L’analisi del rischio reato è stata articolata in aderenza alla linea guida internazionale per la “Gestione dei Rischi”
(ISO 31000:2018) e al processo di Risk Management adottato dalla Società, che gestisce i rischi a cui deve far fronte attraverso le fasi sequenziali di seguito riportate. Il processo include inoltre il continuo Monitoraggio e Riesame dei rischi (verifica dei controlli) al fine di evitare che questi degenerino senza dare possibilità alla Società di organizzarsi e mettere in atto le dovute azioni di trattamento e/o copertura:
▪ identificazione delle aree di attività più esposte al rischio di commissione dei reati considerati dal Decreto (cfr. Analisi del rischio – Attività a rischio)
▪ analisi, valutazione e trattamento del livello di rischio di commissione dei reati nell’ambito delle aree considerate significative (cfr. Analisi del rischio – Livello di rischio-Sezione 1 “Livello rischio Lordo”)
▪ verifica dei controlli già esistenti (cfr. Analisi del rischio – Livello di rischio-Sezione 2 “As-Is analysis”).
11.1 IDENTIFICAZIONE DELLE AREE DI RISCHIO E REATI APPLICABILI
Nella redazione del Modello Organizzativo è stata effettuata:
▪ l’analisi della documentazione in essere
▪ l’analisi delle aree organizzative e gestionali più esposte all’interno delle quali, per la tipologia di attività svolta potrebbero essere commessi i reati presupposto rilevanti ai fini della responsabilità amministrativa di impresa
▪ un approfondimento con i referenti dei processi
▪ ove necessarie interviste condotte con i responsabili dei processi ritenuti critici ai fini del D.Lgs 231/2001
escludendo le aree aziendali per le quali la Società ha già posto in essere i controlli considerati ai fini dell’analisi in essere.
L’analisi delle aree di attività più esposte al rischio è stata condotta su tutte le attività che prevedono un contatto e/o un’interazione tra Maticmind ed i soggetti qualificabili come Pubblici Ufficiali o Incaricati di Pubblico Servizio, nonché sulle attività potenzialmente esposte al rischio di commissione dei reati Societari e, in generale, dei reati indicati dal Decreto (significativi).
Sulla base delle risultanze emerse da tale analisi è stato redatto il documento “Descrizione dei Reati” al fine di poter contare su un supporto adeguato a condividere con gli attori coinvolti l’ambito di intervento del Decreto e il livello di applicabilità dello stesso alle attività aziendali: in tale documento sono stati esplicitate le singole fattispecie di comportamento illecito per ogni categoria di reato presupposto ex D.Lgs. 231/2001 contemplate e la definizione dell’applicabilità alle attività della Maticmind.
Contestualmente è stata eseguita una “mappatura” delle aree aziendali in cui potrebbero essere commessi i reati rilevanti per il D.Lgs. 231/2001, con particolare attenzione all’individuazione delle funzioni che, per ruolo attribuito e poteri esercitati, potrebbero compiere le condotte vietate dalla citata normativa. Gli esiti di tale attività sono stati formalizzati nel § 12 ”MODELLI OPERATIVI”.
VERSIONE 2.1
DATA 29/01/2021
CODICE RISERVATEZZA Utilizzo Esterno/Riservato
NOME FILE
MM_20210129_231_Modello Organizzazione E Gestione_V2.1 Pagina 57/153
Dai reati previsti dal Decreto sono state esclusi dal perimetro valutativo quelli che già nella fase preliminare di analisi sono risultati essere non significativi in quanto caratterizzati da livelli particolarmente limitati di:
▪ possibilità di commissione rispetto alla particolare attività analizzata
▪ potenziale interesse o vantaggio per il singolo e per la società.
Al fine di prevenire la commissione dei reati sanzionati dal D.Lgs. 231/2001 nel medesimo § 12 ”MODELLI OPERATIVI” sono state valutate le diverse modalità con cui nelle diverse aree e competenze esaminate potrebbero essere concretamente commessi i reati previsti dal Decreto.
L’individuazione delle aree più esposte è monitorata costantemente al fine di identificare con la massima precisione possibile le modalità con cui potrebbero essere realizzate le condotte vietate dal D.Lgs. 231/2001.
È rivolta particolare attenzione agli impatti sulla struttura organizzativa, gestionale e di controllo determinati dalle eventuali variazioni organizzative, dagli aggiornamenti della normativa nonché da particolari situazioni (precedenti violazioni, eccessivo tour-over del personale, ecc.): questi potrebbero portare all’identificazione di ulteriori rischi e conseguentemente alla modifica e/o integrazione del presente Modello Organizzativo e delle relative procedure ad esso connesse.
La necessità di aggiornamento e/o variazione del presente Modello Organizzativo e delle relative procedure ad esso connesse può nascere anche a valle delle ordinarie attività di monitoraggio e di controllo periodico condotte dall’Organismo di Vigilanza e in occasione degli audit interni effettuati.
Qualunque variazione organizzativa, aggiornamento della normativa e identificazione di ulteriori rischi è formalizzata attraverso l’aggiornamento dei Modelli Operativi (vedi § 12).
11.2 Valutazione del Livello di Rischio
Il livello di rischio delle attività è stato misurato facendo riferimento a due indicatori:
1. Gravità indicante la presumibile entità del danno che Maticmind potrebbe subire qualora se ne accerti la responsabilità
2. Probabilità da intendersi come la probabilità che nell’esercizio di una certa attività sia commesso un illecito penale rilevante ai sensi del Decreto.
Il fattore che ha influenzato la variabilità dell’indicatore di “Gravità” è stata la tipologia di reati astrattamente riconducibili alla attività oggetto di valutazione, unitamente alla considerazione delle sanzioni irrogabili. Altri fattori che hanno contribuito alla valorizzazione di questi due indicatori rispetto a ciascuna attività esaminata sono stati:
▪ la tipologia di relazione con la Pubblica Amministrazione
▪ il livello di discrezionalità
▪ la grandezza dei valori economici coinvolti
▪ il numero di soggetti abilitati ad esercitare l’attività e loro autonomia
▪ i fattori ambientali
VERSIONE 2.1
DATA 29/01/2021
CODICE RISERVATEZZA Utilizzo Esterno/Riservato
NOME FILE
MM_20210129_231_Modello Organizzazione E Gestione_V2.1 Pagina 58/153
Ad ogni attività è stato associato un livello di:
▪ Gravità, articolata su 3 livelli (alta/media/bassa)
▪ Probabilità, articolata su 3 livelli (alta/media/bassa).
Il prodotto di questi due fattori ha portato a definire il livello di rischio potenziale relativo ad ogni attività esaminata sulla base della tabella di seguito riportata.
Gravità
1 2 3
Probabilità
1 1 2 3
2 2 4 6
3 3 6 9
Legenda: Gravità 1 = Bassa 2 = Media 3 = Alta Probabilità 1 = Bassa 2 = Media 3= Alta
Rischio = Basso = Medio = Alto
La definizione di tale livello di rischio è stata formalizzata nei Modelli Operativi (vedi § 12).
11.3 Trattamento del Rischio
Le opzioni di trattamento dei rischi sono scelte sulla base del valore del rischio determinato durante la fase di Risk Assessment e sulla base dei costi e benefici stimati per l’implementazione delle opzioni di trattamento scelte (vedi MM_SGI_Metodologia di Analisi dei Rischi). Il valore associato a ciascun rischio è rappresentato dal risultato del prodotto tra Probabilità di commissione della fattispecie di reato contemplato dal D.Lgs.
231/2001 e la Gravità delle conseguenze dell’evento dannoso una volta che questo si sia verificato.
Il rischio è ritenuto “Accettabile” quando il valore del prodotto evidenzia un rischio basso, tale per quest’ultimo è accettato e non risulta di conseguenza opportuno intraprendere Azioni per minimizzare la probabilità e/o l’impatto potenziale del rischio, accettando le conseguenze del verificarsi del rischio stesso.
La decisione dell’accettazione dei rischi è presa qualora i rischi risultino tollerabili, ovvero per tutti quei livelli di rischi determinati al di sotto della soglia di accettabilità stabilita nei Criteri per Gestione del Rischio. La scelta di accettazione del rischio è giustificata e documentata dall’OdV in corrispondenza di ciascun rischio individuato (vedi § 12 Modelli Operativi).
Questi non garantirebbero comunque un aumento significativo del livello di protezione dell’operatività aziendale in termini di esclusione della possibilità che si verifichi il rischio di mancata aderenza al Modello Organizzativo e al D.Lgs. 231/2001.
VERSIONE 2.1
DATA 29/01/2021
CODICE RISERVATEZZA Utilizzo Esterno/Riservato
NOME FILE
MM_20210129_231_Modello Organizzazione E Gestione_V2.1 Pagina 59/153
11.4 Verifica dei Controlli già Esistenti
Tutte le attività risultate a rischio alto e medio sono state sottoposte ad un’ulteriore verifica, mirata ad accertare che in tali aree i sistemi di controllo preventivo già in essere fossero conformi alle previsioni e finalità del Decreto. In particolare si è mirato ad accertare l’adeguatezza dei protocolli esistenti, ossia:
▪ la loro capacità di prevenire il verificarsi di comportamenti illeciti (o comunque, di ridurne il rischio ad un livello accettabile) e di evidenziarne l’eventuale realizzazione
▪ la rispondenza tra i comportamenti concreti e quelli formalmente previsti dai protocolli stessi.
La verifica condotta è stata formalizzata nel documento di Analisi del rischio – Livello di rischio-Sezione 2
“As-Is analysis” (Analisi del rischio MM). In tale ambito tra i protocolli esistenti sono stati considerati quelli idonei a rappresentare previo eventuale adeguamento gli elementi costitutivi del Modello:
▪ sistema organizzativo
▪ policies, procedure e sistema di controlli
▪ sistema delle deleghe di poteri e delle procure
▪ comunicazione e formazione.
11.5 Definizione dei Procedure aggiuntive
Procedure in essereE’ stata effettuata una revisione dell’analisi del rischio (Rischio Netto”) sulla base della rilevazione del grado di adeguatezza e effettività dei Procedure in essere, al fine di verificare la capacità di tali controlli di ridurre il rischio a livello basso (”Accettabile”).
Nei casi in cui i Procedure in essere non si sono rivelati adeguati al raggiungimento del livello di rischio accettabile sono stati definiti, concordati con i referenti aziendali e approvati dalla Direzione i correttivi, in termini di “Controlli Integrativi”, da porre in essere per garantire una migliore prevenzione degli illeciti (Analisi del rischio – Livello di rischio-Sezione 4 “To-Be analysis”).
A conferma della definizione e implementazione dei controlli ritenuti idonei ad attestare il livello di rischio
“basso” per tutte le aree significative è stato effettuato un ulteriore aggiornamento dell’Analisi del rischio ( vedi “Rischio Residuo”).
11.6 Formazione Specifica per le Aree a Rischio
Per i dipendenti che operano nelle aree identificate a rischio “alto” tra i Procedure aggiuntive è stata prevista una formazione specifica – svolta nel rispetto di quanto previsto al § 10.9.2 del presente documento - volta a sensibilizzare i soggetti coinvolti rispetto ai reati ascrivibili alla loro area di pertinenza, ai principi etici ad esso connessi e alle procedure definite dall’azienda per la gestione dei relativi processi.
VERSIONE
MM_20210129_231_Modello Organizzazione E Gestione_V2.1 Pagina 60/153