FRANCESCA ANGELINI

Buongiorno a tutti. Dovrebbe esserci un indice dietro le mie spalle che riassume i punti principali del mio intervento, che ha un carattere prettamente operativo, perché relativo all’insieme delle attività che sono state svolte in Atac in attuazione del decreto legislativo 231 del 2001.
INDICE
• D.Lgs n. 231/2001
• Rilevanza della legge in Atac S.p.A.
• Attività richieste dal D.Lgs n.231/2001
• Stato dell’arte in Atac S.p.A.
• Stato dell’arte nelle aziende del TPL
• Organismo di Vigilanza
• Regolamento sui criteri generali di organizzazione, gestione e controllo per l’esecuzione del D.Lgs n. 231/2001
• Attività di risk assessment ai sensi del D.Lgs n. 231/2001

Non mi soffermo sui caratteri generali del decreto legislativo perché chi mi ha preceduto, lo ha già fatto ampiamente, mettendo ben in evidenza il valore aggiunto che da tale norma si può trarre, valutato soprattutto in termini di maggiore eticità dei comportamenti aziendali.
Mi volevo, però, soffermare su un aspetto importante e, cioè, la rilevanza che il decreto legislativo ha per le aziende che, come l’Atac, sono di proprietà pubblica e sono incaricate di un pubblico servizio.
La rilevanza è duplice perché aziende come l’Atac potrebbero porre in essere, soprattutto con riferimento ai reati contro la pubblica amministrazione, fattispecie sia in senso attivo che in passivo, perché i dipendenti di Atac possono essere considerati come incaricati di servizio pubblico e, quindi, potrebbero incorrere nei reati di concussione e di corruzione anche passiva.
Quindi, oltre al rilievo attivo dei reati della pubblica amministrazione, bisogna considerare anche questa possibilità di reati passivi contro la pubblica amministrazione. Per di più, l’Atac ovviamente, come tutte le società, può incorrere nei tipici reati societari.
Quali sono le attività richieste dal decreto legislativo per l’attuazione del modello in esso previsto?
Innanzitutto l’istituzione dell’organismo di vigilanza e la definizione di un sistema di controllo, quindi di un flusso istituzionalizzato di comunicazione, dalle diverse aree aziendali verso l’organismo di vigilanza.
La seconda attività è relativa alla individuazione dei processi e delle attività a rischio di reato previste nel decreto legislativo.
Successivamente abbiamo la definizione di specifici protocolli di comportamento e di controllo e unitamente alla individuazione di specifiche procedure proprio in quelle attività a rischio di reato, tutti finalizzati a mitigare il rischio di reato individuato in quelle aree.
Abbiamo poi l’individuazione di adeguate modalità di gestione delle risorse finanziarie.
Infine, ma non per importanza, l’introduzione di un sistema disciplinare e sanzionatorio che renda effettivo il modello. (Potete vedere nel lucido alle mie spalle qual’è la situazione dello) Questo è lo stato dell’arte in questa azienda.
In Atac si è adottato il codice etico, il codice di comportamento e le linee guida Asstra con una delibera del C.d.a.; circa un anno fa è stato costituito l’organismo di vigilanza che, sulla base delle indicazioni che provenivano dalle linee guida Asstra, è stato strutturato su una duplice componente: un comitato che ha funzioni di coordinamento e di controllo specifiche e poi lo staff Internal Auditing, che è pensato come unità manageriale e, quindi, come il braccio operativo delle attività che vengono svolte direttamente.
La costituzione dell’organismo è stata ovviamente effettuata con una delibera del C.d.a.. Successivamente, su proposta dell’organismo di vigilanza, sempre il C.d.a. Atac ha anche approvato e adottato un regolamento sui criteri generali di organizzazione, di gestione e controllo per l’attuazione della 231.
E’ necessario dire però, che questo regolamento contiene anche tutte le norme relative ai compiti, le funzioni ed i poteri previsti in capo all’organismo di vigilanza.
Infine, nel periodo fra il gennaio del 2002 e il giugno del 2003, è stata portata a termine tutta la prima attività prevista in attuazione del modello, cioè l’attività di valutazione dei rischi di reato ai sensi del decreto legislativo, e a partire dal luglio del 2003 si sta sviluppando il modello: si stanno svolgendo le interviste agli operativi, quindi a tutto il personale direttamente coinvolto nei processi a rischio di reato, e si dovrà poi valutare il sistema di controllo effettivo esistente in queste aree, per mettere in evidenza gli anelli deboli nel sistema di controllo e poi, successivamente, intervenire con dei protocolli finalizzati a mitigare il rischio di reato.
(Alle mie spalle potete vedere adesso il risultato di un’indagine che è stata svolta) Alla fine del 2003 è stata svolta un’indagine dallo staff Internal Auditing di Atac. E’ una indagine che mette in evidenza lo stato dell’arte in altre aziende di trasporto pubblico locale.
Sono state considerate 95 aziende di trasporto pubblico con caratteristiche dimensionali uniformi: si tratta di aziende che hanno più di 150 dipendenti, e un parco vetture uguale o superiore a 40 unità. Da questo insieme di riferimento è stato estrapolato un campione di 36 aziende sul quale è stata effettuata l’indagine. Di queste 36 aziende è risultato che solo l’8 per cento ha un servizio di audit interno; però è risultato anche che l’83 per cento di queste aziende è a conoscenza delle tematiche relative alla 231.
Dunque, a fronte di questa generale sensibilizzazione alle tematiche della 231, è risultato che il 33 per cento di questo campione non ha fatto alcuna attività in attuazione della 231; il 36 per cento delle aziende è ancora in una fase preliminare di studio; il 22 per cento ha effettuato l’analisi dei rischi di reato e ha adottato il codice etico; un 6 per cento nel quale si colloca anche l’Atac, ha effettuato l’analisi a rischio di reato e la mappatura delle procedure sulle quali intervenire; e solo un 3 per cento ha concluso tutte le attività arrivando al modello.
Dopo questa breve parentesi torniamo ad analizzare l’esperienza in Atac, partendo dalla composizione dell’organismo di vigilanza. Già la dott.ssa Nicotera ricordava che il nostro modello è strutturato proprio sulle linee guida Asstra.
Si tratta, dunque, di un organismo di vigilanza pensato su due corpi: un comitato che ha finalità di coordinamento e di controllo e, poi, lo staff Internal Auditing che è pensato come la struttura operativa, il braccio operativo. Per quanto riguarda il collegio, questo è composto da cinque membri; si prevede un membro del C.d.a. nominato dal C.d.a.; un membro del collegio sindacale, nominato da quest’ultimo e, in particolare, in Atac si tratta del presidente del collegio sindacale; il responsabile dello staff Internal Auditing; il responsabile della direzione affari legali. Questi quattro membri hanno poi eletto, scegliendolo all’esterno dell’azienda, un presidente; la scelta di rivolgersi all’esterno nella individuazione del presidente risponde ovviamente ad una esigenza di maggiore garanzia di indipendenza e di terzietà dell’organismo stesso.
L’altra componente dell’organismo di vigilanza abbiamo detto è lo staff di Internal Auditing che ha funzioni manageriali e operative, le sue caratteristiche sono la professionalità dei membri, cui è richiesta la certificazione Cia, e l’imparzialità. In particolare, l’imparzialità è una caratteristica che veniva richiesta ai servizi di audit anche precedentemente alla 231, adesso ovviamente diventa anche una caratteristica più importante. Come è stata garantita questa imparzialità e, quindi, anche autonomia dello staff Internal Audit? Attraverso garanzie particolari relative alla collocazione di tutto l’organismo, così come veniva suggerito dalle linee guida Asstra.
La collocazione di questo organismo è prevista in staff alla dirigenza aziendale: si è scelto infatti di collocare l’Internal Audit in staff al Presidente e al C.d.A..
Questo doppio riporto gerarchico funzionale serve ovviamente a garantire ancora di più l’indipendenza che questo organismo deve assolutamente avere.
Possiamo ora riassumere le caratteristiche dell’organismo. L’Atac ha escluso la possibilità di ricorrere ad un organismo esterno, quindi di far coincidere per esempio l’organismo con il collegio sindacale. La scelta è stata, dunque, quella di individuare un organismo interno, però nell’individuare questo organismo si è avuto cura ad evitare che questo esercitasse funzioni operative, questo al fine di impedire appunto situazioni di conflitto di interesse. L’organismo, poi, per garantire meglio gli “autonomi poteri di iniziativa e controllo”, che gli sono espressamente attribuiti dal decreto legislativo, si è dotato di un regolamento che ne disciplina anche le attività, i poteri, i flussi di comunicazione e gli obblighi.
Per di più, questo regolamento deve anche garantire l’autonomia finanziaria dell’organismo, autonomia dalla quale non si può prescindere per arrivare alla determinazione di un’autonomia più generale e completa, come evidenziato nelle osservazioni del Ministero di Grazia e Giustizia sulle linee guida Asstra, osservazioni precedentemente ricordate anche dalla dott.ssa Nicotera.
Passiamo a vedere qual è la struttura del regolamento. Il nostro regolamento è strutturato su cinque parti: la prima parte relativa alle finalità; la seconda parte relativa al modello organizzativo gestionale di controllo; la terza e la quarta parte sono finalizzate alla definizione delle due componenti dell’organismo di vigilanza; l’ultima parte, invece, è diretta all’azienda e la impegna ai doveri di formazione, diffusione e informazione dei protocolli previsti dal modello organizzativo verso i dipendenti dell’azienda e verso tutti i soggetti esterni che entrano in relazione con l’Atac.
Allora, vediamo le finalità del regolamento. Dato che l’esperienza 231 in Atac si sta caratterizzando come una opportunità anche per cogliere obiettivi che vanno oltre la 231 al fine di darsi la possibilità di ripensare tutti i comportamenti aziendali in termini di maggiore trasparenza e di maggiore eticità dei comportamenti, abbiamo previsto, in tal senso, nel nostro regolamento due blocchi di finalità: delle finalità, diciamo così, istituzionalmente legate alla 231 e che, quindi, ovviamente sono relative al raggiungimento degli obiettivi di prevenzione dei rischi reati previsti dal decreto legislativo; e poi abbiamo previsto degli obiettivi più generali, tesi a garantire la rispondenza dei comportamenti della società agli obiettivi più generali che essa si pone e che coincidono con la missione di servizio pubblico che questa azienda deve avere. E nel far questo, abbiamo pensato addirittura - e questa è la novità – di aprirci ad esperienze di forme di partecipazione degli utenti al controllo. Noi abbiamo pensato, in definitiva, di prevedere una componente allargata, una sorta di comitato etico dell’organismo di vigilanza, allargata alla rappresentanza degli utenti.
Al di là della componente ordinaria dell’organismo, che deve assolvere ai compiti previsti dalla 231, abbiamo pensato che per la verifica esclusiva degli obiettivi sociali poteva essere una proposta ed una esperienza innovativa quella di prevedere l’allargamento al modello partecipativo.
Questa proposta sarà l’argomento di cui si discuterà nel pomeriggio, quindi vi invito a rimanere anche alla sessione pomeridiana del convegno, per chiarire i termini di questa esperienza che l’Atac sta iniziando.
Tornando ora al regolamento, la sua seconda parte prevede gli elementi del modello gestionale, organizzativo e di controllo, che possiamo dividere in elementi costitutivi e in elementi di garanzia del modello. Per quanto riguarda gli elementi costitutivi abbiamo: l’individuazione della mappatura delle aree a rischio; l’individuazione dei piani correttivi e delle azioni di miglioramento sulle aree a rischio reato 231; la formalizzazione ovviamente dei flussi informativi dalle aree aziendali verso l’organismo di vigilanza.
Per quanto riguarda, invece, gli elementi di garanzia, essi sono da intendersi quali elementi di garanzia verso il modello, verso l’attuazione del modello. Qui prevediamo l’obbligatorietà tesa a garantire l’osservanza a tutti i livelli aziendali del modello; di fondamentale importanza e poi la definizione di un sistema disciplinare che garantisca la cogenza e l’effettività del modello.
(Alla mie spalle potete vedere l’elenco di tutti gli) Alcuni degli elementi documentali che devono entrare nel modello sono:. (Ve ne cito qualcuno, per esempio) il codice di comportamento, le linee guida Asstra, il sistema delle deleghe, il sistema disciplinare, il piano per la formazione del personale, e poi le relazioni ed i rapporti del comitato, i principi di comportamento, i protocolli, le procedure e le istruzioni operative. Questi sono tutti documenti che devono far parte della definizione del modello.
Passiamo adesso alla definizione del sistema disciplinare, che noi abbiamo previsto in grandi linee nel regolamento, ma che una volta approvato il modello dovrà ovviamente essere precisato e dettagliato. Le sanzioni sono state previste proporzionali alla gravità dell’inadempimento, come ovvio, e poi sono state diversamente modulate a seconda dei soggetti destinatari della sanzione.
Particolare attenzione è stata fatta, nella definizione delle modalità sanzonatorie, in tutti quei casi in cui i destinatari della sanzione coincidono con i soggetti che sono in posizione apicale all’interno dell’azienda. Allora, per esempio, per il direttore si è previsto il deferimento al C.d.a. per l’adozione della sanzione, che può andare dalla censura scritta al licenziamento per giusta causa senza preavviso; per i dirigenti si è previsto ugualmente il deferimento, previa proposta del direttore generale al C.d.a. per l’adozione della sanzione; e per i dipendenti abbiamo dovuto fare un’operazione di collegamento fra le esigenze della 231 e il sistema disciplinare già esistente nelle aziende di trasporto pubblico e che è contenuto nel regio decreto 148 del 1931. In quest’ultimo caso qui si è trattato di fare un’operazione di collegamento e di modulazione fra quelle che erano le esigenze del decreto legislativo e l’esistente.
Si sono previste, poi, delle sanzioni verso i collaboratori esterni, sanzioni che possono andare fino alla revoca dell’incarico e diciamo che queste sanzioni dovrebbero essere previste da una clausola contrattuale espressa.
Lo stesso sistema si é previsto per le sanzioni nei confronti delle imprese appaltatrici di gare e servizi e di forniture e di prestazioni di attività che entrano in relazione con l’Atac. Qui le sanzioni possono andare dalle sanzioni pecuniarie fino alla risoluzione del contratto. Anche in questo caso la modalità che garantisce la cogenza del sistema disciplinare, è sempre quella della previsione in una esplicita clausola contrattuale.
Per i membri del C.d.a., (poi) invece, è stato fatto un discorso a parte, perché anche qui il problema era vedere come ottenere l’effettività del sistema disciplinare. Si è previsto che l’organismo di vigilanza dovrà proporre, una volta che il modello verrà approvato, al sindaco, che è il rappresentante legale della proprietà di questa società, di inserire nelle procedure di nomina dei membri del C.d.a. l’accettazione espressa del modello.
In questo modo oltre che l’accettazione del sistema sanzionatorio si avrà, ovviamente, un momento importantissimo di condivisione e accettazione da parte dei membri del C.d.a. dello stesso modello di organizzazione 231: la scelta di questo doppio binario che cerca, da una parte, la condivisione e, dall’altra, l’effettività del sistema disciplinare rappresenterà, noi speriamo, un elemento di forza per garantire i comportamenti etici nei vertici aziendali.
La terza parte del regolamento definisce quelli che sono i compiti e i poteri di accesso dell’organismo di vigilanza nella sua componente di comitato.
L’organismo di vigilanza deve vigilare sul funzionamento del modello, aggiorna il modello, propone l’applicazione delle sanzioni. Ovviamente, per poter operare ha bisogno di vedersi garantiti dei poteri di accesso.
In tal senso il regolamento prevede che: l’organismo di vigilanza abbia l’autorità di accedere a tutti gli atti aziendali, riservati e non; può accedere alle attività svolte dai revisori esterni e alla loro documentazione; può accedere fisicamente, ovviamente attraverso l’Internal Auditing, alle aree oggetto di audit; e può procedere direttamente alle interviste del personale aziendale, anche qui utilizzando il braccio operativo rappresentato dallo staff di Internal Auditing. Il regolamento, poi, prevede anche le regole di funzionamento del comitato, le regole, cioè di convocazione, di validità delle sedute e di deliberazione.
Infine è previsto anche un sistema di rapporti verso gli organi societari. Questi rapporti sono su base funzionale e continuativa nei confronti del presidente, del direttore generale, degli amministratori interessati, quando l’oggetto sono le relazioni di sintesi degli interventi di audit, o relazioni periodiche che vengono effettuale sullo stato di attuazione del modello o infine relazioni su particolari aspetti ritenuti rilevanti.
Si è anche prevista la possibilità di inviare delle relazioni su base periodica verso l’ente proprietario, cioè il Comune di Roma, verso il C.d.a. e verso il collegio sindacale; in questo caso si tratterà di relazioni estemporanee sullo stato di attuazione del modello o di relazioni su particolari aspetti ritenuti rilevanti e che sono oggetto di attività di audit.
Le caratteristiche, invece, del braccio operativo manageriale dell’organismo di vigilanza, le abbiamo dette prima, sono: la professionalità dei componenti; l’indipendenza che abbiamo detto essere garantita attraverso la collocazione in staff al presidente e al C.d.a.; l’autonomia di poteri di garanzia e controllo, che è garantita dal regolamento; in più, il regolamento prevede la possibilità di avvalersi di professionalità esterne, in tal caso sono previste particolari garanzie: il ricorso a professionalità esterne deve essere effettuato mantenendo l’attività di controllo interno all’azienda.
Quanto ai compiti della struttura di audit questi sono per lo più finalizzati ad individuare le attività a rischio di reato – mi dispiace ripetermi nelle cose dette, ma è inevitabile ai fini della esposizione sistematica del regolamento -; di verificare il funzionamento e l’osservanza dei modelli; di individuare le esigenze di aggiornamento dei modelli.
Accanto a questi compiti sono previsti anche degli obblighi di garanzia in capo al responsabile di Internal Audit, il quale deve informare i responsabili delle aree che sono oggetto della verifica interna della data di inizio, della durata del controllo, dell’obiettivo del controllo e delle risorse che dovranno essere assegnate a questa attività; deve informare l’organismo di vigilanza ogni volta che si evidenziano dei comportamenti anomali o incongrui; e deve garantire, nell’assegnazione delle risorse, ovviamente dello staff di Internal Audit, che sia sempre separata l’attività di consulenza su determinate attività dall’attività di verifica su quelle stesse attività, questo per evitare che ci siano delle situazioni di conflitto di interesse interno allo staff di Internal Audit.
Il rapporto di audit deve fornire la valutazione di adeguatezza dei processi oggetto di analisi e del loro sistema dei controlli interni; deve contenere, ovviamente, le osservazioni, i commenti, le raccomandazioni, la cui priorità deve essere individuata in base al rischio di reato – ovviamente più alto è il rischio di reato, maggiore sarà l’esigenza di intervenire su quelle aree; il risultato dell’audit deve preventivamente essere discusso con il management di linea e con il responsabile del processo – questo perché si intende garantire il più possibile la condivisione e la collaborazione tra chi è oggetto della verifica e chi compie la verifica; il rapporto di audit deve essere poi inviato al management di linea coinvolto e all’organismo di vigilanza. Importante, poi, diventa l’attività di verifica a posteriori, che deve essere compiuta sempre da l’Internal Audit. E’ necessario controllare, appunto, che ci sia la definizione dei piani di intervento e che questi siano effettivamente adeguati ed efficaci. Nel caso in cui i piani d’intervento dovessero mancare, ovviamente l’Internal Audit ha anche il compito di informare il direttore generale della loro mancata presentazione entro i termini di 30 giorni stabiliti dal regolamento.
Arriviamo alla conclusione, alla parte finale del regolamento, che è diretta alla società e impegna l’Atac a garantire, sia nella fase iniziale del reclutamento, sia nelle successive fasi della formazione e dello sviluppo del personale, l’introduzione di momenti di formazione, informazione e diffusione sui protocolli individuati e sul modello organizzativo approvato.
Questa stessa attività di formazione e informazione deve essere garantita anche nei confronti di soggetti esterni con i quali l’Atac ha delle relazioni di consulenza, di collaborazione, e così via.
L’ultima parte dell’intervento è molto sinteticamente dedicata a mostrare quale è l’attività operativa che lo staff di Internal Audit ha effettuato in questo anno.
L’attività è quella di valutazione dei rischi di reati, la così detta attività di risk assessment, che prevede l’identificazione delle aree delle attività a rischio di reato; l’identificazione e la valutazione delle modalità con le quali questi reati possono compiersi all’interno di ciascuna area; e poi la valutazione del sistema di controllo interno, ovviamente la valutazione del sistema di controllo interno è finalizzata a mettere in evidenza i punti deboli di questo controllo e a mostrare ovviamente quali sono i processi aziendali più carenti e sui quali si deve intervenire prioritariamente.
(Vedete sul lucido elencato il risultato del)le attività svolte riguardano (. Abbiamo) la mappatura delle aree a rischio di reato; la prioritizzazione delle aree a rischio reato in base ai rischi individuati in ciascuna di esse – ovviamente questa attività di prioritizzazione è importante perché ci dice quali sono le aree sulle quali bisognerà intervenire per prime; (poi abbiamo) il dettaglio delle modalità di realizzazione dei reati per ciascuna area a rischio; infine (questo lucido mostra) la matrice di valutazione del rischio residuo per ciascuna area di reato – il rischio residuo è quello che abbiamo valutato tenendo conto del sistema di controllo interno per ciascuna area.
Nelle slides che seguono vedete riassunte tutte le attività svolte. Abbiamo la mappa delle aree a rischio di reato, con l’indicazione - sulla sinistra – dei processi e – sulla destra – delle direzioni interessate. I riquadri colorati indicano ovviamente il rischio, la probabilità di rischio di reato.


RISULTATO DEL LAVORO: 1) mappa delle aree a rischio reato

Poi, abbiamo l’attività di prioritarizzazione delle aree a rischio.

RISULTATO DEL LAVORO: 2) “prioritizzazione” delle aree a rischio reato

Diciamo che la cosa da mettere in evidenza è che lo scarto che c’è tra le aree più a rischio di reato e quelle, diciamo, a minor rischio di reato, lo potete vedere, è veramente basso, perché da un punteggio di 45 si arriva ad un punteggio di 37,5, quindi le aree a rischio di reato sono molte.
Quanto a questa slide invece, probabilmente avrete difficoltà a leggerla dato che contiene delle informazioni dettagliate dovendo riassumere le modalità di realizzazione dei rischi di reato, per tale ragione non potevamo farla se non in questa maniera poco visibile.

RISULTATO DEL LAVORO: 3) dettaglio delle modalità realizzative dei reati per ciascuna area a rischio

Abbiamo nella prima colonna l’indicazione del fattore di rischio/reato; nella seconda colonna l’indicazione delle modalità di reato. Ovviamente la slide, esposta a titolo di esempio, è relativa ad un unico processo, quello di gestione finanziamenti pubblici.

Quindi, abbiamo detto: nella prima colonna abbiamo l’individuazione del rischio di reato; nella seconda la modalità in cui questo reato può realizzarsi; e poi le crocette negli spazi individuano la tipologia di reato che si è verificata. La slide conclusiva è la matrice di valutazione dei rischi residui per ciascuna area di reato individuata. Abbiamo nella prima colonna il fattore di rischio; poi l’indicazione dell’impatto che ha sull’azienda il verificarsi di quel reato; la probabilità inerente che si possa verificare il reato; la media fra l’impatto e la probabilità ci dà il rischio inerente, cioè il rischio che il reato possa verificarsi, però senza valutare il sistema di controllo.
Dopo di che abbiamo verificato il sistema di controllo e (verificando il sistema di controllo) il risultato è stato il calcolo del rischio residuo del reato. Anche qui, forse non sono molto visibili, (ma) il dato da mettere in evidenza è che in realtà lo scarto fra il rischio inerente e il rischio residuo è veramente molto basso. Quindi, il sistema di controllo va rivisto e bisogna intervenire sui processi.
La slide che chiude il mio intervento indica fase per fase tutte le attività che devono essere svolte per l’approvazione del modello.

Modello di organizzazione gestione e controllo: sintesi





Diciamo che la parte in verde è quella che è stata effettivamente svolta in Atac e la parte restante coincide con le attività in corso di implementazione e che speriamo di concludere presto in modo da giungere al modello. Vi ringrazio per l’attenzione e mi scuso se sono stata un po’ lunga.