Nella prima parte dell’articolo abbiamo analizzato i requisiti  relativi all’analisi dei rischi così come indicato dalle “Linee Guida” realizzate dalla Confindustria in relazione al Decreto Legislativo 8 giugno 2001, n. 231, recante “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”. In questa seconda parte riportiamo il dettaglio del processo di risk management proposto dalle linee guida.

La definizione di "rischio accettabile"

Un concetto assolutamente nodale nella costruzione di un sistema di controllo preventivo è quello di rischio accettabile.
Nella progettazione di sistemi di controllo a tutela dei rischi di business, definire il rischio accettabile è un’operazione relativamente semplice, almeno dal punto di vista concettuale. Il rischio è ritenuto accettabile quando i controlli aggiuntivi “costano” più della risorsa da proteggere (ad esempio: le comuni automobili sono dotate di antifurto e non anche di un vigilante armato).
Nel caso del D. Lgs. n. 231/2001 la logica economica dei costi non può però essere un riferimento utilizzabile in via esclusiva. È pertanto importante che ai fini dell’applicazione delle norme del decreto sia definita una soglia effettiva che consenta di porre un limite alla quantità/qualità alle misure di prevenzione da introdurre per evitare la commissione dei reati considerati. In assenza di una previa determinazione del rischio accettabile, la quantità/qualità di controlli preventivi istituibili è infatti virtualmente infinita, con le intuibili conseguenze in termini di operatività aziendale.
In relazione al rischio di commissione delle fattispecie di reato contemplate dal D. Lgs. n. 231/2001, la soglia concettuale di accettabilità è rappresentata da un: “sistema di prevenzione tale da non poter essere aggirato se non INTENZIONALMENTE”.
Pertanto, il sistema di controllo preventivo deve essere in grado di:

• escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali;
• evitare che, nella normalità dei casi, il reato possa essere causato dall’errore umano (dovuto anche a negligenza o imperizia) nella valutazione delle direttive aziendali.

Passi operativi per la realizzazione di un sistema di gestione del rischio

Occorre prevedere le seguenti attività:

• i.) Inventariazione degli ambiti aziendali di attività. Gli approcci possibili per lo svolgimento di tale processo sono diversi, fra i quali per attività, per funzioni, per processi. Si tratterà di identificare quelle aree che per loro natura abbiano rapporti diretti o indiretti con la Pubblica Amministrazione nazionale ed estera.
• Output di fase: mappa delle aree aziendali a rischio.
• ii.) Analisi dei rischi potenziali. L’analisi dei potenziali rischi deve aver riguardo alle possibili modalità attuative dei reati nelle diverse aree aziendali (individuate secondo il processo di cui al punto precedente).
• Output di fase: mappa documentata delle potenziali modalità attuative degli illeciti nelle aree a rischio individuate al punto precedente.
• iii.)Valutazione/costruzione/adeguamento del sistema di controlli preventivi. Si tratta, in sostanza, di progettare quelli che il D. Lgs. n. 231/2001 definisce “specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire”.
• Output di fase: descrizione documentata del sistema dei controlli preventivi attivato, con dettaglio delle singole componenti del sistema, nonché degli adeguamenti eventualmente necessari.

Le componenti del sistema di controllo

Secondo le indicazioni appena fornite, qui di seguito sono elencate quelle che generalmente vengono ritenute le componenti (i protocolli) di un sistema di controllo preventivo, che dovranno essere attuate a livello aziendale per garantire l’efficacia del modello.

• Codice etico con riferimento ai reati considerati
• Sistema organizzativo
• Procedure manuali ed informatiche (sistemi informativi)
• Poteri autorizzativi e di firma
• Sistema di controllo di gestione
• Comunicazione al personale e sua formazione.

Fine seconda parte
Leggi la prima parte

Ulteriori informazioni

Confindustria - ASFD - Affari Legali, Finanza e Diritto d'Impresa
 E-mail: m DOT panucci  AT confindustria.it

IsacaRoma link

• ISCOM: L’analisi e la gestione dei rischi nel contesto più ampio della Security Governance
• ENISA: Inventario delle metodologie di Risk Management / Risk Assessment
  
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• ENISA: il glossario del Risk Management (lettere A - E)
• ENISA: il primo database europeo per il Risk Management / Risk Assessment
• ENISA Risk Management Workshop, 13 ottobre 2006, Roma
• ISACA: Standard, direttive e procedure – l’analisi dei rischi
• AESRM: i rischi della sicurezza fisica
• Sicurezza e Compliance – l’analisi dei rischi
• ISCOM: Nuova Linee Guida sulla Risk Analysis - Approfondimenti
• Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
• KPMG: nuove sfide per la sicurezza delle informazioni
• Gestione dei rischi operativi per gli intermediari finanziari
• ISCOM - L'analisi e la gestione del rischio: principi e metodi
• COSO Enterprise Risk Management Framework

Chi è Cristina Cellucci?

Cristina  è Internal Auditor presso un primario gruppo bancario nazionale.