Il coordinamento tra i sistemi di gestione e il Modello 231

I sistemi di gestione certificati mirano a migliorare l’immagine e la visibilità delle imprese che li adottano, consolidando il consenso che esse riscuotono sul mercato presso i vari stakeholder.

La loro funzione è, dunque, diversa da quella dei modelli di organizzazione e gestione previsti dal decreto 231, che hanno per scopo la prevenzione dei reati nell’ambito dell’attività dell’ente o comunque si metterlo al riparo da responsabilità per i casi in cui, nonostante l’adozione e l’efficace attuazione dei modelli, tali reati si siano compiuti.46

Coerentemente, i requisiti di idoneità dei modelli ai fini dell’esclusione della responsabilità da reato dell’ente non sono del tutto corrispondenti a quelli richiesti per ottenere le certificazioni dei sistemi di gestione, ad esempio della qualità, dell’ambiente o della salute e sicurezza sul lavoro. Anche in questo caso, è necessario mettere in risalto le differenze, ciò al fine di progettare un sistema idoneo ad ottenere la clausola esimente stabilita dall’art. 6 del Decreto. 47

46 _{Confindustria, Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo.} 47

(Unione Giovani Dottori Commercialisti ed, La responsabilità amministrativa delle persone giuridiche: riflessioni teoriche e pratiche 2011)

47 Come in precedenza analizzato, la fase di check up aziendale consente di verificare quali siano i sistemi aziendali di gestione e controllo, le certificazioni già esistenti e di valutarne l’effettivo funzionamento. 48

Per migliorare l’efficienza dei modelli organizzativi richiesti dal decreto 231, il team di lavoro dovrà valorizzare la sinergia con la documentazione (articolata di solito in manuali interni, procedure, istruzioni operative e registrazioni) dei sistemi aziendali in materia di antinfortunistica (UNI-INAIL o OHSAS 18001), ambientale (EMAS o ISO14001), di qualità (ad esempio ISO 9001, nonché le altre norme volontarie distinte per tipologia di prodotti e/o servizi offerti) e gli eventuali sistemi presenti in altri ambiti.49

L’integrazione con tali sistemi consente di calare il Modello 231 nel reale contesto aziendale e nella sua operatività quotidiana, creare un modello personalizzato che risulti concretamente attuabile ed efficace.

Un’azienda che abbia implementato uno o più sistemi certificati di misure organizzative e preventive dimostra sensibilità dell’Ente alla cultura del rispetto delle regole, che sicuramente può rappresentare un importante fattore per la costruzione di modelli tesi alla prevenzione di reati-presupposto.

Tali sistemi di gestione e controllo, però, anche se certificati, non possono configurarsi in alcun modo come strumenti sostitutivi tout court del Modello 231 ai fini dell’esonero dalla responsabilità ivi prevista.

Quando si parla di Sistema di Gestione Integrato, si intende l'adozione da parte di un'impresa di almeno due sistemi gestionali fra i quattro Standard internazionali più conosciuti: ISO 9001 sulla Qualità, ISO 14001 sull'Ambiente, OHSAS 18001 sulla Sicurezza ed SA 8000 riguardante la Responsabilità sociale in azienda.

L'integrazione tra i sistemi di gestione è un fenomeno riscontrabile in tutti i comparti produttivi che si è manifestato tanto nelle piccole quanto nelle medie e grandi imprese. Le piccole imprese sono quelle che in genere incontrano i problemi maggiori a causa delle limitate risorse, umane ed economiche, di cui dispongono: l'integrazione consente loro di ottenere più riconoscimenti con un solo sistema e, conseguentemente, senza duplicare la documentazione e gli sforzi (anche se chiaramente ciò comporterà un impegno maggiore rispetto all'adozione di un solo sistema gestionale).

48 _{(CNDCEC, Principi di redazione del Modello di Gestione, organizzazione e Controllo ex D.Lgs.}

231/012016)

48 L’importanza di questo fattore è riscontrabile anche osservando il percorso intrapreso da ISO in occasione della revisione delle norme nel 2015: la norma ISO 9001 e la norma ISO 14001, sono evolute al fine di permettere una miglior integrabilità dei sistemi e dei concetti ivi contenuti pur mantenendo le specificità per le quali sono stati creati.

Si riporta la tabella di confronto dei tre sistemi dalla quale si evince il sostanziale allineamento.

49 I sistemi di gestione aziendali sono agevolmente integrabili in quanto si fondano sulla medesima logica del Plan Do Check Act (PCDA) o ciclo di miglioramento continuo di Deming.

Tale metodologia risulta di particolare interesse per le organizzazioni che agiscono in contesti caratterizzati da elevato dinamismo e da rapidi cambiamenti, siano essi relativi al mercato di riferimento, alle normative di settore e così via. Il PCDA è un modello per la gestione dei processi, il miglioramento continuo e la riduzione dei rischi e propone in generale un modello che si estrinseca in un’azione ciclica basata sulla ripetizione sequenziale di quattro fasi:

 PLAN la pianificazione (serve per individuare il problema o gli obiettivi e proporre strategie e fini);

 DO l'implementazione (attuazione delle azioni pianificate);

 CHECK la verifica (si effettua tramite la misurazione e il monitoraggio delle azioni intraprese per valutare eventuali scarti rispetto agli obiettivi ipotizzati);

 ACT, il consolidamento dei risultati raggiunti (si adottano azioni per migliorare ulteriormente i risultati raggiunti).50

Applicata al Modello 231, tale metodologia risulta un prezioso strumento per consentirne l’efficace attuazione in quanto il Decreto stabilisce il requisito della verifica periodica e l’eventuale modifica dello stesso quando sono scoperte significative

violazioni delle prescrizioni ovvero quando intervengono mutamenti

dell’organizzazione o nell’attività.

L’azione ciclica sequenziale prevista dal PCDA permette di soddisfare tale requisito.

50

Il PDCA nelle versioni 2015 delle norme ISO 9001 e 14001

Nella tabella che segue sono rappresentate le attività comprese in ogni fase del ciclo PCDA per i diversi sistemi di gestione e relativamente al Modello 231.

Il raffronto consente di coordinare i sistemi di gestione per ottenerne l’integrazione tra di essi.

ISO 9001 ISO 14001 OHSAS 18001 Modello 231

Plan redazione iniziale del Manuale

della Qualità- procedure del SGQ - documentazione di tenuta sotto controllo documenti e registrazioni dell’SGQ- focalizzazione sul cliente e comprensione de suoi requisiti- sviluppo della Politica e degli Obiettivi della Qualità -pianificazione per raggiungerli -pianificazione su come realizzare il prodotto o il servizio compresa

identificazione risorse

La versione 2015 introduce l’analisi del contesto e la valutazione del rischio

stabilire gli obiettivi e i processi necessari per fornire risultati conformi alla politica ambientale dell´organizzazi one. La versione 2015 introduce l’analisi del contesto e la valutazione del rischio Partendo dall’analisi e dalla valutazione dei rischi e delle attività svolte, l’organizzazione definisce le politiche per la sicurezza, pianifica strategie, azioni e strumenti per raggiungere gli obiettivi Individuazione aree/processi a rischio reato ai fini D.Lgs. 231/01 Definizione della matrice responsabilità/del eghe Creazione di Codice Etico e sistema sanzionatorio Istituzione Organismo di Vigilanza

51

Do Identificazione requisiti del prodotto o del servizio- sviluppo dei progetti- verifica rispetti ai requisiti degli acquisti effettuati e del prodotto ricevuto dai fornitori. Realizzazione del processo di produzione del prodotto o servizio-gestione delle non conformità e controllo dei dispositivi di monitoraggio e misurazione del prodotto, dei servizi e dei processi

Attuare le azioni pianificate Attuare le azioni pianificate Definizione nuovi protocolli e procedure per la mitigazione del rischio reato Formazione e coinvolgimento del personale Creazione dei documenti di registrazione delle attività svolte

Check verifica che il prodotto o il

servizio soddisfino i requisiti e che i processi usati per assicurare che siano adeguati ed efficaci. L’analisi dei dati e la verifica interna dei processi per la valutazione di efficacia del sistema. riesame della direzione (5.6) sorvegliare e misurare i processi rispetto alla politica ambientale, agli obiettivi e traguardi, alle prescrizioni legali e alle altre prescrizioni e riportarne i risultati; Verifica il raggiungimento degli obiettivi e mette in atto azioni correttive nel caso in cui essi non siano raggiunti o vi siano difformità rispetto a quanto pianificato Verifiche periodiche da parte dell’ODV di aderenza operativa al sistema di gestione dei rischi realizzato

Act Le azioni correttive e le azioni preventive per eliminare le cause delle non conformità effettive o potenziali sono la prima fase dell’azione per il miglioramento del sistema. Aggiornamento della pianificazione del ciclo in base ai risultati del riesame

intraprendere azioni per migliorare in continuo la prestazione del Sistema di Gestione Ambientale Fase di riesame da parte della direzione del sistema, si definisce la nuova politica e i nuovi obiettivi e si analizzano le criticità sopraggiunte del sistema nell’ottica del miglioramento Report dell’ODV all’organo amministrativo di eventuali non conformità al D.Lgs. 231/01 Eventuale adozione di azioni correttive in seguito all’identificazione di difformità rispetto ai protocolli stabiliti Eventuali modifiche al modello

Tabella elaborata con spunti dal sito Qualitiamo e 9001 Academy. Per la colonna Mod. 231 rif. Tavola 2.38 “Il professionista e il d.Lgs. 231/01”, IPSOA

Come già accennato, la ISO (International Organization for Standardization) ha ormai da anni avviato un processo di allineamento della struttura di tutte le principali norme di riferimento per i sistemi di gestione alla cosiddetta High Level Structure (HLS), che prevede una identica sequenza e denominazione dei punti norma/paragrafi e l’utilizzo

52 della medesima terminologia affinché i diversi sistemi possano essere agevolmente integrati tra loro.

Lo stato di allineamento alla HLS delle Norme di più diffuso utilizzo è il seguente:

Norma Titolo Allineamento

UNI EN ISO 14001:2015

Sistemi di gestione ambientale - Requisiti e guida

per l'uso

16 settembre 2015

UNI EN ISO 9001:2015

Sistemi di gestione per la qualità - Requisiti 23 settembre

2015

ISO 45001 Sistemi di gestione della salute e della sicurezza

sul lavoro

Previsto inizio 2017

Per gli standard ISO9001 (Qualità) e ISO14001 (Ambiente) è in corso il triennio di transizione alla nuova versione della Norma. Le organizzazioni avranno tempo fino al 15 settembre 2018 per effettuare il passaggio alla nuova versione.

L’ ISO/DIS 45001 è la prima proposta di standard internazionale ISO 45001, la nuova norma sulla Salute e Sicurezza sul lavoro, in attesa di definitiva approvazione che avverrà presumibilmente nei primi mesi del 2017.

La ISO 45001 è stata implementata per tener conto di altri standard riconosciuti a livello internazionale come la OHSAS 18001, le Linee Guida adottate dall’Organizzazione internazionale del lavoro (ILO-OSH), diversi standard nazionali e le norme e convenzioni internazionali dell’OIL sul lavoro.

Agli enti già in possesso di certificazione OHSAS 18001 sarà consentita la migrazione al nuovo standard senza soluzione di continuità.

La nuova ISO 45001, come già la OHSAS 18001:2007, si basa sul modello PDCA (Plan-Do-Check-Act). A differenza dell’ OHSAS 18001, la ISO 45001 adotterà comunque la stessa struttura comune sia nella ISO 9001:2015 che nella ISO 14001:2015, e ciò semplificherà l’integrazione dei Sistemi di gestione Salute e Sicurezza sul lavoro nel sistema complessivo di gestione ISO.

53 Come negli standard di recente pubblicazione, la ISO 45001 farà riferimento agli stessi testi principali e alle stesse condizioni che permetteranno una più efficiente implementazione dei sistemi di gestione integrati. 51

La ISO 45001quando verrà pubblicata dovrebbe essere destinata a sostituire la OHSAS 18001 che sarà ritirata al termine del “periodo di migrazione” triennale stabilito.

Quindi si prevede che a quel momento, il D.Lgs. 81/08 dovrebbe essere aggiornato all’art. 30 in merito agli standard in esso citati.

L’integrazione tra i vari Sistemi di Gestione dell’azienda e ancor più l’allineamento degli stessi all’ultima versione degli standard in corso o da realizzare in un futuro comunque prossimo, può portare vantaggi sia in termini organizzativi sia in termini economico-finanziari, in particolare:

 Ottimizzazione: si evita la duplicazione di tutte le attività comuni ai vari sistemi, con conseguente riduzione del tempo e delle risorse da destinare a questi aspetti;

Per gli operatori è più semplice affrontare gli adempimenti in merito alla compilazione dei vari registri e schede se ogni aspetto è raccolto in un unico documento;

 Integrazione nei processi aziendali: realizzazione di un passaggio da una visione settoriale ad una visione globale dell’azienda. I processi gestiti in tale ambito sono presidiati sotto ogni profilo gestionale e si pongono in evidenza le interazioni tra i vari aspetti della gestione;

 Gestione del rischio: i sistemi vengono rivisti a partire dall’individuazione e valutazione dei rischi per l’azienda e sono concepiti per la loro prevenzione/gestione. In virtù di questa impostazione migliora pertanto l’integrazione con il Modello Organizzativo (D.Lgs 231/01) in quanto diviene di maggiore ausilio all’attività di mappatura e valutazione del rischio. Le valutazioni possono risultare più consapevoli e approfondite con miglioramenti anche sotto il profilo strategico.

Tutto ciò al fine di evitare:

- la moltiplicazione delle strutture di controllo, con conseguente moltiplicazione degli audit sulle strutture operative;

- la proliferazione delle procedure e disposizioni di controllo;

54 - la dispersione sia delle conoscenze professionali, sia dell’ambiente in cui si è

chiamati ad operare;

- il rischio, in assenza di un coordinamento delle attività, di duplicare i controlli su alcune aree trascurandone altre.52

Per realizzare una efficace integrazione, la struttura generale del Modello e quella della norma ISO 9001 potrebbero fare da architettura mentre le parti speciali o operative potrebbero invece essere sviluppate all’interno di questo contenitore tenendo conto dei requisiti specifici derivanti dalla legge e dalle norme pertinenti (BS OHSAS 18001 e SGA certificato).

L’integrazione non deve essere intesa come una somma di più parti, ma deve essere considerata come la possibilità per l’azienda di dotarsi di un’organizzazione che copra tutti gli aspetti rilevanti per il business. La prevenzione delle frodi interne, la sicurezza di prodotto, la tutela del patrimonio aziendale, la continuità di produzione ecc., sono tutti elementi fondamentali, ma che non rientrano di per sé nel campo di applicazione del Modello 231. Per ottenere una vera integrazione, si dovrebbe quindi definire il modo di funzionare della azienda tenendo conto del modello esimente e delle norme sui sistemi di gestione.

Il risultato atteso dovrebbe portare ad un minimo impatto dei modelli e dei sistemi sul funzionamento aziendale, all’ottimizzazione dei processi chiave, alla protezione della azienda e del capitale da tutti i rischi rilevanti, creando un contesto favorevole per lo sviluppo dell’attività.53

Per quanto riguarda più specificatamente l’attività di vigilanza e di gestione dei rischi aziendali, la funzione di risk management, ove prevista, o in alternativa la funzione di internal audit dovrebbe predisporre e mantenere aggiornata la mappatura e valutazione di tutti i rischi aziendali, inclusi quelli che hanno la loro fonte nella normativa o nei regolamenti e svolgere le proprie verifiche su un piano integrato di audit: in questo modo si eviterebbe di sottoporre più volte ad audit la stessa unità.54

Il processo di integrazione potrebbe, quindi, essere realizzato incorporando i documenti propri del Modello 231 all’interno delle procedure gestionali e del sistema di

52 _{Montemarano, Sistemi di gestione e Modelli organizzativi Convegno AICQ 22.11.2010} 53

(A. Mazzeranghi, F. Coucorde, M. Valerio L’opportunità del sistema integrato di gestione2012)

54

55 classificazione della documentazione aziendale al fine di ottenere un unico sistema di controllo.

Tale sistema di controllo si baserebbe sul Manuale integrato e correlate procedure gestionali unificate il quale dovrebbe essere completato con:

- le regole comportamentali (codice Etico) ed il sistema disciplinare necessari al fine della prevenzione dei rischi;

- l’inserimento di una procedura di valutazione dei rischi in cui individuare i criteri, la metodologie e le evidenze informative necessarie per la rilevazione dei comportamenti;

- l’inserimento di una procedura di controllo di gestione concernente la definizione dei budget di spesa, i criteri del monitoraggio dei risultati economici e della contabilità di impresa, la gestione della tesoreria;

- la progettazione dei flussi informativi verso l’OdV da inserire all’interno delle procedure e delle istruzioni operative.

Nei documenti che costituiscono il Modello, le job description già presenti nei sistemi di gestione dovrebbero essere integrate con i poteri di firma e le responsabilità aziendali, a livello di procedure dovranno essere presenti la separazione dei compiti con distinzione tra chi decide, chi esegue e chi controlla, la correlazione con le tipologie di reato alle quali l’attività è esposta, le attività di controllo previste, l’indicazione dell’unità operativa e dei responsabili coinvolti, la registrazione delle operazioni. Quanto sopra detto concerne l’integrazione metodologica, che deve essere necessariamente affiancata dall’integrazione organizzativa per quanto concerne la distribuzione delle responsabilità di gestione e delle relative competenze tecniche specifiche e dall’integrazione operativa intesa quale capacità di considerare tutti gli aspetti coinvolti in fase di pianificazione, attuazione e controllo di una attività.

Nel nuovo quadro del sistema di organizzazione, gestione e controllo, i risultati delle attività di controllo interno costituiscono attività di controllo di primo livello, e sono alla base del riesame direzionale e generano flussi informativi (reporting) per l’organismo di Vigilanza il quale si trova a svolgere un controllo di secondo livello sull’operato.

Da quanto fin qui analizzato, emerge la presenza di tutti gli elementi per realizzare un sistema di controllo interno integrato, che può essere considerato quale strumento di

56 governance il quale, nell’ambito della strategia e degli obiettivi aziendali, fornisce un unico sistema di valutazione dei rischi, unico sistema informativo e un unico sistema di relazioni esterne.55

In ogni caso, la decisione di dotarsi o meno di un Modello organizzativo è una scelta strategica che l’azienda è chiamata a compiere e che imprenditori e manager devono valutare in considerazione dell’organizzazione concreta dell’azienda, delle risorse disponibili, nonché di un ordine di priorità tra le minacce alle quali l’azienda può essere esposta, in modo consapevole.56

Si passa adesso a considerare le necessità di integrazione e coordinamento peculiari di ogni singolo sistema di gestione.