di Marco AVANZI
Come seguito delle riflessioni svolte in precedenza(1) può essere utile osservare come vi siano diversi approcci all’analisi del rischio corruzione e come vi siano diversi documenti che abbiano esaminato il tema al fine di definire linee guida sull’approccio valutativo.
Usualmente l’obiettivo di un Corruption Risk Assessment – CRA – è quello di individuare elementi di una possibile o attuale esposizione al rischio di corruzione in una determinata organizzazione collocata in un determinato contesto strumentalmente all’individuazione di misure per gestire al meglio il rischio focalizzandosi sulla probabilità e impatto di un possibile evento.
Non esiste una metodologia di risk assessment univoca ma pluralità di fonti che, richiedendo un CRA (Corruption Risk Assessment) come base di partenza per la gestione di questo rischio, offrono vari spunti che divergono tra loro in alcune parti e indirizzano ad un utilizzo di queste fonti in ottica di flessibilità e adattamento alla singola organizzazione a cui deve applicarsi. È possibile individuare una serie di fonti che trattano metodologie di analisi del rischio corruzione e tra queste si può annoverare:
- Council of Europe: Project against Corruption in Albania (PACA), Technical Paper, CRA Methodology Guide
- NSW Government: Risk Management Toolkit for the NSW Public Sector (Volume 1, 2 and Executive Guide)
- Independent Commission Against Corruption, New South Wales, Australia: Corruption Risk Management and related contents
- Blais, D.; Schenkelaars, F.: Institutional Risk Assessment – Best Practices Compendium (An-ti-corruption – Integrity Auditing)
- United Nations Global Compact: A guide for anti-CRA
- OECD, UNODC and World Bank: Anti-Corruption Ethics and Compliance Handbook for Business
- UNDOC: Anti-corruption Ethics and Compliance Programme for Business: a Practical Guide
- UNDP: Fighting corruption in water sector
- Transparency International: Global corruption report – Transparency International: CRA, Topic Guide
Le varie metodologie pubblicate affrontano il tema da punti di vista condivisi ma anche diversi, focalizzandosi su aspetti e tecniche che devono essere comprese nella loro interezza per adottare la metodologia più idonea a ciascuna organizzazione. I vari approcci propongono alcuni punti fondamentali di partenza che può essere utile sintetizzare:
- Analisi di vulnerabilità del sistema che vengono combinate con altri dati relativi a casistiche, percezione di corruzione etc.
- Combinazione di elementi oggettivi (debolezza di misure e policies) con elementi soggettivi (opportunità che un determinato evento venga a manifestarsi, motivazione dei soggetti coinvolti, casi passati)
- Confronto con i livelli di trasparenza e tracciabilità dei processi
- Combinazione di test sulle misure di controllo ed eventi che possono manifestare rischio di corruzione
- Comparazione tra un sistema ideale e il sistema attuale – gap analysis –
- Analisi della maturità del contesto esterno (regolamentazione e casi-perception) e comparazione con l’efficacia delle misure di controllo interno o la presenza di esse.
Uno degli aspetti metodologici più rilevanti è il processo che porta alla valutazione del rischio di corruzione che a prescindere dalla singola metodologia utilizzata, è considerato (sebbene con diverse articolazioni) quale uno degli aspetti fondamentali.
Un primo passo per l’identificazione è sicuramente quello di definire la lista dei potenziali eventi rischiosi ossia le modalità con le quali l’evento corruttivo potrebbe manifestarsi. Questi possono essere descritti in cc.dd. RISK SCHEMES ossia modalità con le quali un evento corruttivo (di massima definito a priori) potrebbe manifestarsi nel contesto interno e attraverso una valutazione „scenario based“ capire l’applicabilità dello schema al processo di riferimento. Ciò potrebbe includere eventi di conflitto di interesse a vantaggio personale, facilitation payments, corruzione tramite dazione di denaro o beni, donazioni e sponsorizzazioni, errate fatturazioni, bonus o incentivi, etc…. L’identificazione di questa fenomenologia del rischio andrà così applicata alla singola organizzazione (o meglio ai singoli processi) al fine di vedere se e come potrebbe manifestarsi. Queste variabili di manifestazione oggetto di una Scenario Impact Analysis dello schema possono essere riferibili a vari fattori che a seconda delle linee guida adottate possono variare e potrebbero essere:
- opportunità che un determinato schema avvenga in forza di potere decisionale assegnato ad un solo soggetto;
- assenza di controlli di processo per duplici verifiche;
- pregressi interni all’azienda o particolare situazione di mercato o di paese che rende possibile l’evento;
- un aspetto ulteriore da considerare sarà la presenza o meno di controlli, ossia le vulnerabilità del processo.
Queste potranno essere valutate tenendo conto di:
- quelli che sono i controlli che dovrebbero esserci internamente secondo le best practices di settore;
- quelli che sono i controlli che eviterebbero il manifestarsi dell’opportunità del rischio.
Tutti questi profili elencati sono i cc.dd. „fattori abilitanti il rischio“ che possono incidere sulla manifestazione del rischio stesso riempendo di contenuto il concetto di probabilità del rischio.
Il concetto di probabilità varia così da schema a schema ma si può ricondurre in via generale alla sintesi di questi concetti:
- opportunità di manifestazione di un risk scheme;
- presenza o meno di controlli in relazione a standard o necessità;
- numero di fattori abilitanti il rischio;
- graduazione di valori o indicatori come il livello di discrezionalità o trasparenza, il pregresso interno ad una organizzazione, la mancanza di idoneo trattamento del rischio.
L’utilizzo di questi elementi per l’identificazione della probabilità del rischio deve considerare alcuni concetti per evitare distorsioni valutative:
- una chiara descrizione dei criteri che verranno utilizzati per rappresentare il rischio preferendo approcci multidescrittivi e legati alle modalità o gravità del singolo fattore abilitante;
- definire a priori un rischio inerente in termini di probabilità e impatto. Qui la probabilità può essere legata alla maturità dell’ordinamento del paese in cui opera una determinata organizzazione, ai paesi a rischio con cui vi è contatto etc… studi e report internazionali possono essere di supporto;
- usare un approccio cautelativo e non lineare evitando matrici che siano rappresentative del rischio sulla base di un mero calcolo di prodotto ma lasciare spazi per correttivi (da motivarsi) al fine di non incorrere in errori di sottovalutazione legati all’adozione di criteri aritmetici o lineari;
- evitare valutazioni aggregate di rischio che siano il frutto di una mera media di valori. All’interno di un risk assessment possono esserci valori di dispersione della media molto ampi ed è sempre necessario rappresentare le deviazioni „dall’average valuation“.
Alla luce di questi spunti andrà quindi svolto il passo successivo legato alla combinazione della probabilità dell’evento così identificata, con l’impatto del rischio che potrebbe avere sull’organizzazione. Per comprendere quelli che sono gli impatti che potrebbero esservi sull’entità aziendale non dovrà unicamente valutarsi l’aspetto sanzionatorio ma altresì tutti quegli aspetti reputazionali, risarcitori o di mercato che potrebbe seguire l’evento in sé.
Tracciate le varie caratteristiche che potrebbe avere un processo di risk assessment in materia anticorruzione, l’insieme degli approcci presenti in letteratura andranno declinati e adottati a seconda delle normative in cui si colloca l’organizzazione e sopratutto alla luce dei focal points delle varie normative nazionali che vedono come prioritario un aspetto rispetto ad un altro nella gestione del rischio corruzione. Di massima, fondamentale è la richiesta di un approccio basato sul rischio, che implica la capacità di dare dimostrazione del risk assessment svolto ma, a seconda dei casi, ci si concentra su uno o sull’altro dei profili di un ABMS (AntiBribery Management System).
Qui di seguito qualche breve (non esaustiva) riflessione sugli aspetti rilevanti dei vari modelli proposti al fine di poterli considerare in ottica di costruzione e adattamento del risk assessment.
- UK Bribery Act – caratteristiche principali: Focus sull’identificazione delle high risk transactions e sui partner commerciali più ad elevato rischio. Focus su operazioni ad elevato rischio come sponsorizzazioni e donazioni, conflitti di interesse. Presenta una set di transazioni da attenzionare e suddivide il rischio in categorie da analizzare: Country risk; • Sectoral risk; • Transactional risk; • Busines opportunity risk; • Business partnership risk. Fondamentale l’individuazione dei « risk factors » coinvolgendo i corretti stakeholders che possono fornire informazioni e validarle. Le valutazioni qualitative vengono «verificate» attraverso strumenti quantitativi come il nr. di risk factors per processo ad esempio, permettendo una comprensione della realtà che può essere non allineata al giudizio discrezionale del valutatore. Permette di valutare la probabilità di un rischio corruttivo adeguando la valutazione alla «pericolosità» del processo evitando di «pesare» in modo uguale tutti i processi. Richiede un’analisi di materialità e dati per capire cosa sia « risk factors » per stakeholders diversi contestando eventualmente errate concezioni.
- Responsible Business Conduct – OECD – Implementation Guidelines – caratteristiche principali: Focus su un set di iniziative e best practices per settore e industries che permettono una adeguata considerazione del rischio. Fondamentale è la comprensione della percezione degli stakeholders che devono essere correttamente identificati esternamente e internamente al fine di avere la più ampia base di valutazione. Permette di valutare con una certa oggettività la sufficienza e adeguatezza delle misure di controllo già in essere evitando bias discrezionali. Pondera aspetti qualitativi con aspetti quantitativi. Nello scegliere le misure o nel valutarne l’adeguatezza, permette una riduzione di discrezionalità.
- Transparency International – caratteristiche principali: Focus su scenari di rischio adattati per paese e per industries in certi casi suggerendo approcci preventivi a seconda dei diversi settori economici. Molto focalizzato su specifiche analisi e linee guida su aspetti di mercato ed economici, locali e di contesto. Approccio quali-quantitativo: identificazione di «risk factors e ponderazione della probabilità in base al numero di risk factors rilevati. Permette di declinare il rischio considerando in modo completo lo scenario esterno nonché lo specifico settore economico. Permette di considerare anche la supply chain quale fonte del rischio. Valutando i rischi per contesti si possono considerare rischi già occorsi a organizzazioni similari evitando omissioni valutative.
- UNODC – caratteristiche principali: Focus sulle caratteristiche del rischio in contrapposizione alla maturità dei processi. Analizza le caratteristiche di opportunity e profit di un evento di rischio in relazione agli aspetti di complexity e control maturity dei processi. È un mix completo di molte metodologie. Considera aspetti di contesto esterno e interno nonché aspetti fattuali e numerici come specifici KRI.
Considera il seguente approccio:
- il confronto con gli stakeholders al fine di identificare quali potrebbero essere i rischi corruttivi futuri per l’organizzazione;
- una valutazione soggettiva della possibile complessità di porre in essere uno schema corruttivo;
- una valutazione oggettiva tramite 8 criteri metodologici per comprendere se un controllo è idoneo o meno;
- considera elementi soggettivi e oggettivi del rischio integrando anche l’efficienza dei controlli vs specifici standards;
- pondera aspetti qualitativi con aspetti quantitativi;
- valida i giudizi personali con elementi oggettivi.
- FATF – GAFI – caratteristiche principali: utilizzabile per identificare i „predicate offenses“ del rischio corruzione. Focus sulle relazioni tra i rischi di corruzione all’interno dello scenario del rischio riciclaggio di denaro e finanziamento del terrorismo. Permette di adottare una visione più complessa degli schemi di rischio realizzabili. Raccoglie casistiche ed esempi utili per comprendere come gli schemi di rischio possono verificarsi. Considera il rischio corruzione in relazione ad altri rischi di reati economici.
- ISO 37001 – caratteristiche principali: Focus su transazioni a rischio più elevato, processo di due diligence per transazioni/partner a maggior rischio, processi HR e remuneration & compensation. Propone uno schema di gestione del rischio molto chiaro e strutturato. La deviazione dagli elementi previsti può essere utilizzata come parametro per la valutazione – gap analysis. Considera elementi trasversali per l’organizzazione identificando già alcuni processi da considerarsi a rischio «più che alto»
- OFAC – Department of Treasury – caratteristiche principali: Focus sulla presenza di aree dove i rischi sanctions potrebbero manifestarsi comparando con la presenza di adeguati controlli e misure non solo oggettive ma anche legate al management commitment. Considera i possibili threats all’interno dei processi quale passo per comprendere se adeguati controlli sono stati implementati.
- COSO – caratteristiche principali: Focus sulla presenza degli elementi che caratterizzano il framework e che sono integranti un efficiente sistema di controllo interno. La probabilità dipende da:
- Implementazione dei controlli
- Implementazione di procedure e linee guida
- Diffusione della cultura e dei training
- Identificazione di ruoli e di una chiara governance
- Presenza di una management review e di un commitment
- Il numero di episodi di violazione della conformità, l’importo delle ammende riscosse in un determinato periodo, numero di restrizioni, reclami, importi relativi a fenomeni di insider trading e frode – sono alcuni esempi di indicatori quantitativi.
- Considera tutto l’insieme del processo di gestione del rischio in modo completo e non solo legato al processo e alla manifestazione di un evento. Pondera aspetti qualitativi con aspetti quantitativi.
Dalla analisi di alcuni aspetti rilevanti che emergono dai maggiori framework internazionali possiamo evidenziare alcune osservazioni conclusive:
1. nella valutazione della probabilità del rischio corruzione gli approcci internazionali confermano la tecnica qualitativa come metodologia ma la affiancano nella maggior parte dei casi con aspetti quantitativi che permettano di evitare errori cognitivi di valutazione;
2. i fattori abilitanti del rischio devono considerare le opinion di scenario interne ma altresì elementi quantitativi e oggettivi/soggettivi che rispecchiano il contesto esterno;
3. gli elementi oggettivi e quantitativi devono essere integrati nell’analisi dei fattori rischio e dei fattori abilitanti al fine di comprendere la corretta materialità ed evitare una concentrazione su preconcetti dell’assessor o degli intervistati;
4. l’adeguatezza dei controlli deve avere un corrispondente set di controlli “adeguati” a cui riferirsi onde evitare la discrezionalità nel giudizio di adeguatezza sulle misure implementate;
5. l’adeguatezza delle misure non può prescindere da un più generale giudizio di maturità sul controllo interno dell’organizzazione;
6. l’uso di dati e serie storiche di eventi/segnalazioni deve essere considerato come elemento di aggiustamento del giudizio qualitativo;
7. i criteri di valutazione adottati dovranno considerare tutti gli aspetti oggetto di valutazione al fine di rendere il quanto più possibile oggettiva l’assegnazione del “peso” al corrispondente rischio.
2/2
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) M. Avanzi (2022), “Anticorruzione e approcci alla valutazione del rischio all’interno dei Compliance Management Systems (CMS)“; www.riskcompliance.it