Il modello 231 ed il monitoraggio dei requisiti del sistema di gestione aziendale
Monitoraggio e valutazione del rischio di commissione dei reati 231/01
L’INAIL ha pubblicato il documento “Linee di indirizzo per il monitoraggio e la valutazione del rischio della commissione dei reati relativi a salute e sicurezza sul lavoro di cui al 25 septies del D.Lgs. 231/01”. Il documento rappresenta uno strumento utile per la diffusione della cultura della salute e della sicurezza e la conoscenza delle buone pratiche organizzative, tecniche e gestionali già esistenti. Contestualmente il documento si pone l’obiettivo di fornire alle imprese un supporto operativo funzionale per il monitoraggio dei requisiti del sistema di gestione aziendale in modo da avere efficacia esimente delle responsabilità amministrative delle imprese ai sensi dell’art 25 septies del D.Lgs. 231/01.
Non è sempre semplice per un’impresa individuare le modalità più opportune per una corretta organizzazione della sicurezza. La molteplicità dei rischi potenzialmente presenti e delle disposizioni normative applicabili può rendere difficile una corretta programmazione e gestione di tali aspetti.
Le Linee di indirizzo, pertanto, vogliono essere di supporto per quelle aziende che tendono a realizzare un modello organizzativo che sia il più possibile aderente al proprio contesto, da integrare all’interno dei propri processi e del sistema di gestione della salute e sicurezza sul lavoro implementato secondo la norma UNI ISO 45001. Anche le linee guida sono infatti redatte in conformità a tale norma proprio per dare la possibilità alle imprese di integrarne i contenuti all’interno del proprio sistema.
QUALE METODOLOGIA VA APPLICATA
Il documento, secondo una metodologia top down, va a identificare attività di funzione che, per la loro stessa natura, presentano un livello di rischiosità intrinseco:
- se dal processo di audit si è portati ad escludere che l’attività esaminata sia un processo sensibile relativamente ai rischi di reato, si sarà comunque dimostrato di aver preso in considerazione tale attività e la posizione dell’impresa nei suoi confronti allo stato attuale;
- se dal processo di audit l’attività esaminata viene individuata come processo sensibile, viene evidenziata la necessità di adottare azioni correttive (individuate dall’organizzazione) che possono ricondurre il processo sensibile ad un livello di rischio accettabile o nullo.
La logica di un Modello Organizzativo Integrato nei processi aziendali e rispondente alle necessità di cui al D.Lgs. 231/01 deve sostanzialmente rispondere ai seguenti requisiti:
- rappresentare le attività di funzione potenzialmente sensibili;
- consentire l’identificazione dei responsabili di processo;
- guidare nella rappresentazione della situazione “as is”;
- svolgere una valutazione oggettiva delle performances sulla base di una attenta valutazione delle condizioni di salute e sicurezza sul lavoro;
- guidare nell’identificazione ed attuazione delle azioni correttive.
COME GESTIRE LE ATTIVITÀ SENSIBILI
Individuate le attività sensibili, cioè quella attività astrattamente rischiose per la commissione dei reati, si deve passare alla valutazione della loro rischiosità mediante l’effettuazione di un attento processo di audit svolto da un esperto di prevenzione dei reati del D.Lgs. 231/01 in ambito salute e sicurezza. Il punto di partenza per l’applicazione del sistema gestionale e del modulo di prevenzione consiste nella mappatura delle aree di processo dell’Ente e delle attività sensibili che fanno parte di ciascuna area di processo.
Il percorso logico-operativo deve svilupparsi secondo i seguenti punti:
- Individuazione delle macroaree aziendali;
- Mappatura dei processi per ciascuna macroarea;
- Descrizione delle attività inerenti a ciascun processo (flow-chart);
- Individuazione delle attività sensibili, ovvero quelle che possono presentare rischi in caso di possibili deviazioni, mediante l’audit da parte di un esperto di prevenzione dei reati 231 in ambito salute e sicurezza;
- Descrizione delle possibili deviazioni dall’esecuzione corretta dell’attività;
- Descrizione delle conseguenze;
- Valutazione dei rischi per ciascuna attività.
COME VALUTARE IL RISCHIO DI REATO
Le linee guida propongono un modello di analisi del rischio che sia il meno soggettiva possibile, nel quale l’auditor non possa intervenire a propria discrezione nell’assegnazione dei valori di Probabilità e di Magnitudo fino a formare il classico diagramma di rischio in cui R=PxI.
I reati 231 sono reati colposi, quindi, risulta particolarmente importante individuare quali possano essere le condizioni che favoriscono gli elementi costitutivi dei delitti colposi e quali sono quelle che possono al contrario allontanarne il rischio. È quindi stato individuato un set di parametri attraverso i quali è possibile valutare la rischiosità di una attività sensibile in modo oggettivo, secondo un meccanismo di calcolo basato sul bilanciamento di due valori che sono indicativi di un maggiore o minore rischio.
I parametri sui quali va effettuato il processo di audit delle attività considerate sensibili sono riportati brevemente di seguito:
- Case History: vengono presi in considerazione i fatti rilevanti che possono essersi verificati nell’esecuzione dell’attività sensibile considerata e vengono valutati sia la distanza temporale che il numero di casi rilevati
- Governance: viene valutata la struttura decisionale adottata dall’organizzazione
- Atteggiamento etico: viene preso in considerazione l’atteggiamento etico dell’organizzazione, le problematiche che ne possono essere scaturite e la distanza temporale
- Stakeholder engagement: si tratta della capacità di porsi in ascolto delle persone che risultano portatrici di interessi differenti da quello dell’organizzazione ma che debbono entrare in relazione con questo affinché l’organizzazione possa perseguire i propri obiettivi, mediante la valutazione della stesura o meno di un elenco di temi materiali che incidono sugli stakeholder
- Mappatura dei Processi: si tratta di valutare, nel più generale principio di consapevolezza ed analisi del contesto dell’organizzazione, la presenza o meno un sistema di gestione certificato
- Normative specifiche: viene valutata la presenza di specifiche normative di settore che regolano l’attività sensibile in esame
- Leadership: per questo parametro l’auditor verifica se l’organigramma sia stato elaborato e se sia attinente alle funzioni previste per lo svolgimento dell’attività in esame
- Sviluppo di Procedure: partendo dal presupposto che le attività sensibili più rischiose sono per definizione quelle in cui nessuna procedura è stata emanata per regolamentare le operazioni, i ruoli, le responsabilità ed i controlli, con questo parametro si va ad individuare gli elementi interni ed esterni la cui analisi consenta di individuare i rischi e le opportunità, sviluppando procedure di sistema che adottino dei controlli destinati ad operare tenendo conto dell’output del processo di valutazione dei rischi e delle opportunità
- Dotazione di risorse: l’auditor verifica se l’attività sensibile viene eseguita da risorse necessarie e sufficienti
- Informazioni documentate: la presenza di informazioni documentate facilita il controllo, la ricostruzione dell’accaduto (in caso di incidenti) e la difesa dell’organizzazione in caso di reati
- Gestione NC e AC: l’attenzione al miglioramento continuo passa attraverso la puntuale gestione delle Non Conformità e delle conseguenti Azioni Correttive, pertanto, l’auditor deve verificare se le azioni correttive vengono attuate in ritardo da parte dell’organizzazione o addirittura a ridosso delle visite di audit di terza parte per il rinnovo della certificazione.
Al termine della fase di audit in presenza del soggetto incaricato della funzione prevista nell’organigramma, l’auditor esperto di prevenzione dei reati 231 evidenzia in una scheda di controllo le buone prassi attualmente in uso nell’azienda, le non conformità e le conseguenti azioni di miglioramento.
QUALI SONO I VANTAGGI PER LE IMPRESE
Per le organizzazioni è importante mantenere sotto controllo costante i seguenti aspetti dei sistemi di gestione e del modello organizzativo 231:
- attività sensibili e aree di processo;
- manuali dei sistemi di certificazione;
- procedure operative;
- documenti e comunicazioni;
- personale e figure operative coinvolte e relative responsabilità;
- scadenze;
- misurazioni e statistiche della rischiosità.
Tutti questi elementi risultano rilevanti per la realizzazione dei reati presupposto e diventano parte attiva del processo di prevenzione solo se integrati con tutti gli strumenti dedicati all’analisi dinamica delle attività sensibili e della relativa rischiosità.
L’attività di audit proposta dalle linee guida, se effettuata in maniera rigorosa, non punta tanto a fornire un giudizio sulla bontà organizzativa quanto a fornire all’organizzazione indicazioni utili su quali sono le aree del proprio modello organizzativo e gestionale che necessitano di diminuire i livelli di rischiosità nell’ottica del miglioramento continuo come proposto dalle norme ISO.
L’adozione della metodologia proposta dalle linee guida dell’INAIL dà migliori risultati se avviene in aziende che adottano già un Modello organizzativo e un sistema di gestionale secondo la norma UNI ISO 45001 e che fanno quindi, in generale, dell’approccio sistemico alla prevenzione di infortuni e malattie professionali una scelta strategica.