Ipotesi di sviluppo del processo di risk management per la costruzione del

Gestione Integrato in Ecomar Italia SpA

Il punto di partenza del processo di adozione del Modello 231 è l’analisi dei processi aziendali che viene svolta al fine di individuare quelli sensibili ai reati 231.

Solitamente, molte PMI sono organizzate per funzioni e non dispongono di una mappatura dei processi presenti in azienda.

124 Ecomar, ormai da qualche anno, si è dotata di un Sistema di Gestione Integrata (di seguito SGI) all’interno del quale i processi ritenuti rilevanti ai fini degli aspetti della gestione presidiati (qualità, ambiente, sicurezza), sono già stati individuati e tenuti sotto controllo per mezzo di procedure, istruzioni, attività di verifica.

L’analisi delle aree a rischio prenderà inizio a partire da questi processi per massimizzare lo sfruttamento di possibili sinergie e si metteranno in evidenza anche processi e attività esclusi al fine di porre in essere una mappatura completa delle attività sensibili.

Vale la pena sottolineare che, trattandosi di una PMI, non sono richiesti strumenti eccessivamente sofisticati che renderebbero irrealizzabile l’adozione del modello in quanto risulterebbe eccessivamente onerosa sia in termini di risorse finanziarie che in termini di risorse umane.

Tuttavia, le dimensioni dell’impresa non la esonerano dal porre in essere efficaci misure per garantire che il sistema di prevenzione debba risultare non aggirabile se non fraudolentemente.

Seguendo l’impostazione della catena del valore di Porter, l’Azienda ha individuato i macroprocessi primari ed i processi di supporto.

125 Si riporta di seguito l’elenco dei processi primari inseriti nel Manuale del SGI:

- Processo commerciale - Pianificazione dei servizi

- Ufficio tecnico: caratterizzazione rifiuti - Laboratorio

- Approvvigionamento - Logistica

- Raccolta e trasporto rifiuti - Gestione impianti

- Smaltimento rifiuti - Attività di Cantiere

questi processi sono scomposti in sottoprocessi e rappresentati in diagrammi di flusso e ciascuno è oggetto di apposita procedura. Le procedure (PG), ove necessario, sono scomposte in ulteriori livelli di dettaglio che sono rappresentati dalle istruzioni operative (IOP).

I “processi di supporto” si distinguono in processi di Direzione, di cui fanno parte la definizione delle Politiche Aziendali, la definizione e gestione degli obiettivi aziendali, la pianificazione, la definizione delle Responsabilità ed il riesame della Direzione ed in processi di supporto ai processi realizzativi dei quali fanno parte l’Amministrazione, la Gestione dei dispositivi di monitoraggio e misurazione, la Verifica di conformità legislativa, la Manutenzione, la Formazione.

L’analisi delle interazioni tra processi aziendali (v. schema riportato in precedenza) può risultare utile per rilevare eventuali interdipendenze tra i vari eventi rischiosi.

L’adozione di sistemi di gestione aziendali ha introdotto nell’azienda la logica di gestione per processi che è l’approccio migliore per riuscire a sondare in maniera efficace le relazioni e i collegamenti tra le varie funzioni e i comportamenti a rischio che si possono concretizzare nello svolgimento delle attività aziendali.

Come previsto dagli standard ISO e OHSAS in base ai quali il SGI è certificato, Ecomar stabilisce attraverso la documentazione attuativa del SGI i criteri ed i metodi necessari per garantire l’efficace funzionamento e controllo dei processi individuati; assicura le risorse e le informazioni necessarie per supportare il corretto funzionamento e

126 monitoraggio dei processi, attraverso i processi descritti nel proprio Manuale Integrato; assicura il monitoraggio e l’analisi dei processi e l’attuazione delle azioni necessarie a conseguire i risultati pianificati e al miglioramento continuo del sistema, attraverso i processi descritti nel Manuale Integrato.83

Tutti questi elementi richiesti anche dal modello 231 e poiché sono già gestiti in azienda, ai fini 231 necessitano soltanto di essere integrati.

Per quanto riguarda taluni processi che non sono gestiti all’interno del SGI, come in particolare la gestione della Tesoreria, processo di primaria importanza ai fini del D.Lgs. 231/01, tanto che all’art. 6 comma 2 lettera c) è chiaramente elencato tra le esigenze alle quali deve rispondere il modello: “individuare modalità di gestione delle risorse finanziarie idonee a impedire la commissione dei reati”, il processo di formazione del bilancio e, più in generale, i processi relativi ai controlli contabili (ciclo attivo e passivo, riconciliazioni….), le attività di controllo dovranno essere del tutto formalizzate ed implementate degli aspetti relativi al D.Lgs. 231/01.

I processi gestiti costituiscono, quindi, una valida base per procedere alla mappatura dei processi a rischio e le attività di controllo implementate e serviranno per la valutazione della situazione as-is, per l’effettuazione della gap analysis e conseguentemente per individuare la necessità di adeguamento. Gli indicatori e le informazioni raccolte in fase di verifica interna e le valutazioni svolte in sede di riesame potranno essere utilizzate come elementi di supporto per la valutazione del rischio.

Infine, l’Azienda potrà decidere se implementare il Modello 231 all’interno del SGI dando apposita evidenza di ogni aspetto che concerne gli adempimenti 231 all’interno dello stesso o adottare un Modello 231 che richiami al suo interno le procedure e i documenti del SGI.

Nello svolgimento di questo lavoro sono state prese a riferimento le Linee Guida di Confindustria approvate dal Ministero di giustizia aggiornate al 2014 e le più recenti linee Guida FISE ASSOAMBIENTE “Guida per l’applicazione nel settore gestione dei rifiuti”, approvate dallo stesso Ministero nel febbraio 2016, che le integrano per gli aspetti più peculiari del settore economico di cui trattasi.

127 Per quanto concerne la valutazione del rischio, si è già detto in precedenza che la modalità più idonea da osservare, considerata la tipologia di rischio in esame, è quella qualitativa.

La valutazione sarà effettuata prendendo in considerazione due elementi:

- la probabilità che indica la misura della possibilità che il reato venga commesso e dovrà tenere conto in questo caso di fattori che possono indurre apicali e dipendenti a compiere un reato, quali, ad esempio i ritardi della Pubblica Amministrazione, l’ammontare della commessa da ottenere, l’importanza di ottenere una certa modifica all’autorizzazione o di evitare una pesante sanzione ecc…;

- l’impatto che dovrà tenere conto in primo luogo della sanzione ad esso associabile valutata sia in base alla tipologia sia in base all’ammontare, ma anche di altri fattori quali l’influenza sugli stakeholder rilevanti, sull’opinione pubblica e la rilevanza dell’area a rischio.

La graduazione da applicare è compresa in una scala da 1 a 5:

Adattato da A. Pesenato, Il risk assessment secondo il Modello ex D.Lgs. 231/01, Amministrazione & Finanza

Dal punto di incontro tra le due dimensioni si otterrà la quantificazione del rischio. La valutazione del rischio sarà eseguita secondo la seguente articolazione:

Probabilità 5= molto elevata impatto: 5= molto elevata

4= elevata 4= elevata

3=media 3=media

2= bassa 2= bassa

1=molto bassa 1=molto bassa

n.g.: non gestito n.g.: non gestito

Matrice per la classificazione del rischio:

Probabilità Impatto 1 2 3 4 5 1 1 2 3 4 5 2 2 4 6 8 10 3 3 6 9 12 15 4 4 8 12 16 20 5 5 10 15 20 25 rischio trascurabile rischio basso rischio medio rischio alto rischio altissimo

128 - dapprima si procederà alla valutazione del rischio lordo di commissione del reato che

corrisponde all’esposizione ai reati presupposto in totale assenza di controlli;

- subito dopo saranno analizzate le attività di controllo già esistenti e verrà definito il rischio netto di commissione del reato.

Questo al fine di non sottovalutare la reale rischiosità del processo e l’importanza del corretto funzionamento del sistema di controllo nelle aree in esame.

Tale operazione potrà agevolare l’OdV quando, dopo aver coperto le carenze del sistema di controllo emerse dalla as-is analysis e gap analysis potrà focalizzarsi a parità di rischio netto sui processi con il più elevato rischio lordo.84

Poiché la soglia di rischio “accettabile” è stabilita nel raggiungimento di un sistema di controllo preventivo tale da non poter essere aggirato se non fraudolentemente, saranno gestiti anche i rischi con livello basso.

Si riporta, inoltre, la risposta ad un quesito posto dal Ministero delle Attività Produttive al Consiglio di Stato85 che risulta di particolare interesse per Ecomar quale criterio su cui basare la valutazione dell’impatto della sanzione interdittiva relativa al divieto di contrattare con la P.A..

Il Ministero ha chiesto di chiarire la nozione di “pubblica amministrazione”: ossia se per pubblica amministrazione debbano intendersi anche le società a partecipazione pubblica, gli organismi di diritto pubblico secondo la terminologia comunitaria, le società private concessionarie di pubblici servizi e i soggetti aggiudicatari di appalti pubblici. Il Consiglio di Stato sez. III con parere datato 11 gennaio 2005 si è così pronunciato “La nozione di “pubblica amministrazione” rilevante ai fini dell’applicazione della sanzione interdittiva in parola sembra, quindi, debba intendersi in senso ampio e tale da ricomprendere l’insieme di tutti i soggetti, ivi inclusi i privati concessionari di servizi pubblici, le imprese pubbliche e gli organismi di diritto pubblico secondo la terminologia comunitaria, che sono chiamati ad operare, in relazione all’ambito di attività considerato, nell’esercizio di una pubblica funzione”.

Pertanto, in Ecomar una tale sanzione può causare impatti veramente elevati.

L’adozione del Modello 231 può essere vista come un’opportunità per l’introduzione del risk management e un potenziamento del sistema di controllo interno anche in aziende di piccole e medie dimensioni, almeno per ciò che concerne tutti i rischi operativi, in quanto la prevenzione dei reati opera in modo trasversale all’azienda poiché comprende

84

Risk assessment in ottica 231, C.e RR. De Luca, Il Professionista e il D.Lgs 231/01, Ipsoa

129 tutti i processi che in essa si realizzano. Inoltre, l’istituzione dell’Organismo di Valutazione realizza la presenza di un organo di controllo di secondo livello che opera con una visione globale dell’azienda.

Inoltre, giacché il Modello deve essere costruito “su misura” per ogni azienda, il suo studio e la sua realizzazione possono rappresentare un’occasione per rivedere, confermandole o aggiornandole, la governance e la strategia aziendali e generare un atteggiamento proattivo che spesso può mancare nelle piccole e medie imprese in cui anche i vertici si trovano ad occuparsi di una moltitudine di attività che possono sconfinare fino alla operatività penalizzando il tempo da dedicare alla pianificazione strategica e rimanendo relegati nell’ambito della stretta programmazione.

3.2 Art. 25 D.Lgs. 231/01: i reati contro la P.A.. Analisi delle procedure