La metodologia

La metodologia adottata nel progetto, incentrata sulla valorizzazione dell’auto- diagnosi, ha consentito di ottenere un quadro conoscitivo più approfondito in merito al funzionamento e all’efficacia del sistema di controllo interno.

67 _{Il Control and Risk Self Assessment (CRSA) è una tecnica manageriale che prevede il}

coinvolgimento di tutta l’organizzazione nell’identificazione e nella valutazione dei rischi e dei controlli che sono stati implementati a fronte di tali rischi. Per approfondimenti sul tema si veda: Allegrini, D’Onza, Internal Auditing and Risk Assessment in Large Italian Companies: an Empirical Survey, in International Journal of Auditing, Vol. 7, 2003.

105

La metodologia utilizzata per l’analisi e la valutazione del sistema di controllo interno finalizzato a prevenire la commissione dei reati contemplati nel d.lgs. 231, è l’“Integrity Risk Management”, che prevede in generale e come primo step, l’analisi del sistema organizzativo e di controllo della società, cercando di concentrarsi e analizzare otto diverse dimensioni sensibili: “governo”, “codici di condotta e procedure”, “comunicazione”, “formazione”, “risorse umane”, “controllo”, “informazione”, “violazioni”.

Tali dimensioni o componenti sono stati elaborate basandosi sulle Federal

Sentencing Guidelines (FSG) statunitensi e sui relativi compliance programs che,

a loro volta, hanno recepito e rielaborato la nozione ed articolazione del sistema di controllo interno presente nel Co.S.O. Report. Quest’ultimo riferimento è considerato, nel Position Paper sul d.lgs. 231 emesso dall’A.I.I.A. (Associazione Italiana Internal Auditors), come il riferimento internazionale più autorevole sulle tematiche del controllo interno.

A livello generale, i contenuti delle otto dimensioni/componenti sono riportati di seguito:

Figura 11: le 8 dimensioni del sistema di organizzazione e controllo interno

Governo: esamina le modalità di attribuzione delle competenze degli organi interessati alla gestione del sistema organizzativo e di controllo interno (ad esempio, chi è responsabile dello sviluppo di procedure di controllo interno, chi le approva, chi è responsabile della conformità delle attività svolte alle norme di legge, chi ha la responsabilità della gestione delle risorse umane con riferimento

106

alla prevenzione dei reati, chi ricopre la funzione di controllo interno e Organismo di Vigilanza previsto dal decreto, ecc.).

Codici di condotta e procedure: esamina i sistemi organizzativi adottati, sia sotto il profilo dei codici di condotta utilizzati, sia sotto il profilo delle procedure operative interne impiegate nelle aree di rischio (ad esempio, gestione finanziaria, gare di appalto pubbliche, deleghe di funzione, ecc.) al fine di verificarne la coerenza con le risultanze del processo di “risk assessment”, con norme e regolamenti, con l’attuale assetto organizzativo, con la metodologia di gestione dei processi aziendali e delle risorse umane.

Comunicazione: esamina il sistema di comunicazione interna in relazione agli elementi del modello voluti e, in particolare, all’adeguatezza dei contenuti, dei canali utilizzati, della periodicità/frequenza della comunicazione, della differenziazione per gerarchia, funzione e livelli di rischio ed alla comprensibilità del linguaggio.

Formazione: esamina le procedure utilizzate per la formazione del personale sull’applicazione del modello, sia per quanto riguarda programmi a contenuto generale, che per quelli a contenuto specifico, sviluppati o da sviluppare, per gli addetti alle aree di rischio e per l’Organismo di Vigilanza (di cui si parla al paragrafo 4.4.4) previsto dal decreto 231.

Risorse Umane: esamina le procedure utilizzate per la gestione delle risorse umane al fine di regolare i principali aspetti del lavoro dipendente, valuta aspetti rilevanti per la prevenzione degli illeciti, quali, ad esempio, i sistemi di incentivazione e quelli dissuasivi e sanzionatori, tra cui l’allontanamento del personale.

Controllo: esamina le procedure utilizzate per l’attività di controllo e/o “internal audit” e di monitoraggio della performance degli elementi del modello; esamina l’adeguatezza dei processi di controllo delle aree e delle operazioni a rischio attraverso segnali di alert (“red flags”), anomalie (audit di processo), controlli di

107

“routine” nelle aree a rischio (audit di performance) e infine dell’adeguatezza del modello (audit del modello).

Informazione e Organismo di Vigilanza: esamina le caratteristiche e le modalità di generazione, accesso e reporting direzionale delle informazioni necessarie per un’efficace vigilanza sui rischi da parte degli organismi interessati ed, in primo luogo, dell’Organismo di Vigilanza previsto dal decreto. Viene, pertanto, analizzata la disponibilità dei dati necessari per l’esercizio di un’efficace vigilanza preventiva e successiva sulle attività a rischio, l’esistenza di canali di comunicazione preferenziali per la segnalazione di operazioni esposte a rischio, sia da parte di terzi che da parte del personale (c.d. “help line”), la tempestiva segnalazione del cambiamento dei profili dei rischi (ad esempio nuove normative, acquisizione di nuove attività, violazione del sistema dei controlli interni, accessi ed ispezioni da parte di enti supervisori, ecc.), nonché la regolare registrazione e reporting degli eventi sopradescritti, con le relative azioni successive implementate e l’esito dei controlli svolti.

Violazioni: esamina l’esistenza e l’adeguatezza di procedure e standard qualitativi con riferimento all’attività di investigazione interna ed esterna ed alla gestione delle situazioni di crisi.

In particolare, per l’azienda oggetto di analisi, le informazioni sul modello organizzativo e sui processi aziendali sono state raccolte mediante l’effettuazione di interviste condotte sulla base di questionari di autovalutazione e tramite l’analisi della documentazione e delle informazioni condivise con la Società.

In una prima fase, mediante l’elaborazione delle risposte fornite dalle funzioni aziendali coinvolte nel progetto, è stata esaminato il sistema di controllo interno, con riferimento a ciascuno degli otto elementi costituenti il modello di controllo. Ciascun elemento del sistema organizzativo, a sua volta, è stato ulteriormente analizzato considerando i requisiti (desumibili anche dalle “Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d.lgs. 231/2001” elaborate da Confindustria), per valutarne il grado di “proceduralizzazione”,

108

“applicazione”, “conoscenza”, “comunicazione”, “efficacia” “ed

“aggiornamento”.

In una seconda fase, sono state individuate le attività che potenzialmente potevano comportare una rischiosità intrinseca elevata ai fini 231.

I processi aziendali esaminati sono stati: a. processi primari principali:

 Approvvigionamento  Produzione  Marketing

 Vendita  Altri processi

b. processi strumentali principali:  Logistica in entrata

 Logistica in uscita  Amministrazione e finanza

 Gestione e selezione del personale  Altri processi

Questa analisi ha consentito di ottenere una mappatura delle attività a rischio sia in termini di probabilità che in termini di potenziale gravità. La valutazione della probabilità di accadimento dei reati nelle aree sensibili individuate è stata condotta attraverso la verifica di specifici drivers, legati e ponderati al tipo di reato oggetto di valutazione e all’attività a rischio reato.

Questo primo livello di analisi è stato volto a definire il rischio potenziale caratterizzante ogni attività sensibile individuata, vale a dire il rischio insito nell’attività di per sé considerata, indipendentemente dalle funzioni che la svolgono e dai controlli esistenti.

A partire dal valore di rischio potenziale individuato per ciascuna attività, e considerando il sistema di controllo ad essa riferito, è stato possibile determinare il rischio residuo, cioè il rischio che effettivamente caratterizza l’attività aziendale

109

esaminata tenendo in considerazione il sistema di controllo in atto, che funge dunque, da “azione mitigante” rispetto al rischio totale potenziale.

I valori di rischio ottenuti hanno rappresentato valide indicazioni qualitative ed orientamenti utili al fine di individuare le eventuali opportune integrazioni/azioni correttive da effettuare sul sistema di controllo esistente, nonché il grado di priorità secondo il quale procedere con tali correzioni.