4. La valutazione dei rischi e dei controlli

Ulteriori limiti del CRSA sono rinvenibili nel tentativo di quantificare il rischio del verificarsi di un reato ed i livelli di controllo a presidio.
A parere di chi scrive, infatti, gli eventi che il CRSA consente di identificare e quantificare e per i quali tali metodologie sono state ideate sono spesso eventi ben definiti e misurabili.
Il riferimento ai criteri della "probabilità" di accadimento e della "gravità" tipici del CRSA, invece, quanto riferiti ad un reato incontrano inevitabilmente delle difficoltà.
La gravità, intesa come misura dell'impatto sull'azienda del verificarsi del reato, può essere ricavata dalla sanzione predeterminata dal legislatore nei limiti del minimo e del massimo edittale (in un'ottica prudenziale conviene prendere a riferimento il valore del massimo edittale). Ciò implica che secondo la logica della gestione del rischio, per ottenere una riduzione del livello di rischio residuo non si potrà intervenire sul parametro della gravità, in quanto prestabilito dalla norma, e si dovrà operare unicamente sull'abbattimento del valore della probabilità, a meno che non si opti per una politica di "accettazione del rischio" incentrata su forme di accantonamento con le logiche di bilancio di fondi sufficienti ad ammortizzare l'impatto di una eventuale sanzione pecuniaria . Ovviamente, tali logiche non possono risultare, invece, utili nei confronti delle sanzioni interdittive (blocco dell'attività, revoca delle autorizzazioni, commissariamento), la cui rilevante incidenza sull'attività aziendale ha come conseguenza quella di dover ritenere qualsiasi rischio connesso a queste sanzioni, come un rischio assolutamente da "evitare" o altrimenti da "ridurre" con idonee misure di controllo volte a riportare il livello di probabilità prossimo allo zero.
Le tecniche di CRSA applicate alla mappatura dei rischi-reato, quindi, devono servire principalmente a quantificare la probabilità del verificarsi dell'evento. Tale valore può essere determinato sottraendo al valore di rischio teorico (rischio inerente) il valore dei controlli esistenti. Di conseguenza, il valore frutto di tale operazione esprimerà il livello del c.d. "rischio residuo", cioè quello su cui incentrare la determinazione delle azioni correttive di gestione del rischio.

La quantificazione di un rischio nell'ambito di un workshop, è un'operazione che presenta.....