• Non ci sono risultati.

Processo di creazione del modello

2. Il Decreto Legislativo 231/2001

1.4 Processo di creazione del modello

• valutazione delle performance;

Il risk management è l'insieme delle azioni che vengono poste in essere per fronteggiare il rischio.

26L'ERM è “un processo posto in essere dal Consiglio di Amministrazione, dal management e da altri

operatori della struttura, utilizzato per la formulazione della strategia nell'organizzazione, progettato per individuare eventi potenziali che possono influire sull'attività aziendale, per gestire il rischio accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi aziendali”

La costruzione di un efficace Modello di organizzazione, gestione e controllo dovrebbe prevedere le seguenti fasi:

FASE 1: PIANIFICAZIONE; FASE 2: DIAGNOSTICA; FASE 3: PROGETTAZIONE; FASE 4: PREDISPOSIZIONE.

PIANIFICAZIONE:

Nell'ambito di tale fase si deve provvedere ad individuare i processi a rischio effettuato mediante la “mappatura delle aree sensibili”: è necessario determinare i principali processi gestiti che possono avere impatti sui reati previsti dal D.Lgs. 231/2001. Operativamente è necessario verificare le possibili modalità di attuazione degli illeciti. L'analisi dei rischi deve essere effettuata avendo una chiara visione aziendale e necessita una comprensione dei seguenti elementi:

• le attività a rischio reato;

• le modalità di possibile commissione di reato;

• la gravità/intensità del rischio corso e le misure di prevenzione in atto.

Nell'espletamento di questa attività sarà necessario acquisire tutte le informazioni sui processi di business, ossia i processi che compongono la catena del valore27, al fine di ottenere una conoscenza approfondita circa l'operatività dell'azienda, nonché prendere visione ed avviare un'analisi dettagliata di eventuali e preesistenti mappature (analisi dei processi gestionali).

L'analisi del contesto aziendale è attuato attraverso il previo esame della documentazione aziendale (organigrammi, statuto, manuale della qualità, bilancio, attività della società, processi principali, sistema delle deleghe, ordini di servizio, disposizioni organizzative, procedure aziendali, etc..), nonché una serie di interviste e colloqui con gli attori “chiave” risultanti dall'organigramma aziendale e dal sistema delle deleghe quali il Direttore Generale, l'Amministratore Delegato, il Direttore Amministrativo, il Direttore Tecnico, i dirigenti ed i dipendenti aziendali nelle aree

ritenute esposte ad un maggior rischio di commissione reato, al fine di individuare le “aree sensibili” e gli elementi del Sistema di Controllo Interno preventivo, quali:

procedure esistenti; verificabilità; documentabilità;

congruenza e coerenza delle operazioni; separazione delle responsabilità;

documentabilità dei controlli; etc..

L'identificazione delle attività maggiormente a rischio reato, in tale sede, viene effettuato con riferimento al concetto di rischio “accettabile”28

, ovvero quel rischio il cui costo per prevenirlo è ritenuto superiore al danno che ne deriverebbe laddove si verificasse.

La mappatura delle funzioni e dei processi aziendali a rischio di commissione dei reati- presupposto costituisce un elemento informativo base per la realizzazione del Modello, nonché per indirizzare le azioni di controllo dell'Organismo di Vigilanza. Per tali ragioni le valutazioni sul rischio di commissione dei reati devono essere periodicamente aggiornate, al fine di adeguare i controlli preventivi alle dinamiche del contesto aziendale.

Dopo aver effettuato questa prima analisi, si procede con la costruzione di una matrice “processi-reati-modalità di commissione dei reati”: si prevede la formalizzazione di un apposito documento riportante la situazione riepilogativa di tutti i reati contemplati dal D.Lgs 231/2001 potenzialmente associabili ai processi aziendali.

28 PriceWaterhouseCoopers, La gestione del rischio aziendale. Per agevolare la comprensione di tale concetto può essere utile richiamare la distinzione fra rischio lordo e rischio residuale: il primo comprende le eventualità di danno insiti nell'attività aziendale, a prescindere dal sistema del controllo interno istituito allo scopo di ridurre la possibilità di accadimento e/o il relativo impatto (esse derivano dal contesto ambientale e competitivo, caratteristiche strutturali, organizzative e operative dell'azienda); il secondo è costituito dalle eventualità di danno che permangono anche dopo l'applicazione dei sistemi di controllo (Revisione aziendale e sistemi di controllo interno, Marchi L). Dal differenziale di questi due rischi emerge il rischio “accettabile” che sarà oggetto di analisi per valutare l'efficacia dei controlli preesistenti. Il risk management pone in essere delle azioni volte a ridurre il rischio “residuale”entro i livelli di rischio accettabile: maggiore è il rischio “accettato” (“tollerato”) dall'azienda e minore sarà la dimensione del campione oggetto di studio e minori saranno le misure di controllo necessarie per ricondurre il rischio entro la soglia di tollerabilità.

La matrice è suddivisa in sezioni – che corrispondono alle categorie di reato previste nel Decreto – e contiene le seguenti informazioni:

• tipologie di REATO: indicazione del singolo reato (denominazione, testo dell'articolo, eventuali commi ex codice civile e/o codice penale e/o Testo Unico della Finanza) correlato al singolo articolo del D.Lgs. 231/2001;

• ATTIVITÀ SENSIBILI/FUNZIONI INTERESSATE: indicazione e descrizione delle attività potenzialmente associabili ad uno o più reati previsti dal Decreto;

• POSSIBILI MODALITÀ DI COMMISSIONE REATI: si tenta di intuire potenziali azioni che potrebbero favorire la commissione dell'illecito (subentra la necessità di avere a disposizione competenze multidisciplinari di tipo aziendale/organizzativo/statistico/ispettivo, di tipo civilistico, fiscale, societario e di carattere legale/penale).

La fase successiva alla costruzione della Matrice “processi-reati-modalità di commissione” si prefigge principalmente di:

• associare le attività sensibili individuate nella Matrice ai responsabili aziendali dei relativi processi impattati;

• predisporre la documentazione di supporto (“scheda valutazione controlli”) per la successiva fase metodologica di verifica dello stato dei controlli e rilevazione dello stato attuale.

In termini di attività, queste sono riassumibili come segue:

1) per ogni area di attività sensibile individuata, indicazione dei processi aziendali impattati e, quindi, delle Unità organizzative responsabili dei processi impattati29; 2) predisposizione, per ciascuna Unità organizzativa responsabile, della rispettiva “Scheda valutazione controlli”30

.

DIAGNOSTICA (attività di valutazione del rischio → RISK ASSESSMENT31):

29

Ovviamente ad ogni area sensibile individuata possono corrispondere più processi impattati e, di conseguenza, più responsabili.

30

Si precisa che l'intervista è suddivisa in tante schede quante sono le attività sensibili individuate per Unità organizzativa; ogni scheda si compone di una prima sezione descrittiva contenente informazioni relative a: 1) numero scheda, data e tipo di rilevazione; 2) Unità organizzativa intervistata e nome del responsabile; 3) reati ai sensi del D.Lgs. 231/2001; 4) attività sensibile; 5) processi impattati.

31

Il Risk Assessment è una metodologia strutturata di autovalutazione dei rischi di business da parte del management che attraverso interviste guidate ai responsabili dei processi aziendali consente di:

Questa seconda fase prevede la valutazione della presenza di esistenti controlli aziendali in grado di presidiare i rischi connessi alla commissione dei reati previsti dal D.Lgs. 231/2001. Più precisamente, si andrà a valutare, in corrispondenza dei processi sensibili (precedentemente individuati), il relativo livello di esposizione al rischio reato (Risk Estimation), la cui formula è di seguito riportata:

PROBABILITÀ di accadimento dell'evento dannoso X IMPATTO che ne deriva Lo scopo del Risk Assessment è quello di stimare la “probabilità” del manifestarsi dell'evento incerto e quantificare “l'impatto” di ciascun rischio identificato sui processi/attività oggetto di analisi. Questo porta a definire una mappa di rischi, quindi all'individuazione di quali risultano maggiormente rilevanti rispetto ai quali è necessario elaborare una strategia d'azione.

Più nel dettaglio tale fase può essere suddivisa in:  Analisi dei rischi, che comprende le attività di: ◦ Identificazione;

◦ Descrizione; ◦ Stima.

 Valutazione dei rischi. Analisi dei rischi:

L'obiettivo di questa fase è quello di giungere ad elencare i rischi giudicati accettabili e quelli inaccettabili32, per i quali è necessario un tempestivo intervento con opportune misure di trattamento.

Ogni impresa deve valutare il grado di profondità con cui deve essere condotta questa analisi, in termini di livelli organizzativi coinvolti e di qualità delle informazioni che si possono ricavare.

identificare i rischi di business che limitano o ostacolano il raggiungimento degli obiettivi societari; determinare il relativo livello di rischio; sviluppare strategie di controllo idonee ad assicurare una maggiore copertura delle aree in cui sono presenti rischi significativi.

32Il rischio ritenuto “accettabile”è legato al concetto di “risk tollerance”, ossia la possibilità che vi sia uno

scostamento rispetto all'obiettivo e che tale deviazione sia valutata accettabile; La tolleranza dipende da due fattori: 1. dalla propensione al rischio di coloro che governano l'azienda (Risk appetite); 2. dal tipo di obiettivo (bassa tolleranza per gli obiettivi di compliance; medio/alta tolleranza per gli obiettivi strategici).

Nella maggior parte dei casi in tale contesto vengono coinvolte solo le prime linee del management, le quali hanno il compito di comunicare gli obiettivi aziendali anche ai livelli più bassi, ciò al fine di snellire la fase di Risk Assessment, ricavandone così benefici in termini di maggior efficacia ed efficienza del processo.

Pare opportuno precisare che è necessario considerare e valutare anche rischi di natura più operativa, sempre più spesso oggetto di “miopia manageriale33”; pertanto si ritiene conveniente il supporto di un team di collaboratori interni, il cui compito sarà proprio quello di segnalare i rischi di natura più operativa degni di attenzione ai livelli più alti. Identificazione dei rischi:

La fase di Risk Identification consiste nella selezione degli eventi e delle variabili che abbiano impattato sui fattori critici di successo e che incidano sull'andamento normale delle attività e possano mettere a repentaglio il raggiungimento degli obiettivi aziendali e la stessa continuità aziendale.

L'attenzione deve rivolgersi sia ai rischi di natura interna, sia ai rischi esterni.

Prima di descrivere le varie tecniche di identificazione, si segnalano alcuni aspetti che è bene tenere in considerazione durante questa attività; innanzitutto, questa attività del processo risulta molto costosa in quanto richiede tempo ed impegno di diverse persone proprio per identificare tutte le possibili classi di rischio che l'azienda potrebbe essere chiamata ad affrontare. Per cui la scelta della tecnica di individuazione dovrebbe basarsi su un appropriato calcolo di convenienza economica che consideri i costi dell'identificazione e i danni che potrebbero essere causati da un'imprecisa o non corretta individuazione dei rischi rilevanti.

Esistono diverse tecniche a supporto dell'identificazione dei rischi, le quali non necessariamente sono alternative una all'altra ma possono essere usate anche simultaneamente. Le più diffuse sono:

1. catalogo degli eventi; 2. workshop;

3. tabella delle vulnerabilità degli asset materiali; 4. diagrammi di flusso (flow chart);

33

Marasca, Marchi, Riccaboni “Controllo di gestione”, nell'ambito del corso di Valutazione delle performance aziendali.

5. matrice processi-rischi; 6. check list;

7. questionari e indagini; 8. lista aperta.

Descrizione dei rischi:

Tale fase consiste nel descrivere le principali caratteristiche dei singoli rischi identificati ed è finalizzata ad agevolare gli step successivi di stima, valutazione e integrazione e a disporre in ogni momento di un'informativa sintetica ed aggiornata dei rischi.

In questa fase occorre iscrivere i rischi individuati in un registro (risk register o risk catalog) e cominciare a redigere per ciascuno di questi una scheda descrittiva (risk description).

La scheda descrittiva include elementi quali: • denominazione del rischio;

• descrizione qualitativa (estensione) del rischio; • natura del rischio;

• tolleranza/propensione dei diversi stakeholder del rischio;

• prima stima degli effetti economici e delle probabilità associate ai diversi scenari (quantificazione);

• indicazione delle azioni attualmente utilizzate per il trattamento e il monitoraggio;

• indicazioni su potenziali azioni di miglioramento;

• indicazioni dei soggetti responsabili per la gestione sia a livello strategico sia operativo del rischio;

Stima dei rischi:

La fase centrale del Risk Assessment è la stima del rischio (Risk Estimation).

Lo scopo è quello definire la “probabilità” del manifestarsi dell'evento e quantificare “l'impatto” di ciascun rischio identificato, ricorrendo ad opportune tecniche che si

possono riassumere in:  qualitative;  quantitative;  miste;

Le prime misurano i rischi a bassa complessità descrivendone dettagliatamente le caratteristiche per permetterne la miglior comprensione possibile, soprattutto quando questi non risultano immediatamente e facilmente quantificabili, per questo utilizzano parole o scale descrittive per rappresentare impatti, economici e non, e la probabilità di accadimento a loro associata; sia quantitative che, attraverso analisi statistiche condotte tramite modelli matematici e probabilistici ad elevata difficoltà, generano stime tendenzialmente più oggettive e si traducono in misure di performance di raggiungimento degli obiettivi aziendali.

A seconda della tipologia del rischio potrebbero variare la disponibilità dei dati e quindi l'opportunità di utilizzare un modello per la sua misurazione.

Stimare quantitativamente un rischio significa determinare:

 la distribuzione di probabilità delle variabili aleatorie obiettivo;

 gli indicatori sintetici più importanti (tra i quali rientrano le misure di rischio vere e proprie).

In effetti, le tecniche quantitative sono sempre utilizzate per stimare le distribuzioni di qualsiasi variabile aleatoria aziendale e sono in grado di fornire una conoscenza del fenomeno sotto indagine, ove possibile.

Le semiquantitative (miste) assegnano, invece, dei numeri alle categorie individuate tramite la tecnica qualitativa. Tali numeri non sono le stime degli effetti economici o delle probabilità, ma servono solo per ordinare in senso stretto le diverse tipologie. In generale la scelta tra le diverse tipologie di stima è il risultato di un'analisi che confronta i costi necessari ad implementarla con i benefici in termini di migliore conoscenza dei fenomeni analizzati.

Il punto di partenza per giungere ad un risultato il più ottimale e preciso possibile è l'informazione, in quanto solo a partire dalla presenza o meno di informazioni riguardo i diversi fenomeni, la loro quantità, la loro accuratezza e la loro profondità è possibile

decidere che tecnica di stima utilizzare.

Le principali fonti possono essere rappresentate dall'esperienza dei dipendenti e dei consulenti interpellati, dalle serie storiche, da modelli teorici/sperimentali, da previsioni macroeconomiche o di settore. Le informazioni sugli eventi aleatori influenzano a priori il grado di incertezza delle stime di rischio che verranno effettuate. Di conseguenza, se i dati di cui si dispone sono ridotti e poco attendibili, l'utilizzo delle tecniche numeriche tende a rivelarsi meno significativa a causa dell'incertezza conseguente.

Valutazione dei rischi:

L'ultima sottofase del Risk Assessment consiste nella valutazione dei rischi. L'obiettivo è quello di individuarne i principali da gestire con strategie ed interventi di diversa priorità nella successiva fase di trattamento dei rischi.

In particolare, in tale ambito si determina il livello di esposizione al rischio, ovvero in che misura l'organizzazione è esposta rispetto ad un particolare rischio, espresso mediante la formula seguente:

PROBABILITÀ X IMPATTO

Con “probabilità34”si intende riferirsi alla frequenza attesa di manifestazione dell'evento

nel futuro; per poter procedere alla valutazione della probabilità è necessario ricorrere a tecniche di natura formalizzata (modelli matematico/probabilistici), pur potendo comunque essere integrate da analisi di tipo qualitativo condotte dagli incaricati dell'assessment: definire una scala di valutazione con un punteggio da 1 a 3, dopo aver opportunamente fissato un certo arco temporale di riferimento:

→ si assegnerà un punteggio pari a 1, quando la probabilità di manifestazione dell'evento è BASSA;

→ si attribuirà un punteggio pari a 4, quando la probabilità di manifestazione dell'evento è ALTA.

L'impatto è la conseguenza che si produce dal manifestarsi di un rischio temuto, ossia il danno che ne consegue dal manifestarsi del rischio. Nell'ambito della stima dell'impatto è sempre opportuno considerare l'obiettivo rispetto al quale si effettua la valutazione dei

rischi.

Analogamente, lo stesso iter utilizzato per la probabilità dovrà essere replicato per l'impatto, andando ad assegnare un punteggio a seconda della sanzione prevista dalle norme al verificarsi di un reato e, dunque, se la sanzione è più o meno afflittiva.

La stima della probabilità è effettuata mediante l'analisi preliminare dei driver (fattori) che possono influenzare la frequenza di manifestazione attesa dell'evento. Più precisamente, per definire la probabilità di commissione di una fattispecie di reato, sarà necessario individuare le variabili che possono influire sullo stesso.

Al fine di chiarire quanto sopra esposto, si evidenzia di seguito alcune tra le potenziali determinanti (driver) che potrebbero incidere e quindi aumentare la probabilità di commissione del reato (presupposto, ai sensi del Decreto Legislativo 231/2001) di “corruzione”:

1) Discrezionalità delle decisioni della Pubblica Amministrazione; 2) Potenziale incidenza economica dell'operazione;

3) Incidenza del ritardo della Pubblica Amministrazione sul business/periodicità dell'azienda.

L'impatto del rischio, ai sensi del Decreto 231/2001, è costituito esattamente dalla sanzione prevista dallo stesso, al verificarsi di un reato tipico. In effetti, lo stesso Decreto prevede per alcune categorie di reato la mera applicazione di sanzioni pecuniarie (esempio: Reato di falso in bilancio), per altre, invece, ritiene opportuno aggravare la pena da infliggere prevedendo sanzioni pecuniarie ed interdittive. Dunque, il punteggio assegnato sarà così distribuito:

• SANZIONE PECUNIARIA: punteggio pari ad 2 (in quanto il danno è contenuto);

• SANZIONE PECUNIARIA + INTERDITTIVA: punteggio pari a 4.

È necessario sottolineare come la scelta della scala in base alla quale suddividere in classi il valore assunto dalle variabili in oggetto, nell'ambito della stima della probabilità, sia frutto di un apprezzamento soggettivo da parte del team di lavoro; viceversa, vi è discrezionalità nulla in sede di stima dell'impatto, in quanto sarà compito del Decreto evidenziarne la gravità stessa del rischio reato verificatosi: sarà sufficiente analizzare la normativa e verificare la sanzione prevista applicabile alla fattispecie di

reato.

Al fine di garantire la massima coerenza tra le variabili esaminate (impatto e probabilità), la scala adottata per la loro definizione e valutazione deve essere la stessa, in modo da ottenere risultati omogenei ed attendibili per poter effettuare un'analisi congiunta probabilità-impatto.

Al termine di tali attribuzioni per ciascun processo a rischio reato si procede alla costruzione della “matrice probabilità-impatto”, una griglia nella quale vengono collocati i processi per stabilirne la rischiosità insita del singolo.

Si riporta di seguito, a titolo esemplificativo, la matrice sopracitata:

Il rischio minimo avrà un punteggio pari a 1 (1 x 1); Il rischio massimo avrà punteggio pari a 16 (4 x 4);

La matrice permette di ottenere una visione più esplicita e concreta circa l'esposizione al rischio per ciascun processo e definire le priorità di intervento.

PROGETTAZIONE:

Durante tale fase si confronta il livello di esposizione al rischio (lordo, ossia senza considerare controlli preesistenti) con il sistema organizzativo e il sistema di controllo interno presenti nell'azienda, al fine di individuare se a fronte dei processi rischiosi, precedentemente individuati, sussistano misure di controllo interne atti a presidiare/prevenire i rischi connessi.

Nella fase di progettazione viene utilizzata la “gap analysis”, la quale si occupa di confrontare:

il sistema di controllo interno già esistente, e

il modello di organizzazione, gestione e controllo da implementare ai sensi del Decreto 231/2001.

Ai fini di un'esposizione più esaustiva si precisa che, per valutare in maniera efficiente il “controllo interno” di un'organizzazione, si dovrebbe procedere a controllare i seguenti elementi:

 le procedure: documenti contenenti la descrizione del processo, definizione degli attori coinvolti, individuazione dei punti di controllo; occorre valutare se a fronte di un determinato processo rischioso vi è una procedura (elemento chiave di un buon sistema di controllo interno);

mansionari o job description: documenti che descrivono i compiti, le attività dei soggetti e soprattutto le responsabilità;

 chiarezza dei poteri e delle deleghe: se si presentano in modo chiaro, aggiornato e formalizzato, sono elementi che tendono a rafforzare il controllo interno;

 autorizzazioni delle operazioni: ossia se è presente, all'interno di un processo, un soggetto o, in alternativa, più soggetti responsabili;

 documentazione delle operazioni: se documentate, consentono la tracciabilità e, quindi, la possibilità di effettuare controlli;

 separazione dei compiti;

Le componenti appena elencate costituiscono e definiscono il controllo interno; in tale sede potrebbero scaturire eventuali carenze nelle quali sarà opportuno un adeguato intervento, in quanto l'obiettivo di un buon sistema di controllo interno è quello di riportare il rischio lordo entro livelli di rischio accettabili35, da cui segue la formula:

RISCHIO LORDO – CONTROLLI INTERNI = RISCHIO RESIDUALE

Il rischio residuale è il rischio non intercettato dai controlli dell'azienda. Accertato il livello di tale rischio, è necessario valutare se rientra nella soglia di “accettabilità”: più alto è il rischio residuale e minore sarà il livello accettabile. In tale sede è possibile

avanzare integrazioni (nel caso non vi siano controlli, si procede a definire nuove procedure), raccomandazioni e/o suggerimenti (qualora si ritenga che il controllo sia carente) per migliorare le procedure, la tracciabilità delle operazioni, i poteri autorizzativi, ed infine i controlli di linea ed i livelli di supervisione per predisporre un idoneo modello organizzativo.

PREDISPOSIZIONE:

Normalmente il Modello organizzativo, gestione e controllo, ai sensi del Decreto

Documenti correlati