La matrice dei rischi

Uno degli scopi del modello organizzativo è quello di individuare le attività denite sen- sibili all'interno delle quali possono essere commessi i reati disciplinati dal decreto 231/01. Lo strumento operativo che viene utilizzato per porre in essere questo tipo di attività prende il nome di matrice dei rischi.

Nello specico l'ente, nel nostro caso un istituto di credito, costruisce la matrice dei rischi procedendo nel modo seguente:

"Si procede dapprima con la mappatura di tutte le attività aziendali, che vengono sud- divise per tipologia, ottenendo le cosiddette aree sensibili; successivamente si individuano tutti i reati che possono essere commessi all'interno di ciascuna area sensibile e si valuta il rischio di commissione degli stessi; poi, per ogni attività individuata, si associa il potenziale reato che può essere commesso; inne si attribuisce per ogni area e attività sensibile una procedura di controllo preventivo."

Attraverso la matrice dei rischi, sostanzialmente, per ogni attività svolta dalla banca, viene associato il reato che potenzialmente può essere commesso, rendendo più semplice l'attività di controllo dell'ODV. Infatti, lo stesso avrà una visione più specica e dettagliata delle attività poste in essere dalla banca e in caso di carenze operative che gli vengono segnalate, ha la possibilità di individuare in maniera più rapida ed eciente dove e come intervenire per colmare questo gap e apportare le migliorie del caso.

Per facilitare la costruzione della matrice dei rischi, i reati che generalmente posso- no essere commessi all'interno di un istituto di credito vengono suddivisi in due grandi tipologie:

ˆ I reati e gli illeciti che possono essere rilevabili nelle attività di gestione e nelle scritture contabili8_;

ˆ I reati che nulla hanno a che fare con scritture contabili e le operazioni di gestione.

Nel primo caso l'ODV, di comune accordo con l'Internal Auditing, individua le procedu- re di controllo da porre in essere all'interno di ogni attività di gestione ed eettua veriche periodiche per individuare eventuali falle dovute ad aggiornamenti normativi e procedurali che le varie attività subiscono. Nel caso sia necessario vengono apportate le migliorie al sistema di controllo preventivo procedendo alla sistemazione delle carenze riscontrate.

8_{Rientrano in questa tipologia, ad esempio, fatti di gestione occultati, la produzione di falsa}

Completamente diversa, invece, è la metodologia che l'ODV deve utilizzare per il se- condo gruppo di reati. Infatti, mentre nel caso precedente è richiesta esclusivamente la conoscenza delle procedure e dei sistemi aziendali da parte dell'ODV, ora ciò non è più suciente. Infatti è previsto l'intervento di professionalità esterne ben qualicate in grado di orire assistenza all'ODV in fase di prevenzione dei reati. Basti pensare, per esempio, al tema di sicurezza sul luogo di lavoro. Pertanto è richiesta una collaborazione tra ODV e organi esterni alla banca: collaborazione che deve portare alla denizione di sistemi di controllo preventivi ecaci ed ecienti e che rispettino le normative tempo per tempo vigenti. Collaborazione non sempre facile da realizzare.

Gli istituti di credito ricorrono alla matrice dei rischi per poter valutare con esattezza la pericolosità di un evento negativo e indesiderato al ne di stabilire la priorità o l'urgenza delle misure necessarie per poterlo controllare.

La matrice dei rischi è uno strumento operativo che non deve essere confuso con la raccolta di informazioni, dati di processi aziendali e con la semplice descrizione del reato, ma è uno strumento che utilizza le informazioni raccolte con l'obiettivo di individuare i rischi e schematizzare i potenziali reati che possono essere commessi. Nello specico la matrice dei rischi individua quali sono i potenziali pericoli attraverso l'analisi delle aree sensibili, stima i potenziali rischi valutando la probabilità di accadimento e la gravità che il danno può causare e inne determina le classi di rischio che vengono associate ad ogni attività.

In questo caso, quando si parla di matrice dei rischi, è bene fornire la denizione di alcuni concetti9_:

ˆ Il rischio rappresenta il risultato dell'interpretazione della matrice. In modo partico- lare il rischio (R) rappresenta la pericolosità di un evento e non è altro che il risultato del prodotto tra la probabilità di accadimento (P) e la gravità del danno (G): R= P x G.

ˆ La probabilità rappresenta la possibilità che l'evento negativo, in questo caso il reato, si verichi tenendo conto di tutte le misure di controllo preventivo già poste in essere. ˆ La gravità del danno, detta anche magnitudo, invece è da intendersi come la gravità

delle conseguenze causate dall'evento negativo (reato).

Nella gura sotto riportata si individua la diversa tipologia di rischio che verrà at- tribuito ad ogni area sensibile individuata. Alla magnitudo viene attribuita una scala di valori crescente che va da bassa ad alta sulla base della minore o maggiore sensibilità del

Figura 3.5: La matrice dei rischi (Fonte: Zerounoweb.it)

processo, alla frequenza di esecuzione e alle considerazione emerse. Sono state, inoltre, prese in considerazione valutazioni circa la tipologia e la gravità di sanzioni che la banca può subire a seguito della commissione di un illecito.

Alla probabilità è stata assegnata la stessa classe di valori prendendo in considerazione i documenti di principio, le procedure utilizzate, i controlli svolti e tutti quei processi volti a mitigare i rischi connessi con la concreta realizzazione dei reati. Il risultato che deriva moltiplicando la probabilità con la magnitudo ci permette di classicare il rischio. Avremmo, pertanto, una scala di rischio che va da un potenziale rischio limitato, dove ad entrambi i fattori è attribuito un valore basso, ad un rischio potenziale estremo, dove ad entrambi i fattori viene attribuito un valore alto.

Una classicazione del rischio per fasce di gravità consente alla banca di individuare le priorità di attuazione e le aree sensibili nelle quali intervenire per mitigare il rischio di commissione di un illecito. Con una classicazione di questo tipo l'istituto di credito può valutare persino azioni di miglioramento in caso di rischi considerati limitati, portando, di conseguenza, un miglioramento all'intero sistema di controlli interni.