Analisi e mappatura dei rischi quale strumento
fondamentale per la costruzione di un “modello
231”
concreto ed efficace.
Evoluzione dei modelli organizzativi:
l’estensione ai rischi in materia di salute, sicurezza
ed ambiente
Dott. Achille Tonani, RINA S.p.A.
Conegliano Veneto, 13 maggio 2009
RINA SPA
RINA SpA, Società del Gruppo Registro Italiano Navale
 Direzione Generale e Presidenza:
Via Corsica, 12 – Genova.
 Servizi offerti:
 Classificazione navale,
 Certificazione (DCI),
 Servizi per l’industria.
RINA SpA: principali servizi offerti
• Classificazione navale
Valutazione dello stato di efficienza e conservazione delle
imbarcazioni che le Società di Assicurazione devono
conoscere per stimare i rischi relativi alle navi ed ai loro
carichi.
• Certificazione
Sistemi qualità, ambiente, sicurezza, etica, rintracciabilità
della filiera agroalimentare, LCA, EPD, sicurezza delle
informazioni, siti internet, marcatura CE, di prodotto, di
personale, in ambito ferroviario.
• Servizi per l’industria
Valutazione della conformità degli impianti, dei prodotti,
dei componenti, dei materiali, delle forniture alle
normative nazionali ed internazionali, oltre che alle
specifiche internazionali.
RINA SpA: le sedi

Direzione Generale
Genova

5 Distretti operativi
Milano, Bologna,
Roma, Napoli, Palermo

16 Sedi locali operative
Ancona, Cagliari,
Catania, Prato,
Genova, Livorno,
Napoli, Palermo,
Pescara, Ravenna,
Spoleto, Torino, Udine,
Venezia, Verona, Vibo
Valentia
Presenza territoriale RINA (Certificazione) in Italia
(esclusi gli uffici navali e le agenzie)
Schemi RINA (DCI)
Qualità:
•ISO 9001:2000
•UNI 10854
•UNI 10939
•DPR 179
•AVSQ’94
•QS 9000
•EN Supplement
•TE 9000
•ISO TS16949
•Qualità del Servizio
•Rating
•HACCP
•Rating Basilea 2
Sicurezza:
•OHSAS 18001
IT:
• BS 7799
• Q-WEB
Etica:
•SA 8000
•D. Lgs. 231/2001
•Bilanci sociali
•WRAP
•BSCI
•Best 4
•UCEC
•Codici etici e verifiche
di seconda parte
•C-TPAT
Ambiente:
•Regolamento EMAS
•ISO 14001
•ISO 14040 - EPD
•“Gas Serra”
Prodotto:
•Marcatura CE
•Certificazione di
•prodotto
•Direttiva Ascensori
•Impianti elettrici
•Agroalimentare
•Cert. di filiera
Trasporti e Logistica:
Verifiche e servizi in
regime di
Accreditamento
e Volontari
IL D.Lgs. 231/2001
Il decreto legislativo 08/06/2001 n. 231 ha introdotto la disciplina
della responsabilità amministrativa per società, enti ed
organizzazioni, con o senza personalità giuridica.
Le organizzazioni possono essere ritenute responsabili di reati
commessi da un proprio amministratore, dirigente o dipendente
(o terzo mandatario) e possono essere soggette a gravi sanzioni
pecuniarie ed interdittive.
Le organizzazioni rischiano di dover rispondere come ente
collettivo al giudice penale per un’ampia gamma di illeciti.
IL D.Lgs. 231/2001: i reati
• Reati contro la Pubblica
Amministrazione;
• Reati contro il patrimonio
mediante frode;
• Reati contro la Pubblica Fede;
• Reati Societari;
• Reati contro la personalità
individuale;
• Reati in materia di terrorismo;
• Reati di Market Abuse;
• Omessa comunicazione del
conflitto di interesse;
• Pratiche di mutilazione degli
organi genitali femminili;
• Reati transnazionali;
• Reati di omicidio colposo e lesioni
colpose gravi e gravissime in
conseguenza della violazione delle
normative in materia di salute e
sicurezza sui luoghi di lavoro (D.Lgs.
N. 81/2008);
• Reati di ricettazione, riciclaggio,
impiego di denaro, beni o altre
utilità di provenienza illecita (D.Lgs.
231/2007);
• Reati di frode informatica.
IL D.Lgs. 231/2001: le sanzioni
SANZIONI:
• Economiche:
– da 10.329,00 a 1.549.370,00 EURO (molto più
elevate nel caso di Market Abuse).
• Interdittive:
– interdizione dall’esercizio dell’attività;
– sospensione o revoca di autorizzazioni, licenze o
concessione;
– divieto di contrattare con la P.A.;
– esclusione da agevolazioni, finanziamenti,
contributi o sussidi e revoca di quelli concessi;
– divieto di pubblicizzare beni o servizi.
Novità: ricettazione
Nuovo art. 25 opties D.lgs.231/2001
Fuori dai casi di concorso nel reato, chi, al fine di procurare a sé o ad
altri un profitto, acquista, riceve od occulta denaro o cose
provenienti da un qualsiasi delitto, o comunque s’intromette nel
farle acquistare, ricevere od occultare, è punito con la reclusione
da due a otto anni e con la multa da € 516,00 a € 10.329,00. La
pena è della reclusione sino a sei anni e della multa sino a € 516,00
se il fatto è di particolare tenuità. Le disposizioni di questo articolo si
applicano anche quando l'autore del delitto da cui il denaro o le
cose provengono non è imputabile o non è punibile ovvero
quando manchi una condizione di procedibilità riferita a tale diritto.
Novità: riciclaggio
L’articolo tiene conto delle raccomandazioni del GAFI e del Fondo
Monetario Internazionale ed introduce una serie di misure destinate a
rafforzare la strategia preventiva di contrasto al riciclaggio e al
finanziamento del terrorismo, con canoni di comportamento per i
soggetti destinatari degli obblighi.
Nuovo art. 25-opties D.lgs.231/2001
Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce
denaro, beni o altre utilità provenienti da delitto non colposo, ovvero
compie in relazione ad essi altre operazioni, in modo da ostacolare
l'identificazione della loro provenienza delittuosa, è punito con la
reclusione da quattro a dodici anni e con la multa da € 1.032,00 a €
15.493,00. La pena è aumentata quando il fatto è commesso
nell'esercizio di un'attività professionale. La pena diminuita se il denaro, i
beni o le altre utilità provengono da delitto per il quale è stabilita la
pena della reclusione inferiore nel massimo a cinque anni.
Novità: frode informatica
L’8 aprile 2008 con l’immissione dell’art. 24 bis all’interno del D.lgs
231/2001 è entrata in vigore una nuova disciplina per
combattere la criminalità informatica, le aziende dovranno
predisporre preventive ed idonee misure di sicurezza e di
controllo per prevenire che al loro interno si commettano reati
informatici.
Il punto di partenza è l’art. 491-bis c.p. riguardante il documento
informatico qui di seguito enunciato
“Se alcuna delle falsità previste dal presente capo riguarda un
documento informatico pubblico o privato avente efficacia
probatoria, si applicano le disposizioni del capo stesso
concernenti rispettivamente gli atti pubblici e le scritture
private.”
Il D.Lgs. 231/2001: i reati di prossima
introduzione
 I Reati ambientali → disastro ambientale, inquinamento
ambientale, alterazione del patrimonio naturale, della flora e
della fauna; traffico illecito di rifiuti, traffico di materiale
radioattivo o nucleare sono alcuni dei reati introdotti dalla
Direttiva Comunitaria 99/2008.
 Il Reato di Corruzione tra privati → mira a punire chiunque,
nell’ambito della propria attività professionale, riceva o accetti
la promessa di un indebito vantaggio per compiere od
omettere un atto, in violazione di un dovere, cagionando con
la propria condotta una distorsione della libera concorrenza.
Applicazioni del D. Lgs. 231/2001
Reati Ambientali
ISO 9001:2000
e
ISO 14001.
Corruzione
UNI-INAIL.
OHSAS 18001,
Sistema di
Gestione ex D. Lgs.
231/2001
in atti privati.
Aree di sviluppo e
reati di prossima
probabile
introduzione.
Linee Guida
Nuovo Testo Unico
Sicurezza.
ISO 27001,
Legge n. 48/2008.
Reati societari, in materia di
terrorismo,
transnazionali,
market
abuse,
omessa
comunicazione del conflitto
di interesse, riciclaggio e
ricettazione, delitti contro:
P.A., patrimonio mediante
frode, Pubblica Fede e
personalità individuale.
Reati in materia di salute e
sicurezza sul luogo di
lavoro e reati informatici.
Il D.Lgs. 231/2001: l’art. 6
Al fine di annullare le conseguenze derivanti da condotte
individuali illecite, le organizzazioni hanno facoltà di adottare un
Modello di Organizzazione, Gestione e Controllo (“Modello
231”) che costituisce una circostanza esimente prevista dalla
legge.
Tale Modello 231deve rispondere alle esigenze introdotte, al fine
di dotare l’azienda di un modello organizzativo di controllo
organico e preventivo, che rappresenti uno strumento finalizzato
alla prevenzione dei reati previsti dal D. Lgs. 231/2001, e
sufficiente ad esonerare l’ente collettivo dalla responsabilità
amministrativa introdotta nell’ordinamento.
I Benefici dell’adozione del
Modello 231
Dotare l’impresa di un modello organizzativo e di gestione atto
a prevenire reati, costituisce una scelta strategica per
l’impresa, per i soci e per gli amministratori, poiché consente
all’impresa di:
–
–
–
–
–
andare esente da sanzioni ovvero di contenerne l’entità;
ovviare all’applicazione di misure cautelari;
perfezionare la propria organizzazione interna,
ottimizzando la suddivisione di competenze e
responsabilità;
assicurare il rispetto degli adempimenti previsti dal
Decreto Legislativo ogni qualvolta ciò venga richiesto
nell’ambito dei rapporti contrattuali;
evitare sanzioni o pendenze giudiziarie nei certificati
pubblici che potranno essere richiesti nell’ambito di
rapporti commerciali e di pratiche amministrative.
Attività di rilevazione del rischio e costruzione
del Modello organizzativo: premessa
A seguito del contratto con il cliente, si operano:
- esame della documentazione aziendale (comunicazioni
organizzative, ordini di servizio, procedure operative,
statuto, ecc.);
- esame del sistema delle deleghe e delle procure;
- analisi della struttura organizzativa;
- pianificazione delle interviste e delle eventuali riunioni.
Rapporto di Risk Assessment
e Gap Analysis
A seguito delle analisi e delle interviste si redige il rapporto di
Risk Assessment e Gap Analysis, così strutturato:
- programma delle interviste/riunioni;
- identificazione delle macroattività;
- identificazione degli standard di controllo;
- individuazione dei processi a rischio di reato;
- analisi delle risultanze:
 valutazione della probabilità di accadimento –
attraverso l’uso di indici – di ogni singolo reato previsto
dal D. Lgs. 231/2001;
…segue
Rapporto di Risk Assessment
e Gap Analysis
…segue
- gap analysis:
 analisi dei requisiti organizzativi propri del modello,
identificando le varie opzioni possibili e coerenti con le
esigenze imposte dal sistema di governo esistente,
minimizzando l’impatto sull’operatività del business;
 valutazione dei rischi residui, individuando le azioni di
miglioramento del Sistema di Controllo Interno (processi e
procedure) e dei requisiti organizzativi essenziali per la
definizione di un modello specifico di organizzazione;
- sintesi di follow up.
Allegati:
- organigramma,
- tabella dei processi,
- tabella di analisi dei rischi.
Rapporto di Risk Assessment
e Gap Analysis
Definizione preventiva delle fattispecie di reato (contro la
P.A./societari/ residuali)
Risk Assessment
Definizione di un
pacchetto di
standard di
controllo
applicabili a
ciascuna
fattispecie.
Individuazione
dei processi e
relativa
distribuzione delle
responsabilità
sulle diverse
funzioni aziendali
al fine di rilevare il
livello di rischio di
accadimento dei
reati.
Gap Analysis
Applicazione
degli standard
di controllo alle
diverse
fattispecie al
fine di rilevare la
capacità di
copertura dei
rischi da parte
del sistema di
gestione
aziendale.
Rapporto di Risk Assessment
e Gap Analysis
PROCESSO DI RISK MANAGEMENT
Il modello
organizzativo e
gestionale prevede,
innanzitutto, la
valutazione dei
processi sensibili
e la
progettazione
di un sistema di
procedure
di controllo.
1. MAPPATURA PROCESSI A RISCHIO
2. ELENCO RISCHI POTENZIALI (PER PROCESSO)
3. ANALISI DEL SISTEMA DI CONTROLLO ESISTENTE (PROTOCOLLI)
4. VALUTAZIONE DEI RISCHI RESIDUI
(NON COPERTI DAI CONTROLLI ESISTENTI)
5. ADEGUAMENTO
DEL SISTEMA DI
CONTROLLO
PREVENTIVO
SI
PROCESSO
ANCORA SENSIBILE?
NO
RISULTATO:
SISTEMA DI CONTROLLO
IN GRADO DI PREVENIRE I
REATI
Mappatura dei processi a rischio
Ogni società deve effettuare un analisi preliminare in grado di
rappresentare la propria struttura e segnalare le aree maggiormente
sensibili.
Maggior rilievo assumono i processi che presuppongono la gestione
delle risorse finanziarie quali:
– le transazioni finanziarie;
– i processi di approvvigionamento di beni e servizi;
– l’assunzione di personale;
– la gestione di omaggi/pubblicità;
– la gestione di agenti e procacciatori di affari;
– la gestione della salute e sicurezza sul lavoro.
Redazione della documentazione
necessaria ai fini del D. Lgs. 231/2001
- Redazione del Modello organizzativo;
- Redazione del Codice Etico;
- Redazione di eventuali procedure mancanti (quadro e
operative);
- Revisione di eventuali procedure già esistenti (quadro e
operative);
- Interventi di modifica della struttura organizzativa;
- Rettifiche del sistema di procure e deleghe;
…segue
Redazione della documentazione
necessaria ai fini del D. Lgs. 231/2001
…segue
- Redazione del regolamento dell’OdV (a seguito della
costituzione dello stesso);
- Predisposizione di diagrammi di flusso per le Attività sensibili;
- Predisposizione di eventuali regole contrattuali da imporre a
fornitori e collaboratori esterni ai fini del D. Lgs. 231/2001;
- Predisposizione di idonee dichiarazioni d’impegno da parte
degli amministratori, dei sindaci e dei dirigenti;
- Formalizzazione dei flussi informativi necessari a garantire la
collaborazione tra OdV e Servizio di Prevenzione e Protezione
ed integrazione del Modelli 231 con il sistema di prevenzione
degli infortuni sul lavoro.
L’Organismo di Vigilanza
L‘Alta Direzione deve prevedere, nell'ambito della propria struttura, un
organismo dotato della professionalità, responsabilità ed autorità per
vigilare, in assoluta autonomia dai vertici dirigenziali, sul funzionamento e
l'osservanza del sistema preventivo.
In particolare, i compiti dell’Organismo di Vigilanza possono essere così
sintetizzati:
•verifica dell’osservanza del Modello da parte degli organi sociali, dei
dipendenti, dei consulenti, dei fornitori, dei partner e delle società di
service e coordinamento con i vertici aziendali per l’adozione di
sanzioni/provvedimenti in caso di violazioni;
•verifica dell’efficacia e dell’adeguatezza del Modello, nella prevenzione
dei reati in relazione alla struttura aziendale;
•aggiornamento del Modello, al fine dell’adeguamento dello stesso alle
mutate condizioni aziendali, normative e/o socio-ambientali.
L’Organismo di Vigilanza
L’Organismo di Vigilanza deve essere dotato dei seguenti
requisiti fondamentali:
 Autonomia e indipendenza;
 Professionalità;
 Continuità d’Azione.
Le prerogative dell’Organismo di
Vigilanza
L’Organismo di Vigilanza deve:
– accedere ad ogni informazione aziendale significativa al fine di
esercitare il controllo e la vigilanza;
– ricevere un costante ed esauriente flusso informativo su tutte le attività
dell'organizzazione individuate dalla stessa come rischiose;
– promuovere modifiche al sistema, finalizzate al mantenimento ed
aggiornamento dello stesso, nonché eventuali procedure
sanzionatorie;
– accertarsi dell’effettiva conoscenza delle prescrizioni da parte di ogni
soggetto in rapporto con l'ente e della reale e corretta applicazione
delle stesse;
– condurre l'attività di verifica ispettiva interna;
– essere destinatario di un sistema di reporting, non gerarchico,
finalizzato alla trasmissione, da parte di qualsiasi soggetto,
d'informazioni circa violazioni di norme o malfunzionamenti del
sistema;
– relazionare direttamente il vertice esecutivo.
L’Attività di Vigilanza
L’attività di vigilanza può essere svolta utilizzando una molteplicità di
sistemi, anche avvalendosi di appositi strumenti informatici o
prevedendo controlli casuali o a campione sulla documentazione e
sulle registrazioni.
Onde assicurare la continuità d’azione, è fondamentale strutturare
un piano periodico di audit sul sistema, che monitori le prestazioni e
verifichi il concreto e regolare funzionamento dei sistemi di controllo
previsti.
Tale approccio permette di verificare il livello di
formazione/sensibilizzazione di tutti i soggetti che occupano
posizioni chiave nel sistema di prevenzione adottato.
L’adozione e la certificazione del
Sistema di Gestione 231
Azienda a Regime
Ente Certificazione
Certificazione
Delibera CdA
Sistema di controllo
e sanzionatorio
Delibera CdA
Sistema di Gestione/ Modello
organizzativo
Delibera CdA
Codice Etico
Volontario
Da Legge
L’Attività di Formazione
L'adozione dei sistemi di controllo richiesti dal D. Lgs. 231/2001
comporta una conoscenza approfondita delle norme di
riferimento ed una comprensione delle implicazioni di ciò che
significa tale introduzione per tutti gli attori coinvolti in termini di
attività, responsabilità e processi.
Noto l'ambito di riferimento, infatti, occorre approfondire le
attività che competono ai singoli ruoli e le modalità applicative e
gestionali attraverso le quali gli attori del sistema devono
operare.
La legge 123/2007
Misure in tema di tutela della salute e della sicurezza sul
lavoro e delega al Governo per il riassetto e la riforma della
normativa in materia
La legge 3 agosto 2007 n.123 introduce nel testo del D.Lgs.
231/2001 i reati di omicidio colposo e lesioni personali
colpose gravi e gravissime avvenuti in conseguenza della
violazione delle norme per la protezione dagli infortuni sul
lavoro.
Per tali reati è prevista una sanzione pecuniaria non
inferiore a mille quote e l’applicazione di una sanzione
interdittiva di durata non inferiore a tre mesi e non superiore
a un anno.
D.Lgs n. 81/2008
Le disposizioni contenute nel presente decreto legislativo
costituiscono attuazione dell’articolo 1 della legge 3 agosto
2007, n. 123, per il riassetto e la riforma delle norme vigenti
in materia di salute e sicurezza delle lavoratrici e dei
lavoratori nei luoghi di lavoro, mediante il riordino ed il
coordinamento delle medesime in un unico testo
normativo.
Obblighi giuridici in base al D.Lgs n.81
del 09/04/2008
• Rispetto degli standard tecnico-strutturali di legge relativi a
attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici,
biologici;
• alle attività di valutazione dei rischi e di predisposizione delle
misure di prevenzione e protezione conseguenti;
• alle attività di natura organizzativa, quali emergenze, primo
soccorso, gestione degli appalti,riunioni periodiche di sicurezza,
consultazioni dei rappresentanti dei lavoratori per la sicurezza;
• attività di sorveglianza sanitarie;
• formazione e informazione dei lavoratori;
• vigilanza con riferimento al rispetto delle procedure e delle
istruzioni di lavoro in sicurezza da parte dei lavoratori;
• acquisizione di documentazioni e certificazioni obbligatorie di
legge;
• periodiche verifiche dell’applicazione e dell’efficacia delle
procedure adottate.
La Certificazione
 L’OHSAS 18001 è una Norma Tecnica (BS).
 La certificazione in accreditamento segue i parametri
tecnici definiti dall’organismo di Accreditamento con i
principali Enti Pubblici.
 Il Regolamento SINCERT 12 prevede quale strumento
operativo di interpretazione dell’OHSAS 18001 proprio le
Linee Guida UNI-INAIL.
 La certificazione accreditata è riconosciuta
costantemente da numerose amministrazioni dello Stato
quale elemento qualificante in sede di gara o tramite
appositi finanziamenti.
 La certificazione in questione è riconosciuta dall’INAIL per
l’abbattimento del relativo premio.
Certificazione OHSAS 18001 e relativo
valore processuale
 Documentabilità dei controlli.
 Controlli da parte di soggetti competenti e indipendenti.
 Documentabilità del sistema (non solo con documenti di
origine interna).
 Gestione sistematica del follow-up e delle criticità
emerse.
 Coinvolgimento sistematico e documentabile del
management.
 Pervasività documentabile del sistema.
 Evidenza dei costi sostenuti e degli investimenti pianificati
ed eseguiti.
 Documentabilità del commitment dell’Alta Direzione.
Certificazione OHSAS 18001 e relativo
valore processuale
… e … da ultimo
Un certificato emesso, a testimonianza di un
percorso lungo e continuativamente monitorato, a
fronte della verifica del rispetto delle Best Practices
Internazionali, da parte di un Organismo
Accreditato che utilizza ispettori Certificati secondo
standard internazionali riconosciuti dalla Pubblica
Amministrazione.
D.D.L. SICUREZZA
Emendamenti proposti al D.Lgs. 81/08:
Art. 2 bis.
Modifiche all’art. 30.
Ma allora, i modelli ex D.Lgs. 231/2001, almeno per la parte di
salute e sicurezza, saranno certificabili? Con quale valore?
Thank you for your time and
attention
Achille Tonani
Certification and Services Division
Head of Sustainability, Governance and Innovation Sector
RINA S.p.A.
Via Corsica, 12 Genova
mobile +39 335 482686
tel. +39 010 5385301
[email protected] - www.rina.org