La teoria del rischio consentito

Premesso che i rischi connessi all’attività di impresa sono infiniti e pretendere che qualsiasi rischio sia scongiurato è impossibile, il dovere dell’ente è quello di organizzarsi in modo da ridurre al minimo le opportunità che un reato venga posto in essere. Fondamentale è dunque la redazione di un modello organizzativo efficace. Questo requisito di certo non è rispettato se l’ente si limita a trascrivere su carta i punti elencati dalla legge o dai codici di comportamento redatti dalle associazioni di categoria come una sorta di check

list formale se poi ad essa non corrisponde un’effettiva adeguatezza alla

struttura dell’ente cui si riferisce105

. Il modello deve essere prima di tutto cucito sulle forme della società che comporta anche l’individuazione delle aree maggiormente a rischio di reato, suggerite dalle dimensioni dell’ente, dalla sua storia precedente, dalle tecniche di gestione ed esecuzione dell’attività.

Affinché sia realizzato un modello efficace è dunque preliminare un’attività di risk assessment che delimiti le zone pericolose su cui concentrarsi.

105

F. M. SPANO, I parametri di progettazione organizzativa, La resp. amm. delle soc. e degli enti, 01/2006, 217-218: “Secondo questa impostazione non sarà possibile semplicemente redigere una check list di procedure e di controlli o nominare semplicemente un organismo di controllo, per poter affermare che l’azienda ha predisposto quanto possibile per prevenire i reati per lei più rischiosi, per affermare di avere impostato un modello organizzativo “idoneo”. Dovrà, compatibilmente con i fattori contingenti, dimostrare di avere un sistema di progettazione delle posizioni, della macrostruttura, dei collegamenti laterali e del sistema decisionale coerente. In sostanza, non si può a priori dotare un’azienda di una struttura organizzativa con determinate modalità di raggruppamento e di un sistema di incentivazione e controllo

sui generis, adottare forme di comunicazione informale e meccanismi di

decentramento, senza verificarne l’idoneità con l’età dell’azienda, la dimensione, il sistema tecnico (nel senso di “insieme di strumenti e di mezzi utilizzati dal nucleo operativo per trasformare gli input in output”), la stabilità, la complessità, la diversità e l’ostilità dell’ambiente, le relazioni di potere, che direttamente e indirettamente condizionano l’azienda”.

Il primo passo consiste nell’incrociare i reati presupposto contemplati dal decreto e le aree aziendali per identificare quelle “sensibili”106; a questo punto si procede alla mappatura dei rischi connessi alle varie attività; poi si opera una valutazione sulla probabilità che il rischio si verifichi e sull’impatto che l’evento avrebbe sull’azienda: individuato un rischio di reato in una determinata area aziendale e riconosciuta una certa probabilità che questo si verifichi la risposta non può essere che la ricerca di un meccanismo di riduzione e mitigazione del rischio.

Pertanto l’attenzione si sposta sui processi in cui si articolano le aree a rischio, in particolare saranno predisposti degli specifici controlli che incideranno sulla formazione e attuazione delle decisioni attraverso la regolamentazione delle attività strumentali ad esse ma considerate sensibili. Infine si individuano le risorse finanziarie idonee ad impedire la commissione di reati107.

Sono necessarie delle precisazioni sulla tecnica con cui viene costruita la matrice probabilità/impatto. Si considerino due concetti: rischio inerente, come rischio intrinseco all’area interessata senza controlli, e rischio residuale, ovvero le possibilità che questo si verifichi in presenza di un sistema efficace di controllo dell’attività.

L’impatto che la verificazione del rischio comporta sull’impresa è uguale in entrambi i casi; la frequenza, intesa come probabilità che il rischio in concreto si verifichi, cambia in modo significativo in base alla presenza di un meccanismo di controllo e gestione adeguato. Pertanto il rischio residuale dipende dalla combinazione dell’impatto e della frequenza mitigata dall’esistenza di tali meccanismi.

106

GAREGNANI, op. cit., 146.

107

N. COSTANTINO , M. FALAGARIO , La redazione del modello organizzativo:

adempimenti formali e sostanziali, La resp. amm. delle soc. e degli enti, Rivista 231,

Il sistema sarà teoricamente efficace se il rischio residuale risulterà inferiore al rischio inerente, dato dalla combinazione dell’impatto e della frequenza in assenza di controlli. Ancora però non è detto che il rischio residuale sia un rischio tollerabile: questa valutazione dipende dal confronto tra il rischio residuale e il rischio normativamente consentito, inteso come possibilità ineliminabile che un reato venga commesso nonostante la costruzione di un sistema di prevenzione idoneo, adeguato ed effettivo, eludibile solo ricorrendo a condotte fraudolente purché non agevolate da un

deficit dell’Organismo di Vigilanza108. L’attività così descritta non è statica: le

probabilità che il rischio si verifichi così come le aree sensibili possono variare nel tempo e in base all’ampliamento del catalogo dei reati presupposto, nonché per vicende soggettive dell’ente. Così è necessaria una periodica analisi da cui deriverà l’aggiornamento delle strategie aziendali.

Si tenga presente che anche questa teoria può avere dei risvolti amari nella pratica: potrebbe succedere che un rischio di reato valutato come altamente improbabile durante la fase di mappatura in concreto si verifichi.

In questa ipotesi il giudice ben potrebbe ritenere carente l’attività di

assessment e management svolta data la circostanza di fatto.

Spetterà allora all’ente l’arduo compito di convincere il giudice dell’accuratezza delle valutazioni dei rischi effettuate ex ante e che le procedure di controllo adottate fossero sufficientemente scrupolose.

Ancora una volta si conferma che il rischio può essere minimizzato mediante specifici ed accurati sistemi di controllo e gestione, ma per definizione non può mai essere escluso.109

108

C. PIERGALLINI, La struttura del modello di organizzazione, cit., 183- 184.

109

Il concetto è espresso con chiarezza da COSTANTINO, FALGARIO, op. cit., 200: “In conclusione, è possibile affermare che, in mancanza di una metodica di redazione del Modello Organizzativo ex d.lgs. 231/2001 certificata, la stessa deve avvenire in modo quanto più accurato e preciso possibile. La redazione e successiva manutenzione del Modello, parte integrante del “buon operato aziendale”, deve