La fase di diagnosi

La fase seguente, quella della diagnosi, prevede l'intervento di Risk Assessment vero e proprio. Il primo step riguarda lo svolgimento delle interviste con i responsabili delle aree aziendali ritenute più vulnerabili. Tali informazioni verranno raccolte ed elaborate (secondo step) al fine di individuare una mappa preliminare delle aree aziendali a rischio e al fine di identificare le attività sensibili.

Si procede poi con l'analisi dei potenziali rischi. Questa deve aver riguardo alle possibili modalità attuative dei reati (terzo step) nelle diverse aree aziendali, individuate secondo il processo di cui alla fase precedente. L'analisi, propedeutica ad una corretta progettazione delle misure preventive, deve sfociare in una rappresentazione esaustiva di come le fattispecie di reato possano essere attuate rispetto al contesto operativo interno ed esterno in cui opera l'azienda.

A questo proposito è utile tenere conto sia della storia dell'Ente, cioè delle sue vicende passate, che delle caratteristiche degli altri soggetti operanti nel medesimo settore e, in particolare, degli eventuali illeciti da questi commessi nello stesso ramo di attività. Il rischio potenziale connesso ad una determinata attività di contatto indica il livello di rischio associato all'attività stessa a prescindere dall'azione del Sistema di Controllo Interno posto in essere.

A titolo esemplificativo, non esaustivo, una domanda del questionario che impatta sulla valutazione del rischio potenziale potrebbe essere:

“Come valuta il rischio potenziale di commettere illeciti con riferimento all'attività in oggetto (rispetto a Leggi, Regolamenti, standard e procedure aziendali,ecc.)?”

A titolo esemplificativo, non esaustivo, una domanda del questionario che impatta sulla valutazione del controllo potrebbe invece essere:

“E' presente una procedura interna, un manuale o degli standard operativi e/o di controllo formalizzati che regolamentino l'attività in oggetto?”

probabilità di manifestazione dell'evento dannoso per l'impatto che lo stesso può generare. Il rischio residuo, o netto, si ottiene invece sottraendo dal rischio lordo la valutazione dei controlli interni.

La valutazione della probabilità e dell'impatto sono facilitate dal ricorso a scale di misurazione che ne consentono la quantificazione. Nel caso specifico è stato utilizzato un intervallo di punteggi oscillanti tra un minimo di uno ed un massimo di cinque punti.

I fattori di valutazione, ovvero i driver, utilizzati nel caso della probabilità sono stati: • frequenza da esperienza pregressa (risultati di audit precedenti, rilevazioni

storiche);

• potenziale incidenza economica dell'eventuale vantaggio per l'Ente ottenibile con il reato;

• fattibilità tecnica del reato.

Utilizzando come driver la frequenza, possiamo, ad esempio, costruire una scala di misurazione di questo tipo: un evento che non si è mai verificato, ad esempio, negli ultimi cinque anni avrà rara probabilità di verificarsi ed un punteggio minimo; un evento che si è verificato solo un paio di volte avrà una bassa probabilità di accadimento ed un punteggio di poco superiore al precedente e così a salire fino ad arrivare al punteggio massimo per un evento che si sia verificato con una certa frequenza.

Per ciò che concerne la valutazione dell'impatto: ai reati la cui sanzione pecuniaria è inferiore a 400 quote si attribuisce un punteggio di uno valutando l'impatto come raro e così a salire fino ad arrivare ai reati che prevedono una sanzione interdittiva ed una sanzione pecuniaria superiore a 700 quote per i quali la valutazione sarà massima e l'impatto classificato come alto.

Le attività precedentemente descritte si completano con una valutazione del sistema di controlli preventivi eventualmente esistente e con il suo adeguamento quando ciò si riveli necessario, o con una sua costruzione quando l'Ente ne sia sprovvisto. Il sistema di controlli preventivi dovrà essere tale da garantire che i rischi di commissione dei reati, secondo le modalità individuate e documentate nella fase precedente, siano ridotti ad un livello accettabile. Si tratta, in sostanza, di progettare quelli che il D. Lgs.

n. 231/2001 definisce “specifici protocolli diretti a programmare la formazione e l'attuazione delle decisioni dell'Ente in relazione ai reati da prevenire”.

Le componenti di un Sistema di Controllo Interno preventivo sono molteplici ed occorre sottolineare come le stesse debbano integrarsi in un sistema organico, nel quale non necessariamente debbano coesistere tutte e dove la possibile debolezza di una componente possa essere controbilanciata dal rafforzamento di una o più delle altre componenti in chiave compensativa.

In ragione, quindi, della scala dimensionale e della struttura societaria, potranno essere utilizzate soltanto alcune componenti di controllo, mentre altre potranno venire escluse, magari perché implicite nel modello aziendale, o essere presenti in termini estremamente semplificati.

Comunque, per tutti gli Enti, siano essi grandi, medi o piccoli, il sistema di controlli preventivi dovrà essere tale da:

● nel caso di reati dolosi, non poter essere aggirato se non con intenzionalità; ● nel caso di reati colposi, come tali incompatibili con l'intenzionalità fraudolenta,

risultare comunque violato, nonostante la puntuale osservanza degli obblighi di vigilanza da parte dell'apposito Organismo.

La valutazione dei controlli sarà il risultato di controlli su attività sensibili e controlli a livello entity.

Nel primo caso occorrerà valutare analiticamente i presidi specifici per ciascuna attività sensibile, distinti in:

• Sistema organizzativo, che comprende le procure, le deleghe, le job description (mansionari), il sistema autorizzativo, la separazione dei compiti e la contrapposizione di funzioni.

• Procedure di riferimento, che includono le procedure previste nell'ambito del sistema di gestione della qualità e le altre procedure di cui la società si è dotata per regolare lo svolgimento dei processi aziendali e rafforzare il Modello di organizzazione, gestione e controllo ex D.Lgs. 231/2001.

• Tracciabilità (documentabilità) del processo, che comprende l'insieme di documenti cartacei ed elettronici che consentono di documentare le attività, i controlli o le altre entità di un processo consentendone, in tal modo, la verifica

successiva.

• Narrative (controlli, Legge 262/2005), fanno riferimento alle procedure istituite nell'ambito del progetto di adeguamento alla Legge 262/2005. Tali procedure si pongono l'obiettivo di descrivere: le responsabilità dei soggetti coinvolti nel processo; i flussi di comunicazione, informatici e cartacei, tra i vari owner coinvolti nel processo nonché gli applicativi informatici utilizzati; le attività di controllo connesse all'operatività descritta nel processo ed i relativi owner; la verifica e supervisione delle attività e delle fasi del processo.

• Altri controlli. Si tratta di una categoria residuale comprendente le attività di controllo previste dai framework di controllo più noti in ambito nazionale ed internazionale (COSO, ERM, COCO, etc...). A titolo esemplificativo in questa categoria rientrano i così detti controlli di carattere generale (entity level) quali le attività di verifica svolte dall'unità di Internal Auditing, dalla società di revisione contabile o da altri attori della Control Governance (Collegio Sindacale, etc...).

La valutazione sui controlli a livello entity fa riferimento a: • Codice Etico

• Internal Auditing

• Dirigente Preposto alla redazione dei documenti contabili e societari procedure amministrative e contabili ex L. 262/2005

• Comitato per il Controllo Interno • Organismo di Vigilanza

• …

La valutazione dei controlli è effettuata nell'ottica della determinazione del valore di rischio residuale.

Tale attività, nell'ambito di inventariazione dei potenziali rischi ex D.Lgs. 231/01, ha portato CDC POINT SpA, nell'arco della revisione operata negli ultimi anni, a quanto segue.

Tabella n. 4. Fonte CDC POINT SpA

La valutazione del rischio lordo, risultando dal prodotto di probabilità ed impatto, variabili entrambe valorizzate con punteggi tra uno e cinque, potrà assumere valori compresi tra un minimo di uno ed un massimo di venticinque. Anche il rischio residuale, essendo il risultato della differenza tra rischio lordo e valutazione dei controlli, assumerà valori compresi tra uno e venticinque.

Si procede, a questo punto, con il rating dei rischi residuali per poi evidenziare la distribuzione di detto rating per Direzione/Area.

Un rischio residuale pari a zero rientrerà nella classe di rating R, ovvero rischio remoto; un rischio residuo compreso tra uno e quattro ricadrà invece nella classe di rating B, rischio basso; uno compreso tra cinque e otto sarà nella classe M/B, ovvero un rischio medio /basso; se invece il valore risulterà compreso tra nove e tredici la classe di rating sarà M, rischio medio; nel caso di rischio residuale compreso tra quattordici e diciassette, la classe di rating sarà M/A, ovvero un rischio medio/alto; infine, con un rischio compreso tra diciotto e venticinque, la classe sarà A, rischio alto.

Tabella n. 5. Fonte CDC POINT SpA

Direzione/Area N. Attività sensibili mappate

Qualità e assistenza tecnica 14

Amministratore Unico CD 9 AFC 9 Nuove tecnologie 8 New Channels 8 …. Totale complessivo 109

Direzione/Area M B M/B R complessivoTotale

Qualità e assistenza tecnica 1 13 14

Amministratore Unico CD 3 6 9 AFC 2 7 9 Nuove tecnologie 2 5 1 8 New Channels 1 4 3 8 … … … … Totale complessivo 3 30 10 66 109

Gli output della fase di diagnosi sono essenzialmente tre:

● la descrizione documentata del sistema dei controlli preventivi attivato;

● la mappa completa delle aree aziendali a rischio, con graduatoria dei rischi (di seguito esemplificate alcune delle attività sensibili individuate, con corrispondente graduatoria dei rischi);

Tabella n. 6. Fonte CDC POINT SpA • La mappa documentata delle potenziali modalità attuative degli illeciti nelle

aree a rischio individuate al punto precedente.