LE LINEE GUIDA DI CONFINDUSTRIA

In attuazione a quanto previsti all’art. 6, comma 3, del citato decreto, Confindustria, ha definito le proprie linee guida per la costruzione dei modelli di organizzazione, gestione e controllo nelle quali vengono fornite alle imprese associate indicazioni metodologiche su come individuare le aree di rischio e strutturare il Modello di organizzazione, gestione e controllo. Le linee guida suggeriscono alle Società di utilizzare i processi di Risk assessment e risk management e prevedono le seguenti fasi per la definizione del Modello:

L’identificazione dei rischi;

La predisposizione e/o implementazione di un sistema di controllo idoneo a prevenire il rischio di cui sopra attraverso l’adozione di specifici protocolli.

No

Si

Un concetto assolutamente nodale nella costruzione di un controllo preventivo è quello di rischio accettabile. Nella progettazione di sistemi di controllo a tutela dei rischi di business, definire il rischio accettabile è un’operazione relativamente semplice, almeno dal punto di vista concettuale. Il rischio è ritenuto accettabile quando i controlli aggiuntivi “costano” più della risorsa da proteggere.

Nel caso del D.lgs. n.231/2001 la logica economica dei costi non può essere un riferimento utilizzabile in via esclusiva. È pertanto importante che ai fini dell’applicazione delle norme del decreto sia definita una soglia effettiva che consenta di porre un limite alla qualità/quantità delle misure di prevenzione da introdurre per evitare la commissione di reati considerati. In assenza di una previa determinazione del rischio accettabile, la qualità/quantità di controlli preventivi istituibili è infatti virtualmente infinita, con le intuibili conseguenze in termini di operatività aziendale.

PROCESSO DI RISK MANAGEMENT

1. Mappatura processi “a rischio”

Rischio accettabile?

2. Elenco rischi potenziali (per processo)

3. Analisi del sistema di controllo preventivo esistente (“protocolli”)

4. Valutazione dei rischi residui

5. Adeguamento sistema di controllo preventivo (“Protocolli”)

RISULTATO SISTEMA di CONTROLLO in grado di PREVENIRE i RISCHI

Riguardo al sistema di controllo preventivo da costruire in relazione al rischio di commissione delle fattispecie di reato contemplate dal D.lgs. n. 231/2001, la soglia concettuale di accettabilità, nei casi di reati dolosi, è rappresentata da un:

sistema di prevenzione tale da non poter essere aggirato se non fraudolentamente. Premesso quindi che i modelli organizzativi devono essere idonei a prevenire i reati di origine sia dolosa che colposa previsti dal Decreto, primo obiettivo per la costruzione di un modello organizzativo è la procedimentalizzazione delle attività che comportano un rischio di reati al fine di evitarne la commissione, tenendo presente, che gli stessi reati possono comunque essere commessi anche una volta attuato il modello ma, in tal caso, laddove si tratti di reati dolosi, se dall’agente siano realmente voluti sia come condotta che come evento.

Quanto alle modalità operative della gestione dei rischi, soprattutto con riferimento a quali soggetti/funzioni aziendali possono esserne concretamente incaricati, le metodologie possibili sono sostanzialmente due:

Valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea;

Autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico.

Occorre sottolineare che ogni azienda/settore presenta i propri specifici ambiti di rischiosità che possono essere individuati soltanto tramite una puntuale analisi interna. Una posizione di evidente rilievo ai fine dell’applicazione del D.lgs. 231/2001 rivestono i processi dell’area finanziaria. La norma, probabilmente proprio per questo motivo, li evidenzia con una trattazione separata (art. 6, co. 2, lett.c), ancorché un’accurata analisi di valutazione degli ambiti aziendali “ a rischio” dovrebbero comunque far emergere quello finanziario come uno di sicura rilevanza.

Le componenti più rilevanti del sistema di controllo ideato da Confindustria sono: Codice etico;

Sistema organizzativo sufficientemente formalizzato e chiaro, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza

gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni;

Procedure manuali e/o informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo;

Poteri autorizzativi e di firma assegnati in coerenza con le responsabilità organizzative e gestionali definite, prevedendo, quanto richiesto, una puntuale indicazione delle soglie di approvazione delle spese;

Sistemi di controllo e gestione in grado di fornire tempestiva segnalazione; Comunicazione al personale e a sua formazione.

Componenti queste che devono essere informate ai principi di:

Verificabilità, documentabilità, coerenza e congruenza di ogni operazione; Applicazione del principio di separazione delle funzioni;

Documentazione dei controlli;

Previsione di un adeguato sistema sanzionatorio per la violazione delle norme del codice etico e delle procedure previste dal Modello;

Autonomia, indipendenza, professionalità e continuità d’azione dell’organismo di vigilanza.

Il Modello intende configurare un sistema strutturato ed organico di procedure ed attività di controllo, ex ante ed ex post, volto a prevenire ed a ridurre il rischio di commissione dei reati contemplati dal D.lgs. n. 231/2001. Il modello consente alla Società, grazie ad un’azione di monitoraggio sulle aree di attività di rischio, di intervenire tempestivamente per prevenire o contrastare la commissione dei reati stessi. Tra le finalità vi è quindi, quella di radicare nei Dipendenti, Organi Sociali, Consulenti e Partner, che operino per conto o nell’interesse della Società nell’ambito delle aree di attività di rischio, il rispetto dei ruoli, delle modalità operative, dei protocolli e, in altre parole, del Modello organizzativo adottato e la consapevolezza del valore sociale di tale Modello al fine di prevenire i reati.

Nella predisposizione del presente documento, si deve tener conto delle procedure e dei sistemi di controllo esistenti, ove giudicati idonei a valere anche come misure di prevenzione dei reati e controllo delle aree di rischio. In particolare, quali specifici

Il manuale della qualità;

I principi di corporate governante adottati, anche in via di fatto dalla Società e formalizzate nello statuto e nelle delibere assembleari e del Consiglio di Amministrazione;

Le procedure aziendali, la documentazione e le disposizioni inerenti la struttura gerarchico - funzionale aziendale ed organizzativa ed il sistema di controllo della gestione;

Le norme inerenti il sistema amministrativo, contabile, finanziario, di reporting;

Il sistema di comunicazione al personale attualmente adottati dalla Società;

Il sistema disciplinare di cui al CCNL applicato;

In generale, la normativa italiana e straniera applicabile. Ulteriori principi cardini a cui si ispira il Modello sono:

Le linee guida di CONFINDUSTRIA, in base alle quali è stata predisposta la mappatura delle aree di attività di rischio;

I requisiti indicati dal D.lgs. 231/2001 ed in particolare:

o l’attribuzione ad un organismo di vigilanza interno del compito di promuovere l’attuazione efficace e corretta del Modello, anche attraverso il monitoraggio dei comportamenti aziendali ed il diritto ad una informazione costante sulle attività rilevanti ai fini del D.lgs. 231/2001; o l’attività di verifica del funzionamento del Modello con conseguente

aggiornamento periodico (controllo ex-post);

o l’attività di sensibilizzazione e diffusione a tutti i livelli aziendali delle regole comportamentali e delle procedure istituite previste nel codice etico.

I principi generali di un adeguato sistema di controllo interno e in particolare: o La verificabilità e documentabilità di ogni operazione rilevante ai fini del

decreto;

o Il rispetto del principio della separazione e delle funzioni in base al quale nessuno può gestire in autonomia un intero processo;

o La definizione di poteri autorizzativi coerenti con le responsabilità assegnate;

o A comunicazione all’organismo di vigilanza delle informazioni rilevanti.

Una componente essenziale per la funzionalità del Modello sono la Formazione e l’addestramento. Lo svolgimento di compiti che possono influenzare la salute e sicurezza sul lavoro richiede una adeguata competenza, da verificare ed alimentare attraverso la somministrazione di formazione e addestramento finalizzati ad assicurare che tutto il personale, ad ogni livello, sia consapevole della importanza della conformità delle proprie azioni rispetto al modello organizzativo e delle possibili conseguenze dovute a comportamenti che si discostino dalla regole dettate dal modello. In concreto, ciascun operatore aziendale deve ricevere una formazione sufficientemente adeguata con particolare riferimento al proprio posto di lavoro ed alle proprie mansioni. Questa deve avvenire in occasione dell’assunzione, del trasferimento o cambiamento di mansioni o dell’introduzione di nuove attrezzature di lavoro o di nuove tecnologie, di nuove sostanze e preparati pericolosi. L’azienda dovrebbe organizzare la formazione e l’addestramento secondo i fabbisogni rilevati periodicamente.

Un altro rilevante componente del modello è la comunicazione e il coinvolgimento. La circolazione delle informazioni all’interno dell’azienda assume un valore rilevante per favorire il coinvolgimento di tutti i soggetti interessati e consentire consapevolezza ed impegno adeguati a tutti i livello.

Il coinvolgimento dovrebbe essere realizzato attraverso:

La consultazione preventiva in merito alla individuazione e valutazione dei rischi e alla definizione delle misure preventive;

Riunioni periodiche che tengano conto almeno delle richieste fissate dalla legislazione vigente utilizzando anche le riunioni previste per la gestione aziendale.

Il sistema di controllo, relativamente ai rischi per la salute e sicurezza sul lavoro dovrebbe integrarsi ed essere congruente con la gestione complessiva dei processi aziendali.

lavoro. L’azienda avendo identificato le aree di intervento associate agli aspetti di salute e sicurezza, dovrebbe esercitarne una gestione operativa regolata.

In questo senso, particolare attenzione dovrebbe essere posta riguardo a: Assunzione e qualificazione del personale;

Organizzazione del lavoro e delle postazioni di lavoro;

Acquisizione di beni e servizi impiegati dall’azienda e comunicazione delle opportune informazioni a fornitori ed appaltatori;

Manutenzione normale e straordinaria;

Qualificazione e scelta dei fornitori e degli appaltatori; Gestione delle emergenze;

Procedure per affrontare le difformità rispetto agli obiettivi fissati ed alle regole di sistema di controllo.

La gestione della salute e sicurezza sul lavoro dovrebbe prevedere una fase di verifica del mantenimento delle misure di prevenzione e protezione dei rischi adottate e valutate idonee ed efficaci. Le misure tecniche, organizzative e procedurali di prevenzione e protezione realizzate dall’azienda dovrebbero essere sottoposte a monitoraggio pianificato.

L’impostazione di un piano di monitoraggio si dovrebbe sviluppare attraverso: Programmazione temporale delle verifiche (frequenza);

Attribuzione di compiti e di responsabilità esecutive; Descrizione delle metodologie da seguire;

Modalità di segnalazione delle eventuali situazioni difformi.

Questo primo livello di monitoraggio è svolto generalmente dalle risorse interne della struttura, sia per autocontrollo da parte dell’operatore, sia da parte del preposto/dirigente, ma può comportare, per aspetti specialistici il ricorso ad altre risorse interne o esterne all’azienda. È bene, altresì, che la verifica delle misure di natura organizzativa e procedurale relative alla salute e sicurezza venga realizzata dai soggetti già predisposti in sede di attribuzione delle responsabilità (in genere di tratta di dirigenti e preposti). Tra questi particolare importanza riveste il Servizio di Prevenzione e

Protezione che è chiamato ad elaborare, per quanto di competenza, i sistemi di controllo delle misure adottare.

È altresì necessario che l’azienda conduca una periodica attività di monitoraggio (di secondo livello) sulla funzionalità del sistema preventivo adottato. Il monitoraggio di funzionalità dovrebbe consentire l’adozione delle decisioni strategiche ed essere condotto da personale competente che assicuri l’obiettività e l’imparzialità, nonché l’indipendenza dal settore di lavoro sottoposto a verifica ispettiva.

Le componenti sopra descritte devono integrarsi organicamente in un’architettura del sistema che rispetti una serie di principi di controllo, fra cui:

“ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua”;

“nessuno può gestire in autonomia un intero processo”; “documentazione dei controlli”.

3.3. IL CODICE ETIVO O DI COMPORTAMENTO CON RIFERIMENTO AI REATI EC D.LGS.