Tabelle per effettuare l’analisi dei rischi dei sistemi 231

L’analisi del rischio di reato è un’attività che ha in primo luogo l’obiettivo di individuare e contestualizzare il rischio di reato in relazione all’assetto organizzativo e all’attività dell’ente.

In secondo luogo, attraverso tale attività si possono ottenere informazioni utili a supportare le scelte dell’organo dirigente in merito alle azioni di adeguamento e miglioramento del modello di organizzazione, gestione e controllo dell’ente rispetto alle finalità preventive indicate dal D. Lgs. 231/2001 (quali i livelli di esposizione ai singoli rischi di reato).
L’analisi del rischio di reato consiste nella valutazione sistematica dei seguenti fattori:

Probabilità della Minaccia, ovvero la probabilità che un evento illecito accada: è la frequenza di accadimento di una Minaccia, ovvero di un’azione, un’attività, un processo o un potenziale evento nocivo che, in funzione della fattispecie di Reato, rappresenta una possibile modalità attuativa del Reato stesso
Impatto, ovvero il possibile danno derivante dalla realizzazione di un fatto di un reato: è il danno conseguente alla realizzazione di un reato in termini di sanzioni, conseguenze economiche, danni di immagine, così come determinati dal legislatore o raffigurabili
Livello di Vulnerabilità, ovvero il livello di debolezza aziendale di natura etica od organizzativa: le vulnerabilità possono essere sfruttate per commettere Reati e consistono nella mancanza di misure preventive o in un clima etico aziendale negativo, che rendono possibile l’accadimento di una minaccia e la conseguente realizzazione del Reato
Rischio di Reato: è la probabilità che l’ente subisca un danno determinato dalla commissione di un Reato attraverso le modalità attuative che sfruttano le vulnerabilità rappresentate dalla mancanza delle misure preventive o dal clima etico e organizzativo negativo

La valutazione del rischio può essere espressa nella seguente formula:

Rischio di Reato = F(Probabilità della Minaccia * Vulnerabilità * Impatto,)

L’analisi dei rischi è naturalmente la parte centrale di tutto il sistema di gestione per la responsabilità amministrativa.

Il consulente, utilizzando la modulistica compresa nel pacchetto documentale Procedure 231, potrà secondo gli indici di probabilità e danno, calcolare l’entità del rischio che determinerà l’applicazione di eventuali azioni preventive e correttive.

Nella tabella sono indicati:

Il riferimento all’Articolo del D.Lgs. 231/01
Il possibile reato che si commetterebbe violando l’articolo
Il tipo/fattore di rischio che comporterebbe la violazione dell’articolo
Il riferimento agli articoli del Codice Penale e Civile connessi
Un campo annotazione, da utilizzare per identificare il processo che è a rischio reato
Il riquadro dove indicare l’indice di probabilità (P) che tale reato venga commesso
Il riquadro dove indicare l’indice di danno (D) che la commissione del reato comporterebbe per l’organizzazione
Il riquadro dove moltiplicare il valore della probabilità (P) per il valore danno (D) per calcolare l’indice del rischio che il reato in questione comporterebbe
Il riquadro dove il responsabile che l’azienda ha designato per l’analisi preliminare dei rischi può indicare le azioni da adottare o adottare per prevenire la commissione del reato

Naturalmente i valori numerici indicati nelle seguenti tabelle sono da considerarsi per scopo dimostrativo: la valutazione va sempre effettuata caso per caso

Per analizzare il rischio di reato si è proceduto eseguendo le fasi operative di seguito descritte:

Identificazione della fattispecie di Reato e conseguente individuazione delle minacce che permettono la commissione dei fatti di reato (in termini di condotte o attività operative)
Contestualizzazione delle minacce che permettono la commissione dei fatti di reato rispetto all’ente tramite tecniche di autovalutazione condotte da team formati da avvocati e consulenti di organizzazione aziendale
Valutazione della Probabilità delle Minaccia: Assegnazione a ciascuna minaccia di un valore probabilistico circa il verificarsi, in base ai seguenti parametri: Storia o statistica aziendale o di contesto, importanza dell’attività per l’ente o la funzione di riferimento, analisi di eventuali precedenti
Valutazione del Livello di Vulnerabilità rispetto a ciascuna minaccia, tramite l’identificazione delle misure preventive attuate e l’analisi del clima etico e organizzativo
Valutazione del possibile Impatto: Valutazione dei possibili danni derivanti all’ente in caso di commissione di Reati in termini di sanzioni pecuniarie e/o interdittive e di perdite di immagine o fatturati.

Scarica dimostrativi della sezione Analisi dei Rischi D.Lgs. 231/01

L’analisi è stata eseguita attraverso analisi documentale e tecniche di autovalutazione

Per le indagini documentali si è analizzata la seguente documentazione (o se ne è verificata l’esistenza o la non sussistenza)

METODOLOGIA DI LAVORO
Per aggiornare la mappa dei rischi si è operato con la tecnica del self assessment che ha coinvolto l management dell’Agenzia. Il metodo adottato ha consentito di identificare una serie di “ambiti” processi di particolare interesse per la prevenzione e la tempestiva individuazione di comportamenti e prassi che possono determinare la commissione di reati “231”.

L’output finale, il cui principale elemento è costituito dalla mappa dei rischi, è sostanzialmente costruito sulla base di una valutazione del “control environment” esistente in Afol Sud Milano
e da successivi approfondimenti negli ambiti indicati nelle tabelle relative ai conti patrimoniali / economici, ai processi e alle unità organizzative considerati sensibili ai fini del D.Lgs. 231/2001. Lo scopo è, appunto, quello di indicare gli “ambiti” che vanno comunque sempre tenuti sotto monitoraggio attivo a prescindere dalla bontà del livello di controllo in essi presente. Per la formazione di dette tabelle si è proceduto a:

Selezionare i conti contabili attraverso i quali può essere veicolato o alimentato un illecito “231”
Identificare i processi e le attività “sensibili” nei quali è più opportuno che siano presenti specifici strumenti di controllo (procedure, indicatori di anomalie, etc.) idonei a prevenire la
commissione di illeciti “231”
Individuare le funzioni e le unità organizzative (centri di costo / profitto) eventualmente più esposte ai reati “231”

Rosso Situazione critica
E’ relativa a fatti che si sono concretamente realizzati. I fatti richiedono un tempestivo intervento del management per mitigarne gli effetti e risolvere le cause all’origine. È opportuno che le raccomandazioni siano soggette a sistematico ed immediato follow-up.

Arancione Situazione tendenzialmente critica
I fatti potrebbero evolvere sfavorevolmente verso anomalie gravi. Le situazioni sono solitamente riferite a carenza di controllo o di non “conformità” rispetto a linee guida, procedure aziendali (es. Codice di Condotta), regolamenti e norme di legge. È opportuno che le raccomandazioni siano oggetto di sistematico follow-up.

Giallo Situazione sostanzialmente sotto controllo
E’ comunque un ambito di attenzione al fine della conformità a norme interne ed esterne. L’attuazione di raccomandazioni può, con probabilità, mitigare e ridurre situazioni di rischio che, in futuro, potrebbero insorgere. La “debolezza” è solo “potenziale” ma è possibile che possa inficiare il buon grado di controllo presente nell’ambito aziendale. La Direzione Aziendale può anche decidere di accettare il “rischio”. Il monitoraggio di raccomandazioni e proposte è comunque opportuno, con periodici follow-up.

Verde Situazione sotto controllo
I fatti possono comunque far emergere opportunità di miglioramento e proposte. Il contesto è comunque ben regolato con norme e/o prassi e posto sotto controllo. Possibili follow-up anche non a breve.
L’ analisi e valutazione dei rischi di reato
Nella costruzione di un Modello Organizzativo, fondamentale è la fase di identificazione delle ipotesi di reato, dato che da questa mappatura discende poi la quantità e la qualità delle misure preventive intraprese al fine di prevenire la singola fattispecie di reato.

Parte integrante del Modello è quindi la procedura di analisi e valutazione dei rischi che definisce le modalità con cui i singoli reati richiamati dal D.Lgs.231/2001 devono essere analizzati e quindi valutati al fine di individuare le aree di rischio attribuendo alle stesse una priorità di intervento. L’analisi mira ad individuare le attività sensibili, cioè i processi aziendali nel cui ambito possono essere commesse le tipologie di reato considerate dal D.lgs. 231/01, con identificazione delle funzioni e dei processi coinvolti.

La valutazione del rischio di commissione dei reati è svolta attraverso interviste mirate con il personale preposto ai processi interessati. Durante le interviste il personale qualificato incaricato della valutazione ha cura di raccogliere evidenze oggettive volte a suffragare la valutazione con particolare riguardo a:

Presenza di regolamenti e procedure interne
Presenza di certificazioni di sistema (UNI EN ISO 9001, UNI EN ISO 14001, BS OHSAS 18001, SA 8000, ISO 27001, etc.) che possono attestare l’esistenza di procedure relative alla gestione di processi e delle connesse fattispecie di reato
Verifica delle registrazioni (contabili, verbali, deleghe) che possono far individuare ipotesi di reato o comunque dare evidenza di falle nel sistema organizzativo
Presenza di eventuali rapporti o verbali degli organismi di controllo
Presenza di sanzioni preesistenti relative al mancato rispetto di leggi e norme che regolano l’attività aziendale, con particolar riguardo a quelle che contemplano i reati di cui al D.Lgs.231/2001 e s.m.i. (reati presupposto)

Questa parte dell’analisi è supportata da apposite check list che contemplano le attività da analizzare per ogni processo, funzione in virtù delle fattispecie di reato che in questi processi possono essere commessi.

Per ogni reato vengono raccolti i seguenti dati:

Riferimenti normativi, descrizione della fattispecie, sanzioni (sintesi)
Mappatura delle aree a rischio (processi interfunzionali e aree/funzioni coinvolte): vengono identificate le aree dell’operatività aziendale in cui si può configurare il rischio di commissioni dei reati che comportano responsabilità amministrativa per l’ente in modo coerente a quanto presente nella mappatura dei processi aziendali interni dell’azienda.
Descrizione delle attività e delle misure organizzative attuali: per ogni reato vengono descritte le modalità di svolgimento delle attività. Viene analizzato il livello di presidio attuale. In sostanza si verifica la presenza di procedure interne che disciplinano l’operatività a rischio e la coerenza del sistema dei controlli interni. Il livello di presidio attuale viene misurato e assume i valori “scarso, sufficiente, buono”.

Valutazione del rischio: il rischio di commissione di ogni reato viene quindi classificato in base ad un indice di rischio. L’indice di rischio assume valori che vanno da 1 a 5 e viene determinato in ragione della frequenza di potenziale ricorrenza del reato e della gravità della sanzione irrogabile.

Soggetti attivi : per ogni reato vengono individuati i soggetti che possono intervenire nella commissione dello stesso.

Comportamenti e strumenti per la commissione del reato: vengono individuati i punti deboli dell’attuale modello organizzativo andando ad elencare i comportamenti a rischio e gli strumenti che possono facilitare la commissione del reato.

Proposte per il modello organizzativo: per ogni reato, ove necessario, vengono individuate proposte concrete di implementazione o di miglioramento del Modello Organizzativo.

Priorità di intervento: per ogni reato viene determinata l’urgenza di adottare i provvedimenti organizzativi suggeriti per l’implementazione del Modello organizzativo sulla base dell’indice di rischio del reato e dal livello di presidio attuale. La priorità di intervento può essere bassa, media, alta.

La valutazione consente di restituire una relazione che contiene una visione dei reati per processo e un riepilogo dei processi a rischio per reato.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Analisi dei rischi

Questo sito utilizza i cookies