Analisi e mappatura dei rischi quale strumento fondamentale

Analisi e mappatura dei rischi quale strumento fondamentale per la costruzione di un “modello 231” concreto ed efficace. Evoluzione dei modelli organizzativi: l’estensione ai rischi in materia di salute, sicurezza ed ambiente Dott. Achille Tonani, RINA S. p. A. Conegliano Veneto, 13 maggio 2009

RINA SPA RINA Sp. A, Società del Gruppo Registro Italiano Navale Ø Direzione Generale e Presidenza: Via Corsica, 12 – Genova. Ø Servizi offerti: § Classificazione navale, § Certificazione (DCI), § Servizi per l’industria.

RINA Sp. A: principali servizi offerti • Classificazione navale Valutazione dello stato di efficienza e conservazione delle imbarcazioni che le Società di Assicurazione devono conoscere per stimare i rischi relativi alle navi ed ai loro carichi. • Certificazione Sistemi qualità, ambiente, sicurezza, etica, rintracciabilità della filiera agroalimentare, LCA, EPD, sicurezza delle informazioni, siti internet, marcatura CE, di prodotto, di personale, in ambito ferroviario. • Servizi per l’industria Valutazione della conformità degli impianti, dei prodotti, dei componenti, dei materiali, delle forniture alle normative nazionali ed internazionali, oltre che alle specifiche internazionali.

RINA Sp. A: le sedi u Direzione Generale Genova u 5 Distretti operativi Milano, Bologna, Roma, Napoli, Palermo u 16 Sedi locali operative Ancona, Cagliari, Catania, Prato, Genova, Livorno, Napoli, Palermo, Pescara, Ravenna, Spoleto, Torino, Udine, Venezia, Verona, Vibo Valentia Presenza territoriale RINA (Certificazione) in Italia (esclusi gli uffici navali e le agenzie)

Schemi RINA (DCI) Qualità: • ISO 9001: 2000 • UNI 10854 • UNI 10939 • DPR 179 • AVSQ’ 94 • QS 9000 • EN Supplement • TE 9000 • ISO TS 16949 • Qualità del Servizio • Rating • HACCP • Rating Basilea 2 Sicurezza: • OHSAS 18001 IT: • BS 7799 • Q-WEB Etica: • SA 8000 • D. Lgs. 231/2001 • Bilanci sociali • WRAP • BSCI • Best 4 • UCEC • Codici etici e verifiche di seconda parte • C-TPAT Ambiente: • Regolamento EMAS • ISO 14001 • ISO 14040 - EPD • “Gas Serra” Prodotto: • Marcatura CE • Certificazione di • prodotto • Direttiva Ascensori • Impianti elettrici • Agroalimentare • Cert. di filiera Trasporti e Logistica: Verifiche e servizi in regime di Accreditamento e Volontari

IL D. Lgs. 231/2001 Il decreto legislativo 08/06/2001 n. 231 ha introdotto la disciplina della responsabilità amministrativa per società, enti ed organizzazioni, con o senza personalità giuridica. Le organizzazioni possono essere ritenute responsabili di reati commessi da un proprio amministratore, dirigente o dipendente (o terzo mandatario) e possono essere soggette a gravi sanzioni pecuniarie ed interdittive. Le organizzazioni rischiano di dover rispondere come ente collettivo al giudice penale per un’ampia gamma di illeciti.

IL D. Lgs. 231/2001: i reati • Reati contro la Pubblica Amministrazione; • Reati contro il patrimonio mediante frode; • Reati contro la Pubblica Fede; • Reati Societari; • Reati contro la personalità individuale; • Reati in materia di terrorismo; • Reati di Market Abuse; • Omessa comunicazione del conflitto di interesse; • Pratiche di mutilazione degli organi genitali femminili; • Reati transnazionali; • Reati di omicidio colposo e lesioni colpose gravissime in conseguenza della violazione delle normative in materia di salute e sicurezza sui luoghi di lavoro (D. Lgs. N. 81/2008); • Reati di ricettazione, riciclaggio, impiego di denaro, beni o altre utilità di provenienza illecita (D. Lgs. 231/2007); • Reati di frode informatica.

IL D. Lgs. 231/2001: le sanzioni SANZIONI: SANZIONI • Economiche: – da 10. 329, 00 a 1. 549. 370, 00 EURO (molto più elevate nel caso di Market Abuse). • Interdittive: – interdizione dall’esercizio dell’attività; – sospensione o revoca di autorizzazioni, licenze o concessione; – divieto di contrattare con la P. A. ; – esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli concessi; – divieto di pubblicizzare beni o servizi.

Novità: ricettazione Nuovo art. 25 opties D. lgs. 231/2001 Fuori dai casi di concorso nel reato, chi, al fine di procurare a sé o ad altri un profitto, acquista, riceve od occulta denaro o cose provenienti da un qualsiasi delitto, o comunque s’intromette nel farle acquistare, ricevere od occultare, è punito con la reclusione da due a otto anni e con la multa da € 516, 00 a € 10. 329, 00. La pena è della reclusione sino a sei anni e della multa sino a € 516, 00 se il fatto è di particolare tenuità. Le disposizioni di questo articolo si applicano anche quando l'autore delitto da cui il denaro o le cose provengono non è imputabile o non è punibile ovvero quando manchi una condizione di procedibilità riferita a tale diritto.

Novità: riciclaggio L’articolo tiene conto delle raccomandazioni del GAFI e del Fondo Monetario Internazionale ed introduce una serie di misure destinate a rafforzare la strategia preventiva di contrasto al riciclaggio e al finanziamento del terrorismo, con canoni di comportamento per i soggetti destinatari degli obblighi. Nuovo art. 25 -opties D. lgs. 231/2001 Fuori dei casi di concorso nel reato, chiunque sostituisce o trasferisce denaro, beni o altre utilità provenienti da delitto non colposo, ovvero compie in relazione ad essi altre operazioni, in modo da ostacolare l'identificazione della loro provenienza delittuosa, è punito con la reclusione da quattro a dodici anni e con la multa da € 1. 032, 00 a € 15. 493, 00. La pena è aumentata quando il fatto è commesso nell'esercizio di un'attività professionale. La pena diminuita se il denaro, i beni o le altre utilità provengono da delitto per il quale è stabilita la pena della reclusione inferiore nel massimo a cinque anni.

Novità: frode informatica L’ 8 aprile 2008 con l’immissione dell’art. 24 bis all’interno del D. lgs 231/2001 è entrata in vigore una nuova disciplina per combattere la criminalità informatica, le aziende dovranno predisporre preventive ed idonee misure di sicurezza e di controllo per prevenire che al loro interno si commettano reati informatici. Il punto di partenza è l’art. 491 -bis c. p. riguardante il documento informatico qui di seguito enunciato “Se alcuna delle falsità previste dal presente capo riguarda un documento informatico pubblico o privato avente efficacia probatoria, si applicano le disposizioni del capo stesso concernenti rispettivamente gli atti pubblici e le scritture private. ”

Il D. Lgs. 231/2001: i reati di prossima introduzione Ø I Reati ambientali → disastro ambientale, inquinamento ambientale, alterazione del patrimonio naturale, della flora e della fauna; traffico illecito di rifiuti, traffico di materiale radioattivo o nucleare sono alcuni dei reati introdotti dalla Direttiva Comunitaria 99/2008. Ø Il Reato di Corruzione tra privati → mira a punire chiunque, nell’ambito della propria attività professionale, riceva o accetti la promessa di un indebito vantaggio per compiere od omettere un atto, in violazione di un dovere, cagionando con la propria condotta una distorsione della libera concorrenza.

Applicazioni del D. Lgs. 231/2001 Reati Ambientali Linee Guida ISO 9001: 2000 e ISO 14001. Corruzione OHSAS 18001, Sistema di Gestione ex D. Lgs. 231/2001 in atti privati. Aree di sviluppo e reati di prossima probabile introduzione. UNI-INAIL. Nuovo Testo Unico Sicurezza. ISO 27001, Legge n. 48/2008. Reati societari, in materia di terrorismo, transnazionali, market abuse, omessa comunicazione del conflitto di interesse, riciclaggio e ricettazione, delitti contro: P. A. , patrimonio mediante frode, Pubblica Fede e personalità individuale. Reati in materia di salute e sicurezza sul luogo di lavoro e reati informatici.

Il D. Lgs. 231/2001: l’art. 6 Al fine di annullare le conseguenze derivanti da condotte individuali illecite, le organizzazioni hanno facoltà di adottare un Modello di Organizzazione, Gestione e Controllo (“Modello 231”) che costituisce una circostanza esimente prevista dalla legge. Tale Modello 231 deve rispondere alle esigenze introdotte, al fine di dotare l’azienda di un modello organizzativo di controllo organico e preventivo, che rappresenti uno strumento finalizzato alla prevenzione dei reati previsti dal D. Lgs. 231/2001, e sufficiente ad esonerare l’ente collettivo dalla responsabilità amministrativa introdotta nell’ordinamento.

I Benefici dell’adozione del Modello 231 Dotare l’impresa di un modello organizzativo e di gestione atto a prevenire reati, costituisce una scelta strategica per l’impresa, per i soci e per gli amministratori, poiché consente all’impresa di: – – – andare esente da sanzioni ovvero di contenerne l’entità; ovviare all’applicazione di misure cautelari; perfezionare la propria organizzazione interna, ottimizzando la suddivisione di competenze e responsabilità; assicurare il rispetto degli adempimenti previsti dal Decreto Legislativo ogni qualvolta ciò venga richiesto nell’ambito dei rapporti contrattuali; evitare sanzioni o pendenze giudiziarie nei certificati pubblici che potranno essere richiesti nell’ambito di rapporti commerciali e di pratiche amministrative.

Attività di rilevazione del rischio e costruzione del Modello organizzativo: premessa A seguito del contratto con il cliente, si operano: - esame della documentazione aziendale (comunicazioni organizzative, ordini di servizio, procedure operative, statuto, ecc. ); - esame del sistema delle deleghe e delle procure; - analisi della struttura organizzativa; - pianificazione delle interviste e delle eventuali riunioni.

Rapporto di Risk Assessment e Gap Analysis A seguito delle analisi e delle interviste si redige il rapporto di Risk Assessment e Gap Analysis, così strutturato: - programma delle interviste/riunioni; - identificazione delle macroattività; - identificazione degli standard di controllo; - individuazione dei processi a rischio di reato; - analisi delle risultanze: § valutazione della probabilità di accadimento – attraverso l’uso di indici – di ogni singolo reato previsto dal D. Lgs. 231/2001; …segue

Rapporto di Risk Assessment e Gap Analysis …segue - gap analysis: § analisi dei requisiti organizzativi propri del modello, identificando le varie opzioni possibili e coerenti con le esigenze imposte dal sistema di governo esistente, minimizzando l’impatto sull’operatività del business; § valutazione dei rischi residui, individuando le azioni di miglioramento del Sistema di Controllo Interno (processi e procedure) e dei requisiti organizzativi essenziali per la definizione di un modello specifico di organizzazione; - sintesi di follow up. Allegati: - organigramma, - tabella dei processi, - tabella di analisi dei rischi.

Rapporto di Risk Assessment e Gap Analysis Definizione preventiva delle fattispecie di reato (contro la P. A. /societari/ residuali) Risk Assessment Definizione di un pacchetto di standard di controllo applicabili a ciascuna fattispecie. Individuazione dei processi e relativa distribuzione delle responsabilità sulle diverse funzioni aziendali al fine di rilevare il livello di rischio di accadimento dei reati. Gap Analysis Applicazione degli standard di controllo alle diverse fattispecie al fine di rilevare la capacità di copertura dei rischi da parte del sistema di gestione aziendale.

Rapporto di Risk Assessment e Gap Analysis PROCESSO DI RISK MANAGEMENT Il modello organizzativo e gestionale prevede, innanzitutto, la valutazione dei processi sensibili e la progettazione di un sistema di procedure di controllo. 1. MAPPATURA PROCESSI A RISCHIO 2. ELENCO RISCHI POTENZIALI (PER PROCESSO) 3. ANALISI DEL SISTEMA DI CONTROLLO ESISTENTE (PROTOCOLLI) 4. VALUTAZIONE DEI RISCHI RESIDUI (NON COPERTI DAI CONTROLLI ESISTENTI) 5. ADEGUAMENTO DEL SISTEMA DI CONTROLLO PREVENTIVO SI PROCESSO ANCORA SENSIBILE? NO RISULTATO: SISTEMA DI CONTROLLO IN GRADO DI PREVENIRE I REATI

Mappatura dei processi a rischio Ogni società deve effettuare un analisi preliminare in grado di rappresentare la propria struttura e segnalare le aree maggiormente sensibili. Maggior rilievo assumono i processi che presuppongono la gestione delle risorse finanziarie quali: – le transazioni finanziarie; – i processi di approvvigionamento di beni e servizi; – l’assunzione di personale; – la gestione di omaggi/pubblicità; – la gestione di agenti e procacciatori di affari; – la gestione della salute e sicurezza sul lavoro.

Redazione della documentazione necessaria ai fini del D. Lgs. 231/2001 - Redazione del Modello organizzativo; - Redazione del Codice Etico; - Redazione di eventuali procedure mancanti (quadro e operative); - Revisione di eventuali procedure già esistenti (quadro e operative); - Interventi di modifica della struttura organizzativa; - Rettifiche del sistema di procure e deleghe; …segue

Redazione della documentazione necessaria ai fini del D. Lgs. 231/2001 …segue - Redazione del regolamento dell’Od. V (a seguito della costituzione dello stesso); - Predisposizione di diagrammi di flusso per le Attività sensibili; - Predisposizione di eventuali regole contrattuali da imporre a fornitori e collaboratori esterni ai fini del D. Lgs. 231/2001; - Predisposizione di idonee dichiarazioni d’impegno da parte degli amministratori, dei sindaci e dei dirigenti; - Formalizzazione dei flussi informativi necessari a garantire la collaborazione tra Od. V e Servizio di Prevenzione e Protezione ed integrazione del Modelli 231 con il sistema di prevenzione degli infortuni sul lavoro.

L’Organismo di Vigilanza L‘Alta Direzione deve prevedere, nell'ambito della propria struttura, un organismo dotato della professionalità, responsabilità ed autorità per vigilare, in assoluta autonomia dai vertici dirigenziali, sul funzionamento e l'osservanza del sistema preventivo. In particolare, i compiti dell’Organismo di Vigilanza possono essere così sintetizzati: • verifica dell’osservanza del Modello da parte degli organi sociali, dei dipendenti, dei consulenti, dei fornitori, dei partner e delle società di service e coordinamento con i vertici aziendali per l’adozione di sanzioni/provvedimenti in caso di violazioni; • verifica dell’efficacia e dell’adeguatezza del Modello, nella prevenzione dei reati in relazione alla struttura aziendale; • aggiornamento del Modello, al fine dell’adeguamento dello stesso alle mutate condizioni aziendali, normative e/o socio-ambientali.

L’Organismo di Vigilanza deve essere dotato dei seguenti requisiti fondamentali: Ø Autonomia e indipendenza; Ø Professionalità; Ø Continuità d’Azione.

Le prerogative dell’Organismo di Vigilanza L’Organismo di Vigilanza deve: – accedere ad ogni informazione aziendale significativa al fine di esercitare il controllo e la vigilanza; – ricevere un costante ed esauriente flusso informativo su tutte le attività dell'organizzazione individuate dalla stessa come rischiose; – promuovere modifiche al sistema, finalizzate al mantenimento ed aggiornamento dello stesso, nonché eventuali procedure sanzionatorie; – accertarsi dell’effettiva conoscenza delle prescrizioni da parte di ogni soggetto in rapporto con l'ente e della reale e corretta applicazione delle stesse; – condurre l'attività di verifica ispettiva interna; – essere destinatario di un sistema di reporting, non gerarchico, finalizzato alla trasmissione, da parte di qualsiasi soggetto, d'informazioni circa violazioni di norme o malfunzionamenti del sistema; – relazionare direttamente il vertice esecutivo.

L’Attività di Vigilanza L’attività di vigilanza può essere svolta utilizzando una molteplicità di sistemi, anche avvalendosi di appositi strumenti informatici o prevedendo controlli casuali o a campione sulla documentazione e sulle registrazioni. Onde assicurare la continuità d’azione, è fondamentale strutturare un piano periodico di audit sul sistema, che monitori le prestazioni e verifichi il concreto e regolare funzionamento dei sistemi di controllo previsti. Tale approccio permette di verificare il livello di formazione/sensibilizzazione di tutti i soggetti che occupano posizioni chiave nel sistema di prevenzione adottato.

L’adozione e la certificazione del Sistema di Gestione 231 Azienda a Regime Ente Certificazione Delibera Cd. A Sistema di controllo e sanzionatorio Delibera Cd. A Sistema di Gestione/ Modello organizzativo Delibera Cd. A Codice Etico Volontario Da Legge

L’Attività di Formazione L'adozione dei sistemi di controllo richiesti dal D. Lgs. 231/2001 comporta una conoscenza approfondita delle norme di riferimento ed una comprensione delle implicazioni di ciò che significa tale introduzione per tutti gli attori coinvolti in termini di attività, responsabilità e processi. Noto l'ambito di riferimento, infatti, occorre approfondire le attività che competono ai singoli ruoli e le modalità applicative e gestionali attraverso le quali gli attori del sistema devono operare.

La legge 123/2007 Misure in tema di tutela della salute e della sicurezza sul lavoro e delega al Governo per il riassetto e la riforma della normativa in materia La legge 3 agosto 2007 n. 123 introduce nel testo del D. Lgs. 231/2001 i reati di omicidio colposo e lesioni personali colpose gravissime avvenuti in conseguenza della violazione delle norme per la protezione dagli infortuni sul lavoro. Per tali reati è prevista una sanzione pecuniaria non inferiore a mille quote e l’applicazione di una sanzione interdittiva di durata non inferiore a tre mesi e non superiore a un anno.

D. Lgs n. 81/2008 Le disposizioni contenute nel presente decreto legislativo costituiscono attuazione dell’articolo 1 della legge 3 agosto 2007, n. 123, per il riassetto e la riforma delle norme vigenti in materia di salute e sicurezza delle lavoratrici e dei lavoratori nei luoghi di lavoro, mediante il riordino ed il coordinamento delle medesime in un unico testo normativo.

Obblighi giuridici in base al D. Lgs n. 81 del 09/04/2008 • • Rispetto degli standard tecnico-strutturali di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici, biologici; alle attività di valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti; alle attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza; attività di sorveglianza sanitarie; formazione e informazione dei lavoratori; vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori; acquisizione di documentazioni e certificazioni obbligatorie di legge; periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate.

La Certificazione Ø L’OHSAS 18001 è una Norma Tecnica (BS). Ø La certificazione in accreditamento segue i parametri tecnici definiti dall’organismo di Accreditamento con i principali Enti Pubblici. Ø Il Regolamento SINCERT 12 prevede quale strumento operativo di interpretazione dell’OHSAS 18001 proprio le Linee Guida UNI-INAIL. Ø La certificazione accreditata è riconosciuta costantemente da numerose amministrazioni dello Stato quale elemento qualificante in sede di gara o tramite appositi finanziamenti. Ø La certificazione in questione è riconosciuta dall’INAIL per l’abbattimento del relativo premio.

Certificazione OHSAS 18001 e relativo valore processuale Ø Documentabilità dei controlli. Ø Controlli da parte di soggetti competenti e indipendenti. Ø Documentabilità del sistema (non solo con documenti di origine interna). Ø Gestione sistematica del follow-up e delle criticità emerse. Ø Coinvolgimento sistematico e documentabile del management. Ø Pervasività documentabile del sistema. Ø Evidenza dei costi sostenuti e degli investimenti pianificati ed eseguiti. Ø Documentabilità del commitment dell’Alta Direzione.

Certificazione OHSAS 18001 e relativo valore processuale … e … da ultimo Un certificato emesso, a testimonianza di un percorso lungo e continuativamente monitorato, a fronte della verifica del rispetto delle Best Practices Internazionali, da parte di un Organismo Accreditato che utilizza ispettori Certificati secondo standard internazionali riconosciuti dalla Pubblica Amministrazione.

D. D. L. SICUREZZA Emendamenti proposti al D. Lgs. 81/08: Art. 2 bis. Modifiche all’art. 30. Ma allora, i modelli ex D. Lgs. 231/2001, almeno per la parte di salute e sicurezza, saranno certificabili? Con quale valore?

Thank you for your time and attention Achille Tonani Certification and Services Division Head of Sustainability, Governance and Innovation Sector RINA S. p. A. Via Corsica, 12 Genova mobile +39 335 482686 tel. +39 010 5385301 aht@rina. org - www. rina. org