|
|||||||||
|
|||||||||
Gio, 6 Feb 2025 |
|
I LIMITI DEL CONTROL RISK SELF ASSESSSMENT NELLA MAPPATURA DEI REATI - I° PARTE - di Michele Pansarella, Avvocato di KSTUDIO ASSOCIATO, consulenza legale e tributaria
1. PREMESSA: presentazione della tematica affrontata Il D.Lgs. 8 giugno 2001 n. 231 (di seguito il "Decreto"), art. 6, comma 2°, lett. a) dispone che i modelli di organizzazione e gestione devono prevedere un sistema per "individuare le attività nel cui ambito possono essere commessi reati" c.d. "mappa delle aree a rischio". Le Linee Guida emanate da Confindustria per la costituzione dei modelli di organizzazione, gestione e controllo (di seguito le "Linee guida"), chiariscono che tale requisito può essere assolto con l'implementazione di un "tipico sistema di gestione dei rischi" (risk management). Quanto alle modalità operative della gestione dei rischi, Confindustria suggerisce sostanzialmente due metodologie: - la valutazione da parte di un organismo aziendale che svolga questa attività con la collaborazione del management di linea; - un'autovalutazione da parte del management operativo con il supporto di un tutore/facilitatore metodologico. Il riferimento è chiaramente orientato all'adozione di sistemi di autovalutazione dei rischi (c.d. "Control Self Assessment" o anche "Control Risk Self Assessment" - CRSA ). L'oggetto del presente contributo è proprio quello di analizzare le difficoltà ed i limiti che si possono incontrare quando si tratta di focalizzarne l'applicazione delle metodologie richieste dal CRSA per l'individuazione, la valutazione e la gestione di quella particolare tipologia di evento-rischio qual è appunto il reato. 2. Il Control Risk Self Assessment (CRSA) Secondo la definizione fornita dall'IIA ("Institute of Internal Auditors") il CRSA consiste in un "approccio di team, fattuale, strutturato, analitico e facilitato, che utilizza le competenza degli esperti, usa l'anonimato per far emergere la verità relativamente al conseguimento degli obiettivi, identifica le cause di fondo dei rischi e delle debolezze del controllo e fornisce indicazioni quantificate per la presa di decisioni e lo sviluppo di miglioramenti" . La metodologia del CRSA si pone come soluzione alternativa ed innovativa rispetto alle classiche tecniche di auditing in quanto poggia sul presupposto che la valutazione dei controlli non debba essere affidata ad un solo soggetto all'interno dell'azienda come, ad esempio, l'Internal Audit, bensì ad una auto-valutazione effettuata da tutto il management aziendale con la sola guida di un soggetto (c.d. "facilitatore") che abbia il ruolo di fornire al processo maieutico una sua sistematicità. L'applicazione di questa metodologia implica una prima valutazione astratta dei possibili rischi connessi alla concreta realtà aziendale esaminata, una successiva analisi dei controlli esistenti in grado di ridurre il rischio teorico emerso ed una consequenziale valutazione dei livelli di rischio c.d. "residuo", cioè al netto dei controlli esistenti, che consenta di estrapolare le necessarie azioni di gestione. Il concetto di rischio viene definito come qualsiasi evento in grado di pregiudicare il raggiungimento degli obiettivi aziendali . Tra i diversi obiettivi aziendali (obiettivi strategici, operativi, di reporting) sussiste anche l'obiettivo del rispetto delle normative vigenti (obiettivo di conformità o c.d. "compliance"). Sicché la mappatura dei rischi-reato richiesta dall'art. 6 del Decreto, può essere catalogata tra le attività di gestione di quei rischi il cui verificarsi implichi una violazione di una norma (la fattispecie di reato) e la conseguente applicazione di una sanzione (pena pecuniaria o interdittiva dell'attività dell'ente). Il CRSA si pone come obiettivo quello di fornire al management uno strumento di gestione del rischio. La gestione del rischio significa che la valutazione del sistema dei controlli esistente all'interno dell'ente, in termini di capacità di contrastare efficacemente, è finalizzata a ridurre ad un livello "accettabile" i rischi individuati. Come chiarisce anche Confindustria "ridurre un rischio comporta il dover intervenire (congiuntamente o disgiuntamente) su due fattori determinanti: i) la probabilità di accadimento dell'evento e ii) l'impatto dell'evento stesso". L'applicazione di questa metodologia, quindi, passa quasi inevitabilmente per una misurazione in termini numerici si.....
Il seguito è riservato agli Abbonati Scelga l'abbonamento più adatto alle Sue esigenze
|