Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
231/2001
Governo d’impresa
I concetti di risk assessement e risk management sono richiamati dal documento CoSO II e dalla
circolare 83607/2012 della GdF. Questo secondo contributo illustra le linee essenziali e le
modalità applicative oltre a proporre una matrice applicativa utile alla mappatura dei rischi
richiesta dal decreto.
2/2013 31
D.Lgs. 231/2001
zione delle attività a rischio (politiche azien- specifico alle categorie di rischio identifica-
dali, leggi e regolamenti, bilanci, procedure te. In particolare si procede alla individua-
interne ecc.). zione di un peso relativo tra le categorie di
Nell’ambito di questa analisi è opportuno rischio ed alla valutazione dei singoli fattori
identificare i soggetti responsabili dei pro- di rischio per ciascuna delle attività e proces-
cessi e delle attività potenzialmente a rischio si rilevati.
ed effettuare delle interviste di dettaglio con I criteri utilizzati per la valorizzazione del
l’obiettivo di delineare un quadro esaustivo livello di rischio sono di norma soggettivi e
Governo d’impresa
32 2/2013
D.Lgs. 231/2001
dedicato), anche introducendo, ove possibile, tività di processo, di quali sono i soggetti
tecniche di auto valutazione assistita. coinvolti e in quali fasi del processo questi
ultimi intervengono.
Prevedere specifici protocolli
diretti a prevenire i reati b. Individuazione e descrizione
(art. 6 co. 2. lettera b) delle attività di controllo implementate
Si tratta, ora, di definire le attività di verifica Nell’effettuazione della attività di ricognizio-
per controllare, ed eventualmente adeguare ne deve essere data particolare enfasi ai pro-
Governo d’impresa
il Sistema di Controlli Interni (protocolli) cessi di controllo implementati dal manage-
per prevenire la commissione di reati, cosı̀ ment. In sostanza occorre evidenziare quali
come richiesto dall’art. 6. strumenti di controllo delle attività e del pro-
L’attività dovrà essere condotta sui processi/ cesso sono stati introdotti per garantire il ri-
attività individuati nella fase di risk asses- spetto dell’obiettivo di conformità alle dispo-
sment e consiste in: sizioni del D.Lgs. n. 231/2001.
a) descrizione formalizzata e di dettaglio del- Per una migliore individuazione si possono
le attività a rischio; utilizzare le seguenti classificazioni di con-
b) individuazione e descrizione delle attività trollo.
di controllo implemementate; I controlli possono distinguersi in:
c) individuazione e descrizione dei controlli preventivi, volti ad evitare il verificarsi di
carenti ed inesistenti; un evento negativo;
d) verifiche (anche a campione) per esami- rivelatori, diretti a rivelare l’anomalia nel
nare la conformità dei comportamenti effet- momento in cui si manifestano;
tivi confrontandoli con quelli previsti nel direttivi, servono ad indirizzare le attività
modello. di processo;
correttivi, volti ad impedire che si verifichi-
a. Descrizione formalizzata e di dettaglio no effetti negativi quando l’evento negativo si
delle attività a rischio è verificato.
La prima attività da svolgere per la valutazio- Secondo gli obiettivi che si prefiggono pos-
ne dell’adeguatezza dei «protocolli» consiste sono essere distinti in:
nella rilevazione dettagliata dei processi po- operativi;
tenzialmente a rischio. In particolare si trat- relativi alle informazioni di bilancio;
ta di effettuare una «ricognizione» (survey) conformità a leggi e regolamenti.
ovvero una raccolta di tutte le informazioni È possibile perciò effettuare una classifica-
utili sulle attività da esaminare. La ricogni- zione dei controlli riscontrati suddivisi per
zione può essere effettuata utilizzando tecni- natura e per obiettivo. Ciò consente una più
che specifiche quali: agevole valutazione dei controlli per catego-
interviste con i soggetti coinvolti nel pro- ria omogenea.
cesso;
utilizzo di appropriati Questionari (ICQ) e c. Individuazione e descrizione
check list (2); dei controlli carenti o inesistenti
osservazioni sul posto; Una volta rilevati i controlli nella fase di ana-
analisi delle procedure approvate e delle lisi del processo questi devono essere valutati
prassi aziendali; per la loro efficacia ed adeguatezza. Tale va-
studio e comparazione delle relazioni tra lutazione consiste nel:
informazioni di natura finanziaria e non fi- verificare l’effettiva applicazione dei con-
nanziaria; trolli esistenti: è possibile infatti che il
predisposizione di diagrammi di flusso
(flow-charting) per una descrizione schema-
tica e dettagliata delle attività e dei controlli
Nota:
esistenti (quando ritenuto necessario). (2) Op. cit.: OdV Governance: Check lists Cap. 7 e CD -
Scopo di questa fase è quello di avere un OdV Unità Operarive ICQ Internal Control Questionnaires
quadro dettagliato di come si svolgono le at- Cap. 8 e CD.
2/2013 33
D.Lgs. 231/2001
controllo sia presente ma non venga utilizza- La metodologia adottabile «as is ana-
to o venga eluso dai comportamenti (walk lysis» o analisi dell’esistente
through);
evidenziare i controlli carenti o mancanti: In definitiva la metodologia si configura co-
questo si ottiene confrontando i processi di me un’analisi dell’esistente (as is analysis) va-
controllo effettivamente riscon- le a dire una stima delle misure già attuate
trati con una situazione «ipoteti- dall’organizzazione per control-
L’output di questa fase lare i fattori di rischio già rilevata
ca» o «attesa». Le caratteristiche sarà valutazione
Governo d’impresa
34 2/2013
D.Lgs. 231/2001
Governo d’impresa
corgimenti basati su falsa documentazione, IT, ambiente, diritti d’autore ed altro).
accordi fittizi ed altro; In Tavola 2 si presenta una matrice che ben
b) illeciti e reati che nulla hanno a che vedere
con i fatti di gestione registrati nelle scritture
contabili e nei prospetti di bilancio (finan-
Nota:
cials reporting) ma che possono essere com- (5) Chi scrive ritiene che l’OdV essendo organico all’ente
messi ugualmente recando nocumento al- o azienda, in quanto incardinato in essa da una legge
l’Ente od azienda. specifica, può attivamente stimolare gli altri organi di con-
Ecco che la metodologia applicata nel primo trollo esterni all’azienda (Collegio Sindacale, Revisore Le-
gale)) al fine di attuare un «sistema integrato di controlli».
caso si sviluppa con l’auditing e la verifica (Si veda in proposito dello stesso autore: «OdV, Revisore
delle procedure in essere, con la ricerca dei Legale, Collegio Sindacale: attori di un sistema integrato
punti di debolezza nelle stesse determinando di controlli» in Amministrazione & Finanza n. 12/2012).
1 Check up aziendale Conoscenza generale ed appro- Dossier Permanente - Dossier Imposte - Dossier Go-
fondita dell’azienda ed acquisi- vernance - Check lists: 10 - CoSO Report I :11.1 11.2 -
zione relativa documentazione 14.1 14.2 14.3 14.4 - 16 17 18. Dossier Unità Operative
- 1 (Rischio Intrinseco)
2 Valutazione SCI Analisi del Sistema del di Con- Unità Operative - ICQ da 3 a 25
trollo Interno (SCI) esistente (Rischio di Controllo)
4 Individuazione fattori di Individuazione dei punti di forza e Determinazione del Rischio di Infrazione
rischio dei punti di debolezza da monito- Verifiche di conformità alle procedure rilevate
rare (da mettere in comune con Matrice dei Rischi)
5 Mappatura aree sensi- Determinazione dei reati possibili Matrice dei Rischi
bili e processi a rischio e probabili Da utilizzare per Reati contabili e non Tav. 2
6 Valutazione rischio rea- Analisi del rischio di commissio- Classificazione finale del rischio Tav. 3
to ne di uno dei reati presupposto
1 1 2 3 4
2 2 4 6 8
3 3 6 9 12
4 4 8 12 16
2/2013 35
D.Lgs. 231/2001
si adatta sia nell’ipotesi a) sopra descritta, l’impatto degli effetti che può determinare
confortando le analisi delle procedure che tenendo conto delle eventuali misure preven-
l’OdV ha il compito di eseguire nelle proprie tive o protettive già in essere;
verifiche, sia nell’ipotesi b) dove l’OdV può, – determinazione della classe di rischio: alto,
con il supporto delle professionalità interne medio, basso, trascurabile (Tavola 3).
all’azienda, affrontare le aree che necessita- A seconda dell’entità del rischio reato cosı̀
no di particolare e specifica competenza per determinato si dovranno poi definire, attuare
poi decidere come affrontare la procedura e controllare i programmi di eliminazione o
Governo d’impresa
magari ricorrendo ad esperti esterni. (6) di riduzione e gestione del rischio stesso.
36 2/2013
D.Lgs. 231/2001
do (M), è intesa come la gravità delle conse- schio avvalorato con 16 (dove entrambi i fat-
guenze dell’evento indesiderato. In genere tori sono stati stimati con valore pari a 4).
viene distinta in 4 classi; La classificazione finale del rischio è quindi
– Pericolo, sorgente di rischio: si intende il risultato della moltiplicazione tra i fattori:
l’entità o l’evento in grado di provocare il G - Gravità - Impatto (10) P - Probabilità.
danno o i danni. (mitigata dall’indice di copertura)
G - Gravità - Impatto
Valutazione del Rischio di Infrazione Rappresenta la conseguenza materiale dell’e-
Governo d’impresa
Si deve prendere in considerazione da un la- vento
to, la Gravità/Impatto che tali reati presup-
P - Probabilità.
posto possono provocare (Gravità - Impatto
Rappresenta la probabilità che il fatto si ve-
G), dall’altro la probabilità che tali compor-
rifichi.
tamenti accadano e la copertura del modello
Le probabilità che il management deve asse-
organizzativo attualmente applicato e fina-
gnare al fatto che l’evento si verifichi
lizzato a mitigare il rischio che tali fattispe-
cie si realizzino (Probabilità P). Livello
Al fattore «Gravità - Impatto G» è stato asse- Si può andare quindi da un potenziale Ri-
gnato un valore crescente da 1 a 4, in base schio Trascurabile 1 (dove entrambi i fattori
alla maggiore o minore «sensibilità» del pro- sono valorizzati con 1) ad un Rischio Alto
cesso/attività in esame, alla frequenza di ese- valutato con 16 (dove entrambi i fattori sono
cuzione e alle considerazioni emerse rispetto stati stimati con valore pari a 4).
alle responsabilità coinvolte. All’interno di La classificazione in fasce di gravità riporta-
tale fattore, sono contenute anche valutazio- ta in Tavola 3 (Rischio Trascurabile, Basso,
ni generali in merito alla tipologia (sanzioni Medio, Alto) consente di individuare con-
pecuniarie e sanzioni interdittive) e alla gra- gruentemente le priorità di attuazione delle
vità delle sanzioni nelle quali l’ente può in- azioni stesse e quindi le aree e i processi nei
correre. Tutto ciò premettendo che l’Ente. quali è necessario intervenire per mitigare/
mira a presidiare l’accadimento di qualsiasi eliminare il rischio.
fatto illecito contemplato nel D.Lgs n. 231/ Possono essere consigliate delle azioni di mi-
2001 per prevenire ogni tipologia di ricaduta glioramento anche nel caso di rischi valutati
in termini di immagine o di danno economi- come trascurabili, nella direzione di un mi-
co finanziario. glioramento complessivo dell’intero sistema.
Il fattore «Probabilità - P» sempre con valore
assegnato da 1 a 4 è stato invece valorizzato Come si utilizzano Matrice e schema
in base alla presenza degli elementi indivi- La Matrice è utile sia per la categoria dei
duati quali: documenti di principio/indiriz- reati che possono essere rilevati nelle scrittu-
zo, procedure/registrazioni, controlli,...), di- re contabili (già con rischio infrazione asse-
retti a mitigare i rischi connessi alla concre- gnato in base alla procedure descritta) sia
tizzazione dei reati. per gli altri reati dando una metodologia di
La conseguenza è che la scala individuata è approccio che il componente l’OdV può uti-
inversa rispetto al fattore gravità/impatto lizzare sia con l’ausilio degli altri organi di
cioè il giudizio di minore probabilità (presi- controllo (i.e. Collegio sindacale, Revisore le-
dio/procedura) efficace è pari a 1 mentre gale ecc.) sia con professionalità interne ad-
quello di presidio/procedura meno efficace dette ai vari settori operativi (I.T., ufficio le-
(alta probabilità) è uguale a 4. gale, SSPP, Ambiente ecc) sia con esperti
esterni all’uopo incaricati dalla società o dal-
l’OdV stesso in base all’autonomia finanzia-
La classificazione del rischio ria che il legislatore ha voluto concedergli).
È quindi il risultato della moltiplicazione tra La matrice dalla quale si decide la rilevanza
i fattori «Probabilità - P» e «Gravità - Impat-
to G». Si può andare quindi da un potenziale
Rischio Minimo 1 (dove entrambi i fattori Nota:
sono valorizzati con 1) ad un Massimo Ri- (10) Magnitude Of The Potential Loss.
2/2013 37
D.Lgs. 231/2001
38 2/2013