VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231" Metodologie ed ambiti di aggiornamento del modello alla Legge n. 190/2012: la gestione del rischio corruzione Gian Luca Trinei Pfizer Italia 1

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 2 Svolgimento di un Training circa le novità legislative introdotte; Assunzione del personale: richiesta formale al candidato dell’assenza dei presupposti indicati dall’Art. 53 comma 16 ter; Incarichi di Consulenza: introduzione di una clausola contrattuale per certificare l’assenza dei presupposti indicati dall’Art. 53 comma 16 ter; Contratti con terze parti:  introduzione di una clausola contrattuale con la quale la società terza attesta che i suoi consiglieri di amministrazione/soci si trovano in una situazione di assenza dei presupposti indicati dall’Art. 53 comma 16 ter;  redazione di questionari per la Due Diligence dei fornitori con la presenza dell’indicazione che i consiglieri di amministrazione/soci si trovano in una situazione di assenza dei presupposti indicati dall’Art. 53 comma 16 ter. Incarichi vietati (art.1, comma 42 Legge 190/2012, che inserisce il comma 16 ter nell’art. 53 del D.Lgs. 165/2001): Divieto di svolgimento di attività lavorativa o professionale per un triennio dalla cessazione del rapporto di pubblico impiego per i dipendenti pubblici che, negli ultimi tre anni di servizio, abbiano esercitato poteri autoritativi o negoziali a favore di soggetti privati; La violazione del divieto implica la nullità dei contratti in essere, il divieto di contrattare con la PA per un triennio. Considerazioni aziendali La Legge Anticorruzione (L. 190/2012) Cambiamenti/novità introdotte dalla L. 190/12 Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 3 Rafforzamento della procedura (con l’evidenza dei controlli posti in essere) per la gestione di eventuali regali/omaggi, anche se di modico valore, concessi ad esponenti della Pubblica Amministrazione. Codice di Comportamento dei dipendenti pubblici (art. 1, comma 44 della L. 190/12 che modifica l’art. 54 del D. Lgs. 165/2001): Il Governo definisce un Codice di Comportamento dei dipendenti delle pubbliche amministrazioni al fine di assicurare … la prevenzione dei fenomeni di corruzione …; Tra le disposizioni del codice desta particolare interesse il divieto per il dipendente di chiedere, per sé o per altri, regali, compensi o altre utilità, nonché il divieto di accettare regali, compensi o altre utilità, salvo quelli d’uso di modico valore (non superiore a 150 euro). Considerazioni aziendali La Legge Anticorruzione (L. 190/2012) Cambiamenti/novità introdotte dalla L. 190/12 Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 4 Raccolta diretta da parte dell’azienda delle autorizzazioni emanate da parte dell’ente per il quale il dipendente pubblico lavora, comprensive delle dichiarazioni di insussistenza di conflitto di interesse. In alternativa:  presenza di apposite clausole risolutive nel contratto;  raccolta dell’autocertificazione del dipendente pubblico di avvenuta autorizzazione da parte dell’ente di appartenenza. Inconferibilità ed incompatibilità degli incarichi dirigenziali (art.1, commi Legge 190/2012): Rilascio di un’autorizzazione da parte della P.A. per verificare l’insussistenza di situazioni di conflitto, anche potenziale, di interessi, che pregiudichino l'esercizio imparziale delle funzioni attribuite al proprio dipendente; La comunicazione all'amministrazione di appartenenza dei compensi erogati ai dipendenti pubblici deve essere effettuata entro quindici giorni dall'erogazione del compenso (e non più annualmente). Considerazioni aziendali La Legge Anticorruzione (L. 190/2012) Cambiamenti/novità introdotte dalla L. 190/12 Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 5 La Pubblica Amministrazione, a seguito delle novità introdotte, ha precise responsabilità nella prevenzione della corruzione, ciò aiuta le imprese che hanno già adottato dei modelli di controllo interno. A seguito dell’introduzione dei piani di prevenzione della corruzione da parte dei soggetti pubblici, potrebbero essere introdotti una serie di obblighi da rispettare da parte delle società private che rappresenteranno punti di controllo da inserire nelle procedure aziendali a regolamentazione dei processi coinvolti. Considerazioni aziendali La Legge Anticorruzione (L. 190/2012) Cambiamenti/novità introdotte dalla L. 190/12 Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia A livello “nazionale”: individuazione dell’Autorità Nazionale Anticorruzione incaricata anche di approvare il Piano Nazionale Anticorruzione (P.N.A.). A livello “decentrato”, ogni amministrazione pubblica:  definisce un Piano Triennale di Prevenzione della Corruzione che, sulla base delle indicazioni presenti nel P.N.A., prevede lo svolgimento di analisi e di valutazioni dei rischi specifici di corruzione;  nomina un Responsabile della prevenzione della Corruzione incaricato di verificare l’idoneità e l’efficace attuazione del suddetto Piano, che risponda anche sul piano disciplinare.

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 6 Le modifiche apportate all’art. 25 ter del D.Lgs. 231/01 rendono necessario un aggiornamento del Modello di Organizzazione, Gestione e Controllo che ha comportato l’introduzione di una nuova parte speciale dedicata alla corruzione tra privati. Modifiche all’art 25 ter del D. Lgs. 231/2001 La legge 190/2012 ha sostituto il reato previsto dall’art c.c. - Infedeltà a seguito di dazione o promessa di utilità - con il reato di Corruzione tra privati. Sanzioni pecuniarie (da 200 a 400 quote) Considerazioni aziendali La Legge Anticorruzione (L. 190/2012) Cambiamenti/novità introdotte dalla L. 190/12 Modifiche all’art. 25 del D.Lgs 231/2001 L’art. 25 diventa “Concussione, induzione indebita a dare o promettere utilità e corruzione”. È stato introdotto il nuovo reato di “induzione indebita a dare o promettere utilità” (art. 319 quater c.p.). Sanzioni pecuniarie (da 300 a 800 quote) e interdittive. Cambiamenti/novità introdotte dalla L. 190/12 Aggiornamento dei reati astrattamente ipotizzabili della Parte Speciale relativa ai reati contro la PA nella quale è stato introdotto il reato di induzione indebita a dare o promettere utilità (art. 319 quater c.p.). Il cambiamento normativo non ha, di norma, impatto sui controlli preesistenti. Considerazioni aziendali Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

Principali documenti da aggiornare Documento da predisporre ex novo VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 7 La Legge Anticorruzione (L. 190/2012) Parte Generale del Modello Codice Etico Parte Speciale relativa ai reati contro la PA Introduzione di una nuova Parte Speciale relativa ai reati di corruzione tra Privati Aggiornamento del Modello di Organizzazione, Gestione e Controllo ex D.Lgs. 231/01 derivante dalla Legge Anticorruzione (L. 190/12) Risk Assessment Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 8 Identificare le potenziali modalità di attuazione degli illeciti nelle aree individuate nella fase precedente Valutare il sistema di controllo interno RISK MAPPING RISK ASSESSMENT PRIORITIZZAZIONE AREE A RISCHIO Questionari preliminari compilati Universo di analisi Mappatura delle potenziali modalità attuative degli illeciti Checklist per l’identificazione dei controlli esistenti e degli interventi di adeguamento (gap analysis) Metodologia di valutazione del rischio (quantificazione dei rischi) Piano di monitoraggio delle aree a rischio OBIETTIVI OUTPUT DI FASE Identificare la priorità degli interventi di audit sulla base del livello di rischiosità attribuito a ciascuna area/processo Individuare/ aggiornare le aree/processi a rischio impattati dalle fattispecie di reato potenzialmente applicabili. Le fasi del Risk Assessment Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 9 Attività 1.Analisi sui Database aziendali (ad es. DB Fornitori, DB Clienti) volta all’individuazione dei rapporti con soggetti privati accorpandoli in categorie omogenee, così da individuare le specifiche aree a rischio. 2.Predisposizione di appositi questionari da inviare ai responsabili aziendali che detengono rapporti con i soggetti privati relativamente alle aree a rischio sopra evidenziate. Attraverso i questionari vengono raccolte le seguenti informazioni: Soggetti privati con i quali si intrattiene un rapporto; Responsabile aziendale che detiene il rapporto con il soggetto privato; Breve descrizione del rapporto intrattenuto con il privato; Numero di contatti annui; Valori economici coinvolti; Procedure e linee guida per la regolamentazione dell’attività. Obiettivo La fase di Risk Mapping ha l’obiettivo di individuare le aree a rischio potenzialmente impattate dalle modifiche introdotte dalla L. 190/2012 in tema di corruzione tra Privati. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 10 Output della fase di Risk Mapping Il riepilogo dei questionari compilati viene utilizzato al fine di predisporre l’Universo di Analisi contenente principalmente le seguenti informazioni: Le aree a rischio; Le funzioni/ruoli aziendali coinvolti in ciascuna area; La descrizione delle attività di contatto per le quali esiste il rischio potenziale di commissione dei reati; I soggetti (privati) interessati. Le informazioni contenute nei questionari compilati verranno utilizzate nella determinazione del RISCHIO INERENTE. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 11 Area a rischio Ruoli Aziendali Coinvolti Descrizione del contattoSoggetti interessati ACQUISTI DI BENI E SERVIZI - Head of Procurement - Procurement Manager a) Raccolta delle offerte e dei preventivi di eventuali futuri fornitori b) Selezione dei fornitori e negoziazione. c) Negoziazione per l'assegnazione di incarichi a consulenti / professionisti esterni Fornitori, consulenti, professionisti esterni RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Esempio di Universo di Analisi Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 12 Obiettivo La fase di Risk Assessment ha l’obiettivo di valutare il sistema di controllo interno finalizzato alla mitigazione del rischio ed alla conseguente prevenzione dei reati. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia Output della fase di Risk Assessment Mappatura documentata delle potenziali Modalità di attuazione dei reati per ognuna delle aree a rischio individuate nella fase di Risk Mapping. La mappatura è ottenuta aggiungendo le seguenti ulteriori informazioni rispetto a quanto già individuato nell’Universo di analisi: Le fattispecie di reato astrattamente ipotizzabili; Le modalità di attuazione dei reati potenzialmente realizzabili. 1 1

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 13 Area a rischio Ruoli Aziendali Coinvolti Descrizione del contatto Soggetti interessati Fattispecie di reato ipotizzabili Modalità di attuazione dei reati potenzialmente realizzabili ACQUISTI DI BENI E SERVIZI - Head of Procurement -Procurement Manager a) Raccolta delle offerte e dei preventivi di eventuali futuri fornitori b) Selezione dei fornitori e negoziazione. c) Negoziazione per l'assegnazione di incarichi a consulenti / professionisti esterni Fornitori Consulenti, professionisti esterni (es. Avvocati) Corruzione tra privati (art codice civile) Il dipendente/rappresentante della Società potrebbe erogare o promettere all'esponente di un'altra società una qualsiasi altra utilità o retribuzione, quali in via esemplificativa: - omaggi e, in genere, regalie; - dazione/conferimento di beni a condizioni più favorevoli rispetto a quelle di mercato; -raggiungimento di accordi/sottoscrizione di lettere di incarico in favore di persone segnalate dal rappresentante della Società a condizioni ingiustamente vantaggiose; Al fine di ottenere un vantaggio a danno della Società a cui appartiene il soggetto corrotto. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia Integrazione all’Universo di Analisi Esempio di Universo di Analisi

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 14 Output della fase di Risk Assessment Mappatura dei controlli esistenti a mitigazione dei rischi: effettuata per ciascuna area individuata e formalizzata in specifiche Check List condivise con i responsabili aziendali. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia 2 2

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 15 N°N° Domande per valutare l'adeguatezza del SCI Fattore di rischio Mitigazione del fattore di rischio Controlli Risk AssessmentArea di miglioramento SiParzNoN/A 1 E' stata definita, approvata ed aggiornata una procedura che disciplina la regolamentazione delle attività relative all'acquisto di beni e servizi? Non adeguata regolamentazion e del processo X La Società ha formalizzato la "Procedura Acquisti di beni e servizi indiretti da Terze Parti e Supplier Management“ che disciplina il processo degli acquisti. 2 Tali procedure identificano in maniera chiara i ruoli e le responsabilità delle funzioni coinvolte nel processo? Non adeguata regolamentazion e del processo X La procedura di cui sopra identifica i ruoli aziendali responsabili delle varie attività. 3 Esiste una chiara segregazione delle funzioni coinvolte nelle diverse fasi del processo di acquisto (rda, emissione oda, aprovazione oda, ricevimento beni/servizi, fattura, pagamento) Mancanza di Segregazione delle funzioni X In base alla procedura aziendale, le funzioni risultano essere così segregate: - Il Richiedente/ Initiator, completato l’eventuale flusso approvativo a sistema, compila la Purchase request a sistema relativa all’acquisto da effettuare; - l'inserimento a sistema genera un flusso approvativo secondo i poteri di firma [Omissis]; - completato il flusso approvativo della PR, il sistema genera l'ordine con una numerazione progressiva, l'OdA è inviato senza firma dei procuratori tramite il modulo ASN [Omissis] Esempio di Check List RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 16 Output della fase di Risk Assessment Rilevazione delle eventuali aree di miglioramento per l’adeguamento del sistema di controllo interno (Gap Analysis). RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia 3 3

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 17 N° Domande per valutare l'adeguatezza del SCI Fattore di rischio Mitigazione del fattore di rischio Controlli Risk AssessmentArea di miglioramento SiParzNoN/A 1 E' stata definita, approvata ed aggiornata una procedura che disciplina la regolamentazione delle attività relative all'acquisto di beni e servizi? Non adeguata regolamentazion e del processo X La Società non ha formalizzato una procedura che disciplini il processo degli acquisti. Si suggerisce di disciplinare una procedura ah hoc per la gestione del processo di acquisto di beni e servizi 2 Tali procedure identificano in maniera chiara i ruoli e le responsabilità delle funzioni coinvolte nel processo? Non adeguata regolamentazion e del processo X …. 3 Esiste una chiara segregazione delle funzioni coinvolte nelle diverse fasi del processo di acquisto (rda, emissione oda, aprovazione oda, ricevimento beni/servizi, fattura, pagamento) Mancanza di Segregazione delle funzioni X …. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia Esempio di Check List

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 18 Output della fase di Risk Assessment Redazione di una nuova parte speciale relativa ai reati di corruzione tra Privati RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia 4 4 New

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 19 Output della fase di Risk Assessment Le informazioni contenute nelle checklist compilate verranno utilizzate nella determinazione del RISCHIO RESIDUALE. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia 5 5

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 20 Tale fase ha l’obiettivo di identificare la priorità degli interventi di audit sulla base del livello di rischiosità attribuito a ciascuna area. RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT * La metodologia di seguito descritta rappresenta una semplificazione dei criteri e delle logiche applicati in azienda. Obiettivo Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia Metodologia di valutazione del rischio inerente (Driver principali) Il risultato della combinazione, anche ponderata, di impatto e probabilità rappresenta il valore del RISCHIO INERENTE. Tipologia di sanzioni: attribuzione di un valore (all’interno di range predefiniti) alle sanzioni pecuniarie e/o delle interdittive applicabili Numero di contatti annui: attribuzione di un valore all’interno di un range predefinito; Tipologia di contatto (Negoziazione, ecc.); Valori economici coinvolti; … Calcolo del Rischio InerenteImpattoProbabilità

VI Congresso Annuale in materia di responsabilità da reato degli enti 28 febbraio Centro Congressi Piazza di Spagna - Roma "LA GOVERNANCE E LA GESTIONE DEI RISCHI 231” 21 RISK MAPPING PRIORITIZZAZIO NE AREE A RISCHIO RISK ASSESSMENT Aree a rischioImpattoProbabilità Valore Rischio Inerente Controlli esistenti Valore Rischio Residuale Priorità di intervento Area a rischio XBassoAltoMedio 1 Area a rischio YBasso 5 Area a rischio ZBassoMedioMedio - basso Basso3 Acquisti di beni e serviziBassoAltoMedio Medio - basso2 Area a rischio WBassoMedioMedio - basso Basso4 Legenda Controlli presenti inferiori al 40% Controlli presenti dal 40% al 90% Controlli presenti oltre il 90% Semplificazione Le opinioni espresse in questa presentazione sono le opinioni del relatore e non riflettono, necessariamente, le opinioni o le Policy di Pfizer Italia