In questo numero vogliamo, invece, concentrarci su come si può applicare un buon sistema di gestione dei rischi, ovvero come implementare e applicare un modello di gestione dei rischi secondo il D.Lgs. 231/01. La storia di questo decreto è molto lunga, articolata e soggetta a continue revisioni, basti pensare che affonda le radici nel lavoro sul codice penale presieduto dallo scomparso avvocato Carlo Federico Grosso.

Perché è importante un modello organizzativo e di gestione?

Prima dell’entrata in vigore del decreto, l’8 giugno 2001 non vigeva il principio del societas delinquere non potest. Dopo l’approvazione del decreto è oggi possibile “difendere” le aziende se c’è la capacità di dimostrare che sono stati efficacemente attuati tutti gli strumenti necessari definiti da un idoneo modello organizzativo (MOG). L’azienda, quindi, non è “assolta” perché non coinvolta direttamente nel fatto, ma lo è solo se può dare evidenza di aver fatto tutto ciò che era in suo diretto controllo per evitare il rischio e di aver messo in atto azioni preventive ovvero di avere un MOG aggiornato e applicato.

Nel corso degli anni, il decreto 231/01 ha subìto tantissimi aggiornamenti che hanno comportato l’ampliamento dei reati presupposti fino all’ultima revisione di queste settimane che ha recepito una normativa europea per l’inclusione del reato di frode fiscale: la modifica al Decreto 231 introdotta dal D.L. 124/2019 (pubblicato in G.U. del 26.10.2019 e applicabile dal 15° giorno successivo) indica che ad essere sanzionate sono le condotte di cui all’art. 2 del D.Lgs. n. 74/2000 rappresentate dalla dichiarazione fraudolenta mediante uso di fatture o altri documenti per operazioni inesistenti, sia ai fini delle imposte dirette che del valore aggiunto.

La lista dei reati è molto lunga e l’esposizione al rischio dipende fortemente dalle specificità delle singole aziende, dalla propensione al rischio, dalla cultura della legalità. La buona notizia è che è possibile progettare e realizzare un MOG idoneo ed efficacemente attuabile e che si può farlo applicando una metodologia consolidata e verificata anche sul campo.

Progettare un MOG richiede competenze tecniche interdisciplinari e forti conoscenze, molta esperienza e grande sensibilità per rilevare e valutare i diversi rischi nonché per definire ed integrare tutti i controlli opportuni. In nessun caso ciò deve rappresentare un esercizio virtuoso, astratto, slegato dalla realtà aziendale o che ingessi le buone prassi operative. Troppo spesso nella nostra esperienza professionale vediamo modelli formalmente perfetti che, per evitare la commissione di reati, elencano una serie di divieti o suggerisco comportamenti che il personale dovrà tenere. Chi di noi ha lavorato in aziende sa perfettamente che è già faticoso trasmettere la conoscenza e l’applicazione di una procedura specifica, definita per attuare un processo, figuriamoci trasferire la conoscenza leggendo un documento “in legalese” di 150 pagine che descrive dei reati e non dei processi aziendali, che parla di protocolli piuttosto che di responsabilità, compiti, modalità operative e di controllo ecc…

Progettare un MOG è dunque un lavoro di analisi e sintesi delicato, di studio, approfondimento, perfezionamento e concretezza; non è un processo semplice, ma nemmeno così complesso come si possa pensare se si hanno dei validi e competenti aiuti in diverse discipline.

PK applica da circa un decennio LeanCompliance®, metodologia proprietaria, che ha come obiettivo quello di rafforzare sempre di più il grado di conformità, anche integrando ambiti diversi,  senza appesantire i processi aziendali e che è stata premiata nel 2011 da Innovhub della Camera di Commercio di Milano come approccio innovativo capace di coniugare un elevato grado di efficacia con una efficienza potenzialmente molto significativa.

Efficacia ed efficienza sono termini tra i più abusati in azienda e allora vediamo perché nel caso della Lean

Compliance® non siano usati a sproposito.

Abbiamo già detto che il MOG debba essere idoneo ed efficacemente attuato perché abbia valore esimente e sia quindi efficace.

L’idoneità è determinata soprattutto dalla capacità di costruire un sistema dei controlli interni specifico, articolato su tre livelli, applicabile, commisurato a tipologie di rischi diversi. Il presupposto imprescindibile è quindi che il sistema di controllo non sia un insieme di “si fa formale divieto” bensì che sia progettato sui rischi specifici (e non tipici) dei diversi processi dell’Azienda analizzata. Molto semplice, se non fosse che i rischi specifici variano per tipologia (operativi, societari, ambientali, finanziari, corruttivi, fiscali…), per processo, per settori merceologici, per rilevanza, per impatto, per dimensione societaria, per reputazione. 

LeanCompliance® prevede una modalità strutturata, interdisciplinare, verificata, continuamente aggiornata e documentata di analisi e misurazione dei rischi di commissione dei reati lungo i processi. Il sistema dei controlli interni sarà quindi costruito in modo che mitighi, o attui altra strategia di gestione, il rischio del singolo processo dell’azienda rispetto allo specifico reato.

L’efficace attuazione ha come presupposto fondamentale che le responsabilità, le modalità operative, i tre livelli di controllo, gli indicatori, gli strumenti e quant’altro possa essere utile a condurre un processo aziendale, siano definiti o per prassi consolidata ovvero formalizzati. LeanCompliance® stabilisce come strutturare i processi aziendali (e non solo i cacofonici ‘protocolli di controllo’) in coerenza con la cultura aziendale e, soprattutto, come attuare percorsi formativi multimediali e multicanale per rendere noti a tutti gli interessati il corretto funzionamento aziendale.

In ultima analisi LeanCompliance® ha consentito di progettare, implementare e rendere operativi modelli, la cui idoneità ed efficace attuazione è stata dimostrata a terzi. 

Il sistema dei controlli interni è parte fondamentale dell’attuazione delle strategie di gestione del rischio (vedi l’articolo “La cultura del rischio” apparso su questa rivista il 1° agosto 2019) e dovrebbe essere integrato in funzione delle diverse tipologie di rischio, superando logiche legate ad ambiti di responsabilità o a fornitori diversi. Proviamo a rendere il concetto con un esempio. 

La verifica del corretto funzionamento dei freni della macchina viene condotta: per mitigare il rischio di malfunzionamento che potrebbe generare pericoli per la salute; per rispondere a requisiti di legge; per evitare danni alle cose. Non sottoporrò tre volte a verifica i freni per tre diverse finalità. Allo stesso modo se vogliamo essere efficienti non dovremo sottoporre l’azienda ad un’analisi di rischio 231, ad un analisi di rischio salute e sicurezza, ad un’analisi di rischio GDPR, ad un’analisi di rischio di continuità operativa, ecc… 

LeanCompliance® prevede la possibilità di condurre un’analisi multidisciplinare che consenta di progettare ed attuare un unico sistema dei controlli interni che soddisfi diversi requisiti piuttosto che un’analisi e una procedura per la qualità, un’analisi e un protocollo per la 231, un’analisi e una procedura per la sicurezza, e magari un’analisi e un manuale per l’ente di regolazione e controllo. LeanCompliance® consente inoltre di integrare quanto già esistente. Tutto ciò comporta sia una riduzione degli investimenti in conformità sia la possibilità di liberare risorse interne, in altri termini di essere particolarmente efficienti.

Questo quarto articolo completa il percorso sulla cultura del rischio in azienda, ma siamo certi che ci saranno altre occasioni per discutere ancora di questa materia che, sappiamo, necessita di ulteriori approfondimenti