IL RUOLO DEL MODELLO DI ORGANIZZAZIONE, GESTIONE E CONTROLLO NELL’ENTERPRISE RISK MANAGEMENT (ERM).
Il concetto di rischio è legato alla stessa natura dell’attività d’impresa, in quanto intimamente connesso all’aleatorietà degli eventi riferiti al suo operare.
I rischi aziendali sono molteplici, quali, a titolo esemplificativo: i rischi legati al business, quelli di tipo strategico, le frodi interne/esterne, quelli derivanti dalla gestione del personale, i rischi reputazionali, nonché i rischi riferibili alla sostenibilità produttiva e alla salute e sicurezza sul lavoro.
Pertanto, è fondamentale per qualsiasi realtà imprenditoriale individuare e gestire i rischi cui è esposta (Risk Assessment/Management), ossia valutare tutte le fonti di rischio legate all’attività d’impresa, per poi trattarle e governarle attraverso gli strumenti più consoni, personalizzandoli a seconda delle esigenze e delle necessità della società, nel rispetto dei suoi obiettivi e delle sue strategie.
Sulla base di questi elementi si è sviluppata l’attuale struttura della gestione integrata del rischio o Enterprise Risk Management (ERM).
In tale ambito, i possibili approcci metodologici sono diversi, ma il principale punto di riferimento è probabilmente quello proposto dalle fonti internazionali e, in particolare, dalla Committee of Sponsoring Organizations of the Treadway Commission (CoSO) statunitense, in quanto si tratta della fonte primaria con cui poi, ad esempio, anche gli standard ISO si confrontano (ISO 31000:2018).
Il CoSO Framework articola la gestione del rischio in un sistema integrato, che contempla quattro categorie di obiettivi:
· strategici,
· operativi,
· di reporting
· di compliance.
A seconda dell’obiettivo, non solo mutano le modalità di misurazione e le soglie di accettabilità dei rischi, essendo diverso anche l’oggetto di valutazione dell'assessment stesso.
Se l'obiettivo cui punta il sistema di controllo interno fosse, ad esempio, rivolto soltanto alla tutela dei rischi legati alle opportunità di business proprie dell'impresa, alla valorizzazione delle risorse dell'azienda o delle performance operativo-gestionali, sarebbe opportuno muovere dai piani strategici del Consiglio di Amministrazione per rintracciare i possibili rischi, mentre i criteri per la loro identificazione e misurazione sarebbero commisurati a parametri interni, quali il risk appetite e la risk tolerance degli azionisti e degli amministratori.
Ovviamente, a livello di obiettivi individuati dall’ERM e di relativi rischi che potrebbero impedire il loro raggiungimento, le tematiche poste dal D.Lgs. n. 231/2001 sono indirizzate in modo specifico a quelli di tipo “compliance”, e appare immediatamente evidente come non sia pensabile effettuare un Risk Assessment in materia adottando in modo acritico gli strumenti e le metodologie nate per soddisfare finalità diverse.
Ponendo quale obiettivo del Risk Assessment la compliance normativa imposta dal D.Lgs. n. 231/2001, i rischi da prendere in considerazione saranno necessariamente quelli che l'ordinamento stesso identifica come tali, collegandoli agli interessi tutelati dai singoli reati indicati come rilevanti dallo stesso Decreto.
Volendo offrire un primo approdo di sintesi, pertanto, quanto si intende evidenziare è come la redazione e la successiva adozione di un Modello di Organizzazione, Gestione e Controllo (MOGC) ex D.Lgs. n. 231/2001, non esaurisca il Risk Assesment/Management cui ogni azienda è tenuta, ma nell’ERM si collochi all’interno dei soli obiettivi di compliance, unitamente agli ulteriori compliance programs relativi alle altre normative applicabili alla specifica realtà di riferimento (es. privacy, anticorruzione, antiriciclaggio, ecc.).
Chiarito il ruolo che riveste e la posizione che occupa il MOGC all’interno del più complesso processo di gestione del rischio aziendale, almeno tre sono i possibili approcci operativi che possono essere adottati nella sua implementazione:
1) considerare unicamente quanto previsto dal D.Lgs. n. 231/2001 ai fini dell’idoneità del MOGC;
2) considerare il MOGC in ottica relazionale rispetto agli altri obiettivi di compliance richiesti all’azienda;
3) inserire dinamicamente il MOGC all’interno dell’intero processo di ERM.
Il primo approccio prende in considerazione unicamente quanto previsto dal D.Lgs. n. 231/2001.
Semplificando, la predisposizione del MOGC in tal caso si articolerà nelle seguenti fasi: 1. Analisi preliminare (identificazione dei processi/attività aziendali maggiormente esposti al rischio di commissione di un reato ex D.Lgs 231/2001); 2. Risk Assessment 3. Gap Analysis (identificazione delle eventuali carenze del sistema di controllo interno in essere in ciascuna delle attività/processi esposti al rischio di commissione di un reato ex D.Lgs 231/2001) 4. Redazione e approvazione del MOGC.
Consigliati da LinkedIn
Con il secondo approccio, il MOGC viene collocato all’interno dei più ampi obiettivi di compliance imposti all’azienda, ed è così posto in relazione sinergica con gli ulteriori compliance programs adottati al suo interno al fine di rispettare quanto previsto dalle normative d’interesse specifico.
In particolare, ci si riferisce alla pacifica constatazione che anche imprese di piccolo/medie dimensioni relativamente poco complesse hanno al loro interno sistemi e sotto-sistemi di gestione. Spesso tali sistemi preesistono al MOGC e hanno un loro struttura, una loro documentazione, regole e procedure interne, attività di monitoraggio e talvolta anche forme di certificazione rispetto a standard di riferimento.
Viene in considerazione, in primissima battuta, il sistema di gestione per la salute e sicurezza sul lavoro, ove è stato lo stesso legislatore che ha seguito un approccio sinergico tra sistemi di gestione dei rischi, intrecciando nell'art. 30, comma 5. del D.Lgs. 81/2008 la disciplina prevenzionistica con quella della responsabilità degli enti del D.Lgs. 231/2001.
In tal senso, numerosi possono essere i sistemi di gestione: sistemi di gestione ambientale, sistema qualità, con riferimento alle società quotate i programmi di compliance ex Legge 262/2005, i sistemi antiriciclaggio adottati dai destinatari del D.Lgs. 231/2007, i programmi di compliance per l'IT Governance e l'IT General Computer Controls, i programmi antibribery e and corruption, e tutta la normativa e relativi programmi di compliance dei soggetti sottoposti a vigilanza (es. Banca d'Italia, IVASS, CONSOB, ecc.).
La relazione è di uno (il MOGC) a molti (i singoli compliance program specialistici), e il Modello di Organizzazione, Gestione e Controllo deve essere in grado di innestarsi su questi ulteriori e diversi programmi, integrarli con eventuali controlli e presidi ulteriori laddove necessario per il rispetto dei diversi requisiti imposti dall’assessment del rischio-reato, nonché verificarne il corretto disegno e l'effettivo funzionamento nella concreta operatività aziendale.
Il tutto può confluire in un unico Modello Organizzativo, denominato “modello integrato” proprio in ragione del fatto che integra al suo interno previsioni comportamentali e organizzative rilevanti ai fini di più normative.
La terza prospettiva è quella di più complessa e di più ampio respiro, ossia ricollocare il MOGC all’interno del complessivo processo di ERM.
Se inizialmente nel disegno del MOGC prevale la componente “giuridico-penale”, necessaria per inquadrarne i requisiti normativi, prendendo come riferimento la metodologia proposta dal CoSO Framework, è possibile sviluppare in azienda un sistema di controllo interno ispirato a framework internazionali riconosciuti e collaudati da anni, integrati e pervasivi, in grado di abbracciare l’intera organizzazione.
In termini concreti, questo impone un netto mutamento nell’approccio e nella metodologia utilizzata nella stessa redazione del MOGC, in quanto i rischi connaturati alla commissione di reati, devono essere posti in relazione con gli obiettivi di performance aziendali che l’intero sistema di ERM tende a tutelare, tenendo conto del grado di propensione al rischio prescelto dalla politica aziendale indicata dai vertici aziendali.
Il rischio di non conformità legislativa rispetto al D.Lgs. n. 231/2001, allora, assume un preciso e più ampio significato, strettamente e intimamente collegato agli obiettivi di business.
Un’esemplificazione può essere utile a chiarire il tema.
Nella graduazione del rischio del Risk Assessment da svolgere ai fini del MOGC, una delle voci da valutare è la gravità del rischio sanzionatorio, che prende in considerazione la cornice edittale sanzionatoria prevista in relazione a ciascun singolo reato considerato rilevante. Il rischio sarà allora più o meno grave a seconda che sia solo di natura pecuniaria (e a sua volta in base al quantum di pena) ovvero se anche di natura interdittiva (e, quindi, a seconda del tipo sanzione interdittiva che viene in considerazione).
Tutto ciò non basta nell’ottica di un ERM che applichi la metodologia del CoSO Framework, ove servirà altresì valutare:
1) l’effettivo e concreto impatto delle sanzioni e, quindi, se queste possano essere gestite dall’azienda grazie, ad esempio, ad un’adeguata copertura finanziaria o se (e in che misura) possano, invece, incidere negativamente sugli obiettivi di business;
2) se il tipo di reato che si è verificato possa avere un di per sé delle conseguenze impattanti sull’attività aziendale (es. un infortunio sul lavoro può portare al sequestro del macchinario interessato);
3) se la notizia del reato possa essere diffusa tra il pubblico e portare ad un danno reputazionale con conseguente perdita di clientela e posizioni di mercato. In tal senso, è necessario chiedersi anzitutto se la fattispecie abbia inerenza con il business aziendale siccome percepito all’esterno o meno (es. si pensi ad un reato ambientale e al commercio di beni creati dal riciclo di rifiuti), e, quindi, graduare tale impatto (es. sarà una notizia avente solo rilevanza locale o nazionale, sarà destinata alla prima pagina o meno, verrà diffusa solo tramite quotidiani o anche mediante le tv, per quanto tempo alla notizia verrà dato spazio e seguito, ecc…).
Nessuno degli approcci proposti è in sé errato o non idoneo a garantire un’adeguata compliance normativa all’azienda, la scelta dell’uno o dell’atro resta di competenza imprenditoriale, perché è l’imprenditore a scegliere il grado di propensione al rischio cui esporre la propria impresa.
Nel primo caso, si tutelerà unicamente dal rischio sanzionatorio legato alla commissione di un reato in azienda ai sensi del D.Lgs. n. 231/2001.
Nel secondo, raggiungerà una tutela più ampia ed eviterà i rischi derivanti dalla sovrapposizione di più programmi di compliance, in quanto questi possono intervenire anche sulla medesima attività che ben potrebbe essere considerata sensibile ai fini di più normative (es. una stessa funzione aziendale potrebbe essere destinataria di procedure contraddittorie o complicate da padroneggiare in quanto derivanti da diverse fonti, con il rischio che queste vengano in concreto ignorate dai destinatari).
Optando per la terza opzione e inserendo la compliance all’interno del più ampio sistema aziendale di gestione del rischio si tutelerà nel miglior modo possibile il raggiungimento degli obiettivi di business e di crescita aziendale, proteggendo di conseguenza anche il posizionamento dell’azienda nel mercato.