D. Lgs. 231/01: la valutazione della rischiosità di un processo
La valutazione del livello di rischio di commissione di uno dei reati previsti dal D. Lgs. 231/01 è una fase fondamentale del processo di adeguamento del modello di organizzazione, gestione e controllo ai requisiti del D.Lgs. 231/01; è quindi indispensabile avere ben chiara la differenza e tra “rischio lordo” di commissione del Reato e “rischio netto”.
di Giovanni Battisti.
*****
La valutazione del livello di rischio di commissione, nell’ambito dei processi aziendali, di uno dei reati previsti dal Decreto Legislativo 231/01 (c.d. “rischio-reato”) è una fase fondamentale del processo di adeguamento del modello di organizzazione, gestione e controllo ai requisiti del D.Lgs. 231/01.
In linea con le indicazioni fornite da Confindustria, “le metodologie possibili (per la valutazione del “rischio-reato”, N.d.R.) sono sostanzialmente due: - valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea; - autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico.” [1].
Quale che sia la metodologia adottata, è indispensabile che chi conduce il processo di valutazione abbia ben chiara la differenza tra “rischio lordo” di commissione del Reato e “rischio netto”.
La probabilità di commissione di un Reato deve, infatti, essere valutata ipotizzando anzitutto una situazione di assoluta “assenza di controlli” sul processo (ovvero, il rischio lordo). Si devono poi dettagliatamente indicare, per ciascun processo-reato, le attività di controllo esistenti opportunamente distinte per tipologia [2]; solo a questo punto può essere definito il “rischio netto” di commissione di ciascun Reato, il rischio cioè che le “fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda” (Confindustria, op. cit.).
Il perché della necessità di identificare e valutare separatamente il “rischio lordo” (cioè, lo ribadiamo, il rischio di commissione di un Reato in un’ipotetica situazione di assenza di controlli) dal “rischio netto” (ovvero, il rischio di commissione del reato nel reale contesto operativo in cui opera l’azienda) è evidente: ragionando sul solo “rischio netto” si sottostimerebbe la rischiosità del processo e si potrebbe essere indotti a sottostimare (o a trascurare) l’importanza del corretto funzionamento del sistema di controllo.
La distinta valutazione del rischio lordo, del sistema dei controlli e del conseguente rischio netto, per ciascun processo-Reato, è invece indispensabile per orientare l’azione di vigilanza dell’organo di controllo interno il quale, dopo aver pianificato gli interventi necessari per colmare gli eventuali gap del sistema di controllo, dovrà focalizzarsi anzitutto sui processi con il più elevato rischio lordo.
Proviamo a esemplificare. L’azienda X può avere due processi sensibili, A e B. Ad entrambi questi processi è stato assegnato, in sede di analisi, un livello di rischio netto basso; tuttavia, il rischio lordo del processo “A” è basso, mentre il rischio lordo del processo “B” è alto. È il corretto disegno e funzionamento del sistema di controlli esistente che ha permesso di assegnare, anche al processo B, un rischio di commissione del reato (nella concreta situazione lavorativa) basso.
Tuttavia, è evidente che il non corretto funzionamento del sistema di controllo del processo B può avere conseguenze assai più gravi che per il processo A: il processo B richiederà pertanto una più puntuale vigilanza da parte dell’organo di controllo sulla corretta attuazione delle procedure definite nel Modello e sul corretto funzionamento dei presidi di controllo progettati.
-----
[1] Confindustria, “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d. lgs. n. 231/2001”, maggio 2004, cap. I “Individuazione dei rischi e protocolli”, par. 3 “Passi operativi per la realizzazione di un sistema di gestione del rischio”.
[2] Una possibile classificazione delle attività di controllo può essere la seguente:
politiche e linee guida; assetto organizzativo; sistema di deleghe e procure; procedure e regolamenti; autocontrollo e supervisione; monitoraggio indipendente; know-how, competenze e formazione; comunicazione e informazione.
di Giovanni Battisti.
*****
La valutazione del livello di rischio di commissione, nell’ambito dei processi aziendali, di uno dei reati previsti dal Decreto Legislativo 231/01 (c.d. “rischio-reato”) è una fase fondamentale del processo di adeguamento del modello di organizzazione, gestione e controllo ai requisiti del D.Lgs. 231/01.
In linea con le indicazioni fornite da Confindustria, “le metodologie possibili (per la valutazione del “rischio-reato”, N.d.R.) sono sostanzialmente due: - valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea; - autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico.” [1].
Quale che sia la metodologia adottata, è indispensabile che chi conduce il processo di valutazione abbia ben chiara la differenza tra “rischio lordo” di commissione del Reato e “rischio netto”.
La probabilità di commissione di un Reato deve, infatti, essere valutata ipotizzando anzitutto una situazione di assoluta “assenza di controlli” sul processo (ovvero, il rischio lordo). Si devono poi dettagliatamente indicare, per ciascun processo-reato, le attività di controllo esistenti opportunamente distinte per tipologia [2]; solo a questo punto può essere definito il “rischio netto” di commissione di ciascun Reato, il rischio cioè che le “fattispecie di reato possono essere attuate rispetto al contesto operativo interno ed esterno in cui opera l’azienda” (Confindustria, op. cit.).
Il perché della necessità di identificare e valutare separatamente il “rischio lordo” (cioè, lo ribadiamo, il rischio di commissione di un Reato in un’ipotetica situazione di assenza di controlli) dal “rischio netto” (ovvero, il rischio di commissione del reato nel reale contesto operativo in cui opera l’azienda) è evidente: ragionando sul solo “rischio netto” si sottostimerebbe la rischiosità del processo e si potrebbe essere indotti a sottostimare (o a trascurare) l’importanza del corretto funzionamento del sistema di controllo.
La distinta valutazione del rischio lordo, del sistema dei controlli e del conseguente rischio netto, per ciascun processo-Reato, è invece indispensabile per orientare l’azione di vigilanza dell’organo di controllo interno il quale, dopo aver pianificato gli interventi necessari per colmare gli eventuali gap del sistema di controllo, dovrà focalizzarsi anzitutto sui processi con il più elevato rischio lordo.
Proviamo a esemplificare. L’azienda X può avere due processi sensibili, A e B. Ad entrambi questi processi è stato assegnato, in sede di analisi, un livello di rischio netto basso; tuttavia, il rischio lordo del processo “A” è basso, mentre il rischio lordo del processo “B” è alto. È il corretto disegno e funzionamento del sistema di controlli esistente che ha permesso di assegnare, anche al processo B, un rischio di commissione del reato (nella concreta situazione lavorativa) basso.
Tuttavia, è evidente che il non corretto funzionamento del sistema di controllo del processo B può avere conseguenze assai più gravi che per il processo A: il processo B richiederà pertanto una più puntuale vigilanza da parte dell’organo di controllo sulla corretta attuazione delle procedure definite nel Modello e sul corretto funzionamento dei presidi di controllo progettati.
-----
[1] Confindustria, “Linee guida per la costruzione dei modelli di organizzazione, gestione e controllo ex d. lgs. n. 231/2001”, maggio 2004, cap. I “Individuazione dei rischi e protocolli”, par. 3 “Passi operativi per la realizzazione di un sistema di gestione del rischio”.
[2] Una possibile classificazione delle attività di controllo può essere la seguente:
politiche e linee guida; assetto organizzativo; sistema di deleghe e procure; procedure e regolamenti; autocontrollo e supervisione; monitoraggio indipendente; know-how, competenze e formazione; comunicazione e informazione.
Commenti
Posta un commento