I modelli organizzativi da realizzare a fronte delle esigenze di costruzione delle condizioni di causa esimente per un’impresa secondo i dettami del D.,Lgs 231/01, sono fondamentalmente sistemi di gestione basati sul risk management integrato.
Il processo di base che prevede l’adozione di un insieme di responsabilità, deleghe, poteri, protocolli e misure cautelari è infatti basato sulla identificazione, classificazione, ponderazione, analisi e valutazione dei rischi rispetto a tutte le famiglie di fattispecie di reato menzionate dal decreto e dai dispositivi successivi.
Per ben impostare quindi una gestione del rischio efficace che renda il modello organizzativo idoneo (nel rispetto di tutti i requisiti normativi), efficace (implementato operativamente in modo reale) e adeguato (progettato su misura rispetto alle esigenze aziendali), occorre far riferimento alla identificazione e successiva mappatura dei rischi collegati ai reati.
In tal senso di può procedere in due modi appaiati:
- Procedere dal singolo reato presupposto e valutare in quale o quali processi aziendali di business e gestionali potrebbe insediarsi
- Procedere dal processo aziendale identificato e trasversalmente valutare quali possano essere i reati coinvolti nell’ambito delle attività di pertinenza
Per quanto riguarda il punto (1), la metodologia di gestione del rischio prevede quindi un elemento matriciale di collegamento tra famiglie di reato e processi, per poter identificare le minacce sulle attività di processo e le relative vulnerabilità.
Definiamo minaccia un’azione o un evento che potrebbe pregiudicare la conformità legislativa di un processo in esame e rendere possibile il concretizzarsi di un rischio.
Definiamo vulnerabilità un punto di debolezza di un processo, che potrebbe consentire a una minaccia di avere successo.
Ciò che va definito come protocollo del modello organizzativo è sicuramente la metodologia di risk assessment prescelta, con attenta ponderazione degli elementi di rischio.
Tra queste vanno considerate:
- Livello di esposizione al rischio (in funzione di diversi parametri quali il livello di autonomia decisionale e quello della disponibilità finanziaria nel processo)
- Livello di rilevanza al rischio (danno economico diretto e indiretto in relazione alla tipologia di reato associato)
Ogni rischio potrà essere realmente quantificato attraverso la metodologia definita se saranno chiari due aspetti:
- Il grado di rischio presente (che dipende dai livelli di esposizioni e di rilevanza)
- Lo stato di controllo del processo rispetto alle minacce identificate
Ecco allora che il piano delle misure cautelari deriverà da questo tipo di processo:
Per quanto riguarda il punto (2), il percorso è inverso.
Occorre disegnare bene il processo secondo tutte le attività che ne fanno parte e le relative responsabilità (di esecuzione, controllo, comunicazione, archiviazione documentale, etc.). Dopodiché è necessario valutare, passo dopo passo, quali sono i punti del processo nell’ambito dei quali una determinata fattispecie di reato possa avere luogo, tenendo conto del livello di minaccia in essere e delle relative vulnerabilità presenti.
Il risultato finale, un calcolo del rischio per processo, va affiancato a quello ottenuto con il calcolo del rischio per famiglia di reato.
Entrambe le valutazioni aiuteranno a completare il risk assessment che, ricordiamo, va comunque ripetuto periodicamente (almeno una volta l’anno) e comunque a seguito di riorganizzazioni o aggiornamenti normativi sostanziali.