Uno degli strumenti più importanti a disposizione degli O.d.V. per attuare la vigilanza sui Modelli è sicuramente l’audit che, a differenza dei flussi informativi e delle segnalazioni, permette di attuare una verifica diretta che consente a sua volta all’O.d.V. di verificare i principi di adeguatezza ed effettività del Modello e della sua attuazione, oltre che verificare informazioni e fatti recapitati da soggetti terzi.
Gli obiettivi dell’audit, i processi sensibili ed il rendiconto finale assumono, dunque, una valenza molto significativa soprattutto nel caso dei reati colposi o, come capita di classificare i reati in tema di salute, sicurezza e ambiente, dei cosiddetti reati “tecnici”.
L’approccio da seguire dev’essere applicabile sia per i reati in tema antinfortunistico che per quelli in tema ambientale. Le norme volontarie a supporto sono molto simili anche se con alcuni importanti distinzioni: l’articolazione delle richieste legislative in tema 231 per i reati antinfortunistici è meglio declinata e i processi sensibili meglio definiti rispetto a quanto avviene in tema ambientale (si veda l’art. 30 del d.lgs. 81/2008).
Inoltre, i sistemi di gestione volontari sono espressamente richiamati nella legislazione in tema di salute e sicurezza sul lavoro come esimente per la parte corrispondente (D. Lgs.81/2008, art. 30, comma 5) mentre i sistemi di gestione volontari in tema ambientale, quali la norma UNI EN ISO 14001:2015 e il Regolamento EMAS, non trovano nella legislazione e in giurisprudenza un collegamento diretto col tema 231.
Entro un paio di anni, infatti, la norma certificabile BS OHSAS 18001:2007 richiamata nell’art. 30 del D.lgs. 81/2008 non sarà più spendibile in quanto sarà ritirata dal mercato a favore della nuova UNI ISO 45001:2018. Fino a quando quest’ultima non sarà recepita dal Testo Unico della Sicurezza, non potrà essere considerata automaticamente esimente in analogia con quanto oggi avviene per la norma sui sistemi di gestione ambientali.
Obiettivi dell’audit in tema di salute e sicurezza sul lavoro
Come per gli altri reati, anche nell’ambito della salute e sicurezza l’obiettivo degli audit rimane quello di verificare in modo attivo e diretto (a differenza dei flussi informativi, come si è già detto) se i processi sensibili per la commissione del reato 231 sono o non sono correttamente presidiati dall’Ente. Se ben fatti il risk assessment e la gap-analysis, la scelta dei processi sensibili nell’ambito del reato oggetto dell’audit deriverà dall’esito dell’analisi iniziale fatta in previsione della redazione ovvero dell’aggiornamento del Modello 231. Tale analisi dovrà anche presentare una “pesatura” del rischio secondo criteri che sono stati identificati e dichiarati direttamente nel Modello 231.
L’audit dovrebbe sempre avere come obiettivo, fatta salva la prerogativa di autonomia di azione da parte dell’OdV, la verifica del principio di adeguatezza e quello di effettività del Modello e dei suoi protocolli (procedure) di controllo.
Si raccomanda quindi, di prendere visione del risk assessment e della gap-analysis per capire i criteri di classificazione e graduazione del rischio.
Tenuti presenti questi criteri che saranno alla base degli obiettivi di audit, si ricorda che i processi sensibili in tema di salute e sicurezza sul lavoro sono quelli elencati nell’art.30 del D. Lgs.81/2008 comma 1, lettere dalla a) alla h).
Per ciascuno dei processi richiamati si deve valutare se:
- Le procedure sono state formalizzate.
- Sono stati definiti i ruoli e le responsabilità dell’Organizzazione.
- È stata fatta una segregazione delle funzioni.
- Le procedure sono state diffuse a tutta l’Organizzazione che le deve conoscere e attuare.
- È stata data piena attuazione agli adempimenti legislativi correlati alle specifiche attività o processi.
- È stata fatta la sorveglianza e avviate misurazioni della specifica attività o processo.
- Esiste un sistema di gestione delle carenze riscontrate sulla specifica attività o processo.
- La specifica attività o processo è gestita tramite contratti con terze parti.
Non è auspicabile un approccio di audit sistemico, orientato unicamente o principalmente alla verifica della norma volontaria di riferimento o della legislazione vigente, posto che la sola verifica dell’applicazione della norma volontaria non è da sola indice di un buon modello 231.
Gli audit 231 possono essere svolti dagli Organismi di Certificazione, ma è importante che gli OdV o gli Enti che incaricano i consulenti esterni facciano una attenta verifica dell’esperienza reale dei soggetti su questa attività specifica, magari prendendo visione di uno o più report di audit 231 fatti presso altre realtà.
Processi sensibili da verificare
Un audit 231 sui reati in tema di salute e sicurezza potrebbe abbracciare tutti i processi sensibili, secondo quanto richiamato dall’art.30 del D. Lgs.81/2008 oppure essere orientato ad alcuni di essi, anche in funzione dell’esito del risk assessment e della gap-analysis condotte per la predisposizione del Modello. Un’altra possibilità potrebbe derivare dalla necessità di svolgimento di un audit a seguito di una segnalazione, anonima o meno, della commissione del reato o presunto tale. Indipendentemente dalla motivazione per cui l’OdV avvia un audit 231, ricordiamo che per i reati in tema di salute e sicurezza i processi sensibili sono facilmente identificabili proprio analizzando l’art.30 del D.Lgs. 81/2008 e precisamente:
- rispetto degli standard tecnico-strutturali di legge relativi ad attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici;
- valutazione dei rischi e di predisposizione delle misure di prevenzione e protezione conseguenti;
- attività di natura organizzativa, quali emergenze, primo soccorso, gestione degli appalti, riunioni periodiche di sicurezza, consultazioni dei rappresentanti dei lavoratori per la sicurezza;
- sorveglianza sanitaria;
- informazione e formazione dei lavoratori;
- vigilanza con riferimento al rispetto delle procedure e delle istruzioni di lavoro in sicurezza da parte dei lavoratori;
- acquisizione di documentazioni e certificazioni obbligatorie di legge;
- periodiche verifiche dell’applicazione e dell’efficacia delle procedure adottate.
Si prenda quale esempio il processo sensibile relativo alla gestione dell’attività di informazione e formazione dei lavoratori.
– Requisiti da verificare:
Formalizzazione della procedura: è stata definita approvata ed aggiornata una procedura che disciplini l’informazione, la formazione e addestramento dei lavoratori, dei loro rappresentanti, dei preposti e dirigenti?
Ruoli e responsabilità: tale procedura identifica in maniera chiara i ruoli e le responsabilità delle funzioni coinvolte nella gestione del processo?
Segregazione delle funzioni: esiste una chiara segregazione delle funzioni coinvolte nel processo?
Diffusione della procedura: la procedura è formalmente diffusa a tutte le risorse/funzioni coinvolte nella gestione della formazione/addestramento dei lavoratori, dei loro rappresentanti, dei preposti e dirigenti? È previsto un adeguato training alle funzioni coinvolte?
Applicazione della legislazione alla specifica attività/processo: gli adempimenti legali relativi alla formazione e all’addestramento dei lavoratori, dei loro rappresentanti, dei preposti e dirigenti sono conformi ai requisiti previsti?
Gestione degli adempimenti relativi a sorveglianza e misurazione della specifica attività/processo: gli adempimenti relativi alla sorveglianza e misurazione (es. esigenze formative per mansione; esigenze formative rispetto all’Accordo Stato Regione; valutazione della comprensione della formazione; scadenze della formazione e pianificazione del relativo re-training; etc.) per il processo in oggetto, sono stati pianificati, effettuati e registrati secondo un programma di lavori predefinito?
Gestione carenze riscontrate: sono state registrate non conformità o carenze relative al processo in oggetto? Se sì, sono state identificate le azioni correttive volte a rimuovere le cause dell’accadimento e le stesse sono state verificate essere state efficaci?
Gestione contratti con terze parti: esistono attività in appalto che comprendono il processo in oggetto? Se sì, la gestione dell’appalto è coerente con quanto previsto dalla procedura?
Nello svolgimento degli audit 231 è, altresì, necessario verificare anche l’adeguatezza del Codice Etico, laddove predisposto, della Parte Generale, della Parte Speciale, del sistema disciplinare, etc. per accertare se il Modello risulta ancora adeguato e aggiornato rispetto all’evoluzione legislativa, alle modifiche organizzative e ai processi/attività mappati e descritti nel documento.
Nel corso delle verifiche l’analisi dei processi si svolgerà secondo il normale principio degli audit e, precisamente attraverso:
- l’analisi documentale delle regole formalizzate (procedure, istruzioni operative, disposizioni interne, etc.) e delle evidenze di attuazione (moduli, registrazioni, stampati, etc.);
- interviste delle funzioni interne rilevanti ai fini dei presidi di controllo per il rispetto degli obblighi di legge e delle regole interne (personale operativo interno ed esterno, preposti, dirigenti, appaltatori, etc.);
- sopralluoghi degli ambienti di lavoro, delle aree comuni che potrebbero portare a possibili impatti in tema di sicurezza sul lavoro, delle aree sensibili ai fini della commissione delle violazioni delle regole e del Modello.
Report all’esito dello svolgimento degli audit
Completata l’attività di audit, anche in funzione degli obiettivi per cui l’audit è stato commissionato, l’auditor deve esprimere una valutazione complessiva di quanto rilevato, rappresentando all’OdV in quale misura il Modello nella sua articolazione ovvero i processi analizzati sono adeguati ed effettivamente attuati per prevenire il reato in questione.
Normalmente, oltre alla carenza o potenziale carenza di presidio rilevata, è fondamentale identificare e suggerire anche delle possibili soluzioni per risolvere il limite rilevato.
Sarà poi l’OdV a segnalare al CdA il piano di azioni per la risoluzione dei gaps rilevati e si farà carico di monitorare nel tempo la loro risoluzione.
