Società

L'integrazione del Modello 231 con i sistemi di gestione dei rischi aziendali: opportunità e spunti pratici

La compliance integrata consente la razionalizzazione delle attività, anche in termini di risorse impiegate, ed evita inutili e dispersive ridondanze nei controlli. L'approccio integrato è apprezzabile anche in sede processuale

di Letizia Catalano*

La gestione dei numerosi obblighi di compliance cui sono sottoposte le aziende può comportare il rischio di dover gestire una pluralità di processi secondo procedure talvolta incoerenti e controlli ridondanti o addirittura inefficienti.

Basti pensare alla sovrapposizione dei diversi sistemi di gestione che le imprese possono adottare per prevenire rischi di diversa natura quali, ad esempio, il sistema di gestione della sicurezza sul lavoro (ISO 45001), il sistema di gestione ambientale (ISO 14001), il sistema di gestione qualità (ISO 9001) o il sistema di gestione anticorruzione (ISO 37001), oppure ancora il Tax Control Framework per la prevenzione del rischio fiscale.

Si tratta di sistemi di gestione afferenti rischi differenti tra loro e che tendono a scopi diversi rispetto al Modello ex D. Lgs. 231/2001 ("Modello 231"), ma che possono entrare a far parte del sistema di "compliance 231" costituendone in qualche modo delle componenti o dei sottoinsiemi non necessari, ma certamente apprezzabili anche in sede processuale.

A questo proposito, le nuove "Linee Guida di Confindustria per la costruzione dei Modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231", aggiornate lo scorso giugno, approfondiscono il tema del rapporto tra il Modello 231 e i diversi sistemi di gestione dei rischi suggerendo alle aziende di abbandonare l'approccio tradizionale a "compartimenti stagni", in cui ogni sistema vive di vita propria senza una vera interazione con gli altri sistemi di gestione adottati dal medesimo ente, e di adottare, invece, un approccio integrato in cui le informazioni vengono più facilmente condivise e i controlli vengono ottimizzati in un'ottica di efficientamento del sistema di prevenzione dei rischi nel suo insieme.

Peraltro, i diversi sistemi di gestione facendo spesso riferimento al medesimo standard, si prestano già di per sé ad essere facilmente integrati tra di loro, prima ancora che con il Modello 231.

Proprio con riferimento ai sistemi di gestione della salute e sicurezza sul lavoro, l'integrazione tra i sistemi di gestione e il Modello 231 è stata valorizzata da tempo tanto dalla normativa quanto dalla giurisprudenza con riferimento alla prevenzione degli infortuni sul lavoro.

L'articolo 30 del D. Lgs. 81/2008, infatti, introduce i requisiti tecnici che un Modello, nella parte relativa alla salute e sicurezza, dovrebbe possedere per considerarsi idoneo.

Ma non solo: con l'art. 30 il legislatore si è spinto anche oltre stabilendo che i Modelli definiti conformemente alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) o al British Standard OHSAS 18001:2007 (sostituito, dal 2018, dalla normativa ISO 45001:2018) si presumono conformi ai requisiti dell'art. 30 per le parti corrispondenti e dunque, almeno teoricamente, idonei a prevenire la responsabilità amministrativa dell'ente in caso di infortuni.

Pertanto, il dato normativo dovrebbe già di per sé apparire favorevole alla integrazione dei sistemi di gestione dei rischi in materia di sicurezza con il Modello 231.

Tale impostazione, tuttavia, è stata valorizzata anche dalla giurisprudenza che, in più occasioni, è intervenuta a chiarire il rapporto tra i due sistemi.

In una prima sentenza, infatti, la Corte di Cassazione ha chiarito che il sistema di gestione da solo non è sufficiente per poter assolvere l'ente, ma è invece necessaria l'integrazione con il Modello 231. Quest'ultimo, invero, prevede degli elementi ulteriori che consentono all'ente di far valere in giudizio l'efficacia esimente quali, ad esempio, il sistema disciplinare, i flussi informativi e l'istituzione dell'Organismo di Vigilanza (Cass. Pen., Sez. IV, 8 luglio 2019 (ud. 28 maggio 2019) n. 29538).

In una pronuncia successiva, inoltre, è stato chiarito che la presunzione di idoneità prevista dall'art. 30, comma 5 D. Lgs. 81/08 è una presunzione relativa e non assoluta, con la conseguenza che sarà il giudice a dover verificare, caso per caso, se in concreto il sistema di gestione integrato sia effettivamente idoneo e sia stato efficacemente implementato dall'ente (Corte d'Appello Firenze, Sez. III penale, 16 dicembre 2019 (ud. 20 giugno 2019) n. 3733).

Se è stato chiarito dunque che spetta al Giudice l'ultima parola sull'idoneità del sistema di compliance integrato e sulla sua effettiva implementazione, appare però altrettanto evidente che l'adozione di un sistema di gestione dei rischi integrato con il Modello 231 possa consentire qualche beneficio processuale all'ente il quale, in caso di contestazione ex D. Lgs. 231/2001, potrà provare ad invocare quantomeno l'assenza di una colpa organizzativa.

Tale impostazione, che ha certamente il pregio di valorizzare l'integrazione dei sistemi di gestione dei rischi con il Modello 231, è stata applicata dapprima al delicato ambito della salute e sicurezza sul lavoro, ma potrebbe ben trovare attuazione anche con riferimento ad altri settori di attività e, soprattutto, a quegli ambiti ove la responsabilità ex D. Lgs. 231/2001 è stata più di frequente contestata quali, ad esempio, la tutela ambientale o la prevenzione del rischio corruttivo.

Anche in questo caso, infatti, l'adozione di un sistema di gestione (ambientale o anticorruzione) integrato nel Modello 231 potrebbe comportare dei benefici in ottica tanto prevenzionistica, quanto processuale, mirando non solo alla prevenzione dei rischi, ma anche alla costruzione di una migliore difesa processuale.

Svolte tali premesse, occorre quindi domandarsi in che modo possa realizzarsi in maniera davvero efficiente tale integrazione.

In primo luogo, l'integrazione potrebbe prendere avvio proprio dalla definizione di un'analisi dei rischi ("risk assessment") per processi aziendali in cui, partendo dai singoli processi, siano evidenziati tutti i rischi inerenti alla medesima attività aziendale (es. rischio sicurezza, rischio corruttivo, rischio qualità ecc.).

In secondo luogo, potrebbe essere opportuno richiamare espressamente, all'interno del Modello 231, i sistemi di gestione adottati dall'ente, nonché le relative procedure.

Se, ad esempio, un ente abbia adottato un sistema di gestione anticorruzione ISO 37001, tale scelta virtuosa dovrebbe essere valorizzata all'interno della Parte Speciale inerente ai reati in materia di corruzione (verso la Pubblica Amministrazione e tra privati).

Con riferimento, inoltre, alle procedure dovrebbero essere evitate inutili sovrapposizioni e adottate, invece, procedure comuni afferenti ai medesimi processi aziendali, all'interno delle quali dovrebbero confluire i controlli e le misure di prevenzione richieste non solo dai diversi sistemi di gestione dei rischi, ma anche dal Modello 231. Diversamente, la presenza di più procedure relative ai medesimi processi aziendali potrebbe comportare il rischio di creare confusione in coloro i quali sono chiamati ad applicarle con conseguente rischio di disapplicazione e, quindi, di non tenuta del sistema di compliance adottato dall'ente.

L'ultimo aspetto, non meno importante, riguarda il coordinamento e la collaborazione tra i principali soggetti aziendali interessati (es. RPCT, Internal Audit, RSGA, RSGS ecc.) e l'Organismo di Vigilanza, tanto nella pianificazione delle attività, quanto nella condivisione dei relativi esiti. Dovrebbero infatti essere organizzati momenti di condivisione del piano delle verifiche previsto da ciascun referente o organo di controllo, anche per evitare ridondanze nelle attività e negli audit dei diversi organi e favorire, laddove possibile, verifiche congiunte, in modo tale da non oberare eccessivamente le funzioni aziendali e bilanciare le esigenze di compliance con quelle di organizzazione interna.

Una volta svolte le verifiche sarà poi opportuno condividere gli esiti con i diversi organi di controllo e soprattutto con l'Organismo di Vigilanza che dovrà verificare la tenuta del sistema di compliance 231, ovvero del Modello 231, rispetto ai rilievi e a eventuali criticità emerse.

Solo attraverso questa continua attività di comunicazione e confronto, l'Organismo di Vigilanza potrà infatti dare prova di aver efficacemente esercitato l'attività di vigilanza richiesta dalla normativa.

In conclusione, l'adozione di più sistemi di gestione può rappresentare un vantaggio per l'ente tanto rispetto alla prevenzione del rischio di commissione di reati presupposto del D. Lgs. 231/2001, quanto in ottica di strategia processuale, a condizione però che venga adottato un approccio di integrazione tra i diversi sistemi di gestione dei rischi e il sistema di compliance ex D. Lgs. 231/2001.

La compliance integrata permetterebbe, infatti, innanzitutto agli enti di razionalizzare le attività, anche in termini di risorse impiegate, e di evitare inutili e dispersive ridondanze nei controlli.

In secondo luogo, il sistema integrato dei rischi consentirebbe di migliorare l'efficacia ed efficienza delle attività di compliance creando sinergie tra i diversi sistemi.

Infine, il passaggio alla compliance integrata permetterebbe una migliore condivisione delle informazioni tra i diversi organi di controllo e, di conseguenza, una migliore efficienza del sistema dei controlli e di tenuta del sistema di compliance previsto dal D. Lgs. 231/2001.

_____


*A cura dell'Avv. Letizia Catalano, Foro di Milano, esperta di compliance ex D. Lgs. 231/2001 e Organismi di Vigilanza

Per saperne di piùRiproduzione riservata ©