L’analisi dei rischi è, senza dubbio, l’asse portante nella costruzione di un modello ex dlgs 231.
Dalle conclusioni dell’analisi derivano direttamente gli elementi intorno ai quali definire le condizioni di organizzazione, gestione e controllo previste dal modello medesimo.
L’introduzione voluta dal legislatore dei reati inerenti l’omicidio e le lesioni colpose e la conseguente estensione dell’analisi a tali eventualità, ha per certi versi, semplificato il problema; infatti la materia della sicurezza e salute sui luoghi di lavoro ha da sempre (D.lgs 626/94) adottato l’analisi dei rischi quale strumento fondamentale nella definizione del documento previsto dal Decreto, cioè il Documento di Valutazione dei Rischi; in poche parole, si tratta di analizzare i rischi di infortunio ponendoli in sequenza degradante (dal più alto al più basso) adottando poi tutte le misure preventive più opportune per mitigare i rischi più alti sino a che il rischio cosiddetto “residuale” sia ritenuto accettabile e, quindi, tollerabile.
La “determinazione dell’esposizione al rischio” è uno dei modelli per quantificare i rischi :
Esposizione = probabilità x danno
Dove la probabilità esprime il numero di volte che l’evento dannoso può verificarsi, il danno invece è la quantificazione dell’evento dannoso , una volta che questo si è verificato.
Il criterio cui si è fatto cenno conduce, naturalmente, ad una valutazione del tutto convenzionale sebbene valida, in quanto la sua finalità è unicamente la graduazione dei rischi e non certo quella di determinare che un rischio “pesa” 100 anziché “80”; la graduazione consente di sottacere nella definizione del modello quei rischi valutati come residuali e per i quali si conviene, per l’appunto, di non adottare per essi alcuna misura precauzionale.
Tale occorrenza evita che il modello diventi eccessivamente oneroso (antieconomico) e che “ingessi” ben oltre il necessario il funzionamento dell’Azienda.
Fatta questa necessaria premessa è evidente che l’analisi dei rischi muove dal censimento di tutti i processi produttivi secondo un’ottica di norma tipicamente funzionale (commerciale, approvvigionamenti, amministrazione, ecc.) per identificare le attività con la più alta probabilità di commissione dei reati previsti.
Senza tema di smentita è facile affermare che, in quasi la totalità delle aziende che operano nel settore degli appalti e forniture pubbliche, l’attività commerciale è naturalmente tra quelle a più alto rischio e, pertanto, è necessario predisporre o integrare protocolli esistenti per introdurre misure volte al controllo delle attività in questione:
- Deleghe di funzioni
- Autorizzazioni formalizzate dei procedimenti
- Controlli incrociati
- Audit cadenzati.
Nella tabella a matrice con la quale determinare il risultato dell’analisi dei rischi è riportata per ogni tipo di reato l’attività a rischio ed il protocollo/procedura che disciplina responsabilità, metodi e criteri operativi per la sua conduzione.
La tabella potrebbe, in ultimo, essere integrata con un parametro che, ancorché convenzionalmente, espliciti il livello di esposizione al rischio assegnato a ciascuna tipologia di reato ed alle correlate attività a rischio.
In tal modo risulta più agevole la predisposizione e più efficace l’attuazione del modello, che sarà più “blindato” per i reati/attività cui è assegnata un’esposizione maggiore.
La normativa di cui al D.Lgs. 231/01 è orientata alla costruzione di un modello che sia effettivamente e sostanzialmente in grado di prevenire la commissione dei “reati presupposto”.
La conoscenza diretta del funzionamento dell’ente da parte di chi sviluppa il modello è tendenzialmente una garanzia che le misure anticrimine adottate ed in genere la struttura del modello siano aderenti alla specifica realtà cui sono destinati e soprattutto adeguate.
Il processo di identificazione dei rischi e di valutazione delle aree maggiormente esposte alla commissione dei reati si esplicita con la stesura del documento di mappatura dei rischi, nel quale sono individuati:
- Comportamenti a rischio
- Le aree e le funzioni interessate
- Le misure di contrasto già esistenti e quelle da adottare (procedure di controllo)
Valutare il rischio tenendo conto della probabilità e dell’impatto consente alla Direzione di organizzare le rilevazioni secondo una scala di priorità al fine di poter gestire e pianificare gli interventi da attuare.
A seguito di valutazioni soggettive è stato stimato l’impatto in base ad una scala numerica cui associare corrispondenti valutazioni del rischio espresse con giudizi:
- 0 non applicabile
- 1 non realizzabile
- 2 per rischio basso
- 3 per rischio medio
- 4 per rischio alto
Effettuata la valutazione del rischio, si è cercato di stabilire se tale livello è accettabile o se è necessario adottare misure ulteriori, al fine di ricondurre il rischio ad un livello predefinito.
Secondo la dottrina aziendalistica il livello di adeguatezza delle misure nei sistemi di controllo dei rischi fa riferimento al rapporto costi/benefici; il punto di pareggio tra il costo e il beneficio, in termini aziendali, definisce il livello di rischio accettabile in quanto un’ulteriore protezione dal rischio non risulterebbe economicamente vantaggiosa.
In generale, la normativa stabilisce che il reato non può essere imputato se, unitamente ad altre condizioni, esiste un sistema di prevenzione tale da non poter essere aggirato, se non fraudolentemente.
Con la stessa logica si fissa anche il livello di rischio accettabile.
Questa soluzione risponde alla logica della elusione fraudolenta del modello organizzativo quale esimente ai fini dell’esclusione della responsabilità amministrativa dell’ente: “le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e gestione” (art. 6, co. 1, lett. C) D.Lgs. 231/01).
Diversamente, nei casi di reati di omicidio colposo e lesioni personali colpose commessi con violazione delle norme in materia di salute e sicurezza sul lavoro, la soglia concettuale di accettabilità non può essere semplicemente quella dell’elusione fraudolenta, poiché la specifica normativa in materia prevenzionistica prescrive che i rischi devono essere integralmente eliminati in relazione alle conoscenze acquisite in base al progresso tecnico e ove ciò non sia possibile, ridotti al minimo.
In questi casi, agli effetti esimenti previsti dal D.Lgs. 231/2001, la soglia di rischio accettabile è rappresentata dalla violazione del modello organizzativo di prevenzione (e dei sottostanti adempimenti obbligatori prescritti dalle norme prevenzionistiche) nonostante la puntuale osservanza degli obblighi di vigilanza previsti dal D.Lgs. 231/2001 da parte dell’apposito Organismo di Vigilanza.
In pratica, relativamente alla prevenzione degli infortuni sul lavoro, devono essere adottate tutte le misure richieste dalle specifiche normative in materia.
Il modo più comune di controllare il rischio consiste nell’introdurre un certo numero di misure (procedure di controllo) volte a ridurre sia la probabilità che un evento avverso possa manifestarsi, sia gli effetti negativi generati nel caso in cui il reato dovesse effettivamente verificarsi.