Il rischio inerente e il rischio residuo

Il rischio, in via del tutto generale, si denisce come l'eventualità di subire un danno connessa a circostanze più o meno prevedibili. Ciò nonostante, esistono molteplici deni- zioni di rischio che dipendono dal contesto e dalle applicazioni considerate. In particolare la denizione di rischio dipende dal contesto del danno e dal suo metodo di misura.

In ambito 231/01 siamo interessati all'analisi di un duplice concetto di rischio: il rischio inerente e il rischio residuo.

Il rischio inerente è il rischio presente in ogni attività e in ogni processo prima di applicare qualsiasi forma di controllo o altro fattore di mitigazione previsto dal modello di organizzazione. La valutazione del rischio inerente richiede che siano considerati contempo- raneamente due fattori tra loro strettamente correlati ovvero la probabilità che un evento negativo, indipendentemente dal sistema di controlli adottato, si verichi, e l'impatto che questo avrà sull'attività aziendale. Nel primo caso si parla di probabilità di accadimento mentre nel secondo caso ci si riferisce alla gravità del danno.

Il rischio residuo, invece, si può denire come il livello di rischio rimanente una volta applicate e introdotte tutte le misure di controllo e mitigazione, previste dal modello, volte a ridurre la probabilità di accadimento e l'impatto di un evento negativo. Si tratta, pertanto, di una tipologia di rischio che ogni istituto di credito è in grado di tollerare e accettare durante lo svolgimento della propria attività. Il livello di rischio residuo dipende fortemente dal sistema di controlli adottato dal management e di conseguenza il suo valore e fortemente legato all'ecacia e dall'ecienza delle misure di controllo e procedure di mitigazione adottate.

I protocolli e le misure di mitigazione del rischio sono rappresentati da presidi, sistemi procedurali, meccanismi di governance, sistemi di deleghe, e ussi informativi.

A titolo esemplicativo i maggiori istituti di credito del nostro paese adottano le seguenti misure di mitigazione:

ˆ Modello di organizzazione; ˆ Codice etico;

ˆ Organigramma aziendale;

ˆ Sistema dei poteri e delle deleghe; ˆ Regolamento interno;

ˆ Sistema sanzionatorio;

ˆ Utilizzo di sistemi informatici nalizzati alla tracciabilità delle operazioni; ˆ Procedura per la redazione del bilancio;

ˆ Predisposizione delle comunicazioni sociali, ai soci e ai terzi; ˆ Regolamento per il funzionamento del servizio cassa;

ˆ Indagini, veriche e comunicazioni verso la pubblica amministrazione; ˆ Monitoraggi periodici dell'ODV;

ˆ Flussi informativi all'ODV ˆ Sistema di segnalazioni all'ODV; ˆ Piani di formazione periodici;

ˆ Protocollo clausole contrattuali 231/01.

Figura 3.3: Rischio inerente e rischio residuo (Fonte: Slideplayer.it)

Per gli istituti di credito adottare un sistema interno di controlli ecace è molto impor- tante poiché tale sistema inuisce sul valore che viene attribuito al rischio residuo. Infatti, per le banche, ridurre il più possibile il valore di rischio residuo signica ridurre fortemente la probabilità che vengano commessi illeciti previsti dal decreto 231/01 e ciò si traduce in minore responsabilità per l'ente e maggior ecienza organizzativa.

Il valore del rischio residuo dipende quindi dal livello di mitigazione: tanto più basso è il valore di rischio residuo tanto più i protocolli preventivi adottati sono ecaci. In questo situazione la probabilità che l'ente risulti esimente in caso di commissione di reati è elevata poiché quest'ultimi saranno commessi solo in maniera fraudolenta eludendo quanto stabilito dal modello organizzativo.

La scala di valutazione del rischio residuo può articolarsi, ad esempio, su cinque livelli: 1. Rischio residuo ALTO;

2. Rischio residuo MEDIO-ALTO; 3. Rischio residuo MEDIO;

4. Rischio residuo MEDIO-BASSO; 5. Rischio residuo BASSO.

Nel caso specico il valore di rischio residuo è determinato come indicato nella tabella che segue.

RISCHIO DESCRIZIONE

Rischio residuo alto In passato si sono già vericati eventi negativi e il processo è caratterizzato da elevata esposizione al rischio

data la mancanza di idonee misure preventive di controllo Rischio residuo medio-alto Il processo è caratterizzato da elevata esposizione al rischio

data la mancanza di sucienti misure preventive di controllo Rischio residuo medio Nel processo considerato le misure preventive di controllo sono

insucienti e vi è un rischio medio che si possa commetter un illecito Rischio residuo medio-basso L'esposizione al rischio è contenuta data la parziale presenza

di misure preventive e protocolli adottati ecaci Rischio residuo basso Bassa esposizione al rischio in quanto le misure preventive

e i protocolli adottati sono considerati ecaci ed ecienti

Tabella 3.1: La determinazione del rischio residuo (Fonte: Linee guida conndustria)

In particolare si può notare che nel calcolo, il valore del rischio è fortemente correlato al livello di vulnerabilità. Per livello di vulnerabilità si intende l'eettiva presenza e la corretta applicazione di misure preventive di controllo. La vulnerabilità è considerata alta se mancano completamente misure preventive di controllo, è media se vi è una parziale presenza di misure di controllo o se le misure adottate sono per lo più inecaci, è bassa se le misure preventive di controllo sono presenti e al tempo stesso ecaci.

Per la maggior parte degli istituti di credito solamente un rischio residuo basso è tolle- rabile e nessun tipo di intervento viene predisposto7_{. Invece qualsiasi processo, a cui viene}

associato un livello di rischio diverso da quello basso, viene considerato un processo per il quale è bene intervenire e introdurre misure preventive migliorative.

Inne per quanto riguarda la determinazione delle soglia di accettabilità, gli enti pren- dono in considerazione quanto stabilito dalle linee guida di conndustria. Nello specico la determinazione di questa soglia viene individuata seguendo il percorso indicato nella gura sottostante:

Figura 3.4: La soglia di accettabilità: determinazione (Fonte: Linee guida conndustria)

7_{A tal proposito i protocolli adottati e le misure preventive risultano idonee e sucienti a garantire il}