LABORATORIO Diritto dell’Informazione, Telecomunicazioni ed Accesso: Modello organizzativi e controlli nelle imprese di comunicazione (tlc e media) (G.P. Cuomo - 4) TESTO DI LETTURA
Obiettivi Conoscere: Le peculiarità del Sistema di di controllo interno e di gestione dei rischi (Sistema di controllo) delle imprese di comunicazione (tlc e media) Aspetti significativi del D.Lgs. N. 231/2001 Il Modello Organizzativo del Gruppo Telecom Italia 2 2
Il Sistema di controllo interno e di gestione dei rischi (il “Sistema di controllo”) delle imprese di comunicazione (tlc e media) 3 3
Il Sistema di controllo interno e di gestione dei rischi (Standard IIA) Qualsiasi azione intrapresa dal management, dal board o da altri soggetti per gestire i rischi ed aumentare le possibilità di conseguimento degli obiettivi e dei traguardi stabiliti. Il management pianifica, organizza e dirige l’esecuzione di iniziative in grado di fornire una ragionevole sicurezza sul raggiungimento di obiettivi e traguardi IL SISTEMA DI CONTROLLO INTERNO (Codice di Autodisciplina Borsa Italiana art. 7.P.1) Il sistema di controllo interno e di gestione dei rischi della Società è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale CONTROLLO INTERNO (COSO Framework - Committee of Sponsoring Organizations of the Treadway Commission) Il controllo è definito come il processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore
Il Sistema di controllo interno e di gestione dei rischi LE COMPONENTI DEL SISTEMA DI CONTROLLO INTERNO Mission / Obiettivi Operativi / Sistemi di Incentivazione Organizzazione / Poteri / Responsabilità Pianificazione Operativa Know-How / Formazione / Risorse Norme / Procedure / Istruzioni operative Sistemi Informativi di Supporto ai processi Attività di Controllo Specifiche Reporting Informativo Direzionale Monitoraggio regole procedure organizzazione COSO Framework -Internal Control-
Il “Sistema di controllo” delle imprese di comunicazione (tlc e media) Processo che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di: efficacia ed efficienza delle attività operative attendibilità delle informazioni di bilancio conformità alle leggi e ai regolamenti in vigore Efficacia: misura del grado di conseguimento degli obiettivi aziendali Efficienza: misura del grado di impiego delle risorse per il raggiungimento degli obiettivi medesimi
Il Sistema di controllo: i livelli di presidio Tre livelli di presidio sul Sistema di controllo: Primo livello: definisce e gestisce i controlli insiti nei processi operativi che richiedono competenze specifiche del business, dei rischi e/o delle normative pertinenti Secondo livello: presidia il processo di individuazione, valutazione, gestione e controllo dei rischi legati all’operatività garantendone la coerenza rispetto agli obiettivi aziendali (Risk Management, Compliance Officer, Controllo di Gestione, Dirigente Preposto alla Redazione dei Documenti Contabili Societari, ecc..) Terzo livello: fornisce l’assurance sul disegno e sul funzionamento del Sistema di controllo interno e di (di competenza dell’Internal Auditing) 7 7
Odcec “La governance del sistema dei controlli interni”(marzo 2010) Audit e Funzioni di controllo di 1° e 2° livello (riferimenti istituzionali) Odcec “La governance del sistema dei controlli interni”(marzo 2010) Riferimenti CONSOB (Internal Audit)
Audit e Funzioni di controllo di 1° e 2° livello (riferimenti dottrinali) AIIA “Approccio integrato al sistema di controllo interno ai fini di un efficace ed efficiente governo d’impresa” (marzo 2008)
Borsa Italiana (Codice di Autodisciplina 2011) controlli di 3° livello controlli di 1° livello Netta distinzione tra il ruolo delle Funzioni che svolgono controlli di secondo livello e l’Internal Audit Governo Internal Audit Altri attori ex settori bancario finanziario assicurativo: Dirigente preposto Chief risk officer Compliance Altri attori ex settori industria, servizi, commercio: Risk committee manager e strutture aziendali non dedicati in via esclusiva controlli di 2° livello Funzioni soggette a revisione IA Management operativo
Principi di riferimento del Sistema di Controllo Separazione di ruoli/compiti (segregation of duty) a tutela della corretta funzionalità, efficacia ed efficienza del Modello Organizzativo aziendale Tracciabilità e non ripudiabilità dei dati/informazioni a presidio della trasparenza e della completa ricostruibilità delle operazioni/attività aziendali Accountability delle informazioni e dei processi anche al fine dell’individuazione dei soggetti direttamente responsabili 11 11
Gli attori che presidiano la Control Governance CdA: definisce gli indirizzi del sistema di controllo e ne valuta l’adeguatezza nonché la sua efficacia Comitato controllo e rischi: supporta le decisioni del CdA sul sistema di controllo Responsabile della Funzione di Internal Audit: verifica l’operatività e l’idoneità del sistema di controllo nonché l’affidabilità dei sistemi informativi Collegio Sindacale: vigila sull’efficacia del sistema di controllo Società di Revisione: valuta i controlli interni a presidio degli obiettivi di attendibilità del sistema informativo aziendale/monitoraggio dei rischi Organismo di Vigilanza: previsto dal D. Lgs. n. 231/2001 Dirigente preposto alla redazione dei documenti contabili societari 12 12
Gli attori della control governance e i livelli di presidio AUTHORITY (CONSOB, AGCM, AGCOM, GARANTE PRIVACY) BORSA ITALIANA Comitato controllo e rischi (ex CCICG) Responsabile Funzione Internal Audit Dirigente Preposto alla redazione dei documenti contabili societari Consiglio di Ammnistrazione Controlli di secondo livello (Chief risk officer,Compliance, Risk committe) Collegio Sindacale Collegio Sindacale/OdV Management Altri soggetti (Università, Associazione Consumatori, ecc.) Società di revisione
Il D. Lgs. 231/2001 e gli indirizzi istituzionali per la costituzione del M.O. 231 14 14
La matrice internazionale della norma Il D. Lgs. 231/2001 ha dato attuazione all’art.11 della legge 300/2000 in osservanza di obblighi previsti da Convenzioni internazionali alle quali l’Italia aveva da tempo aderito a: la Convenzione del 26 luglio 1995 sulla tutela degli interessi finanziari delle Comunità europee e dei relativi protocolli la Convenzione del 26 maggio 1997 sulla lotta contro la corruzione nella quale sono coinvolti funzionari delle Comunità europee o degli Stati membri la Convenzione dell’OCSE (Organizzazione per la Cooperazione e lo Sviluppo Economico) del 17 dicembre 1997 sulla lotta alla corruzione di pubblici ufficiali stranieri nelle operazioni economiche ed internazionali 15 15
Il Decreto Legislativo 8 giugno 2001, n. 231 16 16
Sanzioni Pecuniarie Pubblicazione della sentenza Confisca Interdittive: interdizione (definitiva o temporanea) dall’esercizio dell’attività sospensione o revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito divieto di contrattare con la P.A. (salvo pubblici servizi) esclusione da agevolazioni, finanziamenti, contributi o sussidi e eventuale revoca di quelli già concessi divieto di pubblicizzare beni o servizi 17 17
L’esimente: per attività di soggetti apicali La Società non risponde dei reati previsti dal D.Lgs. N. 231/2001, commessi nel suo interesse o vantaggio da soggetti in posizione apicale, se prova che: l’organo dirigente ha adottato ed efficacemente attuato -prima della commissione del fatto costituente uno dei reati previsti dal D. Lgs. n. 231/2001- modelli di organizzazione e gestione (“modelli organizzativi”) idonei a prevenire i reati della specie di quello verificatosi il compito di vigilare sul funzionamento e l’osservanza di tali modelli organizzativi, di curare il loro aggiornamento è stato affidato ad un “Organismo” dotato di autonomi poteri di iniziativa e controllo il reato è stato commesso senza che vi fosse omessa o insufficiente vigilanza da parte dell’Organismo tali soggetti hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione 18 18
L’esimente: per attività di collaboratori dei soggetti apicali La Società non risponde dei reati previsti dal D.Lgs. N. 231/2001, commessi nel suo interesse o vantaggio da soggetti sottoposti all’altrui direzione o vigilanza, se prova l’adozione ed efficace attuazione di detti modelli di organizzazione, gestione e controllo prima della commissione del fatto costituente uno di detti reati, laddove tali modelli siano idonei a prevenire il reato della specie di quello verificatosi 19 19
I “reati presupposto” 231 I principali reati richiamati dal D. Lgs. n. 231/2001 o ai quali è estesa l’applicazione del D.Lgs. medesimo sulla base di puntuali normative sono: concussione (artt.317 e 322 bis c.p.), corruzione (artt.318, 319, 319 ter, 319 quater, 320, 322 e 322 bis c.p.) malversazione a danno dello Stato (art.316 bis c.p.), indebita percezione di erogazioni a danno dello Stato (art.316 ter c.p.), truffa a danno dello Stato o di un altro Ente Pubblico (art. 640, comma 2 c.p.), truffa aggravata per il conseguimento di erogazioni pubbliche (art. 640 bis c.p.) frode informatica (art. 640 ter c.p.) reati societari (art. 3 D.Lgs n. 61/2002) e corruzione tra privati 8art. 2635 c.c., comma 3) reati di terrorismo ed eversione (art.3 Legge n.7/2003) reati contro la personalità individuale (art. 5 Legge n. 228/2003) reati di “market abuse” (art. 9 Legge n. 62/2005) reati in tema di criminalità organizzata, compresi quelli transnazionali (art. 10 Legge n. 146/2006 ed art.2, comma 29, Legge n. 94/2009) omicidio colposo e lesioni colpose gravi o gravissime con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 9 Legge n.123/2007, artt.30 e 300 D. Lgs. n. 81/ 2008 e D. Lgs. n. 106/2009) riciclaggio, ricettazione, impiego di danaro, beni o utilità di provenienza illecita (art.63 D. Lgs. n. 231/2007) reati di criminalità informatica (art. 7 della Legge n. 48/2008) reati contro l’industria ed il commercio (art. 15 Legge n.99/2009) reati in materia di violazione dei diritti di proprietà industriale ed intellettuale (art.15 Legge n.99/2009) reato di induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all'autorità giudiziaria (art. 4 Legge n.116/2009) reati ambientali (D.lgs. n. 121 del 7 luglio 2011) 20 20
Il M.O. 231 in TI 21 21
Modello Organizzativo 231: componente del Sistema di Controllo Interno 22 22
M.O. 231: Elementi fondamentali Codice Etico e di Condotta Principi Generali del Controllo Interno: validi per ogni processo aziendale Principi di Comportamento, articolati in: Principi di comportamento con la P.A.: condotte da osservare nel contesto dei rapporti con la P.A. Principi di comportamento in materia societaria: principi di condotta coerenti il nostro Ordinamento (Codice Civile, Testo Unico Finanza e Codice di Autodisciplina di Borsa Italiana) 23 23
M.O. 231: Elementi fondamentali (continua) Schema di Controllo Interno per i processi “strumentali” : processi, nel cui ambito, in linea di principio, possono emergere le condizioni per agevolare la commissione di reati (ad es., consulenze per favorire azioni di corruzione al fine di vincere una gara o ottenere permessi/licenze) Schema di Controllo Interno per i processi “operativi”: processi direttamente esposti al “rischio-reato” (ad es. Vendite di servizi a P.A.). Sistema disciplinare: idoneo a sanzionare l’omesso rispetto delle misure previste dal M.O. 24 24
M.O. 231: RISK ASSESSMENT Nel Gruppo Telecom Italia il Risk Assessment 231 si compone di due distinti momenti: individuazione e graduazione delle attività a rischio reato (mappatura attività a rischio - MAP) valutazione delle protezioni adottate (gap analysis - GAP) 25 25