ComplianceNet segnala che la Banca d'Italia ha pubblicato la propria "Guida per l'attività di vigilanza". La guida si divide in tre parti:
29 gennaio 2009
QIS4 , feedback e suggerimenti
Dal sito dell'ANIA e del CEA [1] è possibile scaricare il documento "QIS4 feedback and suggestions for future implementing measures", che raccoglie le osservazioni ed i suggerimenti raccolti dal CEA stesso sul quarto Quantitative Impact Study.
---
[1] CEA è la Federazione Europea delle Imprese di assicurazione e di riassicurazione.
28 gennaio 2009
Le frodi dei "colletti bianchi"
«I revisori possono solo lavorare sulle cifre a disposizione, e lo stesso gli auditor. Gli auditor venivano da me e io, semplicemente, mentivo e fornivo documenti falsi, tutto qui. L'attività di verifica era pessima. Non ero affatto preoccupato perchè avevo alle spalle 20 anni di esperienza con gli auditor.La citazione riportata è tratta dal documento "Learnign from Fraudsters" (pubblicata il5 dicembre 2005, un indagine di Martin Gill commissionata da Protiviti UK) che raccoglie e commenta le interviste a 16 "colletti-bianchi" condannati per aver frodato la propria azienda. Il documento è scritto nell'ottica del dipendente-truffatore, con l'obiettivo di evidenziare il "perchè" e il "come" del comportamento di questi dipendenti e di identificare cosa ha permesso di scoprire la truffa.
Se avessero svolto meglio il loro lavoro sarei stato nei guai.
Quello che facevo era semplice, ma potevo farlo grazie ai buchi nelle procedure, alle carenze nei sistemi, alla mancanza di attenzione ai dettagli ed alla scarse competenze degli auditor e dei revisori. Ho avuto 3 verifiche di audit in questi 18 mesi. E mi ricordo che c'era una squadratura nei conti di bilancio. Ora, questa squadratura aveva delle cause ben precise, ma non volevo che si indagasse troppo perchè questo avrebbe potuto evidenziare anche quello che mi ero preso io. Così ho lavorato a lungo per sistemare questa cosa, ci ho lavorato duramente per un giorno e mezzo. Poi ho fornito queste informazioni all'auditor, e lui mi ha detto "grazie al cielo", ed io ho pensato "sei proprio un pupazzo"»
Agli intervistati è stato chiesto di raccontare:
- come veniva commesso il crimine;
- il metodo adottato per commettere la truffa;
- perchè decisero di truffare l'azienda;
- l'organizzazione aziendale, se il reato era stato reso possibile da una carenza nella sua struttura;
- come si sentivano nei confronti dell'azienda;
- i fattori, se ce ne erano, che li hanno indotti a violare la propria azienda.
La lettura di queste storie aziendali può aiutare gli auditor e gli addetti al controllo ad identificare le eventuali carenze nel sistema di controllo interno della propria azienda e a prevenire casi di frodi aziendali.
Nell'aprile 2007 è stata pubblicata, sempre curata da Martin Gill, un'appendice al documento "Learnign from Fraudsters", con 10 ulteriori interiviste, il cui contenuto è scaricabile dal sito di Protiviti.
Nell'aprile 2007 è stata pubblicata, sempre curata da Martin Gill, un'appendice al documento "Learnign from Fraudsters", con 10 ulteriori interiviste, il cui contenuto è scaricabile dal sito di Protiviti.
Altre informazioni utili:
27 gennaio 2009
Consegna del DVR ai rappresentanti dei lavoratori per la sicurezza
Il Ministero del Lavoro, della Salute e delle Politiche Sociali, rispondendo ad un interpello di Confcommercio, ha fornito alcuni chiarimenti sulla consegna del documento di valutazione dei rischi (DVR) ai rappresentanti del lavoratori per la sicurezza, precisando che "l’adempimento all’obbligo di legge è comunque garantito mediante consegna dello stesso su supporto informatico".
Il D.Lgs. 81/08, infatti, prevede tra gli obblighi del datore di lavoro (art. 18, primo comma, lett. o) anche quello di "consegnare tempestivamente al rappresentante dei lavoratori per la sicurezza, su richiesta di questi e per l'espletamento della sua funzione, copia del documento di cui all'articolo 17, comma 1, lettera a)", vale a dire il documento do valutazione dei rischi, ma non precisa le modalità di consegna del documento stesso.
A tale proposito, la "Confcommercio ha avanzato istanza di interpello per conoscere il parere ... in merito alla possibilità di consegna al rappresentante dei lavoratori per la sicurezza del documento di valutazione dei rischi unicamente su supporto informatico".
Più precisamente, Confocommercio chiede "la consegna al rappresentante dei lavoratori per la sicurezza di un terminale (pc portatile connesso con la rete aziendale) contenente il documento di valutazione dei rischi dell’unità produttiva di competenza e consultabile all’interno dei locali aziendali (in qualsiasi area) negli orari di operatività dell’unità stessa (normalmente dal lunedì al sabato dalle 7.00 alle 21.30) costituisca, per il datore di lavoro, assolvimento dell’obbligo previsto dall’articolo 18 comma 1 lett. o) del D.Lgs. n. 81/2008".
Il Ministero, sentito il parere della Direzione generale della Tutela delle Condizioni di Lavoro, precisa quindi che "non essendo prevista alcuna formalità per la consegna del documento, l’adempimento all’obbligo di legge è comunque garantito mediante consegna dello stesso su supporto informatico, anche se utilizzabile solo su terminale video messo a disposizione del rappresentante dei lavoratori per la sicurezza giacché tale modalità, consentendo la disponibilità del documento in qualsiasi momento ed in qualsiasi area all’interno dei locali aziendali, non pregiudica lo svolgimento effettivo delle funzioni del rls."
Di diverso avviso l'avv. Dubini che, nell'articolo pubblicato oggi su PuntoSicuro.it "RLS e DVR: una interpretazione contra legem", sostiene che "la 'soluzione' suggerita con questa risposta, oltre all'evidente problema di chi paga tutto il tempo che l'RLS impiegherà per leggere al videoterminale il documento di valutazione dei rischi (e non può essere l'RLS stesso, ovviamente), in realtà è inapplicabile al Rappresentante dei lavoratori per la sicurezza territoriale, RLST, a meno che non lo si voglia sequestrare in azienda, e poiché è inimmaginabile un trattamento differenziato per RLS e RLST se ne deve dedurre la illogicità della soluzione prospettata, nonché la sua illegittimità per incompatibilità con l'inequivocabile dettato normativo dell'articolo 18 comma 1 lettera o del D. Lgs. n. 81/2008 che obbliga datore di lavoro e dirigente alla consegna materiale del documento di valutazione dei rischi all'RLS, e non alla messa a disposizione sul video terminale aziendale dello stesso."
Vedi anche: Ministero del Lavoro, della Salute e delle Politiche Sociali, interpelli pubblicati in materia di salute e sicurezza sul lavoro
Il D.Lgs. 81/08, infatti, prevede tra gli obblighi del datore di lavoro (art. 18, primo comma, lett. o) anche quello di "consegnare tempestivamente al rappresentante dei lavoratori per la sicurezza, su richiesta di questi e per l'espletamento della sua funzione, copia del documento di cui all'articolo 17, comma 1, lettera a)", vale a dire il documento do valutazione dei rischi, ma non precisa le modalità di consegna del documento stesso.
A tale proposito, la "Confcommercio ha avanzato istanza di interpello per conoscere il parere ... in merito alla possibilità di consegna al rappresentante dei lavoratori per la sicurezza del documento di valutazione dei rischi unicamente su supporto informatico".
Più precisamente, Confocommercio chiede "la consegna al rappresentante dei lavoratori per la sicurezza di un terminale (pc portatile connesso con la rete aziendale) contenente il documento di valutazione dei rischi dell’unità produttiva di competenza e consultabile all’interno dei locali aziendali (in qualsiasi area) negli orari di operatività dell’unità stessa (normalmente dal lunedì al sabato dalle 7.00 alle 21.30) costituisca, per il datore di lavoro, assolvimento dell’obbligo previsto dall’articolo 18 comma 1 lett. o) del D.Lgs. n. 81/2008".
Il Ministero, sentito il parere della Direzione generale della Tutela delle Condizioni di Lavoro, precisa quindi che "non essendo prevista alcuna formalità per la consegna del documento, l’adempimento all’obbligo di legge è comunque garantito mediante consegna dello stesso su supporto informatico, anche se utilizzabile solo su terminale video messo a disposizione del rappresentante dei lavoratori per la sicurezza giacché tale modalità, consentendo la disponibilità del documento in qualsiasi momento ed in qualsiasi area all’interno dei locali aziendali, non pregiudica lo svolgimento effettivo delle funzioni del rls."
Di diverso avviso l'avv. Dubini che, nell'articolo pubblicato oggi su PuntoSicuro.it "RLS e DVR: una interpretazione contra legem", sostiene che "la 'soluzione' suggerita con questa risposta, oltre all'evidente problema di chi paga tutto il tempo che l'RLS impiegherà per leggere al videoterminale il documento di valutazione dei rischi (e non può essere l'RLS stesso, ovviamente), in realtà è inapplicabile al Rappresentante dei lavoratori per la sicurezza territoriale, RLST, a meno che non lo si voglia sequestrare in azienda, e poiché è inimmaginabile un trattamento differenziato per RLS e RLST se ne deve dedurre la illogicità della soluzione prospettata, nonché la sua illegittimità per incompatibilità con l'inequivocabile dettato normativo dell'articolo 18 comma 1 lettera o del D. Lgs. n. 81/2008 che obbliga datore di lavoro e dirigente alla consegna materiale del documento di valutazione dei rischi all'RLS, e non alla messa a disposizione sul video terminale aziendale dello stesso."
Vedi anche: Ministero del Lavoro, della Salute e delle Politiche Sociali, interpelli pubblicati in materia di salute e sicurezza sul lavoro
26 gennaio 2009
Gli psicologi diventano architetti contro lo Stress
*** Comunicato stampa ***
22 gennaio, Convegno dell’Ordine degli Psicologi sulla Psicologia per le Organizzazioni. Il Centro FerrariSinibaldi ottiene grande successo spiegando i principi di psicologia che ispirano la progettazione di ambienti di lavoro "sani".
22 gennaio, Convegno dell’Ordine degli Psicologi sulla Psicologia per le Organizzazioni. Il Centro FerrariSinibaldi ottiene grande successo spiegando i principi di psicologia che ispirano la progettazione di ambienti di lavoro "sani".
L’interesse per lo stress e per le sue manifestazioni nei luoghi di lavoro è andato gradualmente crescendo nel corso degli ultimi trent’anni, lo stress nei luoghi di lavoro ha delle conseguenze indesiderate per la salute e la sicurezza degli individui, nonché per la salute delle organizzazioni. Questa convinzione si riflette anche nell’interesse dimostrato dalla recente normativa sulla sicurezza (Testo Unico dlgs 81 2008) che impone ai datori di lavoro di monitorare, ridurre e prevenire il rischio stress legato alla vita professionale dei lavoratori.
La riduzione di questo rischio passa anche attraverso la progettazione di ambienti di lavoro ispirati ai principi della psicologia cognitiva e della psicoanalisi, come afferma la dott.ssa Valentina Penati del Centro FerrariSinibaldi al Convegno Opl presso l’Università Cattolica di Milano.
Accanto allo studio dei colori e dei materiali si è oggi in grado di stabilire che uno specifico posizionamento degli arredi e degli strumenti di lavoro previene e riduce lo stress. Esiste dunque la possibilità di migliorare il benessere e la salute dei lavoratori agendo sull’architettura dei luoghi di lavoro.
Le osservazioni condotte dagli psicologi del Centro FerrariSinibaldi rivelano come, ad esempio, le inclinazioni dei piani di lavoro, l’uso di superfici riflettenti e la riduzione del numero di oggetti presenti su scrivanie e piani di lavoro riduce la dispersione dell’attività cognitiva con conseguenti benefici sui livelli di stress percepito. La presenza di spazi chiusi ove riporre raccoglitori e strumenti, e l’utilizzo di armadi e contenitori che si integrano nell’ambiente circostante quasi mimetizzandosi (ad es. armadi a muro oppure dello stesso colore delle pareti), riduce il dispendio delle risorse cognitive ed emotive. Le evidenze sperimentali, sostiene la dott.ssa Penati, ci portano ad affermare che un ambiente “pulito”, privo di ruvidità e di interruzioni incide positivamente sulla riduzione dello stress.
Gli psicologi del Centro FerrariSinibaldi hanno sperimentato la collaborazione con gli architetti per definire ambienti fisici le cui caratteristiche aiutino ad eliminare lo stress negli ambienti di lavoro al fine di dimostrare che una corretta progettazione degli spazi aumenta il benessere dei lavoratori. I primi risultati sperimentali evidenziano una significativa riduzione dei disturbi psicosomatici che costituiscono il principale segnale d’allarme per lo stress.
Contatti
Centro Specialistico Integrato – FerrariSinibaldi
Via Bellotti 15 – 20129 Milano
Tel. 02 29524018 - www.FerrariSinibaldi.it
La riduzione di questo rischio passa anche attraverso la progettazione di ambienti di lavoro ispirati ai principi della psicologia cognitiva e della psicoanalisi, come afferma la dott.ssa Valentina Penati del Centro FerrariSinibaldi al Convegno Opl presso l’Università Cattolica di Milano.
Accanto allo studio dei colori e dei materiali si è oggi in grado di stabilire che uno specifico posizionamento degli arredi e degli strumenti di lavoro previene e riduce lo stress. Esiste dunque la possibilità di migliorare il benessere e la salute dei lavoratori agendo sull’architettura dei luoghi di lavoro.
Le osservazioni condotte dagli psicologi del Centro FerrariSinibaldi rivelano come, ad esempio, le inclinazioni dei piani di lavoro, l’uso di superfici riflettenti e la riduzione del numero di oggetti presenti su scrivanie e piani di lavoro riduce la dispersione dell’attività cognitiva con conseguenti benefici sui livelli di stress percepito. La presenza di spazi chiusi ove riporre raccoglitori e strumenti, e l’utilizzo di armadi e contenitori che si integrano nell’ambiente circostante quasi mimetizzandosi (ad es. armadi a muro oppure dello stesso colore delle pareti), riduce il dispendio delle risorse cognitive ed emotive. Le evidenze sperimentali, sostiene la dott.ssa Penati, ci portano ad affermare che un ambiente “pulito”, privo di ruvidità e di interruzioni incide positivamente sulla riduzione dello stress.
Gli psicologi del Centro FerrariSinibaldi hanno sperimentato la collaborazione con gli architetti per definire ambienti fisici le cui caratteristiche aiutino ad eliminare lo stress negli ambienti di lavoro al fine di dimostrare che una corretta progettazione degli spazi aumenta il benessere dei lavoratori. I primi risultati sperimentali evidenziano una significativa riduzione dei disturbi psicosomatici che costituiscono il principale segnale d’allarme per lo stress.
Contatti
Centro Specialistico Integrato – FerrariSinibaldi
Via Bellotti 15 – 20129 Milano
Tel. 02 29524018 - www.FerrariSinibaldi.it
25 gennaio 2009
Indagine sull'evoluzione della Funzione di Compliance
L'Associazione Italiana Compliance, SIA SBB Group e SDA Bocconi presentano una nuova indagine on-line sull’evoluzione della Funzione Compliance e il Compliance risk nei servizi di investimento.
L'indagine, rivolta ai responsabili della Funzione Compliance di banche, società di gestione del risparmio, società di intermediazione mobiliare e assicurazioni, vuole approfondire:
L'indagine, rivolta ai responsabili della Funzione Compliance di banche, società di gestione del risparmio, società di intermediazione mobiliare e assicurazioni, vuole approfondire:
- il posizionamento della funzione compliance nella struttura organizzativa;
- i ruoli attribuiti alla funzione compliance;
- le metodologie di misurazione, di trasferimento e di mitigazione del compliance risk nell’area dei servizi di investimento;
- le modalità di interazione tra la funzione compliance all’interno della struttura e all’esterno.
E’ possibile partecipare all’indagine compilando on-line il questionario entro il 9 febbraio 2009.
23 gennaio 2009
Seminario: L'Organismo di Vigilanza ex D.Lgs. 231/01
Attenzione: questo evento non è più attivo!
L'Istituto Internazionale di Ricerca propone, per il prossimo 11 e 12 febbraio a Milano, un corso rivolto ad approfondire gli aspetti pratici delle attività di controllo affidate all’Organismo di Vigilanza, e in particolare:
- i poteri, la composizione e il ruolo dell’Organismo di Vigilanza;
- i rapporti che devono esistere tra l’OdV e gli altri organi/funzioni e sistemi di controllo esistenti nell’azienda;
- le diverse tipologie di attività di controllo dell’Organismo di Vigilanza;
- i flussi informativi da e verso l’OdV
- gli strumenti che l’Organismo deve avere in Azienda per potere svolgere il suo potere istituzionale di organismo di controllo;
- la responsabilità civile e penale del componente dell’Organismo di Vigilanza;
- normativa antiriciclaggio: obblighi e responsabilità dell'OdV nei confronti di autorità pubbliche;
- la giurisprudenza sull’Organismo di Vigilanza.
Il corso sarà preceduto (il 10 febbraio) dal workshop "Il Modello Organizzativo:
creazione, gestione e controllo Ex D. Lgs. 231/01", che affronterà i seguenti argomenti:
creazione, gestione e controllo Ex D. Lgs. 231/01", che affronterà i seguenti argomenti:
- identificazione dei processi a rischio su cui creare attività di controllo e elaborazione in aula di check list per la loro mappatura;
- identificazione dei processi /attività oggetto di verifica da parte di altri organi/unzioni e sistemi di controllo esistenti nell’azienda;
- elaborazione di check list per le verifiche da effettuare su processi sensibili;
- elaborazione in aula di regole relative ai rapporti e comportamenti da tenere nei confronti della P.A. per partecipazioni a bandi pubblici;
- elaborazione in aula di moduli per i controlli in azienda;
- identificazione del sistema disciplinare da adottare.
22 gennaio 2009
Massima trasparenza sull'operato degli amministratori di sistema
Fonte: sito del Garante per la Privacy
Gli "amministratori di sistema", in quanto esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali- sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Ad essi viene, inoltre, affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questo il Garante ha deciso [1] di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le ispezioni effettuate in questi anni dall'Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema e una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
Le misure e le cautele dovranno essere messe in atto entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Il provvedimento è commentato su Filodiritto: "Garante Privacy: misure e accorgimenti per amministratore di sistema"
----
[1] Garante per la protezione dei dati personali, provvedimento a carattere generale del 27 novembre 2008, "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" (G.U. n. 300 del 24 dicembre 2008).
Gli "amministratori di sistema", in quanto esperti chiamati a svolgere delicate funzioni che comportano la concreta capacità di accedere a tutti i dati che transitano sulle reti aziendali ed istituzionali- sono figure essenziali per la sicurezza delle banche dati e la corretta gestione delle reti telematiche. Ad essi viene, inoltre, affidato spesso anche il compito di vigilare sul corretto utilizzo dei sistemi informatici di un'azienda o di una pubblica amministrazione.
Per questo il Garante ha deciso [1] di richiamare l'attenzione di enti, amministrazioni, società private sulla figura professionale dell' amministratore di sistema e ha prescritto l'adozione di specifiche misure tecniche ed organizzative che agevolino la verifica sulla sua attività da parte di chi ha la titolarità delle banche dati e dei sistemi informatici.
Le ispezioni effettuate in questi anni dall'Autorità hanno permesso di mettere in luce in diversi casi una scarsa consapevolezza da parte di organizzazioni grandi e piccole del ruolo svolto dagli amministratori di sistema e una preoccupante sottovalutazione dei rischi che possono derivare quando l'attività di questi esperti sia svolta senza il necessario controllo.
Le misure e le cautele dovranno essere messe in atto entro quattro mesi da parte di tutte le aziende private e da tutti i soggetti pubblici, compresi gli uffici giudiziari, le forze di polizia, i servizi di sicurezza. Sono esclusi invece i trattamenti di dati, sia in ambito pubblico che privato, effettuati a fini amministrativo contabile, che pongono minori rischi per gli interessati.
Registrazione degli accessi
Adozione di sistemi di controllo che consentano la registrazione degli accessi effettuate dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.
Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
Verifica della attività
Verifica almeno annuale da parte dei titolari del trattamento sulla rispondenza dell'operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i trattamenti di dati personali.
Elenco degli amministratori di sistema e loro caratteristiche
Ciascuna azienda o soggetto pubblico dovrà inserire nel documento programmatico della sicurezza o in un documento interno (disponibile in caso di accertamenti da parte del Garante) gli estremi identificativi degli amministratori di sistema e l'elenco delle funzioni loro attribuite.
Dovranno infine essere valutate con attenzione esperienza, capacità, e affidabilità della persona chiamata a ricoprire il ruolo di amministratore di sistema, che deve essere in grado di garantire il pieno rispetto della normativa in materia di protezione dei dati personali, compreso il profilo della sicurezza.
Il provvedimento è commentato su Filodiritto: "Garante Privacy: misure e accorgimenti per amministratore di sistema"
----
[1] Garante per la protezione dei dati personali, provvedimento a carattere generale del 27 novembre 2008, "Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema" (G.U. n. 300 del 24 dicembre 2008).
21 gennaio 2009
Ebook "Sei lezioni sulla privacy" - Organizzazione della privacy
Sul sito ComplianceNet.it è disponibile la seconda parte dell’ebook "Sei lezioni sulla privacy", un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda.
Il testo (comprendente prima e seconda parte) è rilasciato con licenza Creative Commons Attribuzione - Non commerciale 2.5 Italia nei seguenti formati: Ricordiamo che il corso, curato da Panfilo Marcelli, si articola in sei lezioni:
Il testo (comprendente prima e seconda parte) è rilasciato con licenza Creative Commons Attribuzione - Non commerciale 2.5 Italia nei seguenti formati:
- pdf (974 K);
- OpenOffice 3.0 (738 K), in versione zippata (616 K) per chi avesse problemi di download;
- Word versione 97-2003 (1.4 M).
- Introduzione alla privacy.
- Organizzazione aziendale per la privacy.
- Protezione dei dati personali.
- Diritto di accesso.
- Videosorveglianza.
- Marketing e comunicazioni commerciali.
Questo l'indice degli argomenti di questa seconda parte "Organizzazione aziendale della privacy" del corso:
- Unità didattica 2.1 - Principali adempimenti previsti dal Codice
- Modulo 2.1.1 – L’informativa
- Modulo 2.1.2 – Il consenso
- Modulo 2.1.3 – La notificazione
- Modulo 2.1.4 – Il trasferimento dei dati in paesi terzi
- Modulo 2.1.5 – Le lettere di incarico
- Modulo 2.1.6 – Le misure di sicurezza
- Modulo 2.1.7 – La formazione
- Modulo 2.1.8 – I diritti degli interessati
- Modulo 2.1.9 – Check list di verifica degli adempimenti
- Unità Didattica 2.2 – Provvedimenti più rilevanti per le aziende
- Modulo 2.2.1 – Iniziative e provvedimenti del Garante
- Modulo 2.2.2 – I nuovi adempimenti per le funzioni di “amministratore di sistema”
- Modulo 2.2.3 – Semplificazioni degli adempimenti
- Modulo 2.2.4 – Banche: la “guida” del Garante per l'uso dei dati dei clienti
- Modulo 2.2.5 – Privacy e pubblico impiego: le “linee guida” del Garante
- Modulo 2.2.6 – Linee guida del Garante per posta elettronica e internet
- Modulo 2.2.7 – Linee guida per il trattamento di dati dei dipendenti privati
- Modulo 2.2.8 – Impronte digitali e altri sistemi biometrici
- Modulo 2.2.9 – Videosorveglianza
- Modulo 2.2.10 – Altri provvedimenti e pubblicazioni
- Unità didattica 2.3 – Organizzazione della privacy
- Modulo 2.3.1 – Il censimento dei dati personali
- Modulo 2.3.2 – Il censimento dei dati personali – elementi da catalogare
- Modulo 2.3.3 – I soggetti che effettuano il trattamento
- Modulo 2.3.4 – Titolare, contitolare o responsabile esterno
- Modulo 2.3.5 – Nomina del responsabile interno
- Modulo 2.3.6 – Nomina del responsabile esterno
20 gennaio 2009
Guida alla nuova ISO 9001:2008
La pubblicazione della nuova ISO 9001:2008 rappresenta la naturale conclusione di un processo di revisione del parco normativo avviato con l’introduzione di modifiche sostanziali nell’edizione 2000 rispetto alla precedente ISO 9001:1994. Tale nuova revisione non rappresenta uno stravolgimento della Norma precedente bensì ne completa e chiarisce i contenuti, anche a fronte dell’attività di monitoraggio svolta dall’ISO sull’applicazione da parte di tutti i soggetti interessati.
Giovanni Civran, di studioFonzar, nel documento "ISO 9001:2000 e ISO 9001:2008, cosa cambia? Analisi operativa per l’implementazione delle novità introdotte", illustra le integrazioni ed i chiarimenti apportati dalle nuove disposizioni e le attività da svolgere per mantenere la conformità del proprio sistema di gestione per la qualità ai requisiti di nuova introduzione.
Giovanni Civran, di studioFonzar, nel documento "ISO 9001:2000 e ISO 9001:2008, cosa cambia? Analisi operativa per l’implementazione delle novità introdotte", illustra le integrazioni ed i chiarimenti apportati dalle nuove disposizioni e le attività da svolgere per mantenere la conformità del proprio sistema di gestione per la qualità ai requisiti di nuova introduzione.
18 gennaio 2009
Ebook "Sei lezioni sulla privacy" - Introduzione alla privacy
Sul sito ComplianceNet.it è disponibile la prima parte dell’ebook "Sei lezioni sulla privacy", un corso di formazione sulle tematiche della privacy rivolto a coloro che lavorano in azienda.
Il corso, curato da Panfilo Marcelli, si articola in sei lezioni:
Il corso, curato da Panfilo Marcelli, si articola in sei lezioni:
- Introduzione alla privacy.
- Organizzazione aziendale per la privacy.
- Protezione dei dati personali.
- Diritto di accesso.
- Videosorveglianza.
- Marketing e comunicazioni commerciali.
Questa prima parte contiene l’introduzione al testo e la prima lezione dal titolo "Introduzione alla Privacy" ed è disponibile nei seguenti formati:
- pdf (5511 Kb);
- OpenOffice 3.0 (433 Kb) anche in versione zippata, nel caso di problemi di download con IE (349 Kb);
- Word versione 97-2003 (665 Kb).
17 gennaio 2009
La Corte di Cassazione sul profitto sequestrabile ex d.lgs. 231/01
La Corte di Cassazione, con sentenza n. 43200 del 13 novembre 2008 precisa i confini del profitto sequestrabile in vista della confisca ex D.Lgs. 231/01.
Su InfoDirittoPenale un commento di Stefano Antiga sulla disciplina della confisca prevista nel D.Lgs. 231/01.
Su InfoDirittoPenale un commento di Stefano Antiga sulla disciplina della confisca prevista nel D.Lgs. 231/01.
16 gennaio 2009
Ancora troppa poca cultura della sicurezza e della prevenzione del rischio
Con l’apertura il 15 gennaio 2009 in Corte d’Assise del processo alla ThyssenKrupp si riapre anche il dibattito sulla sicurezza sul lavoro e sull’importanza di applicare dei corretti modelli di prevenzione e gestione del rischio.di Romina Colciago – RVA Rasini Viganò SpA
***
Tanti, ancora troppi gli incidenti sul lavoro che ogni giorno affliggono il sistema produttivo e sociale della nostra nazione.
Un anno fa il caso emblematico della ThyssenKrupp riaccendeva il dibattito sul tema della sicurezza sul lavoro e dei meccanismi di prevenzione e gestione dei rischi da parte delle imprese.
Il 6 dicembre 2007, in seguito a un incendio divampato presso la multinazionale dell’acciaio ThyssenKrupp di Torino, perdono la vita sette operai sulla linea Apl5.
Il 17 novembre 2008 il Gup rinvia a giudizio sei imputati per omicidio colposo e disastro doloso; l’azienda ThyssenKrupp, in veste di persona giuridica (D.Lgs 231/01 e art. 30 del D.Lgs 81/08), viene inoltre chiamata a rispondere per illeciti amministrativi connessi alla mancanza di adozione di cautele antinfortunistiche. Il comportamento negligente dei manager coinvolti in termini di prevenzione è stato, infatti, ritenuto nell’interesse o a vantaggio della società.
Dal caso ThyssenKrupp si può facilmente evincere la gravità delle conseguenze che possono impattare su un’azienda in casi come questi, mettendone a repentaglio la sopravvivenza stessa. Le decisioni del Gup sono un segnale molto forte. E’ la prima volta che la procura chiede il rinvio a giudizio delle persone fisiche per omicidio volontario.
Ne emerge che la sicurezza è un concetto che riguarda tutti. I lavoratori, il datore di lavoro, il delegato per la sicurezza, i manager, l’organo di controllo, la magistratura.
Ma ThyssenKrupp non rappresenta – purtroppo - un caso isolato, quanto piuttosto la punta di un iceberg la cui base è costituita dall’assenza, in molte realtà, di adeguati sistemi di prevenzione e gestione del rischio.
In Italia manca ancora una diffusa coscienza sulla sicurezza. Non esiste, purtroppo, una reale cultura della prevenzione. Le aziende sono più concentrate sugli aspetti formali per tutelarsi rispetto alle normative e alle conseguenze di un evento dannoso, piuttosto che sull’implementazione di veri e propri programmi di Risk Management.
L’obiettivo di riduzione dei costi, soprattutto in un contesto socio-economico particolarmente difficile come quello attuale, induce, molte aziende a considerare eventuali interventi preventivi come onerosi e addirittura superflui, anziché uno strumento che può salvare la vita delle persone e preservare l’azienda da una eventuale sospensione dell’attività.
Chi non adotta un approccio proattivo in materia di sicurezza, accetta consapevolmente il rischio che possa verificarsi un evento dannoso la cui entità non può che comportare conseguenze negative per tutti: il lavoratore infortunato, il datore di lavoro, l’Azienda nel suo complesso.
I reati di omicidio colposo o di lesioni gravi e gravissime in materia di sicurezza sul lavoro, a differenza di altri reati, non comportano un vantaggio per nessuno, tantomeno per l’Azienda. E allora, perché ancora oggi tanti incidenti? Perché le Aziende sono ancora così lontane da soluzioni concrete ed efficaci?
La cultura del rischio richiede lo sviluppo di una consapevolezza e un processo di coinvolgimento ampio. Particolare attenzione deve essere posta sui rischi connessi a controlli omessi o ad inadeguate azioni preventive che possono comportare incidenti rilevanti e/o la sospensione dell’attività con conseguenti danni economici (sanzioni pecuniarie e sanzioni interdittive) e d’immagine per l’azienda.
I modelli di organizzazione e gestione sulla sicurezza quali misure di prevenzione
Con la legge 123/2007 (art. 9) e la successiva variazione introdotta dall’art. 300 del D.Lgs. 81/2008 - Testo Unico sulla tutela della salute e della sicurezza nei luoghi di lavoro, si è completato il circuito sanzionatorio a deterrenza del rispetto della normativa, legislativa e tecnica, con la modifica dell’art. 25-septies del D.Lgs. 231/2001 che ora prevede una maggiore gradualità nella applicazione delle sanzioni pecuniarie ed interdittive.
Gli artt. 6 e 7 del D.Lgs. 231/2001 ammettono, infatti, la possibilità di esclusione della responsabilità in argomento, a condizione di dotarsi di un modello organizzativo e di controllo senza particolare tipizzazione, mentre l’art. 30 del D.Lgs. 81/2008, riconduce la capacità esimente ai modelli tipizzati di cui alle norme OHAS 18001:2007 ovvero UNI INAIL (28.09.2001), che definiscono dei Sistemi Gestionali di Sicurezza sul Lavoro (SGSL).
Il nuovo Testo Unico per la sicurezza sul lavoro sottolinea, quindi, l’importanza di una corretta attività di prevenzione di gestione del rischio.
Riportando a livello di sistema e di processo le principali cause e i fattori contribuenti il verificarsi di incidenti sul lavoro e malattie professionali diventa infatti possibile, una volta effettuata l’analisi e la valutazione dei rischi, intervenire sui processi per cercare di prevenire il manifestarsi di tali eventi, diminuendone la frequenza. Si pensi al fatto che il comportamento umano è un fattore che è alla base di circa l’85% degli infortuni e degli incidenti sul lavoro.
Adottare un modello sulla sicurezza significa prendere coscienza che esiste un problema e guardare in modo diverso la propria azienda. Il Management aziendale ha la responsabilità di identificare ed attuare efficaci strumenti organizzativi ed operativi per la prevenzione e gestione del rischio.
La costituzione di un modello organizzativo sulla sicurezza, attraverso la definizione di ruoli e responsabilità ai vari livelli, permette di coinvolgere e sensibilizzare i dipendenti ai problemi relativi alla sicurezza, di creare una diffusa consapevolezza attraverso la comunicazione interna e la formazione del personale, coinvolgendo tutte le funzioni aziendali per la prevenzione degli incidenti sul lavoro.
L’implementazione di un sistema di sicurezza e di gestione dei rischi deve essere considerata un investimento e non un semplice costo. Essa rappresenta una leva necessaria per la vita dell’Azienda, attraverso lo sviluppo di un’adeguata coscienza sul rischio, un costante presidio e un migliore governo dei processi, tutelando da un lato un bene di fondamentale importanza quale la vita umana, dall’altro permettendo un miglioramento delle condizioni produttive e immagine dell’azienda agli occhi della comunità.
----
Vedi anche:
15 gennaio 2009
Valutazione dello stato di conservazione delle coperture in cemento-amianto
Amianto: protocollo per la valutazione dello stato di conservazione delle coperture in cemento-amianto (Decreto della Direzione Generale della Sanità n° 13237 del 18 novembre 2008)
di Renato Delaini (Dedo Risorse)
***
In data 18 novembre 2008 è stato approvato, dalla Direzione Generale della Sanità della Regione Lombardia, un protocollo riguardante la valutazione dello stato di conservazione delle coperture in cemento-amianto.
Tale protocollo costituisce lo strumento operativo ai fini della relativa valutazione e risulta utile per programmare e indirizzare le conseguenti azioni di monitoraggio e/o di bonifica che sono a carico del proprietario dell'immobile e/o del responsabile dell'attività che vi si svolge.
Come agire?
Nel caso in cui:
di Renato Delaini (Dedo Risorse)
***
In data 18 novembre 2008 è stato approvato, dalla Direzione Generale della Sanità della Regione Lombardia, un protocollo riguardante la valutazione dello stato di conservazione delle coperture in cemento-amianto.
Tale protocollo costituisce lo strumento operativo ai fini della relativa valutazione e risulta utile per programmare e indirizzare le conseguenti azioni di monitoraggio e/o di bonifica che sono a carico del proprietario dell'immobile e/o del responsabile dell'attività che vi si svolge.
Come agire?
Nel caso in cui:
- il manufatto presenta una superficie danneggiata (sono presenti danni evidenti come crepe, fessure e rotture) in misura superiore al 10% dell'estensione, occorre procedere alla bonifica, privilegiando la rimozione;
- se, invece, la copertura risulta integra all'ispezione visiva è necessario, comunque, verificare lo stato di conservazione applicando l'Indice di Degrado.
L'Indice di Degrado (I.D.)
Per effettuare la valutazione, a seguito dell'ispezione del manufatto, occorre applicare il cosiddetto Indice di Degrado (I.D.).
L'Indice di Degrado considera:
- il grado di consistenza del materiale
- la presenza di fessurazioni/sfaldamenti/crepe
- la presenza di stalattiti nei punti di gocciolamento
- friabilità/sgretolamento
- ventilazione
- luogo di vita/lavoro
- la distanza da finestre/balconi/terrazze
- aree sensibili
- vetustà (in anni)
Per effettuare la valutazione di ciascun elemento di cui sopra bisogna procedere all'individuazione del valore corrispondente alla situazione verificata, così come previsto dall'Indice (per es. nel caso di fessurazioni/sfaldamenti/crepe viene stabilito un valore diverso nel caso in cui siano assenti, rare o numerose).
Dalla somma di tutti i valori relativi ai vari elementi si ottiene un risultato attraverso il quale vengono indicate le modalità operative e la tempistica da applicare nel trattamento delle coperture.
Coperture di cemento-amianto in buono stato
Nel caso in cui, a seguito della valutazione effettuata con l'Indice di Degrado, si ottiene un risultato che non prevede la rimozione della copertura, il proprietario dell'immobile e/o il responsabile dell'attività che vi si svolge dovrà comunque:
Dalla somma di tutti i valori relativi ai vari elementi si ottiene un risultato attraverso il quale vengono indicate le modalità operative e la tempistica da applicare nel trattamento delle coperture.
Coperture di cemento-amianto in buono stato
Nel caso in cui, a seguito della valutazione effettuata con l'Indice di Degrado, si ottiene un risultato che non prevede la rimozione della copertura, il proprietario dell'immobile e/o il responsabile dell'attività che vi si svolge dovrà comunque:
- designare una figura responsabile che abbia compiti di controllo e coordinamento di tutte le attività di manutenzione che possono riguardare i materiali di amianto;
- tenere un'idonea documentazione da cui risulti l'ubicazione dei materiali contenti amianto;
- garantire il rispetto di efficaci misure di sicurezza durante le attività di pulizia, gli interventi di manutenzione e in occasione di qualsiasi evento che possa causare conseguenze ai materiali contenenti amianto;
- fornire corretta informazione della presenza dell'amianto agli occupanti dell'edificio.
----
Probabilmente ti possono interessare anche le linee guida della Regione Lombardia per la gestione del rischio amianto.
13 gennaio 2009
L'Internal Auditing nel Gruppo Permasteelisa
Nell'ambito dell'iniziativa "Il tour dell'Internal Auditing" abbiamo intervistato il dott. Marco Barizza, Responsabile della Funzione di Internal Audit del Gruppo Permasteelisa.
Il dott. Barizza traccia un interessante "percorso evolutivo" degli auditor che, da "professionista revisore contabile", in pochi anni hanno ampliato la propria offerta di servizi alle attivi tà di compliance e di "consulenza" alle altre funzioni aziendali.
Potete commentare le risposte del dott. Barizza sia in calce a questo post (cliccando su "commenti") sia sul forum CA.
Origine, responsabilità e collocazione della funzione di Internal Audit
ComplianceAziendale.com: Quando è stata istituita la funzione di Internal Auditing e quali responsabilità le sono state assegnate?
Marco Barizza: La funzione di Audit è stata creata a Novembre 2006, periodo che coincide con l’inizio delle mie attività nel Gruppo Permasteelisa. Le responsabilità assegnate alla mia funzione sono state definite dal Comitato di Controllo Interno della società. L’obiettivo primario è certamente quello di supportare l’Audit Committee nel “fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: I) efficacia ed efficienza delle attività operative; II) attendibilità delle informazioni di bilancio; III) conformità alle leggi ed ai regolamenti in vigore”. Altresì, nel Modello organizzativo implementato è compito del Resp. Internal Audit supportare l’Amministratore Delegato nelle attività di supervisione dell’operatività di tutti i componenti del controllo interni.
CA: Qual è la provenienza professionale dell'attuale RIA (Responsabile dell’Internal Auditing) e delle principali risorse a disposizione della funzione?
MB: Il RIA ha seguito un percorso professionale all’interno di una delle “big four” della revisione contabile sino a raggiungere il ruolo di Manager. Di seguito sono stato RIA di una multinazionale del comparto farmaceutico.
Il team di audit è composto da risorse con esperienze diverse, come ad esempio un avvocato ed un ex revisore contabile.
CA: A chi riporta (gerarchicamente e funzionalmente) il RIA?
MB: Esistono due linee di riporto: verso il Comitato di Controllo interno (riporto gerarchico) e verso l’Amministratore Delegato (riporto funzionale).
Organizzazione della funzione
CA: Gli Internal Auditor sono in possesso di certificazione? Se sì, quale/i?
MB: Attualmente non esiste una situazione standardizzata per i diversi componenti del team. L’obiettivo è di avere tutti gli auditor in possesso degli stessi requisiti nel corso del prossimo biennio. Gli auditor attuali sono in possesso di certificazioni quali CSA, CPA Australia oltre ad un Avvocato abilitato alla professione.
CA: Le risorse assegnate (strumentali, umane e finanziarie) alla funzione IA sono sufficienti e adeguate?
MB: Considerando che sino a due anni fa la funzione di Audit non esisteva, direi che il team che abbiamo costituito rappresenta certamente un ottimo risultato. Per progetti particolari si attinge, comunque, dalle conoscenze e dalle competenze di consulenti esterni.
CA: Quali strumenti informatici sono utilizzati nell’erogazione dei servizi di IA?
MB: Sono utilizzati i più comuni strumenti informatici reperibili sul mercato (MS-Access, MS-Excel, etc.).
CA: Recruiting-Employee Retention applicato alla vostra realtà: quali a suo parere le difficoltà, opportunità, leve e limiti?
MB: Nella fase di costruzione della nuova funzione di Audit questo argomento, il recruiting, è stato effettivamente un problema. Devo dire che non è così semplice trovare degli auditor con buona esperienza aziendale nell’area Triveneto. Negli ultimi anni vi sono state quotazioni di nuove matricole venete alla Borsa Italiana che probabilmente hanno vivacizzato il mercato degli auditor. La retention non risulta ad oggi per noi un problema, essendo nata la funzione da soli due anni.
CA: La Funzione ricorre all’acquisto di servizi di out/co-sourcing?
MB: No.
CA: Quali sono, a suo parere, tre caratteristiche del vostro ambiente di lavoro che lo rendono di interesse per un potenziale candidato?
MB: Permasteelisa è, nel panorama nazionale, un’azienda unica. Per la sua storia, per ciò che produce e vende. Il Gruppo opera sostanzialmente “per commessa” nel mercato delle facciate continue e degli Interiors. I nostri mercati sono principalmente l’Europa, l’Asia e l’America con l’obiettivo di espandere l’attività su nuovi mercati. Tali caratteristiche rappresentano, per un ipotetico candidato auditor, opportunità che non è semplice riscontrare altrove. La nostra azienda è stata definita una “multinazionale tascabile” ed in tale contesto il team di audit ha la possibilità di vivere in un ambiente internazionale, confrontandosi con colleghi di diversi paesi e quindi potendo sviluppare esperienze importanti.
Servizi erogati
CA: Con riferimento ai servizi erogati dalla sua Funzione nell’ultimo anno, come si distribuiscono in termini percentuali per tipologia i volumi spesi (es. incarichi di consulenza, incarichi di audit, dominio finanziario, di compliance, operational, IT)?
MB: I servizi erogati si possono distinguere in servizi di Consulenza, con un peso pari a circa il 20%, e incarichi di Audit per un valore pari a circa l’80% del monte ore disponibile.
CA: Quali sono i committenti o i destinatari dei servizi della Funzione IA all’interno dell’azienda (es. Dirigente Preposto, OdV, CdA/CCI, Preposto CI, Vertici Aziendali, etc.)?
MB: La Direzione Internal Audit ha come destinatari principali il Comitato di Controllo interno e l’Amministratore Delegato, oltre che l’Organismo di Vigilanza. La figura di Preposto al Controllo interno coincide con il RIA.
CA: Come è percepita la funzione di IA da parte dei diversi interlocutori aziendali (auditati, CdA/CCI, collegio sindaci, società revisione, Dirigente Preposto, ODV 231, etc.)?
n.a.
CA: Come viene gestita la complessità (lingua, normativa, cultura, etc.) delle relazioni con le società o sedi estere?
MB: Per quanto riguarda la lingua, oramai l’inglese è la lingua ufficiale del Gruppo. In relazione agli altri aspetti, il team di Audit opera con degli standard che utilizza su tutte le filiali del Gruppo e, dove necessario, utilizzando il supporto delle altre funzioni Corporate con l’obiettivo di operare sinergicamente.
Associazioni professionali e prospettive future
CA: Gli Internal Auditor dell’azienda sono iscritti a qualche associazione professionale?
MB: Certo, ritengo necessario essere legati almeno ad un’associazione. Nel nostro caso l’Associazione Italiana Internal Auditors.
CA: In relazione alle vostre specifiche esigenze, reputa adeguati i servizi offerti dalle associazioni professionali di riferimento correnti? Può cortesemente motivare la risposta?
MB: Si, i servizi offerti dall’Associazione Italiana Internal Auditors risultano adeguati ed in via di miglioramento di anno in anno.
CA: Come vede l'evoluzione dell'attività di Internal Auditing nelle aziende a medio-piccola capitalizzazione?
MB: Certamente la figura dell’auditor nel nostro paese si è evoluta negli ultimi anni. Ricordo che agli inizi della carriera di Auditor (circa 10 anni fa) le società del Triveneto dotate di una funzione di Audit erano molto poche, mentre oggi tutte le società quotate della stessa area si sono dotate almeno di un RIA. In tale contesto si è passati da un “professionista revisore contabile” ad una figura con caratteristiche molto più generaliste, in grado di dialogare sia con il CFO, che con il CIO e con tutti gli altri top-manager. Il futuro sarà, secondo me, molto legato sia alle attività di compliance (verso leggi quali 262, 231, 231, etc.) che alle attività di consulenza a supporto delle altre Direzioni aziendali; il riferimento, in questo ultimo caso, è ad esempio verso i progetti di riorganizzazione/reingegnerizzazione o di implementazione di nuovi software applicativi, situazioni progettuali nelle quali le conoscenze degli auditor possono portare vero valore aggiunto ai Project Manager.
Il dott. Barizza traccia un interessante "percorso evolutivo" degli auditor che, da "professionista revisore contabile", in pochi anni hanno ampliato la propria offerta di servizi alle attivi tà di compliance e di "consulenza" alle altre funzioni aziendali.
Potete commentare le risposte del dott. Barizza sia in calce a questo post (cliccando su "commenti") sia sul forum CA.
Origine, responsabilità e collocazione della funzione di Internal Audit
ComplianceAziendale.com: Quando è stata istituita la funzione di Internal Auditing e quali responsabilità le sono state assegnate?
Marco Barizza: La funzione di Audit è stata creata a Novembre 2006, periodo che coincide con l’inizio delle mie attività nel Gruppo Permasteelisa. Le responsabilità assegnate alla mia funzione sono state definite dal Comitato di Controllo Interno della società. L’obiettivo primario è certamente quello di supportare l’Audit Committee nel “fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: I) efficacia ed efficienza delle attività operative; II) attendibilità delle informazioni di bilancio; III) conformità alle leggi ed ai regolamenti in vigore”. Altresì, nel Modello organizzativo implementato è compito del Resp. Internal Audit supportare l’Amministratore Delegato nelle attività di supervisione dell’operatività di tutti i componenti del controllo interni.
CA: Qual è la provenienza professionale dell'attuale RIA (Responsabile dell’Internal Auditing) e delle principali risorse a disposizione della funzione?
MB: Il RIA ha seguito un percorso professionale all’interno di una delle “big four” della revisione contabile sino a raggiungere il ruolo di Manager. Di seguito sono stato RIA di una multinazionale del comparto farmaceutico.
Il team di audit è composto da risorse con esperienze diverse, come ad esempio un avvocato ed un ex revisore contabile.
CA: A chi riporta (gerarchicamente e funzionalmente) il RIA?
MB: Esistono due linee di riporto: verso il Comitato di Controllo interno (riporto gerarchico) e verso l’Amministratore Delegato (riporto funzionale).
Organizzazione della funzione
CA: Gli Internal Auditor sono in possesso di certificazione? Se sì, quale/i?
MB: Attualmente non esiste una situazione standardizzata per i diversi componenti del team. L’obiettivo è di avere tutti gli auditor in possesso degli stessi requisiti nel corso del prossimo biennio. Gli auditor attuali sono in possesso di certificazioni quali CSA, CPA Australia oltre ad un Avvocato abilitato alla professione.
CA: Le risorse assegnate (strumentali, umane e finanziarie) alla funzione IA sono sufficienti e adeguate?
MB: Considerando che sino a due anni fa la funzione di Audit non esisteva, direi che il team che abbiamo costituito rappresenta certamente un ottimo risultato. Per progetti particolari si attinge, comunque, dalle conoscenze e dalle competenze di consulenti esterni.
CA: Quali strumenti informatici sono utilizzati nell’erogazione dei servizi di IA?
MB: Sono utilizzati i più comuni strumenti informatici reperibili sul mercato (MS-Access, MS-Excel, etc.).
CA: Recruiting-Employee Retention applicato alla vostra realtà: quali a suo parere le difficoltà, opportunità, leve e limiti?
MB: Nella fase di costruzione della nuova funzione di Audit questo argomento, il recruiting, è stato effettivamente un problema. Devo dire che non è così semplice trovare degli auditor con buona esperienza aziendale nell’area Triveneto. Negli ultimi anni vi sono state quotazioni di nuove matricole venete alla Borsa Italiana che probabilmente hanno vivacizzato il mercato degli auditor. La retention non risulta ad oggi per noi un problema, essendo nata la funzione da soli due anni.
CA: La Funzione ricorre all’acquisto di servizi di out/co-sourcing?
MB: No.
CA: Quali sono, a suo parere, tre caratteristiche del vostro ambiente di lavoro che lo rendono di interesse per un potenziale candidato?
MB: Permasteelisa è, nel panorama nazionale, un’azienda unica. Per la sua storia, per ciò che produce e vende. Il Gruppo opera sostanzialmente “per commessa” nel mercato delle facciate continue e degli Interiors. I nostri mercati sono principalmente l’Europa, l’Asia e l’America con l’obiettivo di espandere l’attività su nuovi mercati. Tali caratteristiche rappresentano, per un ipotetico candidato auditor, opportunità che non è semplice riscontrare altrove. La nostra azienda è stata definita una “multinazionale tascabile” ed in tale contesto il team di audit ha la possibilità di vivere in un ambiente internazionale, confrontandosi con colleghi di diversi paesi e quindi potendo sviluppare esperienze importanti.
Servizi erogati
CA: Con riferimento ai servizi erogati dalla sua Funzione nell’ultimo anno, come si distribuiscono in termini percentuali per tipologia i volumi spesi (es. incarichi di consulenza, incarichi di audit, dominio finanziario, di compliance, operational, IT)?
MB: I servizi erogati si possono distinguere in servizi di Consulenza, con un peso pari a circa il 20%, e incarichi di Audit per un valore pari a circa l’80% del monte ore disponibile.
CA: Quali sono i committenti o i destinatari dei servizi della Funzione IA all’interno dell’azienda (es. Dirigente Preposto, OdV, CdA/CCI, Preposto CI, Vertici Aziendali, etc.)?
MB: La Direzione Internal Audit ha come destinatari principali il Comitato di Controllo interno e l’Amministratore Delegato, oltre che l’Organismo di Vigilanza. La figura di Preposto al Controllo interno coincide con il RIA.
CA: Come è percepita la funzione di IA da parte dei diversi interlocutori aziendali (auditati, CdA/CCI, collegio sindaci, società revisione, Dirigente Preposto, ODV 231, etc.)?
n.a.
CA: Come viene gestita la complessità (lingua, normativa, cultura, etc.) delle relazioni con le società o sedi estere?
MB: Per quanto riguarda la lingua, oramai l’inglese è la lingua ufficiale del Gruppo. In relazione agli altri aspetti, il team di Audit opera con degli standard che utilizza su tutte le filiali del Gruppo e, dove necessario, utilizzando il supporto delle altre funzioni Corporate con l’obiettivo di operare sinergicamente.
Associazioni professionali e prospettive future
CA: Gli Internal Auditor dell’azienda sono iscritti a qualche associazione professionale?
MB: Certo, ritengo necessario essere legati almeno ad un’associazione. Nel nostro caso l’Associazione Italiana Internal Auditors.
CA: In relazione alle vostre specifiche esigenze, reputa adeguati i servizi offerti dalle associazioni professionali di riferimento correnti? Può cortesemente motivare la risposta?
MB: Si, i servizi offerti dall’Associazione Italiana Internal Auditors risultano adeguati ed in via di miglioramento di anno in anno.
CA: Come vede l'evoluzione dell'attività di Internal Auditing nelle aziende a medio-piccola capitalizzazione?
MB: Certamente la figura dell’auditor nel nostro paese si è evoluta negli ultimi anni. Ricordo che agli inizi della carriera di Auditor (circa 10 anni fa) le società del Triveneto dotate di una funzione di Audit erano molto poche, mentre oggi tutte le società quotate della stessa area si sono dotate almeno di un RIA. In tale contesto si è passati da un “professionista revisore contabile” ad una figura con caratteristiche molto più generaliste, in grado di dialogare sia con il CFO, che con il CIO e con tutti gli altri top-manager. Il futuro sarà, secondo me, molto legato sia alle attività di compliance (verso leggi quali 262, 231, 231, etc.) che alle attività di consulenza a supporto delle altre Direzioni aziendali; il riferimento, in questo ultimo caso, è ad esempio verso i progetti di riorganizzazione/reingegnerizzazione o di implementazione di nuovi software applicativi, situazioni progettuali nelle quali le conoscenze degli auditor possono portare vero valore aggiunto ai Project Manager.
10 gennaio 2009
Integrare il modello gestionale per la sicurezza e il modello 231
Come organizzare il Modello gestionale per la sicurezza ex art. 30 del D.Lgs. 81/08, quali raccordi sono possibili con il d.lgs. 231/01 e come si sovrappone alle indicazioni del British Standard OHSAS 18001:2007? A queste domande iniziano a dare una risposta strutturata il dott. Barlini e l'ing. Fonzar con il documento "I Modelli di organizzazione e di gestione ex art. 30 del D.Lgs. 81/2008" (scaricabile gratuitamente da questo sito), pensato dagli autori come una "Guida interpretativa e applicativa open source", aperta cioè al contributo di chiunque vorra migliorarla, arricchirla o integrarla.
***
L'introduzione nel D.Lgs. 231/01 dell'art. 25-septies, rubricato "Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro" [1], e la successiva approvazione dell'art. 30 del d.lgs. 81/08 hanno destato, sin dall'inizio, non pochi problemi interpretativi e applicativi.
L'iniziale modifica apportata al D.Lgs. 231/01 dalla L. 123/07 [2] pose, infatti, il problema di come si dovesse adeguare [3, 4] il Modello di organizzazione, gestione e controllo affinchè fosse adeguato a prevenire reati colposi [5] e, contestualmente, di come si potesse ritenere che un omicidio colposo o delle lesioni personali colpose fossero commesse a vantaggio dell’ente [6].
La successiva approvazione del D.Lgs. 81/08 [7] ha permesso di superare, con le precisazioni contenute all'art. 30, il primo problema sopraccitato, suscitando tuttavia nuove perplessità ad esempio in ordine all'armonizzazione tra disposizioni dello stesso art. 30 e disposizioni del d.lgs. 231/01 [8, 9], in merito all'obbligatorietà [10] di tali modelli e alla loro efficacia esimente, in particolare con riferimento all'adozione di modelli "definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL)[11] del 28 settembre 2001 o al British Standard OHSAS 18001:2007" (D.Lgs. 81/08, art. 30, co. 5).
Inoltre, in fase applicativa (nonostante tutte le risposte fornite ai dubbi sopra riportati) restava sempre la domanda su "come" si dovesse strutturare il modello gestionale per la sicurezza, su "quali" fossero i suoi componenti, sulle eventuali relazioni con le relative componenti dei modelli ex d.lgs. 231/01 o del British Standard OHSAS 18001:2007.
A queste domande inizia a dare una risposta, proponendo un metodo di sviluppo del modello gestionale per la sicurezza ex art. 30 del d.lgs. 81/08, il documento "I Modelli di organizzazione e di gestione ex art. 30 del D.Lgs. 81/2008" (scaricabile gratuitamente da questo sito), predisposto dal dott. Barlini e dell'ing. Fonzar.
Il documento, che viene distribuito con licenza Creative Commons 2.5, è stato pensato dagli autori come una guida "open source", aperta cioè al contributo di tutti coloro che vorranno proporre migliorie, correzioni, integrazioni o arricchimenti del contenuto (le modalità per proporre i contenuti sono indicate nel documento stesso).
Indice del documento:
[1] "Sicurezza sul lavoro e responsabilità degli enti", di M. Grassi
[2] Legge 3 agosto 2007, n. 123, art. 9.
[3] "Legge 123/07: modifiche al Modello di organizzazione ex D.Lgs. 231/01", di G. Battisti.
[4] "D.Lgs. 231/01: riflessioni sui Modelli organizzativi", di G. Battisti
[5] "Lesioni colpose gravi o gravissime"
[6] "Omicidio e lesioni nell'interesse dell'ente?", di M. Grassi
[7] Decreto Legislativo n. 81 del 9 aprile 2008
[8] "Principali novità del TU sicurezza in relazione al d.lg. 231/2001", di M. Arena
[9] "Testo unico sicurezza sul lavoro (d.lg. 81/2008) e modelli organizzativi ex d.lg. 231/2001", di M. Arena
[10] "I Modelli per la sicurezza sono obbligatori", di G. Battisti
[11] "Modelli di organizzazione e Linee Guida UNI-INAIL (SGSL)", di G. Battisti.
***
L'introduzione nel D.Lgs. 231/01 dell'art. 25-septies, rubricato "Omicidio colposo e lesioni colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell'igiene e della salute sul lavoro" [1], e la successiva approvazione dell'art. 30 del d.lgs. 81/08 hanno destato, sin dall'inizio, non pochi problemi interpretativi e applicativi.
L'iniziale modifica apportata al D.Lgs. 231/01 dalla L. 123/07 [2] pose, infatti, il problema di come si dovesse adeguare [3, 4] il Modello di organizzazione, gestione e controllo affinchè fosse adeguato a prevenire reati colposi [5] e, contestualmente, di come si potesse ritenere che un omicidio colposo o delle lesioni personali colpose fossero commesse a vantaggio dell’ente [6].
La successiva approvazione del D.Lgs. 81/08 [7] ha permesso di superare, con le precisazioni contenute all'art. 30, il primo problema sopraccitato, suscitando tuttavia nuove perplessità ad esempio in ordine all'armonizzazione tra disposizioni dello stesso art. 30 e disposizioni del d.lgs. 231/01 [8, 9], in merito all'obbligatorietà [10] di tali modelli e alla loro efficacia esimente, in particolare con riferimento all'adozione di modelli "definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL)[11] del 28 settembre 2001 o al British Standard OHSAS 18001:2007" (D.Lgs. 81/08, art. 30, co. 5).
Inoltre, in fase applicativa (nonostante tutte le risposte fornite ai dubbi sopra riportati) restava sempre la domanda su "come" si dovesse strutturare il modello gestionale per la sicurezza, su "quali" fossero i suoi componenti, sulle eventuali relazioni con le relative componenti dei modelli ex d.lgs. 231/01 o del British Standard OHSAS 18001:2007.
A queste domande inizia a dare una risposta, proponendo un metodo di sviluppo del modello gestionale per la sicurezza ex art. 30 del d.lgs. 81/08, il documento "I Modelli di organizzazione e di gestione ex art. 30 del D.Lgs. 81/2008" (scaricabile gratuitamente da questo sito), predisposto dal dott. Barlini e dell'ing. Fonzar.
Il documento, che viene distribuito con licenza Creative Commons 2.5, è stato pensato dagli autori come una guida "open source", aperta cioè al contributo di tutti coloro che vorranno proporre migliorie, correzioni, integrazioni o arricchimenti del contenuto (le modalità per proporre i contenuti sono indicate nel documento stesso).
Indice del documento:
- Cronologia delle versioni
- Gli autori
- Premessa
- Sicurezza sul lavoro e responsabilità amministrativa degli enti
- Gli elementi essenziali del sistema aziendale ex art. 30 D.Lgs. 81/2008
- Gli elementi componenti il primo livello del sistema aziendale ex art. 30
- Gli elementi componenti il secondo livello del sistema aziendale ex art. 30
- Conclusioni
- Contributi
[1] "Sicurezza sul lavoro e responsabilità degli enti", di M. Grassi
[2] Legge 3 agosto 2007, n. 123, art. 9.
[3] "Legge 123/07: modifiche al Modello di organizzazione ex D.Lgs. 231/01", di G. Battisti.
[4] "D.Lgs. 231/01: riflessioni sui Modelli organizzativi", di G. Battisti
[5] "Lesioni colpose gravi o gravissime"
[6] "Omicidio e lesioni nell'interesse dell'ente?", di M. Grassi
[7] Decreto Legislativo n. 81 del 9 aprile 2008
[8] "Principali novità del TU sicurezza in relazione al d.lg. 231/2001", di M. Arena
[9] "Testo unico sicurezza sul lavoro (d.lg. 81/2008) e modelli organizzativi ex d.lg. 231/2001", di M. Arena
[10] "I Modelli per la sicurezza sono obbligatori", di G. Battisti
[11] "Modelli di organizzazione e Linee Guida UNI-INAIL (SGSL)", di G. Battisti.
08 gennaio 2009
La responsabilità dell'OdV per omesso impedimento del reato
di Maurizio Arena
(Maurizio Arena)
La tesi oggi prevalente esclude la possibilità di configurare una responsabilità per omesso impedimento del reato (c.d. omissiva impropria) a carico dei componenti dell’Organismo di vigilanza già in relazione al primo presupposto della stessa: l’OdV avrebbe esclusivamente compiti di controllo in ordine al funzionamento ed all’osservanza dei modelli organizzativi e non un obbligo giuridico di impedire il reato altrui.
Inoltre, sotto il profilo dell’imputazione oggettiva dell’evento, la mancanza di poteri di interdizione in capo all’OdV "farebbe venir meno anche la sussistenza del rapporto di causalità o giudizio di equivalenza, in conseguenza dell’inidoneità dei poteri del garante ad esercitare la propria funzione di controllo" (Manzillo).
Per il vero è stato affermato, in senso contrario, che se l’ODV vigila sui modelli e questi sono finalizzati a prevenire i reati, l’obbligo giuridico rilevante ai sensi e per gli effetti di cui all’art 40 comma 2 c.p. non può essere escluso in radice: "potrebbe risultare decisivo, oltre all’elemento soggettivo, il raffronto tra la procedura prevista nel modello per la prevenzione del reato e la concreta condotta criminosa: quanto più il protocollo avrà una sua specifica funzione preventiva di una certa condotta e quanto più tale condotta si avvicini alla condotta criminosa concreta, tanto più potrà dirsi che tale condotta è causalmente collegabile all’omessa vigilanza sul rispetto del protocollo" (Iannini – Armone).
In quest’ottica, la fonte dell’obbligo di impedire l’evento potrebbe ravvisarsi negli artt. 6 lett. a), b) e d) e 7 d. lg. 231/2001: la posizione di garanzia dei componenti l’ODV risiederebbe direttamente nei modelli di organizzazione e gestione e verrebbe assunta in forza del contratto, in particolare del contratto di lavoro con la società (Gargani).
- Il punctum dolens della questione: la nozione di potere impeditivo
La principale obiezione è la seguente: se l’ODV non ha poteri impeditivi del reato (tra l’altro non può nemmeno modificare direttamente il Modello), non è possibile rimproverargli di non averlo impedito.
A stretto rigore per impedimento deve intendersi l’inserimento dell’intervento dell’ODV nella fase esecutiva del reato, tale da paralizzarne la consumazione (id est: intervento preventivo rispetto alla consumazione del reato).
Così ragionando, le ipotesi di intervento successivo (si pensi all’informativa al consiglio di amministrazione; all’attivazione del collegio sindacale; all’attivazione del procedimento disciplinare; financo la denuncia penale, alla quale non è comunque tenuto) non attengono all’impedimento in senso stretto.
Tuttavia le conclusioni potrebbero cambiare se fosse lo stesso Modello ad attribuire poteri propriamente impeditivi all’OdV; meglio ancora se fosse l’organo amministrativo a delegargli poteri di reazione, poteri decisionali, poteri inibitori e sanzionatori (Sfameni).
Trattasi di possibilità invero non esclusa dal d.lg. 231, il quale prescrive che l’OdV debba avere "autonomi poteri di iniziativa e di controllo".
E’ dato ad esempio rinvenire un modello che codifica il potere di impedimento del reato a carico dell’ODV (reperibile sul sito www.sia.it).
Si scrive che, ove l’OdV "nell’esercizio delle proprie funzioni, abbia notizia di fatti o atti in corso di esecuzione, che, se portati a compimento, potrebbero perfezionare un reato" e non sia possibile "nei casi di massima urgenza" informare il Presidente del CDA e del collegio sindacale per l’impedimento del reato, l’OdV "è direttamente investito del potere di ordinare la cessazione dell’attività criminosa".
Si aggiunge che tale ordine "prevale su qualsiasi altro ordine difforme eventualmente emanato dalla funzione aziendale sovraordinata a quella destinataria dell’ordine inibitorio".
Si ha pure notizia di altra società – del settore farmaceutico – che ha attribuito all’ODV un vero e proprio potere di veto su tutte le spese superiori a 10 mila euro.
Anche alla luce delle esperienze sopra riportate, l’aspetto di criticità è che la posizione di garanzia (e la connessa responsabilità penale) dell’organismo di vigilanza sarebbe direttamente correlata all’entità ed all’estensione dei poteri volta a volta conferiti all’ODV dall’organo dirigente, in sede di costruzione del modello di organizzazione e controllo (Conciatore).
- L’inedita figura dell’ "ODV antiriciclaggio"
La nuova normativa antiriciclaggio (d.lg. 231/2007), per la prima volta, grava expressis verbis l’ODV di un obbligo di controllo dell’osservanza della normativa stessa da parte dei soggetti destinatari del d.lg. 231/2007.
La normativa in questione pone dei divieti e degli obblighi e li presidia con sanzioni amministrative e penali; vigilare sul rispetto del decreto significa vigilare sull’adempimento degli obblighi e sul rispetto dei divieti dallo stesso posti.
Una simile vigilanza potrebbe essere inquadrata nel genus "prevenzione degli illeciti".
L’art. 52 comma 1 d.lg. 231/2007 rischia di avallare, ad avviso di chi scrive, la configurazione di una vera e propria posizione di garanzia a carico dell’OdV, il quale verrebbe ad essere coinvolto ope legis nella prevenzione di illeciti penali.
Una questione analoga si è posta per il collegio sindacale.
Proprio dal riferimento dell’art 2403 c.c. all’obbligo di vigilanza sul rispetto della legge, la giurisprudenza ha enucleato un’ampia posizione di garanzia in ordine ai reati degli amministratori (anche reati comuni e non soltanto societari/fallimentari).
Insomma, l’OdV non dovrà "soltanto" vigilare sull’attuazione dei Modelli ma, direttamente e in modo più pregnante, sul rispetto, da parte della società, della normativa de qua.
Diventerebbe così concreta la possibilità di muovere un rimprovero all’ODV di non aver impedito un evento (sub specie di reato altrui) che aveva l’obbligo di impedire: id est una responsabilità a titolo di concorso omissivo nel reato altrui (combinato disposto degli artt 110 e 40 cpv. c.p.)
La cennata posizione di garanzia dell’OdV potrebbe essere fatta discendere dalla lettura congiunta degli artt 6 lett. a) e b), 7 d.lg. 231/2001 con l’art 52 comma 1 d.lg. 231/2007.
In breve: l’OdV vive nel e per il Modello preventivo di reati – è stato espressamente incaricato di verificarne l’attuazione – la normativa antiriciclaggio lo grava di un obbligo di vigilanza.
L’obiezione diffusa, secondo la quale, anche ad ipotizzarne la titolarità di una posizione di garanzia, l’ODV non avrebbe reali poteri impeditivi, potrebbe essere "aggirata" proprio dal successivo comma 2 dell’art. 52, il quale prevede alcuni specifici obblighi di comunicazione – penalmente sanzionati – a carico dell’OdV (reati omissivi propri).
Si potrebbe cioè dire che l’OdV avrebbe potuto impedire il reato adempiendo in modo completo e tempestivo a tali obblighi.
In questo senso si è messa in evidenza l’importanza del futuro orientamento giurisprudenziale che potrebbe di fatto parificare – quanto a sussistenza di poteri impeditivi - l’OdV al collegio sindacale (Lunghini).
Va comunque rilevato, sotto distinto profilo, che secondo autorevole dottrina (Mantovani; Leoncini) gli obblighi di attivarsi sanzionati dalle fattispecie omissive proprie non sono idonei a fondare una posizione di garanzia rilevante ai sensi dell’art. 40 cpv. c.p..
Inoltre, sotto il profilo dell’imputazione oggettiva dell’evento, la mancanza di poteri di interdizione in capo all’OdV "farebbe venir meno anche la sussistenza del rapporto di causalità o giudizio di equivalenza, in conseguenza dell’inidoneità dei poteri del garante ad esercitare la propria funzione di controllo" (Manzillo).
Per il vero è stato affermato, in senso contrario, che se l’ODV vigila sui modelli e questi sono finalizzati a prevenire i reati, l’obbligo giuridico rilevante ai sensi e per gli effetti di cui all’art 40 comma 2 c.p. non può essere escluso in radice: "potrebbe risultare decisivo, oltre all’elemento soggettivo, il raffronto tra la procedura prevista nel modello per la prevenzione del reato e la concreta condotta criminosa: quanto più il protocollo avrà una sua specifica funzione preventiva di una certa condotta e quanto più tale condotta si avvicini alla condotta criminosa concreta, tanto più potrà dirsi che tale condotta è causalmente collegabile all’omessa vigilanza sul rispetto del protocollo" (Iannini – Armone).
In quest’ottica, la fonte dell’obbligo di impedire l’evento potrebbe ravvisarsi negli artt. 6 lett. a), b) e d) e 7 d. lg. 231/2001: la posizione di garanzia dei componenti l’ODV risiederebbe direttamente nei modelli di organizzazione e gestione e verrebbe assunta in forza del contratto, in particolare del contratto di lavoro con la società (Gargani).
- Il punctum dolens della questione: la nozione di potere impeditivo
La principale obiezione è la seguente: se l’ODV non ha poteri impeditivi del reato (tra l’altro non può nemmeno modificare direttamente il Modello), non è possibile rimproverargli di non averlo impedito.
A stretto rigore per impedimento deve intendersi l’inserimento dell’intervento dell’ODV nella fase esecutiva del reato, tale da paralizzarne la consumazione (id est: intervento preventivo rispetto alla consumazione del reato).
Così ragionando, le ipotesi di intervento successivo (si pensi all’informativa al consiglio di amministrazione; all’attivazione del collegio sindacale; all’attivazione del procedimento disciplinare; financo la denuncia penale, alla quale non è comunque tenuto) non attengono all’impedimento in senso stretto.
Tuttavia le conclusioni potrebbero cambiare se fosse lo stesso Modello ad attribuire poteri propriamente impeditivi all’OdV; meglio ancora se fosse l’organo amministrativo a delegargli poteri di reazione, poteri decisionali, poteri inibitori e sanzionatori (Sfameni).
Trattasi di possibilità invero non esclusa dal d.lg. 231, il quale prescrive che l’OdV debba avere "autonomi poteri di iniziativa e di controllo".
E’ dato ad esempio rinvenire un modello che codifica il potere di impedimento del reato a carico dell’ODV (reperibile sul sito www.sia.it).
Si scrive che, ove l’OdV "nell’esercizio delle proprie funzioni, abbia notizia di fatti o atti in corso di esecuzione, che, se portati a compimento, potrebbero perfezionare un reato" e non sia possibile "nei casi di massima urgenza" informare il Presidente del CDA e del collegio sindacale per l’impedimento del reato, l’OdV "è direttamente investito del potere di ordinare la cessazione dell’attività criminosa".
Si aggiunge che tale ordine "prevale su qualsiasi altro ordine difforme eventualmente emanato dalla funzione aziendale sovraordinata a quella destinataria dell’ordine inibitorio".
Si ha pure notizia di altra società – del settore farmaceutico – che ha attribuito all’ODV un vero e proprio potere di veto su tutte le spese superiori a 10 mila euro.
Anche alla luce delle esperienze sopra riportate, l’aspetto di criticità è che la posizione di garanzia (e la connessa responsabilità penale) dell’organismo di vigilanza sarebbe direttamente correlata all’entità ed all’estensione dei poteri volta a volta conferiti all’ODV dall’organo dirigente, in sede di costruzione del modello di organizzazione e controllo (Conciatore).
- L’inedita figura dell’ "ODV antiriciclaggio"
La nuova normativa antiriciclaggio (d.lg. 231/2007), per la prima volta, grava expressis verbis l’ODV di un obbligo di controllo dell’osservanza della normativa stessa da parte dei soggetti destinatari del d.lg. 231/2007.
La normativa in questione pone dei divieti e degli obblighi e li presidia con sanzioni amministrative e penali; vigilare sul rispetto del decreto significa vigilare sull’adempimento degli obblighi e sul rispetto dei divieti dallo stesso posti.
Una simile vigilanza potrebbe essere inquadrata nel genus "prevenzione degli illeciti".
L’art. 52 comma 1 d.lg. 231/2007 rischia di avallare, ad avviso di chi scrive, la configurazione di una vera e propria posizione di garanzia a carico dell’OdV, il quale verrebbe ad essere coinvolto ope legis nella prevenzione di illeciti penali.
Una questione analoga si è posta per il collegio sindacale.
Proprio dal riferimento dell’art 2403 c.c. all’obbligo di vigilanza sul rispetto della legge, la giurisprudenza ha enucleato un’ampia posizione di garanzia in ordine ai reati degli amministratori (anche reati comuni e non soltanto societari/fallimentari).
Insomma, l’OdV non dovrà "soltanto" vigilare sull’attuazione dei Modelli ma, direttamente e in modo più pregnante, sul rispetto, da parte della società, della normativa de qua.
Diventerebbe così concreta la possibilità di muovere un rimprovero all’ODV di non aver impedito un evento (sub specie di reato altrui) che aveva l’obbligo di impedire: id est una responsabilità a titolo di concorso omissivo nel reato altrui (combinato disposto degli artt 110 e 40 cpv. c.p.)
La cennata posizione di garanzia dell’OdV potrebbe essere fatta discendere dalla lettura congiunta degli artt 6 lett. a) e b), 7 d.lg. 231/2001 con l’art 52 comma 1 d.lg. 231/2007.
In breve: l’OdV vive nel e per il Modello preventivo di reati – è stato espressamente incaricato di verificarne l’attuazione – la normativa antiriciclaggio lo grava di un obbligo di vigilanza.
L’obiezione diffusa, secondo la quale, anche ad ipotizzarne la titolarità di una posizione di garanzia, l’ODV non avrebbe reali poteri impeditivi, potrebbe essere "aggirata" proprio dal successivo comma 2 dell’art. 52, il quale prevede alcuni specifici obblighi di comunicazione – penalmente sanzionati – a carico dell’OdV (reati omissivi propri).
Si potrebbe cioè dire che l’OdV avrebbe potuto impedire il reato adempiendo in modo completo e tempestivo a tali obblighi.
In questo senso si è messa in evidenza l’importanza del futuro orientamento giurisprudenziale che potrebbe di fatto parificare – quanto a sussistenza di poteri impeditivi - l’OdV al collegio sindacale (Lunghini).
Va comunque rilevato, sotto distinto profilo, che secondo autorevole dottrina (Mantovani; Leoncini) gli obblighi di attivarsi sanzionati dalle fattispecie omissive proprie non sono idonei a fondare una posizione di garanzia rilevante ai sensi dell’art. 40 cpv. c.p..
(Maurizio Arena)
06 gennaio 2009
I nuovi standard professionali per l'Internal Audit
Dal 1 gennaio 2009 gli internal auditor, nell'esercizio della propria attività, sono tenuti ad applicare i nuovi standard internazionali, approvati dall'Institute of Internal Auditors nel luglio 2008.
Modifiche al D.lgs. 196/03
Il decreto legge 30 dicembre 2008, n. 207 [1], ha modificato il sistema sanzionatorio del decreto legislativo 30 giugno 2003, n. 196. Queste le principali modifiche [2]:
- la sanzione per omessa o inidonea informativa all'interessato è raddoppiata da «tremila euro - diciottomila euro» a «seimila euro - trentaseimila euro»;
- la sanzione per violazione della disciplina sulla cessione dei dati è raddoppiata da «cinquemila euro - trentamila euro» a «da diecimila euro - sessantamila euro»;
- la sanzione per la violazione della disposizione in materia di comunicazione di dati personali idonei a rivelare lo stato di salute, stabilita dall'art. 84 del d.lgs. 196/03, raddoppia da «cinquecento euro - tremila euro» a «mille euro - seimila euro»;
- all'art. 162 del d.lgs. 196/03 sono aggiunti il comma 2-bis e 2-ter, che sanzionano, rispettivamente, il trattamento di dati in violazione delle misure minime (art. 33) o il trattamento illecito di dati (art. 167) e l'inosservanza dei provvedimenti di prescrizione o di divieto del Garante (art. 154, co. 1, lett. c, d);
- la sanzione per omessa o incompleta notificazione al Garante passa da «diecimila euro - sessantamila euro» a «ventimila euro - centoventimila euro». E' invece soppressa la "pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali" (d.lgs. 196/03, art. 163);
- la sanzione per l'omessa informazione o esibizione al Garante dei documenti/informazioni richiesti passa da «quattromila euro - ventiquattro mila euro» a «diecimila euro - sessantamila euro»;
- è inserito l'art. 164-bis, che disciplina il sistema sanzionatorio per le violazioni di minore gravità e per le violazioni aggravate.
-----
[1] Decreto legge 30 dicembre 2008, n. 207, "Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti", pubblicato sulla Gazzetta Ufficiale n. 304 del 31 dicembre 2008.
[2] Dl 207/08, art. 44 - Disposizioni in materia di tutela della riservatezza:
[1] Decreto legge 30 dicembre 2008, n. 207, "Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti", pubblicato sulla Gazzetta Ufficiale n. 304 del 31 dicembre 2008.
[2] Dl 207/08, art. 44 - Disposizioni in materia di tutela della riservatezza:
1. All'elenco n. 1, paragrafo 2, allegato alla legge 24 dicembre 2007, n. 244, le parole: «Decreto legislativo 30 giugno 2003, n. 196, articolo 166» sono soppresse.
2. All'articolo 161, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole da: «tremila euro a diciottomila euro» fino alla fine del comma sono sostituite dalle seguenti: «da seimila euro a trentaseimila euro».
3. L'articolo 162 del decreto legislativo 30 giugno 2003, n. 196, è cosi' modificato: a) al comma 1, le parole: «da cinquemila euro a trentamila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro»; b) al comma 2, le parole: «da cinquecento euro a tremila euro» sono sostituite dalle seguenti: «da mille euro a seimila euro»; c) dopo il comma 2, sono aggiunti, in fine, i seguenti: «2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell'articolo 33 o delle disposizioni indicate nell'articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da ventimila euro a centoventimila euro. Nei casi di cui all'articolo 33 è escluso il pagamento in misura ridotta. 2-ter. In caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all'articolo 154, comma 1, lettere c) e d), è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.».
4. All'articolo 162-bis, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «, che puo' essere aumentata» fino alla fine del comma sono soppresse.
5. All'articolo 163, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da diecimila euro a sessantamila euro» sono sostituite dalle seguenti: «da ventimila euro a centoventimila euro» e le parole: «e con la sanzione amministrativa accessoria» fino alla fine del comma sono soppresse.
6. All'articolo 164, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «da quattromila euro a ventiquattromila euro» sono sostituite dalle seguenti: «da diecimila euro a sessantamila euro».
7. Dopo l'articolo 164 del decreto legislativo 30 giugno 2003, n. 196, e' inserito il seguente: «Art. 164-bis (Casi di minore gravità e ipotesi aggravate). 1. Se taluna delle violazioni di cui agli articoli 161, 162, 163 e 164 è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell'attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. 2. In caso di più violazioni di un'unica o di più disposizioni di cui al presente Capo, a eccezione di quelle previste dagli articoli 162, comma 2, 162-bis e 164, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro. Non è ammesso il pagamento in misura ridotta. 3. In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni di cui al presente Capo sono applicati in misura pari al doppio. 4. Le sanzioni di cui al presente Capo possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.».
8. All'articolo 165, comma 1, del decreto legislativo 30 giugno 2003, n. 196, le parole: «161, 162 e 164» sono sostituite dalle seguenti: «del presente Capo» ed è aggiunto, in fine, il seguente periodo: «La pubblicazione ha luogo a cura e spese del contravventore.».
9. L'articolo 169 del decreto legislativo 30 giugno 2003, n. 196, è così modificato: a) nel comma 1, sono soppresse le parole da: « o con l'ammenda da» fino alla fine del comma; b) nel comma 2, le parole: «quarto del massimo dell'ammenda stabilita per la contravvenzione» sono sostituite dalle seguenti: «quarto del massimo della sanzione stabilita per la violazione amministrativa».
10. All'articolo 62, comma 1, del decreto legislativo 6 settembre 2005, n. 206, le parole: «da euro cinquecentosedici a euro cinquemilacentosessantacinque» sono sostituite da: «da tremila euro a diciottomila euro».
11. Agli oneri derivanti dal comma 1, pari a euro 299.000 a decorrere dal 2009, si provvede mediante corrispondente riduzione dell'autorizzazione di spesa di cui al decreto legislativo 30 giugno 2003, n. 196, come determinata dalla tabella C della legge 22 dicembre 2008, n. 203, (legge finanziaria 2009), in favore del Garante per la protezione dei dati personali, a decorrere dall'esercizio 2009.
05 gennaio 2009
Proroga di alcuni adempimenti ex D.lgs. 81/08
Il decreto legge 30 dicembre 2008, n. 207 [1], ha prorogato al 16 maggio 2009 l'attuazione dei seguenti adempimenti previsti dal decreto legislativo 9 aprile 2008, n. 81 [2]:
- comunicazione all'INAIL, o all'IPSEMA, dei dati relativi agli infortuni sul lavoro che comportino un'assenza dal lavoro - D.Lgs. 81/08, art. 18 "Obblighi del datore di lavoro e del dirigente", comma 1, lettera r);
- visite mediche in fase preassuntva - D.Lgs. 81/08, art. 41 "Sorveglianza sanitaria", comma 3, lettera a);
- valutazione dello stress lavoro-correlato e "data certa" del Documento di Valutazione dei Rischi (DVR) - D.Lgs. 81/08, art. 28, commi 1 e 2.
-----
[1] Decreto legge 30 dicembre 2008, n. 207, "Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti", pubblicato sulla Gazzetta Ufficiale n. 304 del 31 dicembre 2008.
[2] Art. 32 - Modifiche al decreto legislativo 9 aprile 2008, n. 81:
[1] Decreto legge 30 dicembre 2008, n. 207, "Proroga di termini previsti da disposizioni legislative e disposizioni finanziarie urgenti", pubblicato sulla Gazzetta Ufficiale n. 304 del 31 dicembre 2008.
[2] Art. 32 - Modifiche al decreto legislativo 9 aprile 2008, n. 81:
1. Le disposizioni di cui agli articoli 18, comma 1, lettera r), e 41, comma 3, lettera a), del decreto legislativo 9 aprile 2008, n. 81, e successive modificazioni, si applicano a decorrere dal 16 maggio 2009.
2. Il termine di cui all'articolo 306, comma 2, del decreto legislativo 9 aprile 2008, n. 81, e successive modificazioni, con riferimento alle disposizioni di cui all'articolo 28, commi 1 e 2, del medesimo decreto legislativo, concernenti la valutazione dello stress lavoro-correlato e la data certa, è prorogato al 16 maggio 2009.
Iscriviti a:
Post (Atom)