direzioni aziendali per adempiere a requisiti di compliance, per la valutazione di ruoli e responsabilità o per la definizione di procedure aziendali.

CA: Qual è la provenienza professionale dell'attuale RIA (Responsabile dell’Internal Auditing) e delle principali risorse a disposizione della funzione?
SC: Il RIA proviene da una società di consulenza in ambito Risk Management; lo staff proviene da università della zona e viene formato internamente.
L’Internal Auditing si avvale anche della consulenza di società specializzate nella corporate governance e nel risk management per progetti specifici o, più spesso, per la fornitura di risorse professionali (co-sourcing)

CA: A chi riporta (gerarchicamente e funzionalmente) il RIA?
SC: A livello gerarchico il RIA riporta al Vicepresidente e funzionalmente al Comitato Controllo Interno

Organizzazione della funzione
CA: Gli Internal Auditor sono in possesso di certificazione?
SC: No

CA: Le risorse assegnate (strumentali, umane e finanziarie) alla funzione IA sono sufficienti e adeguate?
SC: Considerata il recente avviamento della funzione direi che le risorse sono state sempre sufficienti per completare il piano di audit e finora, fortunatamente, in crescita anno su anno.
C’è inoltre la disponibilità di un piccolo budget investimenti della Direzione Sistemi Informativi dedicato all’implementazione di strumenti funzionali all’attività di Risk management e internal auditing.

CA: Quali strumenti informatici sono utilizzati nell’erogazione dei servizi di IA?
SC: ACL, Golden Ring, Hyperion EssBase

CA: Recruiting-Employee Retention applicato alla vostra realtà: quali a suo parere le difficoltà, opportunità, leve e limiti?
SC: Non è semplice trovare risorse da inserire nell’ambito della funzione di Internal Auditing perché i requisiti sono, a mio avviso, molti e di natura eterogenea. Si va dalla capacità di relazionarsi con gli altri alla buona padronanza di modelli e strumenti informatici, da competenze economiche/finanziarie a concetti di statistica inferenziale. E anche laddove tali requisiti non fossero pienamente riscontrabili, non è semplice trovare persone che abbiamo una buona predisposizione in un ventaglio così ampio di tematiche.
E’ anche da rilevare che sono ancora inadeguati i corsi di laurea che trattino, almeno superficialmente, il risk management, il controllo interno o l’auditing..
L’employee retention pertanto diventa irrinunciabile in quanto, le competenze devono essere costruite sul campo sfruttando le predisposizioni individuabili nei vari candidati. L’investimento formativo avrà il suo ritorno solo se l’azienda saprà trattenere a sé tali persone fino a maturazione professionale.

CA: La Funzione ricorre all’acquisto di servizi di out/co-sourcing?
SC: Sì
CA: E qual è la sua valutazione delle opportunità e dei limiti dell’acquisto di servizi di out/co-sourcing?
SC: Il limite principale è la sostanziale inadeguatezza del consulente ad entrare nel merito di questioni relative a rischi di business (che poi è l’area di attività prevalente).
Le tematiche di compliance sono invece ben supportabili da personale esterno. Inoltre, paradossalmente, un compliance audit condotto da personale esterno può anche essere più efficace per via del rapporto meno informale con l’auditee.

CA: Quali sono, a suo parere, tre caratteristiche del vostro ambiente di lavoro che lo rendono di interesse per un potenziale candidato?
SC: Estremamente dinamico, ampia delega operativa, vario (fin troppo).

Servizi erogati
CA: Con riferimento ai servizi erogati dalla sua Funzione nell’ultimo anno, come si distribuiscono in termini percentuali per tipologia i volumi spesi (es. incarichi di consulenza, incarichi di audit, dominio finanziario, di compliance, operational, IT)?
SC: Audit Operational 38%; Audit IT 2%; Audit compliance 25% (ivi compresa attività a supporto del Dirigente Preposto); Consulenza 35%.

CA: Quali sono i committenti o i destinatari dei servizi della Funzione IA all’interno dell’azienda (es. Dirigente Preposto, OdV, CdA/CCI, Preposto CI, Vertici Aziendali, etc.)?
SC: Nell’ordine: Vicepresidente (Amministratore Esecutivo incaricato al SCI), A.D., altri top manager, Comitato Controllo Interno, Dirigente Preposto, OdV

CA: Come è percepita la funzione di IA da parte dei diversi interlocutori aziendali (auditati, CdA/CCI, collegio sindaci, società revisione, Dirigente Preposto, ODV 231, etc.)?
SC: Dagli interlocutori istituzionali, l’internal auditing è percepita come la funzione che li può rassicurare sulle loro responsabilità in merito al Sistema di Controllo Interno.
Il top management percepisce l’internal auditing come una funzione dotata di un ampio visus sui processi aziendali e, in quanto tale, principale promotore del cambiamento di processi e procedure.
La società di revisione è interessata in modo marginale all’attività di auditing, in quanto nello specifico contesto in cui opero, la priorità è data agli interventi in aree di rischio operativo. Tuttavia, è certamente vantaggioso per entrambi scambiare considerazioni e sensazioni ottenute nelle proprie aree di competenza.

CA: La vostra è una realtà operativa in Italia ed all'estero; come viene gestita la complessità (lingua, normativa, cultura, etc.) delle relazioni con le società o sedi estere?
SC: La barriera linguistica è un problema nell’analisi documentale, pertanto, cerchiamo di intervenire con analisi sostanziali mirate sui dati più che sui documenti. Ciò è particolarmente vero nell’attività di audit sulle consociate giapponesi o cinesi, ad esempio.
A parer mio le diversità culturali rappresentano un problema per le medie aziende italiane con respiro internazionale per un motivo opposto a quello che potrebbe sperimentare un’azienda americana nel rapportarsi con una filiale italiana.
Può anche sembrare una lettura superficiale, ma per un anglosassone vedersi "fare le pulci" da un latino è abbastanza ironico e il povero auditor parte da una posizione di svantaggio in quanto la credibilità non viene concessa a priori, ma deve essere guadagnata sul campo.

Associazioni professionali e prospettive future
CA: Gli Internal Auditor dell’azienda sono iscritti a qualche associazione professionale?
SC: Sì, all'AiiA
CA: In relazione alle vostre specifiche esigenze, reputa adeguati i servizi offerti dalle associazioni professionali di riferimento correnti? Può cortesemente motivare la risposta?
SC: Sì. I servizi formativi, le pubblicazioni e le possibilità di contatto offerte dall’AiiA sono in linea con quanto ci si potrebbe aspettare.
Il miglioramento potrebbe essere offerto con la creazione di gruppi di lavoro omogenei per localizzazione, business o altro.

CA: Come vede l'evoluzione dell'attività di Internal Auditing nelle aziende a medio-piccola capitalizzazione?
SC: Ardua, ma interessante.
Si tratta di far percepire il vero valore che l’internal audit può creare evitando approcci "talebani", ma cercando di dare all’azienda ciò di cui più necessita.
E’ risaputo che l’internal auditing classico, per quanto possa dotarsi di un approccio proattivo e continuo, interverrà prevalentemente su un Sistema di Controllo Interno esistente. Le aziende come quella in cui opero, risentono di un dinamismo non comune ai mostri sacri della realtà industriale o bancaria italiana, sia esso un dinamismo positivo o negativo. Il Sistema di controllo interno, nelle sue varie componenti (lette secondo il modello che preferite), cambia e si adatta di continuo. Ciò significa che il ruolo dell’auditor deve conciliarsi con le esigenze aziendali di adeguamento del Sistema di Controllo Interno alla realtà contingente che l’azienda vive in ogni specifico momento. E’ per questo che l’auditor attento deve cogliere ogni opportunità di dimostrare le potenzialità della professione, rimboccandosi le maniche e sporcandosi le mani per aiutare l’azienda in revisioni della struttura organizzativa, nella definizione di procedure aziendali, nella facilitazione di incontri dedicati alla risoluzione di criticità, ecc.
In aggiunta, pur se presento un elemento di estremo dettaglio, reputo che il futuro successo di una funzione di Internal Auditing stia anche nella capacità di sintetizzare ed aggregare la montagna di risultati ottenuti dalla attività svolta, per poter rispondere convincentemente all’annosa domanda: "Il sistema di controllo interno è adeguato?". Strumenti informatici e metodologie aiutano, ma ciò che serve veramente è una grossa capacità comunicativa, commitment e una profonda conoscenza della realtà aziendale in cui si vive.

Possibilità di lavoro in progetto in ambito compliance e audit

La nostra società - Italfondiario SpA impegnata nell'attività di intermediazione finanziaria - è alla ricerca di 2 stagisti da inserire all'interno del Dipartimento Internal Audit e Compliance presso la sede centrale di Roma.

Le posizioni sono rivolte a giovani laureati (preferibilmente economia) che abbiano una minima conoscenza delle normative e delle tematiche di auditing: Analisi processi/rischi, Basilea II, Mifid, DLgs 231/2001.
Gli stage avranno una durata di 6 mesi e saranno rimborsati con 600€/mese.

Chi fosse interessato ed abbia i requisiti richiesti può inviare il proprio cv a: risorseumane@italfondiario.com

Grazie in anticipo,
Simone Masciotta

N.B.: ComplianceAziendale.com pubblica gratuitamente (scrivere a ComplianceAziendale @ gmail.com, oggetto "offerta di lavoro") le offerte di lavoro in ambiti relativi alla compliance, quale servizio per chi è alla ricerca di nuove opportunità lavorative. Non si assume tuttavia alcuna responsabilità relativamente al contenuto delle proposte o al loro esito.

Privacy e tesserino di riconoscimento

di Matteo Colombo e Jenny Nespoli (Labor Project srl)

Dopo la presentazione di un interpello dell'Anie (Federazione Nazionale Imprese Elettrotecniche ed Elettroniche) inerente i "dati da riportare sul tesserino di riconoscimento per il personale occupato nei cantieri edili e rispetto del Codice in materia di protezione dei dati personali (D.Lgs. n. 196/2003)" , il Ministero del Lavoro, della Salute e delle Politiche Sociali ha fornito una risposta (n. 41/2008) riferita ai cantieri edili, ma estensibile a tutti i casi di appalto e subappalto.

Come noto, quale misura di contrasto al c.d. lavoro nero, dal 1° ottobre 2006 i datori di lavoro hanno l’obbligo, previsto dall’art. 36-bis Legge n. 248/2006, esteso dalla Legge n. 123/2007 e dal D.Lgs 81/2008 e s.m.i., di munire il personale impiegato nei cantiere edile (anche i lavoratoti autonomi) del tesserino di riconoscimento: il documento deve riportare la fotografia, le generalità, il luogo e la data di nascita del lavoratore e l’indicazione del datore di lavoro (il numero di matricola non è più obbligatorio in conseguenza dell’abolizione, dal 18.08.2008, del libro matricola).
I lavoratori sono obbligati ad esporre, in modo visibile, il tesserino di riconoscimento, pena l’applicazione di una sanzione amministrativa a loro carico.

L'Anie ha posto la domanda su come si concilia la tutela del lavoratore nei confronti del regime della privacy con l'obbligo di esposizione dei propri dati identificativi (in particolare la data di nascita) e della propria immagine. A questo proposito, il Ministero ha risposto che la necessità individuata dal D.Lgs 81/2008 e s.m.i. di contrasto al lavoro nero prevale rispetto all’esigenza di tutelare la riservatezza dei lavoratori.

Il tema sollevato dall'Anie si presta ad ulteriori considerazioni, in particolare con riferimento alla la preparazione del tesserino: il tesserino deve infatti rispettare il principio di trattamento dei soli dati personali che siano pertinenti e non eccedenti rispetto alle finalità per cui sono raccolti e trattati, principio che si applica anche al "dato-immagine" dei lavoratori.
Problematica rilevante è rappresentata da quei casi in cui la preparazione dei tesserini sia affidata a soggetti terzi per la stampa; in questi casi ci troviamo infatti di fronte ad un trattamento che prevede che dati personali o sensibili e immagini siano comunicati e diffusi a terzi, estranei rispetto al rapporto di lavoro.
Tale modalità di trattamento non rientra tra gli obblighi di legge e ciò determina sicuramente l’obbligo di fornire al lavoratore idonea e completa informativa e l’obbligo di avere il consenso del lavoratore stesso per la diffusione dei dati e dell’immagine.
Il datore di lavoro potrebbe in alternativa decidere di predisporre direttamente i tesserini di riconoscimento all’interno della propria azienda, senza l’esternalizzazione.

Un'ulteriore problema per i datori di lavoro, inerente il rispetto della privacy riguarda la raccolta ed archiviazione delle immagini fotografiche digitalizzate dei lavoratori.
L’immagine, considerata dato comune, diventa facilmente un dato sensibile, ai sensi dell’art. 4 del D.Lgs 196/2003, se può essere in grado di evidenziare l’origine razziale o etnica di un lavoratore.
Nei casi di digitalizzazione dell’immagine pertanto:

• l’informativa all’interessato è sempre dovuta, con particolare attenzione ad informare in merito alla diffusione a soggetti terzi dei dati identificativi in caso di incarico a esterni;
• l'obbligo del consenso è sempre necessatrio se il datore di lavoro vuole archiviare la foto. E’ obbligatorio munire il lavoratore del tesserino, ma è una scelta discrezionale del datore archiviare il "dato-immagine";
• vi è l'obbligo di redazione del DPS (Documento Programmatico sulla Sicurezza dei dati) per il trattamento dei dati sensibili origine (etnica o razziale) dei lavoratori stranieri;
• alla cessazione del rapporto di lavoro l’immagine archiviata deve essere distrutta in virtù del principio di necessità sancito dal Codice Privacy.

Relazioni tra programmi di prevenzione degli infortuni (ex D.Lgs. 81/08) e programmi di prevenzione dei rischi-reato (ex D.Lgs. 231/01)

di Stefano Barlini.

Chi si occupa di risk management, come il sottoscritto, non può non partire dal framework "Enterprise Risk Management" elaborato dal CoSO (Committee of Sponsoring Organizations) per cercare di spiegare le relazioni tra programmi di prevenzione degli infortuni (ex D.Lgs. 81/08) e programmi di prevenzione dei rischi-reato (ex D.Lgs. 231/01).
In termini estremamente sintetici e (si spera) pratici, può dirsi che l’ERM si propone alle aziende come modello che consente al management di affrontare efficacemente le incertezze (interne e esterne) e i conseguenti rischi e opportunità che un'azienda si trova a fronteggiare, accrescendo così la capacità di conseguire i propri obiettivi e, pertanto, il valore a beneficio dei propri azionisti, così come in favore dei clienti, dipendenti e ulteriori portatori di interessi.

Oltre agli obiettivi strategici, secondo l'ERM ai fini della creazione del massimo valore è fondamentale il conseguimento degli obiettivi riconducibili alle seguenti categorie:

• operativi (efficace e efficiente impiego delle risorse aziendali);
• di reporting (affidabilità delle informazioni riportate internamente e esternamente);
• di conformità (osservanza delle leggi e dei regolamenti in vigore).

E' dunque immediato pensare che entrambi i programmi di prevenzione degli infortuni (ex D.Lgs. 81/08) e dei rischi-reato (ex D.Lgs. 231/01) rispondano prevalentemente ad obiettivi riconducibili all'ultima categoria: conformità ai requisiti normativi cui l'azienda è soggetta.
Ciò è sicuramente corretto, anche se è opportuno effettuare alcune precisazioni che, a parere di chi scrive, possono spiegare le relazioni tra i programmi di prevenzione in discussione.

1. La normativa antinfortunistica, oggi racchiusa nel Testo Unico di cui al D.Lgs. 81/08, è cogente, contiene cioè misure vincolanti per i destinatari, obbligati a conformarsi alle sue disposizioni ai fini della tutela della salute e sicurezza negli ambienti di lavoro (interesse pubblico perseguito dal legislatore). La conformità ai requisiti di cui al D.Lgs. 231/01 non è obbligatoria, ma solo facoltativa per i destinatari, che predisponendo e attuando efficacemente un proprio Modello organizzativo 231 potrebbero ricevere il beneficio dell’esimente (non essere chiamati a rispondere dei reati commessi) o la riduzione dell’afflittività delle sanzioni previste dal Decreto 231 stesso.
2. Le componenti del Modello di organizzazione, gestione e controllo di cui al D.Lgs. 231/01 eccedono, almeno a livello di portata, quelle dei Modelli di organizzazione e gestione di cui all’articolo 30 del D.Lgs. 81/08. Per fare alcuni esempi, l’Organismo di Vigilanza, il Codice Etico, la regolazione della gestione delle risorse finanziarie sono componenti dei Modelli ex D.Lgs. 231/01 trasversali e comuni alla generalità dei reati-presupposto della responsabilità degli enti, che non sono, invece, contemplati dal TU in materia di salute e sicurezza sui luoghi di lavoro di cui al D.Lgs. 81/08.
3. La normativa antinfortunistica mira direttamente a prevenire gli infortuni e le malattie sviluppate nei luoghi di lavoro e a contrastare quelle pratiche (comportamenti e omissioni) che ne incrementano le probabilità di accadimento e l’impatto derivante. L’inserimento dei reati di omicidio colposo e lesioni gravi o gravissime, tra i reati presupposto della responsabilità dell’ente ex D.Lgs. 231/01, mira a rafforzare l’efficacia deterrente delle pene già associate a tali reati, coinvolgendo anche le aziende e il loro patrimonio. In altri termini, affinché si origini la responsabilità dell’ente, è necessario non solo che si configurino tutti gli elementi di tali reati, ma occorre la “colpa specifica” che l’evento si sia verificato a causa dell’inosservanza delle norme per la prevenzione degli infortuni sul lavoro.
4. I contenuti e le caratteristiche dei modelli di organizzazione e di gestione previsti dal D.Lgs. 81/08, in forza della previsione contenuta nel comma 5 dell’articolo 30 (presunzione di conformità del Modello ex lege), sono identificati e concretamente regolati dalle policies di cui alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001, o, in maniera ancor più dettagliata e puntuale, dai requisiti definiti dalla norma internazionale BS OHSAS 18001:2007. Viceversa, i contenuti e le caratteristiche del Modello di organizzazione, gestione e controllo di cui al D.Lgs. 231/2001 trovano un indirizzo nelle linee guida emesse dalle associazioni di categoria approvate dal Ministero della Giustizia. Nel primo caso l’ambito è ben definito e focalizzato sui sistemi di gestione della salute e sicurezza nei luoghi di lavoro; nel secondo caso, invece, l’ambito è molto più ampio includendosi indirizzi per la prevenzione della generalità dei reati presupposto dell’ente e quindi anche di quelli in materia di salute e sicurezza sui luoghi di lavoro (parte e non tutto dell’ambito di tali indirizzi).

Per concludere, riprendendo il framework ERM, si può affermare che i programmi di prevenzione degli infortuni adottati dalle aziende in forza del D.Lgs. 81/08, oltre all’obiettivo di conformità, mirano anzitutto a gestire i rischi rappresentati dagli infortuni o malattie originate nei luoghi di lavoro, riducendone le probabilità di accadimento e/o gli impatti derivanti. Sotto questo profilo, non può negarsi che, gestendo tali rischi, essi contribuiscono rilevantemente al conseguimento anche di obiettivi di natura operativa: l’efficacia e l’efficienza nell’impiego delle risorse aziendali sono seriamente minacciate da un incendio in fabbrica, dall’esplosione di un macchinario, così come dall’infortunio di un dipendente, collaboratore o soggetto terzo coinvolto nel processo produttivo o in altro processo aziendale. Viceversa, il programma di prevenzione dei rischi-reato ex D.Lgs. 231/01 è senza dubbio prevalentemente ed essenzialmente un compliance program teso, appunto, a gestire i rischi di non conformità che possono originare la responsabilità dell’ente, tra cui quelli in materia di salute e sicurezza nei luoghi di lavoro.

Nell’esperienza concreta che ho avuto occasione di conoscere e vivere personalmente (in quanto OdV o consulente nella fase di set-up o mantenimento/aggiornamento del Modello), i programmi di prevenzione degli infortuni (ex D.Lgs. 626/ 94, ex D.Lgs. 494/96, etc., oggi ex D.Lgs. 81/08) pre-esistono, ovviamente, in azienda, prevalentemente per le ragioni di cui al punto 1 di sopra. A seguito dell’inserimento dei delitti di omicidio colposo e lesioni gravi o gravissime tra i reati-presupposto della responsabilità dell’ente, il coordinamento è stato realizzato innestando nel più ampio Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001, e, in particolare, sulle sue componenti comuni e trasversali (come da punto 2 di sopra) alla generalità dei reato-presupposto (i.e. Organismo di Vigilanza, sistema disciplinare e sanzionatorio, formazione e informazione sul Modello, Codice Etico, sistema delle deleghe e procure, sistema organizzativo, sistema di controllo di gestione), generalmente disciplinate nella Parte Generale, una specifica Parte Speciale dedicata ai reati posti a tutela della salute e sicurezza sui luoghi di lavoro.
Tale Parte Speciale si integra, non si sovrappone e non si sostituisce al sistema di gestione della salute e sicurezza nei luoghi di lavoro adottato dall’azienda a cui è demandata la predisposizione puntuale delle misure di prevenzione degli infortuni e delle malattie (controllo di primo livello) conformemente alla normativa corrente. Le misure previste in tale Parte Speciale mettono piuttosto nelle condizioni l’Organismo di Vigilanza di svolgere un controllo di secondo livello sul rispetto della normativa, come da punto 3 più sopra (vedremo in altro post attraverso quali misure si realizza il coordinamento e, in particolare, il monitoraggio da parte dell’Organismo di Vigilanza). Come riportato al precedente punto 4, è quindi il sistema di gestione della salute e sicurezza nei luoghi di lavoro che si conforma ai requisiti di cui alla norma internazionale BS OHSAS 18001:2007 o, in altri casi, alle linee guida UNI-INAIL, dando seguito, in particolare, ai requisiti specifici e settoriali di cui all’articolo 30 del D.Lgs. 81/08.

Compliance ed IT Governance

Il documento "IT Control Objectives for Sarbanes-Oxley 2nd Edition" (Obiettivi di controllo IT per la Sarbanes-Oxley), pubblicato nel 2006 dall’IT Governance Institute (ITGI) e disponibile ora anche nella versione italiana, rappresenta un aggiornamento ed integrazione della guida "IT Control Objectives for Sarbanes-Oxley" pubblicata nel 2004 per supportare le aziende nella valutazione e miglioramento del proprio sistema di controllo interno sui processi di Information Technology (IT), ed utilizzata poi anche come strumento per valutare i controlli IT in relazione ai requisiti di conformità richiesti dalla Sarbanes-Oxley.

Questa seconda edizione (tradotta in italiano da Agatino Grillo con l'ausilio di Francesco Mariani e Sergio Rubichi) conferma la sostanziale validità dell’impianto della guida dell 2004, e lo integra sulla base delle esperienze maturate in fase di prima applicazione.
Le principali modifiche rispetto alla prima edizione riguardano l'integrazione delle linee guida per aiutare le aziende:

• nell’applicare l’approccio risk-based e top-down;
• nella definizione dei controlli rilevanti (si veda per questo secondo aspetto l’appendice "C – Controlli generali IT" del documento);
• nella fase di identificazione ed utilizzo dei vari tipi di controlli applicativi, fornendo anche esempi di business case per l’uso di tali controlli applicativi;
• nella definizione dei controlli da prevedere nella gestione dei fogli elettronici;
• nella segregazione di responsabilità non compatibili per le applicazioni più significative.

Il documento è stato inoltre ampliato con approfondimenti sugli aspetti relativi alla gestione delle persone e delle specificità culturali (per sottolineare l’importanza dei fattori umani da considerare nelle attività di compliance alla Sarbanes-Oxley) e con una sintesi delle esperienze e degli insegnamenti maturati dalle aziende che, in tutto il mondo, hanno applicato la prima versione della guida.

Maggiore spazio è stato dedicato anche alle aziende più piccole, in considerazione del fatto che queste "possono trovarsi in difficoltà [...] nell’applicare i requisiti sui controlli IT che
sono richiesti dalla Sarbanes-Oxley. È dunque importante non teorizzare una strategia di intervento uguale per tutti ma, invece, usare un approccio risk–based ed implementare solo quei controlli IT che sono necessari e rilevanti per il proprio contesto." A tal fine, questa nuova versione riporta numerosi miglioramenti nelle linee guida per il risk assessment.

Infine, come viene precisato nella premessa al documento "Non esiste un ambiente aziendale senza rischi e quindi essere conformi al Sarbanes-Oxley Act non garantisce la mancanza di rischi. Tuttavia migliorare il proprio sistema di controllo interno, anche in relazione ai requisiti di conformità del Sarbanes-Oxley Act, può arrecare considerevoli vantaggi: una IT Governance chiara sugli obiettivi di pianificazione e controllo nell’ambito del ciclo di vita delle applicazioni software, ad esempio, può sicuramente assicurare un financial reporting più accurato e tempestivo."

Internal Auditor, financial reporting e XBRL

L'IIA ha recentemente condotto (settembre 2008) un'indagine per fare il punto della situazione sullo stato di adozione, a livello mondiale, dell'eXtensible Business Reporting Language (XBRL) e del ruolo degli Internal Auditor in questa fase di introduzione di un nuovo linguaggio.

Dall'indagine emerge che:

• il 51% degli internal auditors intervistati non ha alcuna conoscenza del XBRL, e il 42% ne ha una conoscensa solo elementare;
• solo l'8% degli intervistati ha dichiarato che le aziende di appartenenza hanno già adottato il formato XBRL per le proprie comunicazioni finanziarie, più del 37% ha riferito che questo formato sarà adottato nei prossimi tre anni;
• tra le 29 aziende che già adottano il formato XBRL, solo in 4 casi gli auditor sono stati coinvolti in qualche modo nel processo;
• il 52% delle aziende ha deciso di sviluppare i report finanziari in XBRL internamente, ed il 48% ha scelto la strada dell'outsourcing o del co-sourcing. In nessun caso, il linguaggio; XBRL è usato nei processi aziendali se non per la produzione della reportistica finanziaria;
• La maggioranza degli intervistati adotta principi contabili nazionali quali ad esempio il US-GAAP, e solo il 17% adotta i principi contabili internazionali (IFRS);
• circa il 90% degli intervistati si dice interessato ad un paper sul linguaggio XBRL.

L'IIA sta già lavorando ad una guida sull XBRL, per fornire agli internal auditors le competenze e le norme di comportamento necessarie.

Dal sito dell'IIA è possibile scaricare l'executive summary dei risultati dell'indagine sul XBRL; sul sito ufficiale di XBRL Italia è invece possibile approfondire la conoscenza dell'eXtensible Business Reporting Language.

AiiA - Corporate Governance Paper

L'Associazione Italiana Internal Auditors ha reso disponibile in pubblica consultazione la bozza di versione, aggiornata al 30 settembre, del nuovo Corporate Governance Paper.

L'Aiia aveva già pubblicato, nel febbraio 2008, un primo "Corporate Governance Paper" che si soffermava principalmente sugli aspetti relativi alla realizzazione di un efficace ed efficiente Sistema di Controllo Interno, sottolineando la necessità di:

• univocità e centralità del Sistema di Controllo Interno;
• esausitività e trasversalità della valutazione dei rischi;
• meccanismi di assurance propedeutici ad un continuo allineamento del Sistema di Controllo Interno rispetto alle esigenze di governo e controlo aziendale.

In particolare, con riferimento al Sistema di Controlli Interno si sottolineava l'importanza di una chiara definizione dei livelli in cui si articola il sistema di controllo aziendale.

Il documento diffuso in bozza in questi giorni approfondisce invece le tematiche di Governance, con particolare attenzione al sistema delle relazioni e delle interazioni tra i numerosi organi e funzioni aziendali che partecipano al presidio del Sistema di Controllo Interno. L'analisi si sviluppa a partire dalla struttura di controllo identificata dal CoSO Enterprise Risk Management Framework e ne dipana le possibili articolazioni; l'obiettivo del documento sembra essere quello di voler evitare, tramite una schematizzazione delle relazioni di controllo e dei flussi informativi tra strutture di controllo, la realizzazione di un Sistema di Controllo Interno incoerente, incompleto o ridonante.

Nella redazione del documento l'AiiA ha voluto espressamente tenere conto delle opinioni ed orientamenti già espressi, sul tema, da altre associazioni e gruppi di studio, ed in particolare del documento congiunto AiiA-Aicom "Le funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza" e delle Linee Guida di Confindustria sul Dirigente Preposto.

Indice del documento:

• Premessa
• I soggetti coinvolti nel controllo
• Le modalità di interazione tra organi e funzioni di controllo
• Linee guida applicative
• Cultura, competenza e formazione degli organi e delle funzioni di controllo
• Come massimizzre il valore aggiunto dell'Internal Audit
• Appendice: linee guida per le relazioni tra gli organi e le funzioni preposte al controlli interno aziendale
• Le relazioni tra i soggetti coinvolti
1. Relazioni tra gli organi di controllo e vigilanza
2. Relazioni tra gli organi di controllo e vigilanza e Internal Audit
3. Relazioni tra gli organi di controllo e vigilanza e le funzioni aziendali di controllo di secondo livello
4. Relazioni tra Internal Audit e le funzioni aziendali di controllo di secondo livello
5. relazioni tra le funzioni aziendali di controllo di secondo livello
• Adattabilità delle linee guida alle diverse trutture organizzative aziendali

Rapporti tra Organismo di Vigilanza e SPP

di Stefano Barlini.

Il tema dei rapporti tra Organismo di Vigilanza e SPP, e RSPP in particolare, è quanto mai attuale e certamente incomincia a vivere le prime e concrete esperienze proprio in questo frangente. Infatti, dalla L. 123/07 (Legge delega che già introdusse tra i reati-presupposto della responsabilità amministrativa degli enti le due fattispecie di omicidio colposo e lesioni gravi e gravissime), passando per il successivo D.Lgs. 9 aprile 2008, n. 81 (nuovo Testo Unico in materia di tutela della salute e della sicurezza nei luoghi di lavoro), ad oggi è verosimile che le aziende/enti abbiano fatto giusto in tempo ad aggiornare/integrare il proprio Modello o ad adottarlo ex novo (specie quelle con un profilo di rischio inerente elevato proprio rispetto ai 2 nuovi reati-presupposto). Considerata l’assenza di specifiche previsioni legislative al riguardo e la relativa novità del tema, non esiste, né potrebbe esistere oggi un rapporto “tipico” tra OdV e SPP, e in particolare tra OdV e RSPP, né un elenco predeterminato di domande dell’OdV cui deve dare una risposta il SPP e il RSPP, in particolare.

E’ indubbio che ricada nell’autodisciplina di ciascun ente la predisposizione del proprio Modello organizzativo anche ai fini della prevenzione dei rischi-reato in materia di salute e sicurezza sui luoghi di lavoro: in particolare, sarà la parte specifica del Modello 231 di ciascun ente, dedicata alla prevenzione di tali rischi-reato, a definire in particolare i poteri e le responsabilità dell’OdV in tale ambito e, simmetricamente, i compiti e le responsabilità aggiuntive (rispetto a quelle già previste nel D.Lgs. 81/08 e nel relativo programma di conformità intrapreso) in capo al SPP e al RSSP, in particolare. Oltre alle linee guida delle associazioni di categoria e al buon senso applicato (vero freno, a parere di chi scrive, a improbabili architetture che di certo non mancheranno), sarà ovviamente l’esperienza concreta (inclusa la giurisprudenza di merito che si formerà negli anni a venire) a decretare gli schemi più adeguati, oltreché efficaci ed efficienti per gli enti. E’ percepibile per tutti, e le domande dell’Ing. Fonzar ne sono una piena testimonianza, il rischio di ridondanze tra le misure di controllo adottate per finalità di conformità all’uno e all’altro decreto e/o di corto-circuiti dei meccanismi di governance adottati.

Riprendendo i quesiti posti e generalizzandoli, alcuni dei temi che sicuramente avranno sempre più rilevanza e attualità sono:

• rapporti tra OdV e SPP (in particolare RSPP);
• competenze dei componenti OdV in ambito salute e sicurezza sui luoghi di lavoro;
• composizione dell’OdV;
• relazioni tra programmi di prevenzione degli infortuni (ex D.Lgs. 81/08) e programmi di prevenzione dei rischi-reato (ex D.Lgs. 231/01).

Sarà quindi interessante raccogliere le esperienze di chi fa parte degli Organismi di Vigilanza e chi, dall’altro lato, è chiamato con diverse responsabilità a svolgere il Servizio di Prevenzione e Protezione in azienda. Personalmente, in quanto componente di due Organismi di Vigilanza cercherò di fornire e rappresentare la mia esperienza in corrispondenza dei temi sopra accennati e di quelli aggiuntivi che gli altri interessati vorranno condividere su questo sito o sul forum CA .

IL Dlgs 231/01 e la qualità nelle PMI

di Luca De Gennaro (www.lostudioldg.it)

Nel confrontarsi con gli amministratori delle PMI, spesso ci si deve confrontare con una visione particolare delle certificazioni e degli adempimenti di legge, che sono catalogati nella maniera seguente:

1. adempimenti obbligatori (come gli adempimenti fiscali e civilistici);
   
2. adempimenti volontari, ma obbligatori di fatto (come la Certificazione di qualità);
3. adempimenti formali (come la Privacy);
4. adempimenti facoltativi (come il Dlgs 231/01 o la certificazione contabile).

I primi adempimenti sono obbligatori per legge e quindi devono essere eseguiti con il minor onere possibile; i secondi non sono obbligatori, ma lo diventano di fatto perché, senza la certificazione di qualità e ambientale, l’azienda è fuori mercato. La terza tipologia di adempimenti, come ad esempio la Privacy con la redazione del DPS, è ritenuta una semplice formalità, che in genere si fa redigere dal fornitore di hardware e/o software e si tiene nel cassetto. La quarta è ultima, essendo facoltativa, non viene presa in considerazione.

A questo si deve aggiungere che le piccole e medie imprese, a prescindere dal numero di occupati e dal volume del fatturato [1], per la maggior parte dei casi sono un’ evoluzione dell’impresa familiare in cui il capo famiglia, in genere, somma in capo a sé le funzioni di proprietario, amministratore e manager dell’attività [2].
Quando si propone l’adozione dei Modelli organizzativi e di gestione ex D.Lgs 231/01 il proprietario/amministratore immediatamente nega la necessità di attuarli presso la propria struttura, in quanto tutto è centralizzato su di lui (firma dei contratti d’acquisto, firma del pagamento, firma dei contratti di vendita etc), quindi "è da escludere la possibilità di commettere reati", inoltre "sarebbe l’ennesimo adempimento" e "un ulteriore ingabbiamento delle funzioni aziendali", senza contare "il costo".

Questa è chiaramente una visione miope dei processi aziendali, infatti senza addentrarci nelle problematiche della governance, uno dei requisiti esenziali dei “Modelli di organizzazione e controllo” è la trasparenza dei processi. Trasparenza che non può che giovare nei meccanismi di gestione dell’impresa non rendendo più la stessa legata alle persone.
Inoltre è possibile cercare e sviluppare delle sinergie tra i Modelli Organizzativi ex D.Lgs. 231/01 e il Sitema di Controllo della Qualità: anche se creati con finalità diverse (i primi per prevenire alcune fattispecie di reato, i secondi per massimizzare la soddisfazione dei clienti) condividono alcune attività quali l’analisi dei processi aziendali per flussi, la formalizzazione delle procedure, gli audit di verifica e l’eventuale aggiornamento delle procedure [3].

Se, in quest’ottica, si pensa anche all’introduzione di una funzione di controllo di gestione o di internal audit, che supporti l’Organo di Vigilanza, ottimizzi i costi, migliori l’efficienza e l’efficacia delle procedure e dei processi aziendali e vigili sul rispetto dei “regolamenti interni” e della normativa (evitando così eventuali sanzioni), i maggiori costi si possono trasformare in una opportunità di crescita e di sviluppo dell’attività imprenditoriale.

-----
[1] Si veda Giovanni Battisti, "Piccola media impresa e d.lgs 231/01", ComplianceAziendale.com; Ivan Rotunno, "Una definizione dimensionale per gli enti di “enti di piccole e medie dimensioni” ex art. 6, comma 4 D.lgs 23101", www.ReatiSocietari.it.
[2] Si veda Ivan Cimmarusti "Il risk network dell’impresa familiare", ItaliaOggi del 14 aprile 08.
[3] Si veda per un approfondimento Maurizio Arena "Sistemi di gestione della qualità e modelli anticrimine", www.ReatiSocietari.it.

Gruppo professionale per i membri degli Organismi di Vigilanza

La costituzione ed il funzionamento di un Organismo di vigilanza, cui affidare "il compito di vigilare sul funzionamento e l'osservanza dei modelli e di curare il loro aggiornamento" (d.Lgs. 231/01. art. 6, co. 1, lett. b), è uno dei requisiti indispensabili per garantire che il modello di organizzazione sia efficacemente attuato e per liberare l'ente da ogni responsabilità nel caso di commissione di uno dei reati previsti dal d.lgs. 231/01.
Usando le parole di Confindustria: "L’affidamento di detti compiti (vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento, ndr) all’Organismo ed, ovviamente, il corretto ed efficace svolgimento degli stessi sono, dunque, presupposti indispensabili per l’esonero dalla responsabilità, sia che il reato sia stato commesso dai soggetti "apicali" (espressamente contemplati dall’art. 6), che dai soggetti sottoposti all’altrui direzione (di cui all’art. 7). [...] Da quanto sopra sinteticamente richiamato, si rileva l’importanza del ruolo dell’Organismo, nonché la complessità e l’onerosità dei compiti che esso deve svolgere."

La "complessità e onerosità dei compiti" assegnati all'OdV è ulteriormente gravata dalla varietà delle materie di competenza, dai frequenti aggiornamenti normativi e dall'esigenza -imprescindibile- di adattare la propria azione ai reali meccanismi operativi delle aziende in cui l'Organismo è chiamato ad operare.

Per venire incontro ai bisogni di aggiornamento normativo e di confronto professionale dei membri degli organismi di vigilanza, e dei professionisti che collaborano con tale organo di controllo, è stato creato (sul sito LinkedIn, sito non collegato a ComplianceAziendale.com ed uno dei principali network di relazioni professionali) il gruppo ODV.

Il gruppo ODV è stato costituito per mette in contatto i membri degli Organismi di Vigilanza costituiti in attuazione del D.Lgs. 231/01 e i professionisti che collaborano con gli Organismi di Vigilanza, per favorire la circolazione di idee, per condividere le esperienze professionali, per confrontarsi sulle novità della normativa in materia di responsabilità amministrativa degli enti.

Per iscriversi al gruppo, bisogna anzitutto registrarsi sul sito LinkedIn e inoltrare poi la richiesta d'iscrizione al gruppo. L'iscrizione è, ovviamente, gratuita.

Costi di realizzazione di un modello organizzativo ex D.Lgs. 231/01

Buongiorno,
Vi scrivo per avere qualche informazione in materia di modelli 231.
Sono titolare di un'azienda metalmeccanica e vorrei farmi un'idea dei tempi e dei costi necessari per adottare un modello organizzativo conforme al d.lgs. 231/01.
Vorrei inoltre capire se è necessario dotarsi di un organo di controllo (considerato che esiste un collegio sindacale).
L'azienda ha un centinaio di dipendenti e un fatturato medio annuo di 50 mln di euro .

E' difficile stimare -in termini così generali- i costi che un'azienda dovrà sostenere per adeguare il proprio modello di organizzazione, gestione e controllo aziendale alle disposizioni del D.Lgs. 231/01.
Tuttavia questa è una domanda che interessa un numero crescente di aziende, anche quelle di dimensione medio-piccola, in particolare dopo l'estensione della responsabilità amministrativa all' omicidio colposo e alle lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro (D.Lgs. 231/01, art. 25 septies).

Proviamo quindi a fornire qualche elemento di riflessione.
E' anzitutto necessario distinguere tra la fase di prima adozione del modello organizzativo e la fase di successiva gestione del modello. Spesso, infatti, ci si limita a stimare i soli costi relativi alla fase di "prima adozione del modello organizzativo", dimenticando che l'azienda dovrà in seguito sostenere ulteriori costi per mantenerne l'efficacia, e che tali costi si andranno spesso a sommare a quelli già sostenuti per altre attività di controllo (interno o esterno, imposte dalla legge e adottate volontariamente).

Con riferimento alla prima fase (prima adozione del modello organizzativo) le principali attività da svolgere sono sostanzialmente:

• analisi approfondita dell'organizzazione aziendale esistente;
• identificazione delle fattispecie di reato previste dal D.Lgs. 231/01 teoricamente applicabili all'azienda;
• definizione delle aree di intervento;
• progettazione ed implementazione degli interventi organizzativi di adeguamento del modello identificati;
• formazione del personale interessato dall'adeguamento del modello organizzativo.
  

I costi da sostenere per l'esecuzione di queste attività progettuali variano notevolmente in dipendenza di due fattori:

1. la dimensione dell'attività aziendale e/o la sua complessità organizzativa;
2. la disponibilità, all'interno dell'azienda, delle specifiche competenze professionali richieste o, viceversa, la necessità di acquistare un servizio di consulenza esterno.

Una volta approvato il nuovo modello di organizzazione, gestione e controllo, nella successiva fase di gestione del modello organizzativo l'azienda dovrà sopportare i costi necessari per garantire:

• l'efficacia del modello organizzativo nel prevenire i comportamenti non voluti o l'adempimento degli obblighi normativi in materia di sicurezza;
• l'aggiornamento del modello organizzativo al verificarsi di mutamenti organizzativi o normativi. Con riferimento a quest'ultimo aspetto, si tratterà sostanzialmente di adottare interventi progettuali simili (ma generalmente di minore "impatto") a quelli identificati per la prima fase, cui rimandiamo.
  

Con riferimento al primo aspetto, i costi da sostenere saranno sostanzialmente quelli sostenuti per garantire l'attività di vigilanza e di controllo, e quindi:

• i costi relativi all'istituzione e al funzionamento dell'organismo di vigilanza;
• i costi relativi all'attività di controllo (audit), quando non svolta direttamente dall'organismo di vigilanza. Infatti, è compito dell'organismo di vigilanza assicurare che le procedure aziendali, adottate in attuazione del D.Lgs. 231/01, una volta approvate siano effettivamente seguite dalle strutture aziendali; ciò averrà con opportuni interventi di audit, svolti ricorrendo alle competenze professionali interne (ad esempio con uno specifico mandato conferito alla funzione di internal audit) o ricorrendo a professionisti esterni.

Non bisogna poi dimenticare che alcune attività dovranno essere replicate periodicamente, e che pertanto si avranno costi periodici: ad esempio si dovranno prevedere corsi di formazione o attività di informazione per ogni nuovo personale impiegato in aree sensibili.

Quanto all'opportunità di dotarsi di un modello organizzativo per "liberare" la società dall'eventuale responsabilità amministrativa conseguente alla commissione dei reati previsti dal D.Lgs. 231/01, nonostante la facoltà -prevista dal legislatore- di adottare formalmente tale modello, dopo l'introduzione dell'art. 25-septies credo sia una scelta da considerare seriamente anche da parte delle piccole medie imprese.

Organismo di vigilanza, autonomia e conflitto di interessi

Buongiorno,
vorrei la vostra opinione in merito alla possibilità per il soggetto nominato OdV (monocratico) di un'azienda, con regolare contratto di collaborazione coordinata e continuativa a progetto per tre anni in concomitanza con la durata del Consiglio di amministrazione, di instaurare un nuovo rapporto di collaborazione di altra specie come ad esempio "collaboratore a provvigioni" per ricerca di clienti italiani e/o esteri? Secondo voi si corre il rischio di conflitto di interessi? V'è la possibilità di svincolarsi da questo problema, se esiste?

Il tema dell'autonomia dell'Organismo di vigilanza (ODV) non è esplicitamente trattato dal D.Lgs. 231/01, che si limita a precisare che l'ODV deve essere un "organismo dell'ente" cui è affidato il compito di "vigilare sul funzionamento e l'osservanza dei modelli" e dotato, a tal fine, di "autonomi poteri di iniziativa e di controllo":

"il compito di vigilare sul funzionamento e l'osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell'ente dotato di autonomi poteri di iniziativa e di controllo" (D.Lgs. 231/01, art. 6, co. 1, lett. b)

La relazione ministeriale al D.Lgs. 231/01 precisa a tale proposito che:

"per garantire la massima effettività del sistema, è disposto che la societas si avvalga di una struttura che deve essere costituita al suo interno [...] dotata di poteri autonomi e specificamente preposta a questi compiti".

Questi due aspetti sono correttamente sintetizzati da Confindustria che, in materia di composizione dell'ODV, precisa

"la scelta tra l’una o l’altra soluzione deve tenere conto delle finalità perseguite dalla legge e, quindi, deve assicurare il profilo di effettività dei controlli" (Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. 231/01, marzo 2008, pag. 32).

Se le scelte organizzative dell'azienda in ordine alla costituzione ed operato dell'Organismo di vigilanza devono quindi garantire l'effettività dei controlli, pare difficile sostenere la possibilità di assegnare all'organismo di vigilanza (se monocratico), o a uno o più dei suoi componenti quando colleggiale, compiti consulenziali relativi alle attività operative dell'azienda. E, infatti, sempre Confindustria precisa che:

"Per assicurare la necessaria autonomia di iniziativa e l’indipendenza è poi indispensabile che all’Odv non siano attribuiti compiti operativi che, rendendolo partecipe di decisioni ed attività operative, ne minerebbero l’obiettività di giudizio nel momento delle verifiche sui comportamenti e sul Modello" (op. cit., pag. 35).

Nel caso prospettato, inoltre, vi sono due ulteriori elementi da considerare:

• l'attività di consulenza sarebbe relativa alla ricerca di nuovi clienti italiani o esteri; questa è un'area che, al momento limitatamente ai "clienti Pubblica Amministrazione", è da considerarsi sensibile ai sensi del D.Lgs. 231/01 (e quindi un'area sulla quale l'OdV è chiamato a vigilare)
• il compenso sarebbe "a provvigione", immagino in base ai nuovi clienti acquisiti. Su questo aspetto credo non ci sia nulla da aggiungere.

In sintesi: quale Organismo di vigilanza monocratico di un'azienda il mio consiglio è di evitare assolutamente altri rapporti di collaborazione che non siano (a puro titolo esemplificativo) relativi ad attività di controllo indipendente (ad esempio l'attività di sindaco). Onestamente non vedo (e neppure cercherei) la possibilità di "svincolarsi" da questo problema.

Il controllo

Autore: operàri s.r.l. Fonte: www.operari.it

Il controllo è una contromisura al rischio. Esso agisce sulla probabilità di accadimento o sull'impatto, riducendoli. Se agisce sulla probabilità di accadimento interviene necessariamente sulle cause della minaccia. In altri casi - si pensi agli eventi di origine esterna - non si può intervenire sulla probabilità, ma soltanto sulle conseguenze, cercando di fare in modo che esse siano meno severe. In taluni casi la contromisura è di carattere sostitutivo, come nei contratti assicurativi, quando l'evento dannoso che appunto si verifica viene compensato per somma equivalente.

Il rischio si può gestire, riducendo probabilità o impatto o entrambe le dimensioni, ma non si può eliminare.

Il controllo è infatti una grandezza che si può misurare economicamente e deve pertanto trovare giustificazione in termini di rapporto costo/benefici. Significa che se il controllo è un mezzo di contenimento del rischio, il suo obiettivo non può essere misurato in termini di rischio zero, ma di un ragionevole livello di rischio residuo.

Esistono molteplici classificazioni proposte per i controlli. Per esempio, si può classificare il sistema di controllo secondo le dimensioni dell’ambito di operatività del controllo stesso, definiti per comodità livelli di operatività del controllo.

• Livello strategico, per esempio l'accettazione del rischio, il trasferimento del rischio; il controllo in questi casi opera sulle decisioni;
• Livello organizzativo, per esempio le regole, le linee guida, le procedure, i ruoli e le responsabilità, la prassi consolidata; il controllo in questi casi opera sui comportamenti, normandoli;
• Livello manageriale, come la supervisione e il monitoraggio da parte dei manager responsabili; il controllo opera normalmente sui risultati e sulle eccezioni;
• Livello procedurale, o di linea, come per esempio il confronto tra documenti, o l'approvazione; Il controllo opera sulla linea di produzione e pertanto sugli input e sugli output delle attività;
• Livello applicativo, un caso particolare del caso precedente; esempi rilevanti sono la validazione, il confronto tra dati; il controllo, di tipologia applicativo-informatica, opera sulle informazioni e sui dati.

Un'altra classificazione possibile è quella classica che suddivide i controlli (tendenzialmente di livello procedurale o applicativo) in preventivi - che filtrano o espellono o intecettano - e rilevatori o identificativi - che evidenziano senza bloccare, ma portando all'attenzione.

La valutazione dei controlli, in ogni caso, è sempre di duplice natura. Le dimensioni di interesse sono infatti l'adeguatezza e l'efficacia di un controllo:

• l'adeguatezza è l'idoneità del disegno del controllo a ridurre la probabilità di accadimento della minaccia o a ridurre le conseguenze avverse, da solo o in combinazione con altri controlli posti più a monte o più a valle nel processo;
• l'efficacia è la dimostrazione dell'effettivo funzionamento nel caso concreto, con la periodicità prevista e con la dimensione o ambito di applicazione previsto.

Un controllo riduce il rischio soltanto se dimostra di essere efficace, ovvero di funzionare come era nelle attese. La maggiore adeguatezza di un controllo rispetto ad un altro similare o con gli stessi obiettivi si ripercuote inevitabilmente sulla capacità di riduzione del rischio. Ma l'adeguatezza - ovvero l'idoneità di un controllo a gestire un rischio- non è un sostituto dell'efficacia del controllo, unica misura concreta che determina il successo delle azioni previste per il contenimento del rischio e per preservare la propria capacità aziendale di raggiungimento dei risultati.

Mutuando un principio economico classico, anche i controlli - quando sono orientati a gestire lo stesso rischio - hanno un beneficio marginale decrescente; il sovradimensionamento dei controlli non porta generalmente ad un beneficio complessivo superiore ad un adeguato disegno organizzativo, ma porta probabilmente ad un peggioramento del costo complessivo e all'inevitabile irrigidimento delle attività.

Il rischio

Autore: operàri s.r.l. Fonte: www.operari.it

Il rischio è un evento incerto con conseguenze avverse. L'incertezza dell'evento è determinata dalla probabilità di accadimento dell'evento stesso. Le conseguenze - che sono necessariamente negative - rappresentano la significatività o l'impatto derivante dalla manifestazione del rischio stesso.

Le metodologie di identificazione e di valutazione dei rischi richiedono la disponibilità di una classificazione sintetica dei domini di rischio.

Un dominio di rischio definisce l’ambito che caratterizza il rischio stesso. Il framework suggerito dal documento “Enterprise Risk Management – Integrated Framework” edito nel settembre 2004 dal Committee of Sponsoring Organizations of the Treadway Commission propone categorie di dominio di rischio strettamente connesse al raggiungimento degli obiettivi:

• Rischi strategici relativi alla capacità di raggiungere gli obiettivi aziendali.
• Rischi operativi relativi all’efficace ed efficiente utilizzo delle risorse aziendali.
• Rischi amministrativi-contabili relativi all’affidabilità delle informazioni di carattere finanziario.
• Rischi di conformità relativi alla capacità di rispettare procedure interne, regolamenti e leggi.

Un rischio può essere ulteriormente classificato in maniera diversa a seconda del punto di vista oggetto di interesse.

Innanzi tutto, poiché l’azienda è un sistema organizzato, è possibile tracciare il fattore abilitante soggetto a rischio.
Il fattore abilitante è appunto il fattore o l’elemento che abilita lo svolgimento di una determinata funzione nel sistema azienda. Il rischio, manifestandosi, deteriora il fattore abilitante, e di conseguenza deteriora l’equilibrio del sistema azienda.

Un rischio può essere ulteriormente classificato – tra gli altri aspetti rilevanti – in base alla causa scatenante e all’effetto derivante.
Il fattore abilitante è soggetto a rischio, ma ciò non è sufficiente – in termini informativi – alla sua gestione, in quanto è necessario comprenderne sia i motivi scatenanti, al fine di poterli gestire (root-cause analysis), sia gli effetti derivanti, per valutarne priorità e necessità di intervento (cause-effect analysis).

Esistono molteplici tecniche di valutazione dei rischi. Tanto più il fenomeno da valutare ha serie storiche che possono essere utilizzate, tanto più si avrà preferenza per tecniche di valutazione di tipo quantitativo. Molte minacce in azienda, tuttavia, non si prestano a valutazioni di tipo quantitativo, perché per esempio non esiste una storia di accadimenti precedenti tali da permettere una valutazione puntuale. In tali casi la valutazione è necessariamente di tipo qualitativo.

Le valutazioni qualitative sono normalmente ricondotte a scale di valutazioni pragmatiche e flessibili, del tipo: Alto, Medio, Basso. Normalmente si evitano classificazioni a tre livelli, poiché le valutazioni tendono ad essere concentrate nella fascia intermedia; si propongono pertanto spesso scale di valutazioni a cinque livelli, dove il livello medio è corrispondente alla classe 3, quella intermedia.

Le metodologie di risk management tendono a distinguere, in termini valutativi, la dimensione dell’impatto dalla dimensione della probabilità di accadimento.

La ragione principale della distinzione tra le due dimensioni è da ricondurre ai diversi strumenti di gestione del rischio idonei nei diversi casi. Alcune contromisure a gestione del rischio si prestano molto bene a ridurre la probabilità di accadimento, come per esempio le misure di carattere preventivo, mentre altre, agendo a posteriori, intervengono sulla dimensione dell’impatto.

Si viene a creare così una matrice di rischio cinque per cinque. La matrice va a determinare una griglia di rischio che deve chiaramente indicare curve di indifferenza al rischio.

Una curva di indifferenza al rischio è un approccio razionale alla gestione del rischio, in quanto è sicuramente ragionevole pensare che una persona razionale sia appunto indifferente ad un rischio con un impatto significativo, ma altamente improbabile, rispetto ad un rischio con un impatto minore, ma con significativa probabilità di accadimento.

Pubblicati i nuovi Standard Professionali dell'IIA

L'AiiA (Associazione Italiana Internal Auditors) ha reso disponibili sul proprio sito i nuovi Standard Internazionali per la Pratica Professionale dell'Internal Auditing (di seguito Standard), traduzione italiana degli "International Standards for the Professional Practice of Internal Auditing" emessi dall’Institute of Internal Auditors, nel luglio 2008 , nell’ambito di un più vasto programma di ridefinizione della struttura della professione (International Professional Practices Framework - IPPF).

I nuovi Standard, che saranno applicabili dal 1° gennaio 2009 quando saranno disponibili anche le Guide interpretative riviste, rafforzano il ruolo dell'IIA quale ente di riferimento per l’emanazione di standard di internal auditing a livello globale e rappresentano i documenti di riferimento per l'attività professionale degli auditor, in quanto:

1. delineano i principi base che prescrivono come l’attività di internal auditing deve essere svolta;
2. forniscono un quadro di riferimento per lo sviluppo e l’effettuazione di una vasta gamma di attività di internal auditing a valore aggiunto;
3. definiscono i parametri per la valutazione della prestazione dell’ internal audit;
4. promuovono il miglioramento dei processi organizzativi e delle operazioni;
   
5. definiscono i requisiti fondamentali per la pratica professionale dell’ internal auditing e per la valutazione dell'efficacia dell’attività di auditing;
   
6. forniscono le interpretazioni ufficiali dei termini e concetti contenuti nelle definizioni.

Gli Standard Professionali si distinguono in:

• Standard di Connotazione, riguardano le caratteristiche che gli individui e le organizzazioni che effettuano attività di internal audit devono possedere. Si applicano a tutti i servizi di internal audit;

Standard di Prestazione, descrivono la natura dell’attività di internal audit e forniscono criteri qualitativi in base ai quali valutarne l’effettuazione. Si applicano a tutti i servizi di internal audit;

• Standard Applicativi, personalizzano l’applicazione degli Standard di Connotazione e degli Standard di Prestazione stabilendo i requisiti di assurance o le attività di consulenza :


• i servizi di assurance comportano una obiettiva valutazione delle evidenze da parte degli internal auditor finalizzata all’espressione di un giudizio indipendente relative ad una organizzazione, operatività, funzione, processo, o altro ambito. L’internal auditor definisce la natura e l’ampiezza del servizio di assurance. Tre sono le parti generalmente coinvolte nei servizi di assurance: (1) la persona o gruppo direttamente coinvolte nella organizzazione, operatività, funzione, processo, o altro ambito - process owner, (2) la persona o gruppo che effettua la valutazione – gli internal auditor, e (3) la persona o gruppo che utilizzerà tale valutazione – il cliente.


• i servizi di consulenza sono attività di supporto e suggerimento, e sono generalmente effettuati dietro specifica richiesta del cliente committente. Natura e ampiezza dell'intervento sono definiti in accordo col cliente. Due sono, in genere, le parti coinvolte in tali servizi: (1) la persona o gruppo che sta offrendo il servizio – gli internal auditor e (2) la persona o gruppo che lo richiede - il cliente. Nello svolgimento del loro compito gli internal auditor dovrebbero mantenere l'obiettività e non assumere responsabilità di tipo manageriale.

Obblighi antiriciclaggio dei professionisti

Filodiritto pubblica un interessante articolo di approfondimento della sentenza del Giudice delle indagini preliminari di Chieti sull'applicazione degli obblighi antiriciclaggio dei professionisti relativamente all'identificazione del cliente (Tribunale di Chieti, Ufficio delle Indagini Preliminari, sentenza del 13/09/2008, n.126). Dal sito è possibile scaricare anche il testo della sentenza.

Link utili:

• Provvedimento UIC del 24/2/2006 - Operatori non Finanziari;
• Provvedimento UIC del 24/2/2006 - Intermediari Finanziari;
• Provvedimento UIC del 24/2/2006 - Professionisti;
• Pareri (a cura della Banca d'Italia).