In senso generale, il termine rischio esprime un’esposizione all’incertezza ed è stimabile in termini economici, qualitativi o quantitativi.
La capacità d’identificazione e valutazione dei rischi (Risk Assessment) e la capacità di governo dell’intero processo di gestione dei rischi (Risk Management) sono un elemento di buon governo e, quindi, di un più probabile successo della gestione aziendale.
Ogni azione umana e, a maggior ragione, l’attività legata al business, è soggetta al rischio: il governo del rischio è quindi un tratto distintivo dell’azione imprenditoriale, nonché una componente fondamentale del management.
Realizzare interventi di Risk Assessment significa quindi identificare, analizzare e valutare il rischio presente nell’ambito aziendale considerato, stimarne il valore e verificarne il livello di accettabilità, in coerenza con i criteri definiti dal management aziendale. Tale valutazione consentirà di ordinare i vari rischi secondo priorità, onde poter orientare l’attenzione del management e la scelta di soluzioni di gestione.
Tali concetti di base concernenti la valutazione e la gestione dei rischi aziendali sono appropriati anche nell’analisi dei rischi di commissione dei “reati presupposto” del Decreto.
Molteplici sono gli approcci alla gestione del rischio e numerosi sono gli standard e le linee guida internazionali di riferimento tra cui citiamo la linea guida ISO 31000:2010
In particolare, la linea guida ISO 31000 fornisce principi e indirizzi generali sulla gestione di qualsiasi tipo di rischio per ogni tipo di organizzazione; la norma si sviluppa sulla base di alcuni principi cardine quali il fatto che il risk management è parte integrante di tutti i processi organizzativi e soprattutto del processo decisionale.
Finalità della mappatura
La mappatura delle funzioni e dei processi aziendali a rischio di commissione dei “reati presupposto”, con le relative valutazioni sul grado di rischio, costituisce un elemento informativo base per l’impostazione e l’aggiornamento del Modello di Organizzazione, Gestione e Controllo, nonché per ispirare le azioni di controllo dell’Organismo di Vigilanza. Per tali motivazioni, le valutazioni sul rischio di commissione dei “reati presupposto” devono essere periodicamente aggiornate, al fine di adeguare i controlli preventivi alle dinamiche del contesto aziendale.
La fase di mappatura rappresenta, quindi, il riferimento preliminare per la valutazione e l’analisi dei rischi reato all’interno della Società.
Al termine della mappatura e dell’analisi, i risultati sono riportati all’interno di specifica modulistica aziendale.
Viene poi affidata a una seconda fase l’individuazione d’idonee misure preventive atte a mitigare il livello di rischio entro un livello di nessuna o bassa gravità ed in quanto tale “accettabile”.
Identificazione delle aree a rischio
La fase di “identificazione delle aree a rischio” deve individuare:
-le funzioni aziendali di attività dove incorrono rischi potenziali di commissione del reato
– i processi in cui i reati “presupposto” hanno possibilità di essere commessi così come stabilito nelle finalità della mappatura .
In particolare le Linee Guida di Confindustria intendono l’analisi del contesto aziendale al fine di evidenziare in quale area / settore di attività / funzione e secondo quali modalità (processi), si possono verificare eventi pregiudizievoli per gli obiettivi indicati dal Decreto.
Il Grado di valutazione “preliminare” dei Rischi Reato 231 viene così determinato:
Rischio alto :
alta possibilità di accadimento della commissione del reato (frequenti e ripetitive attività o operazioni che sono di presupposto al reato), alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari ed eventi a rischio che si sono manifestati in passato.
Rischio medio:
media possibilità di accadimento della commissione del reato (non frequenti e mediamente ripetitive attività o operazioni che sono di presupposto al reato) e medio/alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato.
Rischio basso :
bassa possibilità di accadimento della commissione del reato (poche o scarse attività o operazioni che sono di presupposto al reato) medio impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato.
Rischio non realizzabile:
reato solo teoricamente realizzabile, i valori etici di riferimento e il contesto operativo in cui la società opera sono tali da non creare le condizioni e/o non permettere e/o non tollerare la commissione di simili reati .
Rischio non applicabile:
non si rilevano le condizioni oggettive e di applicabilità normativa nella realizzazione del reato in oggetto .
In ogni caso anche i rischi valutati a un livello basso o non realizzabili, devono essere tenuti in considerazione all’interno dell’intero Modello. In particolare nel Codice Etico sono stati inseriti comportamenti generali atti a prevenire la commissione dei reati 231.
Rilevazione del sistema di controlli e mitigazione del rischio esistente
La fase di rilevazione e progettazione del sistema di controlli finalizzata alla mitigazione dei rischi esistenti, prevede la valutazione del sistema di controlli preventivi esistente (procedure di controllo), con un suo eventuale adeguamento qualora fosse insufficiente o addirittura una costruzione ex novo laddove l’ente ne fosse sprovvisto.
Il sistema dei controlli preventivi dovrà essere tale da garantire l’eliminazione o almeno la mitigazione del rischio di commissione dei reati, entro una soglia ritenuta “bassa”.
Il criterio di valutazione di un rischio residuo basso è rappresentato dalla presenza di un sistema di prevenzione (o mitigazione del rischio) tale da non poter essere aggirato se non fraudolentemente dal soggetto fisico che commette l’illecito.
Misure di mitigazione
Le misure di mitigazione sono rappresentate da presidi, sistemi procedurali, meccanismi di governance e gestione di ruoli/responsabilità/poteri, sistemi di deleghe, flussi informativi, ecc. A titolo indicativo e non esaustivo si citano le seguenti misure di mitigazione e protocolli:
- Codice Etico
- Carta dei Servizi
- Organigramma Aziendale
- Mansionari (descrizione del ruolo) e descrizioni dei requisiti minimi (competenze)
- Sistema dei poteri e delle deleghe
- Sistema sanzionatorio del modello organizzativo
- Regolamento interno
- Utilizzo di applicativi informatici ed emissione di documentazione finalizzate alla tracciabilità degli atti
- Sistema di accesso alle procedure informatiche
- Procedura per l’affidamento per contratti di acquisti e forniture di servizi
- Gestione albo fornitori
- Rimborsi spese
- Regolamento assunzione del personale
- Comportamenti nei confronti della pubblica amministrazione
- Predisposizione delle comunicazioni sociali, ai soci e ai terzi
- Indagini, verifiche comunicazioni verso la Pa
- Monitoraggi periodici dell’OdV
- Flussi informativi all’OdV e sistema delle segnalazioni all’OdV
- Piani di formazione periodici.
Conseguimento del rischio residuo
Il rischio residuo è valutato basso quando il livello di mitigazione del rischio di commissione del reato è tale (presenza di adeguate ed efficacemente attuate misure) che solo fraudolentemente possa essere commesso il reato in oggetto in violazione dei protocolli in essere.
Nel caso in cui la valutazione di accettabilità del livello di rischio residuo non sia ancora basso (e quindi accettabile), per taluni dei processi sensibili, sono proposte delle ipotesi di miglioramento su cui la Società si impegna ad intervenire per potenziare il sistema di procedure di controllo già in atto e, quindi, per ridurre il livello di rischio ad un livello ritenuto accettabile o basso.
