Il carattere tridimensionale del rischio 231 è un problema, perché il rischio 231 appare essere molto eterogeneo e molto “vasto”: dipende dalle persone che vivono dentro e fuori le organizzazioni, con i loro comportamenti e i loro interessi; dipende dalla struttura organizzativa, con il suo sistema di controlli e poteri e le sue modalità di gestione dei processi; dipende dalle sentenze dei giudici, che sanzionano i comportamenti, riconducendoli ai reati presupposto. In che modo è possibile analizzarlo e, quindi, gestirlo? Personalmente, credo che l'approccio migliore sia quello proposto nella norma ISO 31000. Ma vorrei arrivarci per gradi, senza imporre niente a nessuno, ma spiegando attraverso quale percorso sono arrivato a questa conclusione.
Inizialmente, avevo tentato una “analisi tridimensionale” del rischio 231. In base a tale analisi, il rischio 231 sarebbe il rischio che “in certi processi/certe aree aziendali siano messi in atto dei comportamenti che causano un vantaggio all’azienda, ma ledono interessi collettivi”. Questa definizione funzionava, nella misura in cui era talmente generica e disorganica, da adattarsi a una vasta gamma di casi. Quello che non era chiaro, in tale analisi, era la relazione esistente fra le tre dimensioni del rischio 231 (comportamenti, processi e interessi) in rapporto ai fattori di rischio specifici di ciascun reato presupposto. In altre parole, non era chiaro quale fosse la dimensione principale o se tutte tre fossero altrettanto importanti. Per esempio, in relazione al rischio di infortuni sul lavoro o di reati ambientali, la dimensione principale sembrava quella dei processi (esistono processi più rischiosi per l’uomo o l’ambiente di altri), in combinazione con la dimensione dei comportamenti (intesi come scelte di non vigilare sulla salubrità e sicurezza dei processi, a vantaggio dell’azienda). Al contrario, in relazione al rischio di reati di corruzione e concussione, la dimensione degli interessi è preponderante: lì i fattori di rischio sono gli interessi personali (desiderio di potere o ricchezza) del pubblico ufficiale, gli interessi dell’azienda (a vincere, per esempio, un appalto), che conducono alla lesione di un interesse collettivo. La dimensione dei comportamenti, invece, è preponderante nel reato di corruzione (in cui esiste un accordo fra le parti), ma non in quello di concussione, in cui è il pubblico ufficiale che costringe o induce qualcuno a dare denaro o benefici. E ancora, nel caso del rischio di reati contro la personalità individuale, sono preponderanti la dimensione degli interessi (= diritti umani) e dei comportamenti.
Quindi, l’analisi tridimensionale non serviva ad analizzare il rischio in modo omogeneo, ma obbligava ad analizzare e gestire in modo differenziato ogni singolo rischio di reato. Per questa ragione l’ho abbandonata e ho deciso di cercare una metodologia (o forse sarebbe meglio dire un paradigma teorico), in grado di individuare, analizzare, ponderare e gestire in modo “omogeneo” il rischio 231.
Il rischio 231 è difficilmente percepito in quanto rischio dalle imprese proprio a causa del suo carattere tridimensionale, diffuso, disorganico, variabile nel tempo. In pratica, le aziende non “vedono” il rischio 231 e quindi non sentono il bisogno di dotarsi di modelli per gestirlo. Una metodologia per la gestione del rischio 231 deve, dal mio punto di vista, rendere tale rischio visibile alle aziende, diminuendone l’apparente complessità. Inoltre, tale metodologia deve indicare chiaramente in che modo il rischio 231 è interno alle aziende ed è connesso ai loro processi.
[CONTINUA]
Scritto da Andrea Ferrarini (Consulente Modelli Organizzativi ex d.lgs 231/2001)
Scritto da Andrea Ferrarini (Consulente Modelli Organizzativi ex d.lgs 231/2001)
Nessun commento:
Posta un commento