Edilizia: è falsa convinzione che non sia applicabile nelle piccole realtà.
La stesura del modello di organizzazione, gestione e controllo, fra le altre cose, può favorire l’azienda sotto molteplici aspetti e rappresenta, per alcuni precisi illeciti, una sorta di esonero dalla responsabilità amministrativa. Ma a determinate condizioni.
È opinione diffusa che i “modelli di organizzazione, gestione e controllo” (mog), che devono essere adottati ai sensi dell’articolo 6, D.Lgs. n. 231/2001, siano faccenda delle sole grandi imprese o, quantomeno, di aziende che per dimensioni e organizzazione sono (teoricamente) in grado di dedicare maggiori risorse (umane ed economiche) alla pianificazione e alla progettazione di un mog. Si tratta di una impostazione sbagliata che può portare a gravi rischi per le imprese più esposte all’impatto delle sanzioni previste dal D.Lgs. n. 231/2001 (responsabilità amministrativa di impresa). Infatti, le sanzioni dirette all’impresa, sia pecuniarie che interdittive per periodi più o meno lunghi (sospensioni: delle autorizzazioni, delle attività, a poter contrarre con la pubblica amministrazione eccetera), sono applicate a tutte le imprese. Dai dati statistici è possibile ricavare che le piccole e medie imprese rappresentano circa il 99% del totale a livello italiano ed europeo e che il 55% della ricchezza dell’Unione europea deriva da queste realtà imprenditoriali; di queste pmi il 92% sono micro-imprese con meno di 10 lavoratori. Dopo aver inquadrato il problema sul piano tecnico-giuridico, sono presentati gli indirizzi operativi per la stesura di modelli semplificati per l’organizzazione e la gestione della sicurezza (mog) nelle piccole e medie imprese (pmi), presentando un caso nel settore delle costruzioni. In quanto ai costi per una impresa che già rispetta il D.Lgs. n. 81/2008, questi ultimi derivano solo dal poco tempo che la stessa deve dedicare alla sua implementazione. Il vero onere si viene a creare quando si verifica un infortunio. Infatti, a seguito di eventi negativi in una azienda si avranno dei costi diretti e indiretti che spesso mettono le aziende in seria difficoltà. Occorre evidenziare che al convegno mondiale sulla sicurezza lavoro, organizzato a Istanbul nel settembre del 2011, sono stati presentati studi in cui è stato evidenziato che per “1 euro” investito in interventi di prevenzione e/o protezione dai rischi lavorativi la stessa azienda “guadagna” oltre “2,2 euro”.
IL RIFERIMENTO LEGISLATIVO
Il decreto legislativo 8 giugno 2001, n. 231, disciplina la responsabilità amministrativa delle persone giuridiche come società, imprese, associazioni ed enti. La norma rappresenta un fattore di assoluta innovazione nel quadro normativo italiano in quanto, contrariamente alla massima societas delinquere non potest, afferma il principio secondo il quale, non solo i singoli individui, ma anche le società, le imprese, le associazioni, gli enti possono rispondere in sede penale di fatti illeciti materialmente commessi nell’interesse o a vantaggio di essi, da una persona fisica che risulti in qualche modo legata all’ente stesso. La strada scelta per contrastare la commissione di alcuni specifici reati in modo più incisivo è stata, quindi, quella di responsabilizzare direttamente le società, le imprese, le associazioni e gli enti, i quali sono tenuti a svolgere una maggiore vigilanza sull’operato dei propri dipendenti e a prevenire, per quanto possibile, questi reati, pena una serie di sanzioni. Prima del D.Lgs. n. 231/2001, soltanto l’autore del fatto illecito (persona fisica) doveva rispondere penalmente per il fatto illecito compiuto. L’ente di appartenenza non era coinvolto e continuava a svolgere regolarmente le proprie attività. Dopo il D.Lgs. n. 231/2001, sia l’autore del fatto illecito (persona fisica) che l’ente (società, impresa eccetera) di appartenenza rispondono penalmente per l’illecito compiuto. Quindi, è stata introdotta una responsabilità che riguarda l’intero ente, generando conseguentemente la necessità di un nuovo modello di organizzazione avente la finalità di un efficace effetto di deterrenza rispetto alla commissione di specifici reati. Alla luce di questo la norma offre una possibilità di esenzione per gli enti che si impegnino volontariamente nella prevenzione di questi reati, predisponendo al proprio interno un modello di organizzazione, gestione e controllo specifico. L’adozione di un “modello di organizzazione, gestione e controllo” non è obbligatorio, ma è suggerito dal D.Lgs. n. 231/2001. L’applicazione di questo decreto comporta il beneficio di una forma di esonero dalla responsabilità amministrativa dell’ente, se quest’ultimo è in grado di dimostrare, in sede giudiziaria per uno dei reati considerati, di aver adottato ed efficacemente attuato un “mog 231” idoneo a prevenire reati della specie di quello verificatosi.
Inoltre, la stesura di un “mog 231” può favorire l’azienda secondo molteplici aspetti, per esempio:
- evitare l’applicazione delle sanzioni pecuniarie e interdittive;
- ridurre i rischi illeciti;
- ridurre la possibilità di esclusioni da appalti e sub-appalti pubblici;
- tutelare l’investimento dei soci e degli azionisti in relazione al danno economico dovuto all’attuazione dei reati;
- tutelare l’immagine dell’azienda;
- evitare perdite di produzione;
- prevenire spese legali;
- evitare l’insoddisfazione del cliente;
- evitare il calo di morale e di senso di appartenenza del personale.
Un “abito” fatto su misura Occorre evidenziare fin da subito che non esiste un “modello di organizzazione 231” valido per tutte le pmi in generale. Quindi, di volta in volta, bisogna predisporre un “abito” appropriato su misura per ogni impresa. I reati previsti a oggi (è prevedibile che nel tempo possano essere aggiunti altri reati) dal D.Lgs. n. 231/2001 sono, in sintesi:
- reati in danno e nei rapporti con la pubblica amministrazione;
- abusi di mercato;
- reati societari;
- reati in tema di falsità in monete, in carte di pubblico credito e in valori di bollo;
- reati con finalità di terrorismo o di eversione dell’ordine democratico;
- reati contro la personalità individuale;
- reati contro la vita e l’incolumità individuale
- reati transnazionali;
- reati di abbandono e deposito incontrollato di rifiuti sul suolo e nel suolo;
- delitti di omicidio colposo e lesioni gravi o gravissime commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene;
- ricettazione, riciclaggio e impiego di denaro, beni o utilità di provenienza illecita (reati contro il patrimonio mediante frode);
- delitti informatici e trattamento illecito;
- delitti di criminalità organizzata;
- delitti contro l’industria e il commercio;
- delitti in materia di violazione del diritto d’autore;
- induzione a non rendere dichiarazioni o a rendere dichiarazioni mendaci all’autorità giudiziaria;
- reati ambientali (art. 25-undecies, D.Lgs. n. 231/2001)…
Logicamente, per una pmi, in generale, e per le imprese di costruzioni, in particolare, non tutti i reati elencati comportano uno stesso livello di rischio, in alcuni casi si tratta di reati che portano a rischi trascurabili per il tipo di attività dell’impresa. Per un’impresa di costruzioni, del livello di rischio lordo (inteso come combinazione di gravità e probabilità del reato in assenza di un modello di prevenzione reati) connesso a ciascuna fattispecie di reato.
Da questa è possibile ricavare che il rischio inerente alla sicurezza e alla salute dei lavoratori per un’impresa di costruzioni risulta essere “alto”.
ECCO LE INNOVAZIONI DEL D.Lgs n.81/2008
I reati di cui al D.Lgs. n. 231/2001, commessi con violazione delle norme infortunistiche e sulla tutela dell’igiene e della salute sul lavoro (art. 25-septies), comporta un livello di rischio alto. L’entrata in vigore del D.Lgs. n. 81/2008 aggiornato e integrato ha fornito, alle realtà imprenditoriali, la possibilità di attuare all’interno della propria organizzazione un sistema di gestione della salute e sicurezza dei lavoratori (sgsl), che si configura come lo strumento più idoneo per definire le procedure per lo svolgimento delle attività di prevenzione e protezione nei luoghi di lavoro e che rappresenta le modalità di organizzazione e di programmazione delle varie fasi lavorative e le modalità di coordinamento fra i soggetti coinvolti. L’art. 30, D.Lgs. n. 81/2008, «Modelli di Organizzazione e di gestione», infatti, contempla un «modello di organizzazione e gestione idoneo ad avere efficacia esimente della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni di cui al D.Lgs. 231/01». Si tratta di uno strumento a carattere puramente volontario che un’organizzazione può decidere di adottare per gestire meglio la sicurezza della propria azienda, avendo così un maggiore controllo dei rischi. In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle linee guida Uni-Inail per un sgsl del 2001 o al british standard Ohsas 18000:2007 si presumono conformi ai requisiti per le parti corrispondenti. Inoltre, con il D.M. 13 febbraio 2014 (gazzetta ufficiale del 24 febbraio 2014, n 45) sono state recepite le procedure semplificate di cui alla Commissione consultiva del 27 novembre 2013, per l’adozione e la efficace attuazione dei modelli di organizzazione e di gestione della sicurezza nelle pmi ai sensi dell’art. 30, comma 5, D.Lgs. n. 81/2008. Il fine di tutto questo è che le imprese che su base volontaria adottano ed efficacemente attuano un mog con riferimento alla salute e sicurezza sul lavoro possono prevenire le conseguenze previste dall’art. 25-septies, D.Lgs. n. 231/2001, e dell’art. 300, D.Lgs. n. 81/2008. Infine, occorre evidenziare che, da studi effettuati dall’Inail negli anni precedenti, se sono confrontati gli indici infortunistici di aziende omologhe per settore produttivo e territorio di appartenenza ma che hanno l’unica differenza di avere o non avere adottato dei sistemi di gestione sicurezza lavoro, è possibile evidenziare che le aziende che hanno un sgsl hanno una forte riduzione dell’indice di frequenza (if): nel settore delle costruzioni ( – 33%), nel settore della chimica (– 26%), nel settore metallurgico (– 6%), nelle industrie tessili (- 64%), nei trasporti (– 13%) eccetera, in complesso i dati portano ad un “if” pari a – 27% in termini generali.
STRUTTURA DEL MOG: ELEMENTI ESSENZIALI
Un modello di organizzazione e gestione ex D.Lgs. n. 231/2001 è composto da due parti separate:
- una parte generale che fornisce:
- le informazioni sulla realtà dell’ente e sulla sua attività;
- la normativa di riferimento;
- la funzione del modello adottato e i suoi principi ispiratori;
- la composizione dell’organismo di vigilanza;
- le modalità di formazione obbligatoria del personale;
- le modalità di diffusione del modello all’interno dell’ente e all’esterno;
- una parte speciale che contiene:
- i reati presupposto ipotizzabili;
- le funzioni coinvolte;
- le modalità di commissione del reato;
- le procedure di controllo al fine di mitigare e gestire i rischi. Inoltre, il modello 231 prevede i seguenti documenti:
- il codice etico;
- il sistema disciplinare;
- il regolamento dell’organismo di vigilanza.
FASI DI IMPLEMENTAZIONE
Prima di poter procedere all’avvio del modello è necessario aver stabilito una corretta politica aziendale, da riportare in un documento denominato “politica del mog della società …”, che sarà alla base di tutto il processo d’implementazione. Premesso questo, le fasi di implementazione di un mog sono:
- fase 1, avvio–plan utile a: – analizzare il sistema di organizzazione e controllo al fine di far emergere eventuali carenze rispetto ai protocolli di buona prassi (come, per esempio, quelli indicati nella guida Ance 2013); – definire un piano di azioni da svolgere per dotare l’azienda di tutti i protocolli previsti; – identificare gli obiettivi guida per il successivo risk-assessment, attraverso l’identificazione delle aree/processi/responsabili esposti ai reati previsti dal D.Lgs. n. 231/2001; – per ciascun processo sensibile individuato dovranno essere indicate, infine, le modalità di svolgimento delle relative attività e indicate, se rilevanti, le specifiche procedure alle quali attenersi, prevedendo, in particolare:
- i protocolli per la formazione e l’attuazione delle decisioni;
- le modalità di gestione delle risorse finanziarie;
- gli obblighi di informazione all’organismo di vigilanza;
- fase 2, risk assessment che conduce a un’analisi e a una valutazione del rischio sulle aree/processi potenzialmente esposti ai reati previsti dal D.Lgs. n. 231/2001, attraverso la mappatura dei processi sensibili in termini di: – reato potenziale; – potenziale modalità di attuazione del reato; – funzioni coinvolte; – breve sintesi del processo sensibile; – identificazione per ogni processo delle criticità rispetto ai protocolli di prevenzione di riferimento – definizione delle aree/processi di business, riscontrabili nel modello 231 di riferimento, ma sui quali sono probabili differenze sostanziali in termini di oggetto e di modalità operativa. L’attività di risk assessment si svolge con la collaborazione delle funzioni operative aziendali; – definizione delle aree/processi specifici; il risk assessment si svolge con la collaborazione della struttura aziendale;
- fase 3, gap analysis-azioni, che conduce alla realizzazione del piano di implementazione da attuare per lo sviluppo del modello di organizzazione e controllo 231 aziendale tenendo conto delle carenze emerse nella fase 2 durante il risk assessment. Il piano definirà, per ciascuno dei processi sensibili identificati, le azioni da implementare al fine di completare lo sviluppo del mog dell’azienda considerata. Il piano così definito sarà condiviso con tutti i responsabili competenti dell’azienda; • fase 4, attivazione del mog: – condivisione e formalizzazione del codice disciplinare, funzionigramma, deleghe, organismo di vigilanza, piano di comunicazione e formazione; – definizione, condivisione e formalizzazione di protocolli e procedure per ciascun processo sensibile; – formalizzazione del modello di organizzazione e controllo 231.
IL DOCUMENTO DI POLITICA
La politica deve essere riportata in un documento ufficiale firmato dal vertice aziendale nel quale dovrà chiaramente emergere la volontà e l’impegno a prevenire la possibilità che tutti i soggetti aziendali possano commettere i reati individuati come “presupposto”. La politica è fondamentale e possono essere individuati due approcci differenti:
- politica con approccio “tattico”: presa la decisione di implementare un mog, il vertice aziendale esegue una iniziale e minuziosa fotografia di tutti i processi aziendali, definita “analisi iniziale”, e in base a tutti i rischi di commissione di reato presupposto riscontrati, stabilisce un metodo comune d’intervento per focalizzare gli obiettivi che si impegna formalmente a raggiungere;
- politica con approccio “strategico”: in questo caso il vertice aziendale, indipendentemente da un’analisi iniziale, definisce “a priori” la propria visione generale dell’azienda, i valori fondamentali in cui risiede il suo “credo”, la sua strategia. Subito dopo, il vertice aziendale valuta le condizioni della propria organizzazione e, in armonia ai propri valori, sceglie la più opportuna metodologia dell’intervento da porre in essere, ovvero indica quali sono gli obiettivi che vorrebbe raggiungere, come e cosa intende fare per ottenerli e assume un impegno “morale” di miglioramento continuo. I contenuti di una politica aziendale di un mog comportano sempre l’“impegno” dell’alta direzione: – a rispettare e applicare integralmente la legislazione cogente; – a prevenire la commissione dei reati presupposto, attraverso l’individuazione di aree a rischio e azioni di continuo di miglioramento; – a verificare periodicamente e ad aggiornare la politica.
LA MATRICE DELLA RESPONSABILITÀ
Per attuare quanto indicato nelle fasi 1 e 2 è necessario realizzare una matrice delle responsabilità (ovvero, “chi fa cosa”), cioè devono essere individuati i processi sensibili, ovvero a “rischio di reato”, effettivamente presenti nella propria realtà aziendale. Ogni processo riporta le proprie singole attività. Per ogni attività svolta nel singolo processo dovranno anche essere definite le procedure contenenti gli specifici protocolli di controllo e di prevenzione riguardanti:
- la formazione e l’attuazione delle decisioni;
- le modalità di gestione delle risorse finanziarie;
- gli obblighi di informazione all’organismo di vigilanza. È buona norma, come ben riportato nella guida Ance 2013, esplicitare sempre:
- chi: indicare il nominativo del responsabile dello specifico protocollo di controllo;
- come: precisare il criterio da seguire per applicare il protocollo;
- dove: definire in che modo è registrato il controllo (registro, verbali eccetera)
- quando: definire la fase temporale di esecuzione del controllo
VDR: GAP ANALYSIS
Per l’attuazione della fase 3 e per la finale fase 4 è fondamentale avere una buona valutazione del rischio. Occorre premettere che l’insieme dei processi mirati al consolidamento dell’immagine aziendale nel rispetto delle norme costituisce la cosiddetta “compliance aziendale”. In altre parole, tutto quello che, in generale, interviene al fine di non incorrere in sanzioni che potrebbero danneggiare la reputazione dell’azienda nei confronti dei clienti, dei partner e di tutti gli stakeholder (cosiddetti, portatori d’interesse). Questo significato di compliance è utilmente applicabile nelle aziende del settore delle costruzioni in quanto, in quest’ambito, la reputazione è un elemento imprescindibile nella conduzione dell’azienda. La differenza tra la compliance e l’internal auditing consiste nel fatto che quest’ultimo è solo uno dei processi della stessa finalizzato al controllo trasversale tra le varie funzioni aziendali, per lo sviluppo dell’attività di prevenzione e lo stimolo per l’attuazione delle buone prassi, ovvero tutte attività che salvaguardano l’immagine e la reputazione aziendale nel tempo. Conseguentemente, è chiaro che, dal punto di vista operativo-funzionale, nel mog gli obiettivi aziendali saranno, in sintesi:
- obiettivo 1: efficacia ed efficienza delle attività operative;
- obiettivo 2: attendibilità delle informazioni di bilancio;
- obiettivo 3: conformità a leggi e regolamenti. Fatta questa premessa, è evidente che, ai fini dell’elaborazione di un modello esimente, emerge la necessità di una valutazione del rischio ben strutturata, costruita in base a concetti di risk management e risk assessment. «Per “rischio” si intende qualsiasi variabile o fattore che nell’ambito dell’azienda, da soli o in correlazione con altre variabili, possano incidere negativamente sul raggiungimento degli obiettivi indicati dal decreto 231 (in particolare all’art. 6, comma 1, lett. a); pertanto, a seconda della tipologia di reato, gli ambiti di attività a rischio potranno essere più o meno estesi»[1]. Pertanto, è fondamentale individuare le attività nel cui ambito possono essere commessi reati. Questa visione evidenzia due aspetti fondamentali del rischio:
- aspetto regolamentare, che rappresenta la conseguenza diretta della violazione;
- aspetto reputazionale, che ne rappresenta la conseguenza indiretta
In sintesi, l’applicazione delle tecniche di risk assessment configura un intervento che inizia dai processi operativi aziendali con l’obiettivo i valutarne il grado di rispondenza alle norme e si conclude con la predisposizione del piano di interventi correttivi/migliorativi per eliminare il gap riscontrato.
RISCHIO INERENTE O LORDO
A ogni rischio di non conformità derivante da un requisito normativo identificato tramite le attività di pre-assessment, si attribuisce un valore potenziale, detto “rischio inerente” o “rischio lordo” che si basa su:
- frequenza (o probabilità) del rischio: frequenza di accadimento dell’evento rischioso in grado di influire negativamente sul raggiungimento degli obiettivi di conformità;
- peso (o impatto) del rischio: impatto economico – patrimoniale dell’evento rischioso.
I valori di peso e di frequenza, così come i punteggi relativi attribuiti, devono essere congruenti con i criteri adottati dalle funzioni di revisione interna e risk management. È anche necessario decidere, fin da questa fase, se un indice di rischiosità “basso” o “trascurabile” implica necessariamente che non sia intrapresa alcuna ulteriore azione di assessment. Il processo sistematico di valutazione del “rischio potenziale” di commissione di un reato presupposto, denominato appunto “risk assessment”, può essere riassunto, quindi, come il processo di stima dei fattori di rischio associati alle specifiche attività dell’impresa di costruzione. L’intervento può essere definito di “compliance risk assessment” e sarà articolato nelle seguenti attività:
- valutazione del rischio inerente (o rischio lordo) – rischio implicito nella natura stessa dell’attività e presente in ogni business, prodotto o processo. La sua stima non tiene in considerazione i controlli eventualmente esistenti;
- valutazione di adeguatezza dei controlli in essere – valutazione ex ante circa l’esistenza di controlli per la mitigazione del rischio e il loro grado di copertura;
- determinazione del rischio residuo (o rischio netto) – è il rischio che rimane dopo l’applicazione dei controlli di cui alla fase precedente. In questa fase, nella stima del rischio residuo, si tiene generalmente conto dell’esistenza di controlli, ma non necessariamente della loro efficacia o continuità di applicazione.
NEL SETTORE DELLE COSTRUZIONI
Ai fini dell’attuazione della fase 4, è possibile puntualizzare alcuni aspetti tra “mog 231”, sgsl e D.Lgs. n. 81/2008, perché spesso in fase applicativa, ancora oggi, si fa un po’ di confusione, con gravi conseguenze in casi di contenzioso. Per una piccola e media impresa del settore delle costruzioni è opportuno considerare che:
- attuare un “mog 231” significa considerare tutti i reati-presupposto dell’elenco di cui al D.Lgs. n. 231/2001. Se l’impresa sceglie l’implementazione di un modello parziale potrà avvantaggiarsi del beneficio esimente della responsabilità amministrativa solo se il modello risulterà idoneo a gestire la prevenzione della tipologia di reati contemplati, ma per i restanti reati, previsti dal D.Lgs. n. 231/2001 e non inclusi nel modello, non potrà godere di alcuna possibilità esimente;
- per le attività svolte tipicamente da pmi nel settore delle costruzioni, molti dei reati-presupposto non risultano configurabili e, infatti, molte scuole di pensiero considerano che la valutazione del “rischio 231” possa essere incentrato solo sui reati di omicidio colposo e lesioni gravi o gravissime (art. 300, D.Lgs. n. 81/2008), commessi con violazione delle norme antinfortunistiche (art. 25-septies), sui reati commessi nei rapporti con la pubblica amministrazione (art. 25), su alcuni reati societari (art. 25-ter) e sui reati ambientali (art. 25-undecies);
- il D.Lgs. n. 81/2008 è focalizzato sull’incolumità dei lavoratori sui luoghi di lavoro, avendo quali obiettivi la prevenzione degli infortuni e delle malattie professionali, prevedendo, a tal fine, molti reati sanzionati come funzione preventiva rispetto al rischio di infortunio o di malattia professionale, che non costituiscono “illecito rilevante ai sensi del D.Lgs. n. 231/2001”;
- vi è una differenza sostanziale tra il mog come inteso nel D.Lgs. n. 231/2001 e l’art. 30, D.Lgs. n. 81/2008. In particolare, occorre precisare che un sgsl non costituisce di per sé stesso un “mog 231” per la prevenzione dei reati ex D.Lgs. n. 231/2001 (anche se vi sarà la presunzione di conformità per le parti corrispondenti ai requisiti elencati all’art. 30, comma 1, D.Lgs. n. 81/2008) perché sarà privo di altri elementi essenziali richiesti dal D.Lgs. n. 231/2001 quali, per esempio, l’organismo di vigilanza, il codice etico, l’introduzione di un sistema disciplinare specifico;
- un “mog 231” correttamente adottato può avere, invece, efficacia esimente anche in assenza di un sgsl.
CONCLUSIONI
Sono state fornite le indicazioni essenziali per una corretta predisposizione di un mog ai sensi del D.Lgs. n. 231/2001, specifico e pertinente per le pmi, utilizzando a titolo esemplificativo un caso inerente al settore delle costruzioni. Per le attività svolte tipicamente dalle piccole e medie imprese nel settore delle costruzioni, molti dei reati-presupposto non risultano configurabili. Da questo, a seconda della tipologia di impresa, la stessa può optare per un “mog completo” redatto in conformità del D.Lgs. n. 231/2001 oppure può optare per un “mog parziale”. In conclusione, non esiste un modello di organizzazione comune applicabile a tutte le pmi, in generale, e, in particolare, per le imprese di costruzioni che spesso sono delle micro-imprese.
È necessario predisporre, di volta in volta, un “abito” organizzativo appropriato che tenga conto dell’attività e dei rischi conseguenti per ogni singola impresa secondo l’impostazione e la sensibilità dei vertici aziendali.