Logica dei Sistemi

Le linee guida di Assobiomedica in tema di responsabilità amministrativa per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 231 del 2001 (aggiornate a marzo 2009) sono un buon risultato dal punto di vista della chiarezza e della sintesi. Inoltre presentano degli aspetti che le rendono molto interessanti in quanto vanno a completare quanto previsto nelle linee guida di Confindustria, presentando argomenti di interesse generale e non solo limitatamente al comparto biomedico.

In questo articolo verrà analizzata una parte delle linee guida: la parte relativa all'analisi del rischio.

L'individuazione dei rischi e la definizione dei protocolli

L'articolo 6, comma 2, del decreto legislativo 231 del 2001, enumera le caratteristiche che un modello di organizzazione, gestione e controllo deve avere. Già ad un'analisi superficiale risulta evidente (in particolare per le lettere a e b) che il modello descritto è un tipico sistema di gestione dei rischi (aziendali). Sono infatti evidenziate due fasi: l'identificazione dei rischi e la progettazione di un sistema per la loro gestione (descritti nel testo normativo come "protocolli per la programmazione della formazione ed attuazione delle decisioni dell'ente").

Partiamo da questo secondo punto: è evidente che il sistema che si vuole costruire deve essere in grado di contrastare il verificarsi dei rischi identificati nella prima fase. In particolare ciò viene focalizzato sulla formazione delle decisioni (quindi sul processo decisionale) e poi sulla loro attuazione (ossia sul processo operativo che mette in pratica la decisione presa).

La formazione delle decisioni è uno dei processi chiave che devono essere presidiati in quanto è da decisioni rischiose che possono concretizzarsi i reati presupposto previsti dal decreto. Avendo però messo sotto controllo il processo con cui vengono prese le decisioni è necessario che ne sia verificata la corretta attuazione, secondo punto debole della catena.

Tornando alla prima delle due fasi sopra indicate, è quindi importante che vengano identificate le aree a rischio, descrivendo le modalità con cui si possono verificare gli eventi che portano alla commissione dei reati presupposto. Su tale identificazione verrà costruito un insieme di protocolli che sia in grado di ridurre ad un livello accettabile il rischio agendo sulla formazione e sull'attuazione delle decisioni.

Il primo problema da affrontare è la definizione quantitativa (o anche solo qualitativa) di rischio. Di norma la valutazione del rischio avviene secondo due fattori: la probabilità che accada l'evento rischioso e l'impatto che l'accadimento dell'evento comporterebbe sulla realtà aziendale.

Di estrema importanza è la comprensione che l'evento rilevante ai fini del decreto legislativo 231 non deve essere solo quello che contenga una fattispecie di reato presupposto ma anche qualsiasi comportamento che possa essere preliminare alla commissione del reato stesso e che costituisca una violazione delle procedure di controllo interno.

Particolare attenzione va posta anche ai rischi legati a comportamenti illeciti in materia di salute e sicurezza sul lavoro in quanto la normativa prevede come reati presupposto quelli colposi e quindi l'ente dovrà essere estremamente consapevole dell'importanza di prevenire lesioni gravi e gravissime o, addirittura, l'omicidio colposo mediante una scrupolosa osservazione di tutte le norme. Anche in questo caso si interverrà sia sui processi decisionali sia su quelli attuativi.

Ai fini della valutazione del rischio si dovrà tenere conto sia della probabilità che l'evento delittuoso o (un evento adesso preliminare) si verifichi, combinando la probabilità dell'evento preliminare con quella necessaria per condurre fino a compimento il reato presupposto, sia dell'eventuale impatto che tale reato possa avere sull'ente. Molto temute dagli enti sono non tanto le sanzioni pecuniarie quanto quelle interdittive e poiché i differenti reati presupposto prevedono sanzioni anche molto diversificate è necessario che l'ente valuti, caso per caso, l'impatto sia delle sanzioni di natura economica sia delle sanzioni di altra natura.

Il rischio accettabile

A questo punto è possibile ragionare in termini di "rischio accettabile". Le linee guida di Assobiomedica ne forniscono una definizione molto semplice e comprensibile: definito il valore del rischio come la combinazione della perdita potenziale che si avrebbe al verificarsi dell'evento con la probabilità che la perdita debba essere effettivamente sostenuta, si può affermare che il rischio sia ritenuto accettabile quando i controlli aggiuntivi hanno un costo maggiore della risorsa da proteggere. Le linee guida di Assobiomedica fanno anche un esempio esplicativo in cui si fa notare come in una comune automobile sia spesso presente un antifurto ma mai un vigilante armato (che avrebbe un costo superiore al valore dell'autovettura stessa). La riflessione però prosegue osservando che, come già anticipato, non devono essere considerati solo i costi di natura economica ma anche di altra natura, quali ad esempio quelli organizzativi (in termini di aumento di complessità dei processi), di verifica (in termini di controlli, manuali o automatici, introdotti nel sistema) e via dicendo, per evitare che si debba introdurre una miriade di controlli. A tal fine deve essere introdotta una soglia sotto la quale non è necessario introdurre un sistema di prevenzione del rischio in quanto, in sintesi estrema, "nessuno è tenuto a fare l'impossibile".

L'elusione fraudolenta

Il sistema di prevenzione del rischio dovrà essere quindi progettato e realizzato in modo tale da non poter essere aggirato se non fraudolentemente, come la legge stessa richiede.

Al riguardo è importante la considerazione che viene fatta nelle linee guida relativamente ai casi di omicidio in lesioni colpose derivanti da inosservanza in materia antinfortunistica (aspetto molto importante in ambito biomedico): in tali casi la soglia concettuale di accettabilità, ai fini esimenti per la legge 231, è rappresentata dalla realizzazione di una condotta (non intenzionale) in violazione del modello di prevenzione e della normativa vigente nonostante sia stata svolta in maniera inappuntabile l'attività di vigilanza in materia. E' evidente che in questi casi l'elusione fraudolenta dei modelli organizzativi è praticamente incompatibile con l'elemento soggettivo di un delitto colposo in quanto qui si parla, appunto, "di colpa". Di conseguenza, in sintesi, per tutti i reati di natura dolosa il modello organizzativo dovrà essere tale da non poter essere eluso se non in maniera fraudolenta mentre negli altri casi (ossia nei casi colposi, ad oggi limitati alle sole norme antinfortunistiche) il modello dovrà garantire la necessaria consapevolezza di chi è a rischio di infortunio e l'indispensabile vigilanza di chi è preposto a tale funzione. Questo aspetto non è sempre ben considerato nei modelli organizzativi (a meno che non vengano applicati sistemi quali OHSAS 18001 e/o UNI-INAIL 2001) ed è importante che sia stato sottolineato nelle linee guida diretti al sistema biomedico, ambito di estremo interesse per questo tipo di reati.

La costruzione di un sistema di gestione del rischio

Introduzione

Il primo passo nella costruzione di un sistema di gestione del rischio consiste nell’individuare le attività o le aree che comportano il rischio di commissione di reati presupposto. Il secondo passo è quello di eliminare (rendere accettabile) tale rischio.

Una volta effettuati i due passi suddetti non si può ignorare, comunque, il fatto che gli stessi reati possono essere commessi eludendo fraudolentemente le contromisure messe in atto dall’azienda: in questo caso, però, il D.Lgs. 231 limita la responsabilità al solo soggetto reo, esimendo così l’ente.

Le contromisure adottate dovranno quindi essere tali che l’agente non solo dovrà “volere” l’evento reato, ma potrà attuare il suo proposito criminoso soltanto aggirando fraudolentemente le direttive aziendali.

E’ ovvio sottolineare che, nel caso dei reati colposi, questi saranno “voluti” dall’agente in termini solo di condotta e non come evento derivante da essa. Il reo del reato colposo avrà quindi desiderato l’azione negligente che ha portato, ad esempio, a delle lesioni gravi ma non certo le lesioni gravi stesse (se ciò non fosse vero il reato sarebbe stato doloso, non colposo).

Le linee guida di Assobiomedica propongono una metodologia di carattere generale per la realizzazione di un sistema di gestione del rischio, in modo da poterla applicare a settori anche molto diversi tra loro, mantenendone intatta la validità sia a fronte dell’eterogeneità dei processi aziendali sia in caso di variazione della normativa (ad esempio in caso di aggiunta di nuovi reati presupposto nel d.Lgls. 231/01).

La gestione dei rischi, in generale, è un processo necessario in qualsiasi realtà e che le imprese dovranno attivare al proprio interno secondo le modalità e la complessità ritenute più appropriate. Fondamento dell’analisi del rischio è però l’ascolto e l’osservazione: il processo di analisi del rischio deve essere in grado di estrarre dall’azienda, mediante l’osservazione e il rilevamento continuo di informazioni, tutte quelle caratteristiche che la mettono in una situazione di rischio.

Dal punto di vista operativo, Assobiomedica individua due metodologie fondamentali:

• valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea;
• autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico.

L’inventario delle attività a rischio

Il primo passo è l’inventariazione delle attività a rischio. Tale passo consiste in un riesame periodico ed esaustivo della realtà aziendale con l’obiettivo di individuare quelle aree che potenzialmente siano a rischio di commissione di un reato presupposto. Inoltre, sempre in questo passo, deve essere svolta un’analisi dei sistemi di controllo già in essere, valutandone l’efficacia.

Oltre all’area di rischio, dovranno essere inventariati tutti i soggetti, attivi o passivi, di eventuali violazioni.

Nell'ambito di questo processo di riesame dei rapporti, processi e/o funzioni a rischio, è necessario identificare anche i soggetti interessati dall'attività di monitoraggio. Su questo punto le linee guida di Assobiomedica esplicitano che “in talune circostanze particolari ed eccezionali, potrebbero includere anche coloro che siano legati all'impresa da meri rapporti di parasubordinazione, quali ad esempio gli agenti, o da altri rapporti di collaborazione, come i partners commerciali, nonché i dipendenti ed i collaboratori di questi ultimi”. Ciò significa porre sotto audit di seconda parte (nel senso della ISO 19011) i propri fornitori o partners. Questa decisione presenta non poche problematiche e deve essere valutata attentamente caso per caso. E’ molto gradito l’approccio soft seguito da Assobiomedica che, pur non nascondendo il rischio insito nei rapporti di parasubordinazione o di collaborazione o partnership, sottolinea la delicatezza dei rapporti in tal caso ed evidenzia la necessità di un uso accurato ed eccezionale del monitoraggio.

Altro aspetto importante suggerito dalle linee guida è l’opportunità di attivare esercizi di due diligence ogni volta in cui siano stati identificati indicatori di sospetto (ad esempio il rapporto con paesi a rischio finanziamento terroristico). Strumenti adatti possono essere le schede di evidenza e la creazione di un responsabile super partes per il controllo che tutto sia fatto, appunto, “con diligenza”.

Al termine di questo passo si ha il primo output: la mappa delle aree aziendali a rischio di commissione di reato presupposto.

L’analisi dei rischi

L’analisi dei rischi potenziali deve tenere in conto le possibili modalità attuative dei reati nelle diverse aree aziendali individuate al passo precedente, sfociando così in una rappresentazione completa di come i reati presupposto possono essere commessi rispetto al contesto in cui opera l’azienda e a fronte dei controlli esistenti.

A questo proposito, secondo le linee guida, è utile considerare sia la storia dell’ente sia le caratteristiche degli altri soggetti operanti nello stesso settore e, in particolare, degli eventuali illeciti da questi commessi.

Riguardo ai reati in tema di salute e sicurezza sul lavoro, la valutazione dei rischi deve essere effettuata comunque secondo i criteri previsti dal D.Lgs. 81/2008

Il risultato di questo passo è una mappa (documentata) delle potenziali modalità attuative degli illeciti nelle aree a rischio individuate.

Gap analysis

Il terzo passo è l’analisi degli scostamenti tra il modello di prevenzione “ideale” e il vigente sistema di controlli e procedure aziendali per evidenziarne le carenze (così come dei controlli teoricamente “superflui”) e valutare le necessarie azioni correttive.

Realizzazione del sistema di controlli preventivi

I passi precedenti, secondo Assobiomedica, hanno la finalità di valutare il sistema di controlli preventivi esistente e definire dove sia necessario un adeguamento.

Finalità del sistema di controlli preventivi è garantire che i rischi di commissione dei reati, secondo le modalità individuate e documentate, siano mitigati fino ad un “livello accettabile”, secondo la definizione già data.

Secondo Assobiomedica è opportuno che i controlli introdotti debbano essere integrati in un sistema organico che, soprattutto per le piccole imprese ma non solo, deve essere razionalizzato per evitare di appesantire, paralizzandolo, il modello organizzativo dell’Ente. Al riguardo sottolinea che l’unica caratteristica che deve rimanere immutata è la possibilità di elusione solo per via fraudolenta. Questa riflessione di Assobiomedica è di estrema utilità e generalità nel tracciare le linee di tailoring delle linee guida.

Il risultato finale di questo passo è la descrizione (documentata) del “sistema dei controlli preventivi attivato, con dettaglio delle singole componenti del sistema, nonché degli adeguamenti eventualmente necessari”.

I protocolli

Quali sono, schematicamente, le classi di protocolli da produrre? Secondo le linee guida di Assobiomedica si possono elencare come:

a) Sistema organizzativo sufficientemente formalizzato e chiaro, soprattutto per quanto attiene all’attribuzione di responsabilità, alle linee di dipendenza gerarchica ed alla descrizione dei compiti, con specifica previsione di principi di controllo quali, ad esempio, la contrapposizione di funzioni.

b) Procedure manuali e informatiche tali da regolamentare lo svolgimento delle attività prevedendo gli opportuni punti di controllo. Una particolare efficacia preventiva riveste lo strumento di controllo rappresentato dalla separazione di compiti fra coloro che svolgono fasi (attività) cruciali di un processo a rischio.

c) Poteri autorizzativi e di firma. In termini generali, un corretto sistema dovrà assicurare (citando dalle linee guida):

1. che l’esercizio dei poteri d’impresa nell’ambito di un processo decisionale sia svolto da posizioni di responsabilità congruenti con l’importanza e/o la criticità di determinate operazioni economiche;

2. che al processo decisionale partecipino soggetti che svolgano effettivamente le attività che sono oggetto dell’esercizio dei poteri e che agiscano sotto le direttive di quest’ultimi;

3. che l’ente venga validamente impegnato nei confronti di terzi – ad es. clienti, fornitori, banche, amministrazioni pubbliche, ecc. – solo da un numero ben determinato di soggetti muniti di delega scritta ove siano specificamente indicati i relativi poteri.

d) Sistema di controllo di gestione in grado di fornire tempestiva segnalazione dell’esistenza e dell’insorgere di situazioni di criticità generale e/o particolare.

e) Comunicazione al personale e sua formazione.

f) Sistema di verifiche. E’ importante affermare che i modelli organizzativi devono essere verificati periodicamente anche da soggetti diversi da coloro che li devono fare funzionare, e tali verifiche devono essere opportunamente documentate.

g) Sistema disciplinare e meccanismi sanzionatori.

h) Codice etico con riferimento ai reati considerati.

I reati antinfortunistici

Per quanto attiene alla prevenzione dei reati di omicidio colposo e lesioni colpose commessi con violazione delle norme di tutela della salute e sicurezza sul lavoro, le linee guida sottolineano (in aromina con l’art. 30 del D.lgs. 81/2008) la necessità di garantire:

• Codice etico o di comportamento e politica aziendale per la sicurezza.

• Struttura organizzativa specifica per la sicurezza.

• Formazione e addestramento.

• Comunicazione e coinvolgimento.

• Gestione operativa integrata con il sistema di controllo.

• Sistema di monitoraggio della sicurezza.

I principi fondamentali del controllo

Le linee guida Assobiomedica sposano in pieno alcuni principi di controllo basilari e ne evidenziano l’importanza. In sintesi essi sono:

1. “Ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua”

2. “Nessuno può gestire in autonomia un intero processo”

3. “Documentazione dei controlli”

Conclusioni

Dopo questa prima parte in cui si è valutata la metodologia di analisi e gestione del rischio secondo le linee guida di Assobiomedica, si può concludere che esse sono un giusto compromesso tra sintesi e analisi e forniscono una guida preziosa all’azienda o all’ente che vogliano dotarsi di un modello organizzativo ex D.Lgs. 231/01.

L’attenzione agli aspetti di tailoring è di sicuro un punto a favore delle linee guida, anche se sarebbe stata opportuna una loro maggiore messa evidenza e organizzazione.

Logica dei Sistemi dell’ing. Luca Lezzerini è a disposizione per la realizzazione di modelli organizzativi di gestione e controllo ex D.Lgs. 231/01 e basati sulle linee guida di Assobiomedica, così come su quelle di Confindustria.