La  “mappatura”  delle  attività  a  rischio-­‐‑reato  (c.d.  risk  assessment)

4.1.  La  “mappatura”  delle  attività  a  rischio-­‐‑reato  (c.d.  risk  assessment).    

La   redazione   e   l’implementazione   di   un   modello   organizzativo   è   strettamente  legata  ad  una  corretta  ed  efficace  previa  “mappatura”  dei  rischi-­‐‑ reato.    

Si   tratta   di   una   fase   cognitivo-­‐‑rappresentativa,   propedeutica   alla   successiva   elaborazione   di   misure   prevenzionali   dei   rischi-­‐‑reato   rilevanti,   calibrate   sulla   valutazione   dell’intensità   degli   stessi45.   L’identificazione   delle   attività   a   rischio-­‐‑reato   risponde,   infatti,   alla   duplice   esigenza   di   costruire   protocolli   di   controllo   concretamente   idonei   ad   impedire   la   commissione   dei   reati   e   di   assicurare   ai   soggetti   apicali   e   subordinati,   chiamati   ad   operare   in   contesti   in   cui   potrebbero   essere   commessi   reati,   un’esatta   percezione   dei   relativi  rischi46.    

L’individuazione   delle   attività   nel   cui   ambito   possono   essere   commessi   reati   presuppone   un’analisi   approfondita   della   realtà   aziendale.   Al   fine   di   determinare   le   aree   che   risultano   potenzialmente   interessate   da   casistiche   di   reato   ed   individuare   i   reati   che   possono   essere   commessi   nell’ambito   dello   svolgimento   delle   attività   tipiche   dell’ente,   nonché   le   loro   modalità   di   commissione,   è   necessario   un   efficace   metodo   organizzativo   di   rilevamento   e   valutazione.    

In  tale  contesto,  va  rilevato  come  la  percezione  del  rischio-­‐‑reato  risulti  più   complicata   rispetto   a   quella   derivante   dall’agire   individuale47  e,   quindi,   per                                                                                                                  

45  Cfr.  PIERGALLINI  C.,  La  struttura  del  modello  di  organizzazione,  gestione  e  controllo  del  rischio-­‐‑reato,   cit.,  p.  181.  

46  CHERUBINI  G.,  La  nuova  responsabilità  delle  persone  giuridiche,  cit.,  p.  31.  

47  Cfr.,  sul  punto,  PIERGALLINI  C.,  La  struttura  del  modello  di  organizzazione,  gestione  e  controllo  del   rischio-­‐‑reato,  cit.,  p.  181-­‐‑182.  In  particolare,  l’Autore  afferma:  «nel  diritto  penale  individuale,  la   condotta   del   soggetto   agente   è   scomponibile   nella   triade   informazione  à   scelta  à   azione-­‐‑ esecuzione,  che  richiede  un  procedimento  estremamente  semplificato  sul  quale  l’agente  vanta  un   dominio   che   è   tanto   più   profondo   quanto   più   egli   è   in   grado   di   controllarlo   ed   orientarlo   secondo  le  sue  aspettative.  Nelle  organizzazioni  complesse,  il  modello  individualistico  di  azione   cade  inevitabilmente  a  pezzi,  a  causa  della  frammentazione  delle  competenze  e  della  polverizzazione  

poter   raggiungere   livelli   di   ottimizzazione,   la   mappatura   dovrà   snodarsi   attraverso  il  procedimento  descritto  di  seguito.  Si  precisa,  peraltro,  che  questa   analisi   consente   di   individuare   in   quali   momenti   dell’operatività   dell’ente   possono  generarsi  fattori  di  rischio  e,  pertanto,  quali  di  questi  momenti  devono   essere   più   specificamente   proceduralizzati   in   modo   da   poter   essere   adeguatamente  ed  efficacemente  controllati.    

L’identificazione  delle  attività  a  rischio  si  basa,  in  particolare,  su:  

a)   individuazione   delle   aree   potenzialmente   a   rischio-­‐‑reato:   in   questo   ambito,  va  operata  un’importante  distinzione  tra  le  aree  a  rischio-­‐‑reato  in  senso   proprio,  selezionate  alle  stregua  del  novero  delle  fattispecie  elencate  nel  d.lgs.  n.   231/2001,   e   le   aree   c.d.   strumentali,   che   gestiscono   gli   strumenti   finanziari   destinati  a  supportare  la  commissione  dei  reati  nelle  attività  a  rischio;    

b)   rilevazione   dei   processi   sensibili   ai   fini   delle   ipotesi   di   reato   perseguibili:   si   tratta,   cioè,   di   selezionare   le   attività   al   cui   espletamento   è   connesso   il   rischio   di   commissione   dei   reati,   indicando   le   direzioni   ed   i   ruoli   aziendali  coinvolti;    

c)  rilevazione  e  valutazione  del  grado  di  efficacia  dei  sistemi  operativi  e  di   controllo   già   in   essere,   allo   scopo   di   reperire   i   punti   di   criticità   rispetto   alla   prevenzione  del  rischio-­‐‑reato;    

d)  indagine  retrospettiva,  avente  ad  oggetto  la  storia  dell’ente,  vale  a  dire   la  sua  eventuale  propensione  alla  illegalità;  

e)  descrizione  delle  possibili  modalità  di  commissione  dei  reati,  allo  scopo   di  forgiare  le  indispensabili  cautele  preventive.    

dei  centri  decisionali.  Il  potere  decisionale  fuoriesce  dal  dominio  del  singolo  individuo  e  piega  nel   senso  della  “procedimentalizzazione”,  scandita  da  una  imponente  implementazione  orizzontale   e  verticale  delle  fasi  costitutive.  Basti  pensare  che,  rispetto  alla  semplificata  triade  di  cui  sopra,   la  procedimentalizzazione  della  decisione  si  suddivide,  essenzialmente,  in  una  molteplicità  di   fasi,   accomunate   dalla   circostanza   che   ciascuna   di   esse   prevede,   quasi   sempre,   il   coinvolgimento  di  più  soggetti.  La  scansione  può  essere  così  raffigurata:  stimolo  à  informazione  

Occorre,   pertanto,   guardarsi   dal   rischio   di   mappature   meramente   compilative  e  asettiche,  prive  di  qualsiasi  valutazione  sull’intensità  del  rischio-­‐‑ reato  e  del  suo  grado  di  avveramento.    

Sul  piano  metodologico,  la  valutazione  del  rischio  muove  dalla  distinzione   tra   rischio   inerente,   concernente   l’ipotesi   di   una   totale   assenza   di   controlli,   e   rischio   residuale,   calcolato   in   base   all’esistenza   dei   controlli   rilevati   nel   corso   dell’attività  di  assessment48.    

La   valutazione   viene   poi   condotta   sulla   base   di   due   fattori:   il   primo   consiste   nell’impatto,   cioè   le   conseguenze   derivanti   dalla   verificazione   del   rischio;  il  secondo  riguarda  la  frequenza,  vale  a  dire  la  probabilità  che  un  dato   rischio  si  verifichi49.    

Ne  deriva  che,  mentre  l’esistenza  di  attività  di  controllo  incide  in  misura   significativa  sulla  probabilità  di  accadimento  del  rischio,  l’impatto  non  subisce   generalmente   mutamenti   in   funzione   della   presenza   delle   stesse.   Pertanto,   il   rischio   inerente   deriva   dalla   combinazione   dell’impatto   e   della   frequenza   inerente   (probabilità   di   accadimento   di   un   evento   futuro   ed   avverso   non   contrastata   da   alcuna   attività   di   controllo);   il   rischio   residuale   dipende   dalla   combinazione   dell’impatto   e   della   frequenza   residuale   (probabilità   di   accadimento  di  un  evento  futuro  ed  avverso  mitigata  dalle  esistenti  attività  di   controllo)50.  

La  valutazione  del  rischio  inerente  deve  essere  effettuata  per  ogni  singola   area  a  rischio,  individuando,  all’interno  di  ciascuna  di  esse,  gli  specifici  fattori   di  rischio  rilevati  in  base  alle  modalità  di  realizzazione  dei  reati.  La  valutazione  

48  PIERGALLINI  C.,  La  struttura  del  modello  di  organizzazione,  gestione  e  controllo  del  rischio-­‐‑reato,  cit.,   p.  183.  

49  Cfr.   COCCHINI  S.  -­‐‑  ZANCONI  M.  C.  -­‐‑  ZINGARI  R.,   Modelli   organizzativi   231   nelle   PMI,   Milano,   2014,  p.  86.  

50  Sul  punto  si  veda  PIERGALLINI  C.,  La  struttura  del  modello  di  organizzazione,  gestione  e  controllo   del  rischio-­‐‑reato,  cit.,  p.  183.  

del   rischio   residuale   viene,   invece,   eseguita   mediante   l’identificazione   e   la   valutazione  dei  controlli  in  essere  a  presidio  di  ogni  fattore  di  rischio  specifico.    

In  ordine  alle  scansioni  procedimentali  dell’attività  di  assessment,  queste  si   risolvono,   preliminarmente,   nell’analisi   dell’evoluzione     dell’organigramma   aziendale   e   nella   raccolta   ed   analisi   delle   informazioni,   funzionali   alla   comprensione  della  struttura  organizzativa  e  dei  processi  aziendali,  nonché  alla   definizione   del   perimetro   dell’analisi.   Si   procede,   poi,   con   l’individuazione   delle  aree  a  rischio-­‐‑reato  e  di  quelle  strumentali,  tramite  la  predisposizione  di   questionari  preliminari  concernenti  le  aree  aziendali  coinvolte  nel  rischio-­‐‑reato   di   volta   in   volta   considerato,   nonché   all’identificazione   delle   potenziali   modalità  di  consumazione  dei  reati.  Infine,  si  procede  con  l’identificazione  e  la   valutazione   dei   fattori   di   rischio   specifici   e   dei   controlli   esistenti,   tramite   l’effettuazione   di   interviste   con   i   responsabili   delle   attività   e   l’esame   dei   controlli   a   presidio   dei   fattori   di   rischio:   detta   attività   dovrà   svolgersi   con   l’utilizzazione   di   questionari   mirati   (c.d.   check   list),   che,   dopo   essere   stati   elaborati,   andranno   discussi   e   ampliati   tramite   le   interviste   di   dettaglio   con   i   responsabili   delle   aree   aziendali;   al   termine,   si   provvederà   a   determinare   il   valore  del  rischio  inerente  e  residuale  per  ciascuna  area  a  rischio51.    

Una  volta  individuato  il  rischio  residuale,  si  tratta  di  appurare  il  suo  grado   di   accettabilità   rispetto   al   dettato   del   d.lgs.   n.   231/2001,   che   prefigura,   normativamente  il  rischio  tollerabile:  il  decreto,  infatti,  impone  la  costruzione  di   un  sistema  di  prevenzione  idoneo,  adeguato  ed  effettivo,  non  aggirabile  se  non   con  il  ricorso  a  condotte  fraudolente,  che  non  siano  state,  peraltro,  agevolate  da   un   omesso   o   insufficiente   controllo.   Di   conseguenza,   il   rischio   residuale,   che   emergerà   all’esito   dell’attività   di   mappatura,   andrà   rapportato   al   grado   di                                                                                                                  

51  Sul   punto,   cfr.   CONFINDUSTRIA,   Linee   guida   per   la   costruzione   dei   modelli   di   organizzazione,   gestione   e   controllo   ai   sensi   del   Decreto   legislativo   8   giugno   2001,   n.   231,   cit.;   ABI,   Linee   guida   dell’Associazione   Bancaria   Italiana   per   l’adozione   di   modelli   organizzativi   sulla   responsabilità   amministrativa   delle   banche,   cit.;   ANCE,   Codice   di   comportamento   delle   imprese   di   costruzione,   cit.;   ANIA,  Linee  guida  per  il  settore  assicurativo  ex  art.  6,  comma  3,  D.Lgs.  8  giugno  2001,  n.  231,  cit.  

prevenzione   imposto   dal   decreto   (c.d.   gap   analysis):   se   persisterà   un   deficit   di   prevenzione,   occorrerà   implementare,   nell’ambito   dell’attività   di   risk   management,  il  livello  delle  cautele  –  forgiando  nuovi  protocolli  o  migliorando   quelli  esistenti  –  e  dei  controlli.    

4.2.  I  protocolli  di  gestione  del  rischio-­‐‑reato  (c.d.  risk  management).    

L’identificazione  delle  attività  aziendali  a  rischio-­‐‑reato  e  la  valutazione  dei   rischi  consentono  di  definire  i  comportamenti  che  devono  essere  rispettati  nello   svolgimento  di  tali  attività,  al  fine  di  garantire  un  sistema  di  controllo  interno   idoneo  a  prevenire  la  commissione  dei  reati.    

Si  apre  così  la  fase  successiva  a  quella  di  mappatura  delle  attività  a  rischio-­‐‑ reato,  quella,  cioè,  di  elaborazione  e  redazione  dei  protocolli,  che  «si  estrinseca   mediante   la   definizione   delle   procedure   volte   a   prevenire   i   rischi   di   commissione  di  reati  nelle  aree  così  dette  sensibili»52.    

Tutti   i   soggetti   operanti   negli   ambiti   aziendali   classificati   come   sensibili   sono  imperativamente  tenuti  al  rispetto  dei  protocolli,  i  quali,  perciò,  dovranno   essere   tassativi.   Alla   determinatezza   degli   stessi,   peraltro,   si   deve   aggiungere   l’efficace  attuazione  degli  stessi,  dal  momento  che  lo  strumento  di  prevenzione   non  deve  risolversi  in  un  mero  supporto  cartaceo.    

L’art.   6,   comma   2,   lett.   b),   d.lgs.   n.   231/2001,   ricollega   l’esenzione   della   responsabilità   degli   enti   alla   previsione   di   specifici   protocolli   diretti   a  

52  Così  PRESUTTI  A.  -­‐‑  BERNASCONI  A.,  Manuale  della  responsabilità  degli  enti,  Milano,  2013,  p.  96.  In   giurisprudenza,   si   veda   Trib.   Napoli,   (ord.)   26   giugno   2007,   cit.:   «Una   volta   effettuata   la   c.d.   mappatura   del   rischio,   individuate   cioè   tutte   le   aree   sensibili,   si   deve   stabilire   per   ognuna   di   esse   degli   specifici   protocolli   di   prevenzione   che   regolamentino   nel   modo   più   stringente   ed   efficace  possibile  le  attività  pericolose,  sottoponendo  le  regole  ad  un’efficace  e  costante  azione   di  controllo».