Sommario

1. Premessa: la responsabilità a carico dell’ente
2. L’efficace esonero dalla responsabilità per l’ente
3. La mappatura delle attività a rischio, il c.d. risk-assessment - risk analysis
4. Le quattro fasi del risk assessment
4.1 Inventariazione degli ambiti aziendali di attività
4.2 Identificazione dei rischi
4.3 Valutazione dei rischi e dei relativi controlli
4.4 Gap Analysis
5. Conclusioni

1. Premessa: la responsabilità a carico dell’ente

La disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, regolata dal D. Lgs. 231/01, ha previsto a carico degli enti una nuova forma di responsabilità giuridica derivante dalla commissione di uno dei reati elencati nel medesimo decreto e compiuti nell’interesse o a vantaggio dell’ente. Tale re-sponsabilità si affianca a quella della persona fisica che ha materialmente commesso il reato.
Il legislatore parte dal presupposto che, in caso di commissione di un reato a vantaggio o nell’interesse dell’ente, da parte di un soggetto a esso legato a vario titolo, né l’ente né i soci né gli associati possano essere esonerati della responsabilità amministrativa e penale che ne deriva.
La normativa in esame prevede a oggi un sostanzioso catalogo di reati-presupposto che possono essere compiuti nell’interesse o a vantaggio dell’ente e individua i soggetti destinatari della disciplina in esame. L’art. 1, comma II, indica “gli enti forniti di personalità giuridica, le società fornite di personalità giuridica e le società e le associazioni anche prive di personalità giuridica”. La normativa non si applica, tuttavia, a “lo Stato, gli enti pubblici territoriali nonché gli enti che svolgono funzioni di rilievo costituzionale”.

2. L’efficace esonero dalla responsabilità per l’ente

L’art. 6, comma II, prevede le ipotesi di esenzione della responsabilità dell’ente se, nel corso di un procedimento penale per uno dei reati presupposti, dimostra di aver adottato ed efficacemente attuato, modelli di organizzazione e di gestione idonei a prevenire i possibili illeciti. L’ente dovrebbe inoltre dimostrare di aver affidato a un organismo interno il compito di vigilare sul funzionamento e la corretta applicazione di quanto prescritto nei modelli, nonché curare il loro costante aggiornamento.
In ogni caso, l’ente dovrebbe provare di aver attuato tutte le misure idonee alla prevenzione dei reati ovvero dimostrare che le persone hanno commesso il reato eludendo fraudolente-mente i modelli di organizzazione e di gestione.
A tal fine, le caratteristiche esimenti dei modelli organizzativi devono rispondere a esigenze ben precise:

• devono individuare le attività nel cui ambito possono essere commessi reati;
• prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevedere;
• individuare le modalità di gestione delle risorse finanziarie idonee a impedire la commis-sione dei reati;
• prevedere obblighi d’informazione nei confronti dell’organismo di vigilanza;
• infine, introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle mi-sure indicate nel modello.

La formulazione dei modelli e l’organizzazione dell’attività dell’organo di controllo devono mirare all’obiettivo di superare con successo il giudizio d’idoneità, adeguatezza ed efficacia del sistema interno operato dal giudice penale.
L’adozione del modello di organizzazione, gestione e controllo resta comunque una facoltà, e non un obbligo per gli enti salvo, come segnalato dalla dottrina, alcune applicazione legislative di settore. Tuttavia, va considerato che, in caso di verificazione di un reato presupposto, i soci potrebbero esperire azione di responsabilità nei confronti degli amministratori inerti che, non avendo predisposto il modello, abbiano impedito all’ente di potersi avvantaggiare dello strumento di esonero dalla responsabilità.

3. La mappatura delle attività a rischio, il c.d. risk-assessment - risk analysis

Il sistema di “esonero” dalla responsabilità presuppone la concreta individuazione delle attività a rischio di cui alla lettera a) del secondo comma dell’articolo 6.
Le Linee Guida di Confindustria (nota) definiscono tale attività come la “mappatura” delle aree a rischio, detta risk-assessment/risk management, volta ad analizzare il contesto aziendale al fine di far emergere le aree e i settori di attività più “sensibili” alla verificazione di eventi pregiudizievoli. Si ritiene che la mappatura sia tanto più efficace quanto più risulti idonea, in concreto, a prevenire i reati presupposto.
A quasi dieci anni dall’emanazione del D.Lgs. n. 231, l’esperienza concreta di supporto alle società per l’implementazione del modello, ha prodotto differenti metodologie per l’identificazione e valutazione dei rischi.
Il metodo più semplice e più usato dagli operatori del settore è costituito dal “chiedersi se una specifica attività aziendale può essere o non essere esposta a un particolare rischio-reato” (Gennaro (nota) ) nonché dall’analisi degli elementi costitutivi della singola fattispecie reato volta a individuare i cd. “driver”, cioè quegli elementi che possano “guidare” l’analisi nel concreto delle attività aziendali (Pansarella (nota) ).
È evidente come la mappatura delle attività costituisce un processo continuo, da svolgersi con adeguata periodicità, soprattutto in caso di mutamento della normativa applicabile e delle realtà aziendali, quali apertura di nuove sedi, ampliamento di attività, acquisizioni, ecc.

4. Le quattro fasi del risk assessment

Il controllo dei rischi legati alle principali aree e attività spetta di regola al management di linea che ha, da un lato, il potere di intervenire sulle problematiche esistenti e dall’altro non ha la possibilità di prevedere tutti i possibili rischi cui andrà incontro la propria azienda (nota) .
In linea generale, il risk assessment si divide in quattro fasi:

• inventariazione degli ambiti aziendali di attività;
• identificazione dei rischi;
• valutazione dei rischi e dei relativi controlli;
• gap analysis.

4.1 Inventariazione degli ambiti aziendali di attività

La presente attività consiste nell’effettuazione di una revisione, periodica e completa, della realtà aziendale al fine di individuare le aree che risultano maggiormente esposte alle potenziali ipotesi di reato presupposto. Individuate tali aree, si può procedere a una ricognizione preliminare delle stesse al fine di individuare il legame esistente tra le attività, le strutture responsabili delle attività, le applicazioni informatiche a supporto di tali attività, i flussi informativi e i risultati conseguiti.
A tal fine è opportuno raccogliere e analizzare la documentazione e l’intero materiale a disposizione, come ad esempio le procedure, l’organigramma, le job descriptions, ecc.
Dall’analisi della documentazione e dalle indicazioni dei vertici aziendali è possibile rilevare le strutture organizzative coinvolte nel processo, le attività di competenza di ciascuna struttura, le relazioni e i flussi informativi tra le varie strutture e gli eventuali documenti che sanciscono l’inizio e la fine delle attività.
Conclusa tale fase è possibile identificare nel dettaglio i rischi a presidio delle attività.

4.2 Identificazione dei rischi

L’identificazione dei rischi richiede l’analisi dettagliata dell’attività di riferimento, cosiddetta “sensibile”, in quanto esposta al rischio di commissione di reati rilevanti ai sensi del D. Lgs. 231/2001. Tale compito spetta al titolare dell’attività o del processo nel quale tale attività rien-tra.
L’obiettivo di questa fase è di individuare le iniziative più opportune per presidiare il rischio e tenerlo sotto controllo. Infatti, rimuovere una criticità genera uno specifico valore aggiunto, sia per la struttura oggetto dell’audit sia per l’intera organizzazione aziendale.
L’attività di identificazione dei rischi è effettuata attraverso un esame approfondito dell’organizzazione aziendale per individuare le modalità operative di funzionamento e i compiti attribuiti alle persone che operano nell’ambito sottoposto a esame. È necessario operare anche attraverso lo strumento delle interviste dei soggetti che svolgono le funzioni inerenti alle attività a presidio del rischio. In ogni caso è possibile avvalersi dell’ausilio di questionari che possono rispondere alla valutazione dei rischi relativi alle attività esaminate.
A seguire si opera un’analisi, a livello potenziale, delle modalità con cui potrebbero essere commessi i reati rilevanti ai sensi del decreto nell’ambito dell’operatività aziendale. Infatti da tale attività emerge una rappresentazione esaustiva di come le fattispecie di reato possano essere attuate nel contesto operativo dell’ente.
Per finire si predispone un documento contenente l’elenco e la descrizione di tutti i rischi emersi dall’analisi.

4.3 Valutazione dei rischi e dei relativi controlli

Valutare un rischio significa analizzare la probabilità che il fatto o il comportamento che si vuole evitare possa verificarsi all’interno dell’organizzazione.
Per valutare il rischio è necessario scorporarlo in quattro fattori, quali:

• la minaccia della realizzazione dell’evento;
• la probabilità che l’evento si verifichi;
• le conseguenze che derivano dall’evento negativo;
• l’esposizione al rischio.

È opportuno precisare che all’interno di un’organizzazione non vi è alcuna possibilità di ridurre i rischi a zero senza aumentare a dismisura i costi necessari per tale diminuzione. Infatti, si parla di rischio accettabile e ogni ente deve effettuare una riflessione sui costi e sui benefici che deriverebbero dall’implementazione di un determinato controllo.

4.4 Gap Analysis

Con il termine Gap s’indicano le carenze da cogliere in ogni processo/attività sensibile che possono aumentare il rischio di commissione reato rilevante ai sensi del D.Lgs 231/2001.
Dall’individuazione delle criticità è possibile passare a individuare le azioni di miglioramento del sistema di controllo interno e dei requisiti organizzativi essenziali per la definizione di un modello specifico di organizzazione, gestione e di controllo. Infatti, i risultati delle analisi devono essere rivisitati criticamente per identificare le azioni e le priorità.
Gli interventi saranno di diversi tipi: tanto più alto è il rischio rilevato, tanto più efficaci e costanti nel tempo devono essere i controlli effettuati. Viceversa, per i rischi di minor gravità è sufficiente un controllo costante al fine di accertare che la loro rilevanza non aumenti nel tempo.
L’obiettivo del controllo è di contenere il rischio a un ragionevole livello.

5. Conclusioni

In conclusione, la mappatura delle attività a rischio reato costituisce un presupposto fondamentale perché il modello di organizzazione, gestione e controllo abbia realmente efficacia preventiva rispetto ai reati presupposto della responsabilità amministrativa. Proprio quest’analisi preliminare deve fornire alle organizzazioni una chiara ed esaustiva rappresenta-zione della realtà aziendale e degli ambiti in cui è maggiormente alta la probabilità di commis-sione dei reati presupposto, in modo tale da rendere possibile la definizione di contromisure realmente efficaci e mirate sulle attività realmente a rischio.
È inoltre evidente che tale mappatura dovrà essere periodicamente aggiornata anche al fine di integrare o modificare i modelli organizzativi per la conservazione nel tempo della loro effi-cacia preventiva.
 

DOI 10.4439/rsc17