Modello 231 e Responsabilità dell’Impresa

Un approfondimento sul modello di organizzazione, gestione e controllo conforme ai requisiti del D.Lgs. 231/2001 e i vantaggi per le aziende che lo implementano

Reading Time: 6 min.
Reading time: 6 minutes

La tutela della responsabilità delle imprese passa dalla compliance integrata: sistemi di gestione e attuazione dei modelli 231.

L’integrazione tra i sistemi di gestione e il modello di prevenzione dei reati previsto dal decreto legislativo n. 231 del 2001 sta diventando una necessità organizzativa di molte aziende alla ricerca della massimizzazione dell’efficacia degli investimenti sulla compliance.

La compliance aziendale è data dall’insieme delle iniziative poste in essere dal vertice aziendale per raggiungere una ragionevole sicurezza sul fatto che le attività aziendali siano svolte nel rispetto delle normativa cui l’azienda è sottoposta e delle direttive che gli stessi vertici hanno dato.

Il rispetto delle norme e delle direttive è l’assunto principale per non incorrere, oltre che a potenziali responsabilità penali da parte di soggetti aziendali, anche per tutelare l’azienda verso la responsabilità amministrativa, prevista dal decreto legislativo n. 231 del 2001.

La responsabilità amministrativa delle società ricorre quando, a seguito della commissione di uno specifico reato penale (sono più di centoventi quelli previsti dal decreto) da parte di soggetti apicali o loro riporti, ricorrono, in estrema sintesi, le seguenti circostanze:

  • il reato sia stato commesso nell’interesse o con un vantaggio per la società (l’interesse viene valutato dal giudice ex ante, ovvero prima della commissione del reato, mentre il vantaggio ex post);
  • gli amministratori non hanno adottato, prima della commissione del fatto, un modello di organizzazione e di gestione idoneo a prevenire i reati della specie di quello verificatosi (cosiddetto “modello 231”), nominando anche un organismo incaricato di vigilare sul suo concreto funzionamento.

La responsabilità amministrativa è di tipo diretto, in quanto derivante da un            fatto proprio della società, ovvero da una colpa dell’organizzazione (così: Cass. Pen., sez. II, 20 dicembre 2005 – 30 gennaio 2006, n. 3615).

La responsabilità amministrativa ha come conseguenza diverse tipologie di sanzioni: pecuniarie (pagamento di una somma di denaro), interdittive (interdizione dall’esercizio dell’attività, sospensione o revoca di licenze, divieto di contrattazione con la pubblica amministrazione, esclusione da finanziamenti e divieto di pubblicizzare beni o servizi), confisca del profitto derivante dal reato, pubblicazione della sentenza.

Un sistema di gestione è comunemente definito come un insieme di elementi tra loro correlati per stabilire politica ed obiettivi e per conseguire gli stessi.

I più diffusi sistemi di gestione sono i seguenti:

–        sistemi di gestione della qualità (QMS): regolata dalla norma ISO 9001, garantisce ad un ente di dotarsi di una struttura in grado di gestire le proprie risorse ed i propri processi in modo da soddisfare il cliente e  mirare inoltre al miglioramento continuo;

–        sistemi di gestione ambientale (EMS): regolata dalla norma ISO 14001, è uno standard internazionale che consente di gestire i vari processi rispettando le norme ambientali dotandosi al tempo stesso di una vera e propria politica ambientale, delineando obiettivi di qualità ambientale;

–        sistemi di gestione per la salute e la sicurezza sul lavoro (OHSAS): regolata dalla norma BS OHSAS 18001:2007, assicura la gestione e la sicurezza sul lavoro.

Cui si aggiungono altri non meno rilevanti quali i sistemi di gestione per: la sicurezza alimentare (FMSM; ISO 22000:2005);  la sicurezza delle informazioni (ISMS; ISO 27000:2016); la certificazione Etica SA8000.

Le norme che regolano i sistemi di gestione, così come l’attuazione dei modelli 231, si basano su un approccio risk based,[1] ovvero richiedono di svolgere una sistematica serie di attività finalizzate alla:

  1. Identificazione e valutazione dei rischi aziendali (o risk assessment). I rischi in questione richiamano in prima analisi la conformità dell’attività operativa con la normativa (cogente o volontaria) cui l’organizzazione è sottoposta.
  2. Gestione del rischio (o risk management). Attività questa che compete al vertice aziendale ed ai suoi riporti e si manifesta attraverso chiare scelte di eliminazione, copertura, riduzione, accettazione dei rischi individuati.
  3. Monitoraggio del rischio (o risk monitoring). Attività finalizzata ad assicurare la validità dei meccanismi operativi utilizzati per l’assessment e l’efficacia delle soluzioni adottate per la gestione del rischio.

La relazione tra Modello 231 e sistemi di gestione è ben evidenziata anche da Confindustria dove si afferma che per migliorare l’efficienza dei modelli 231 sarà importante valorizzare la sinergia con la documentazione (articolata di solito in manuali interni, procedure, istruzioni operative e registrazioni) dei sistemi aziendali in materia antinfortunistica (UNI-INAIL o OHSAS 18001), ambientale (E-MAS o ISO 14001), di sicurezza informatica (ISO 27001) e di qualità (ad esempio ISO 9001, nonché le altre norme volontarie distinte per tipologia di prodotti e/o servizi offerti). [2]

L’integrazione del modello 231 con i sistemi di gestione passa inevitabilmente dall’organicità della documentazione aziendale e l’efficacia dei flussi informativi tra i vari soggetti aziendali a diverso titolo responsabili delle attività di controllo interno.

Guardando ai diversi sistemi di gestione possiamo osservare quanto segue:

  • In tema di Salute e Sicurezza del Lavoro, l’ottenimento della certificazioni UNI-INAIL o OHSAS 18001, rappresenta un valido strumento di gestione del rischio 231 di commissione dei reati di omicidio colposo e lesione colpose gravi o gravissime, commessi con violazione delle norme antinfortunistiche e sulla tutela dell’igiene e della salute sul lavoro. Tale circostanza è data dal fatto che i presidi ci controlli richiesti dell’art. 30 del d.lgs. n. 81/2008 coincidono quasi totalmente con quelli previsti per la certificazioni. Il citato articolo 30 comma 5 stabilisce inoltre che “In sede di prima applicazione, i modelli di organizzazione aziendale definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) del 28 settembre 2001 o al British Standard OHSAS 18001:2007 si presumono conformi ai requisiti di cui al presente articolo per le parti corrispondenti”. Confindustria ricorda in proposito che tale presunzione di conformità può coprire la valutazione di astratta idoneità preventiva del modello 231, non anche la verifica in ordine alla sua efficace attuazione.
  • In tema di gestione ambientale, l’adozione di un sistema certificato in conformità alla norma UNI EN ISO 14001 o al Regolamento EMAS, secondo quanto affermato da autorevoli posizioni professionali in tema 231, rappresenta uno strumento di prevenzione spendibile in giudizio, dal momento che, come riconosciuto dai competenti organismi comunitari, esso ha valore di “migliore tecnica disponibile”. Esso costituisce, inoltre, una indiscutibile “facilitazione” per l’adozione e soprattutto l’attuazione del Modello in quest’area. [3] I requisiti dei sistemi di gestione ambientale sviluppati in conformità alla ISO 140001:2015 evidenzia forti parallelismi con il modello organizzativo, così come delineato dagli articolo 6 e 7 del d.lgs. 231/2001.
  • In tema di gestione della qualità, l’ottenimento di certificazioni ISO 9001 rappresenta invece un presupposto organizzativo molto utile su cui edificare il modello previsto dal d.lgs. 231/2001. In particolare, entrambe le norme hanno molteplici punti di contatto, tra cui segnaliamo:

–      partono da una valutazione iniziale dei rischi[4], attività questa necessaria per la gestione della qualità ma anche, nello specifico per la comprensione dei rischi di commissione dei reati penali.

–      Il documento relativo alla “Politica per la qualità” previsto dallo standard ISO 9001 e il “Codice Etico” del decreto legislativo 231/01 sono dei documenti adottati dal vertice aziendale; il primo serve per comunicare sia verso l’interno che verso l’esterno dell’azienda gli indirizzi strategici per la qualità; Il secondo invece contiene una serie di comportamenti che devono essere tenuti da tutti i soggetti dell’organizzazione.  Vista anche la necessità della loro diffusione all’interno dell’organizzazione, potrebbe risultare efficace una loro gestione integrata.

–      prevedono la necessità della comunicazione e formazione del personale, per essere calati all’interno dell’organizzazione e motivare ogni soggetto dell’ente al rispetto e nell’importanza dei protocolli aziendali.

–      richiedono una sistematica attività di audit (verifica) di adeguatezza e funzionamento delle procedure aziendali. I risultati degli audit devono essere registrati in modo da farli conoscere ai responsabili delle varie aree sottoposte a verifica, in modo che questi possano mettere in atto azioni correttive qualora siano stati riscontrati dei punti deboli. Il flusso informativo coinvolge sempre il vertice aziendale, tenuto al riesame ai sensi della norma ISO 9001:2015, e destinatario dei suggerimenti dell’organismo di vigilanza ai sensi dell’articolo 6 del decreto 231/2001.

  • In tema di responsabilità sociale giova infine notare come molti dei punti sanciti nello standard internazionale SA 8000 potrebbero essere presi a riferimento per l’elaborazione del Codice Etico previsto dal d.lgs. 231/2001, circostanza questa che può favorire l’ottenimento anche della relativa certificazione SA 8000.

L’analisi delle correlazioni tra Modello 231 e Sistemi di gestione, qui brevemente descritta, intende porre enfasi sulla rilevanza strategica che una gestione della compliance integrata ha nel governo delle imprese e nella sua politica di gestione del rischio. Il Modello 231, se adeguatamente progettato e/o modificato, anche attraverso l’integrazione con i sistemi di gestione, accresce la possibilità che il modello adottato possa essere giudicato come efficacemente attuato, facendo valere l’esimente di responsabilità per la società, nel caso in cui alcuni soggetti aziendali fossero coinvolti in procedimenti penali nelle circostanze sopra descritte.

[1] Per rischio aziendale si intende un qualsiasi fatto o evento che potrebbe incidere negativamente sul raggiungimento degli obiettivi fissati dal vertice aziendale.

[2] Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del decreto legislativo 8 giugno 2001, n. 231 – Parte generale. Aggiornamento Marzo 2014, pagina 32.

[3] AODV,  Position paper: “Attività dell’organismo di vigilanza e reati di cui all’art. 25-undecies d. lgs. 231/2001 – Reati Ambientali“ – EDIZIONE 1.1 –  2 febbraio 2017.

[4] Così gli standard ISO 9001 nella versione del 2015.

 

Ti è stato utile questo articolo?

Clicca su una stella e vota l'articolo!

Voto medio / 5. Risultato: