Iniziamo, con questo articolo, una serie di interventi relativi agli aspetti di auditing e controllo richiesti dal Decreto Legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”. In questa prima puntata analizziamo i requisiti  relativi all’analisi dei rischi così come indicato dalle “Linee Guida” realizzate dalla Confindustria. L’articolo è diviso in due parti: nella prima vedremo il quadro di riferimento generale; nella seconda il processo di risk management in particolare.

Premessa

Nell’aprile 2002 la Confindustria ha pubblicato, sul proprio sito web, le “Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D. Lgs. n. 231/2001” (pdf,  872 K) ove vengono fornite alle associazioni ed alle imprese indicazioni di tipo metodologico su come costruire un modello organizzativo idoneo a prevenire la commissione dei reati considerati dal decreto n. 231 ed a fungere quindi da esimente dalla responsabilità e dalle sanzioni da questo previste.
La versione di seguito pubblicata delle Linee Guida fa espresso riferimento ai reati considerati dal D. Lgs. n. 231/2001 nella sua formulazione iniziale (Indebita percezione di erogazioni pubbliche, Truffa in danno dello Stato o di altro ente pubblico o per il conseguimento di erogazioni pubbliche, Frode informatica in danno dello Stato o di altro ente pubblico, Concussione, Corruzione).

Schema logico di costruzione

Le indicazioni fornite nelle Linee Guida richiedono un successivo adattamento da parte delle imprese. Ogni modello organizzativo, infatti, per poter esercitare la propria efficacia preventiva, va costruito tenendo presenti le caratteristiche proprie dell’impresa cui esso si applica. Il rischio reato di ogni impresa è strettamente dipendente dal settore economico e dell’area geografica in cui l’impresa opera. La struttura e l’articolazione del modello organizzativo dipendono poi anche dalle dimensioni dell’impresa. Le Linee Guida contengono specifiche indicazioni che consentono di adeguare i modelli alle esigenze ed alle strutture organizzative delle PMI.
Lo schema seguito nell’elaborazione delle Linee Guida per la costruzione dei modelli riprende i processi di risk assessment e risk management normalmente attuati nelle imprese e consiste:

• nell’identificazione dei rischi in relazione ai reati che possono essere commessi;
• nella progettazione di un sistema di controllo preventivo, realizzato attraverso la costruzione di un sistema organizzativo adeguato e la procedimentalizzazione di determinate attività;
• nell’adozione di un codice etico e di un sistema di sanzioni disciplinari applicabili in caso di mancato rispetto delle misure previste dal modello, al fine di conservarne l’effettività;
• nell’individuazione dei criteri per la scelta di un organismo di controllo, interno all’impresa, dotato delle funzioni necessarie, che dovrà vigilare sull’efficacia, sull’adeguatezza e sull’applicazione e rispetto del modello.

Rischi e controlli

L’art. 6, co. 2, del D. Lgs. n. 231/2001, indica le caratteristiche essenziali per la costruzione di un modello di organizzazione, gestione e controllo. In particolare, le lettere a) e b) della citata disposizione si riferiscono espressamente, sebbene con l’utilizzo di una terminologia ed esposizione estranea alla pratica aziendale, ad un tipico sistema di gestione dei rischi (risk management) .
La norma segnala infatti espressamente le due fasi principali in cui un simile sistema deve articolarsi:

• l’identificazione dei rischi: ossia l’analisi del contesto aziendale per evidenziare dove (in quale area/settore di attività) e secondo quali modalità si possono verificare eventi pregiudizievoli per gli obiettivi indicati dal D. Lgs. n. 231/2001;
• la progettazione del sistema di controllo (c.d. protocolli per la programmazione della formazione ed attuazione delle decisioni dell’ente): ossia la valutazione del sistema esistente all’interno dell’ente ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati.

Sotto il profilo concettuale, ridurre un rischio comporta di dover intervenire (congiuntamente o disgiuntamente) su due fattori determinanti:
la probabilità di accadimento dell’evento
l’impatto dell’evento stesso.

Fine prima parte
Leggi la seconda parte.

Ulteriori informazioni

Confindustria - ASFD - Affari Legali, Finanza e Diritto d'Impresa
 E-mail: m DOT panucci  AT confindustria.it

IsacaRoma link

• ISCOM: L’analisi e la gestione dei rischi nel contesto più ampio della Security Governance
• ENISA: Inventario delle metodologie di Risk Management / Risk Assessment
  
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• ENISA: il glossario del Risk Management (lettere A - E)
• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
• ISACA: Standard, direttive e procedure – l’analisi dei rischi
• AESRM: i rischi della sicurezza fisica
• Sicurezza e Compliance – l’analisi dei rischi
• ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
• Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
• KPMG: nuove sfide per la sicurezza delle informazioni
• Gestione dei rischi operativi per gli intermediari finanziari
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• COSO Enterprise Risk Management Framework

Chi è Cristina Cellucci?

Cristina  è Internal Auditor presso un primario gruppo bancario nazionale.