Il nostro percorso nel mondo del Decreto legislativo 231 continua; ci eravamo lasciati con la promessa di approfondire i temi dell’analisi di rischio e dei vantaggi per manager, imprenditori e aziende nell’implementare un Modello 231
Managing Partner PK Consulting - roberto.maggi@pkconsulting.it
Andiamo con ordine e partiamo dal concetto di analisi di rischio: cos’è, come si conduce e perché.
A distanza di vent’anni dall’entrata in vigore di quel Decreto legislativo che ha esteso la responsabilità al soggetto giuridico, la scelta di adottare un Modello di organizzazione, gestione e controllo è diventata più responsabile rispetto al passato, ma c’è ancora una fase che risulta oscura e poco considerata da molti anche se da questa dipende l’idoneità stessa del MOG: la conduzione di una robusta analisi di rischio.
La costante, e apparentemente disordinata, proliferazione dell’elenco dei reati presupposto, ormai popolato da oltre 140 fattispecie di reato, rende doverosa un’analisi di rischio da condurre propedeuticamente all’implementazione del
Modello di organizzazione, gestione e controllo, oltreché periodicamente in aggiornamento dello stesso e, di conseguenza, un sempre maggior impegno prevenzionistico. Tale analisi di rischio richiede anche, aspetto troppo spesso sottovalutato, un approccio interdisciplinare in quanto si spazia attraverso tematiche e ambiti che richiedono competenze molto differenti tra loro.
Uno degli aspetti maggiormente importanti, al fine di garantire l’idoneo ed effettivo impegno prevenzionistico dell’Azienda (o ente), è l’esaustività dell’analisi. La miopia dell’analisi di rischio e quindi la scelta, del tutto arbitraria, di limitarla soltanto ad alcune fattispecie di reato, per quanto talvolta possa rivelarsi una scelta volta ad assicurare una maggior concentrazione dell’impegno in un lasso di tempo ristretto (come spesso accade al momento dell’adozione di un modello ex post), non è mai auspicabile ed è dubbio che perduri nel tempo.
Un altro aspetto particolarmente rilevante consiste nell’approcciare questa analisi in ottica aziendale e non esclusivamente giuridica: guardare i rischi partendo dalla conoscenza e dall’analisi dei processi e, nello specifico, di quali la caratterizzano maggiormente, non limitandosi, così, a un esercizio astratto per la verifica di dove potrebbero realizzarsi i rischi/reati presenti nella norma.
In questi due decenni di applicazione abbiamo notato che la limitazione dell’analisi di rischio al reato presupposto, rispetto al quale si percepisca maggiormente l’esposizione, può aver un senso solo e soltanto se suffragata da una specifica esigenza e solo e soltanto se, soprattutto, si dia il seguito, in tempi ragionevoli, ad un’estensione della stessa.
Sottolineiamo che condurre l’analisi di rischio rispetto a tutte le fattispecie di reato previste dal D.lgs. 231/2001 non significa ritenere l’azienda o l’ente esposto a tutti detti rischi, significa, invece, valutare se vi sia o meno esposizione agli stessi e, in caso affermativo, approfondirne il profilo criminologico (immaginando dei comportamenti attuativi del reato).
L’esclusione aprioristica della valutazione dell’esposizione rispetto a specifiche fattispecie, sempre più spesso in uso anche per arginare il difetto di competenze specifiche su fattispecie di reato tanto eterogenee tra loro, pone l’azienda nelle condizioni di totale carenza di tutela nel caso in cui ad esser commesso sia proprio uno di quei reati esclusi.
L’analisi di rischio prende necessariamente le mosse dall’identificazione delle attività sensibili, ossia dall’individuazione di quelle attività aziendali nel cui ambito possano essere commessi reati; purtroppo, quanto accaduto in questi primi vent’anni di vita della norma, ci evidenzia come già in questa prima fase si corra il rischio di vanificare lo sforzo, oltreché l’investimento, se la si approccia in maniera superficiale, frettolosa e poco scrupolosa, senza una visione di insieme e uno sguardo al futuro.
Una volta individuate le attività sensibili e valutata l’adeguatezza e l’idoneità del sistema dei controlli interni ovvero implementate le misure di controllo necessarie a rafforzare il presidio laddove inadeguato, il modello di organizzazione, gestione e controllo e, più in generale, il sistema 231, però, non è in grado di propagare i suoi effetti, organizzativi da un lato e difensivi dall’altro, in assoluta autonomia, ma sono tanti i player che devono necessariamente dare il loro apporto.
Il management e l’OdV (Organismo di Vigilanza) monitoreranno la sostenibilità del sistema dei controlli così da intercettare variazioni che rendano necessari interventi di adeguamento e, soprattutto, contribuiranno alla costante diffusione in azienda della cultura della legalità; tutta la popolazione aziendale sarà chiamata a condividere il tessuto valoriale sul quale poggia il sistema dei controlli e, ça va sans dire, ad attuare correttamente le misure di controllo in essere.
Il sistema dei controlli interni deve essere progettato in modo tale da bilanciare i tre livelli di controllo per non appesantire i processi che devono restare capaci di intercettare le variazioni del rischio e, inoltre, devono essere economicamente convenienti.
Quali i vantaggi per azionisti, manager e aziende?
Non esiste il concetto di “rischio zero”: ogni organizzazione è soggetta a una pluralità di rischi e sceglie come fronteggiarli al fine di raggiungere i propri scopi, che possono essere i più svariati – ad esempio la massimizzazione del capitale investito e la tutela dei lavoratori.
L’approccio classico, ma riteniamo non più sufficiente, di valutare i rischi di probabilità e impatto, sconta il livello di complessità delle aziende, ma può essere utile a comprendere un concetto fondamentale: i rischi possono avere pesi differenti. Un evento con alta probabilità e basso impatto può essere più dannoso di un evento con probabilità invertite. Il rischio, inoltre, ha carattere dinamico perché i danni derivanti possono essere immediati così come differiti nel tempo.
L’obiettivo di un’analisi di rischio condotto con metodologia consolidata, approfondita e veritiera, ovvero calibrata sull’azienda, è quello di tenere il rischio residuo a livello di accettabilità con un sistema di gestione che garantisca la prevenzione dello stesso attraverso il monitoraggio continuativo dell’efficacia e adeguatezza dei controlli preventivi ed ex post.
Sul rischio residuo la direzione aziendale è chiamata a identificare le più opportune strategie di gestione:
- accettazione
- trasferimento
- mitigazione
- non esposizione
Tutto questo riduce la possibilità di imputabilità dell’azienda nel caso di commissione di reato, salvando così la reputazione e riducendo le sanzioni che, ricordiamo, possono arrivare fino all’interdizione delle attività. Assumere un rischio, per un’azienda, potrebbe voler dire incrementare il fatturato, ma se non ben conosciuto, analizzato e gestito può dare l’esito opposto: serie problematiche con impatto immediato sulla profittabilità e, molto peggio, sulla reputazione, “risultante” ultima del rischio.
Altro aspetto che può avvantaggiare l’azienda è che l’analisi dei rischi D.lgs 231 può essere condotta con la stessa metodologia impiegata per la gestione di altre fattispecie di rischio e, applicando una metodologia consolidata e multidisciplinare, è possibile progettare e realizzare un sistema dei controlli interni più efficienti e, potenzialmente, più efficace. Questa logica è uno degli aspetti essenziali della LeanCompliance®.
Quali scenari futuri?
Negli anni a venire sarà sempre più importante implementare un Modello 231 (MOG231); ci aspettiamo anche che la sua gestione venga normata come lo sono attualmente i Sistemi di Gestione e che la sua idoneità e attuabilità possano essere attestate attraverso un rigoroso processo di verifica e valutazione.
Bisognerà tenere sempre presente che il responsabile ultimo per la sua gestione, il suo aggiornamento, adeguamento o mantenimento sarà l’azienda e, più nello specifico, le sue funzioni apicali.
Le radici di un MOG231 saranno sempre formate dalle varie sfaccettature di una corposa analisi di rischio, forse aumenteranno i reati presupposto oppure verranno migliorati e classificati per area, ma ciò non cambierà l’approccio analitico.
Nel prossimo numero chiuderemo il nostro percorso nel mondo del D.lgs 231 con un approfondimento sul modello stesso, i reati più frequenti, gli errori tipici di applicazione e l’organismo di vigilanza. ?