di Marco AVANZI
Uno degli aspetti rilevanti dell’attività di vigilanza dell’OdV (Organismo di Vigilanza) è il monitoraggio sull’idoneità e adeguatezza del MOG (Modello Organizzativo Gestionale) che si esplica altresì nella verifica delle fasi di risk management attuate da un’organizzazione.
Il risk assessment è probabilmente la parte fondamentale del sistema di monitoraggio e controllo del rischio reato all’interno di una organizzazione e da tale esercizio ne derivano conseguenze fondamentali:
– la predisposizione di misure di controllo e protocolli idonei ed adeguati,
– la predisposizione di flussi di comunicazione e reporting,
– la pianificazione di controlli da parte dell’organizzazione dell’OdV.
Una delle attività di controllo che dovrebbero essere eseguite è sicuramente la verifica dell‘adeguatezza del risk assessment, anche in termini di metodologia utilizzata, criteri adottati e integrazione, ove prevista, con altri framework di analisi del rischio. Questo aspetto dovrebbe essere documentato al fine di poter essere ripercorso in sede di verifica successiva.
Ci sono diversi approcci all’esecuzione del risk assessment in ambito Compliance e sicuramente compito dell’OdV è comprendere queste peculiarità al fine di dare una valutazione di idoneità. Si vedono molto di frequente semplici richiami all’avvenuta esecuzione di un risk assessment su base ISO 31000 senza la presenza di documentazione su come tale approccio sia stato implementato.
QUALI SUGGERIMENTI PER POTER VERIFICARE O APPROFONDIRE L’EFFETTIVITÀ DI UN RISK ASSESSMENT AI FINI DI COMPLIANCE?
Qui di seguito alcuni spunti che emergono dalla pratica e da tenere a mente anche ai fini di dimostrazione futura dell’idoneità del modello.
1) Il contesto
Prima di inoltrarsi nell’identificazione, assessment e valutazione dei singoli rischi sarà necessaria una valutazione del contesto interno ed esterno. Dato che un rischio di Compliance è per lo più la manifestazione di una minaccia o di una condizione che può portare ad una violazione di norme, vi è una stretta correlazione tra l’ambiente esterno ed interno e la minaccia stessa. A tal fine sarà necessaria una specifica analisi di contesto, fase che spesso difetta nei MOG, sebbene punto di partenza per capire se il MOG complessivamente consideri:
– in quale mercato opera l’organizzazione, (nazionale/internazionale)?
– quale business svolge e quindi di che tipologia di fornitori ha bisogno o si relazioni?
– ha relazione solo B2C o anche B2B?
– è esposta a rischi derivanti dall’appartenenza ad un gruppo?
– opera in contesti geografici a rischio per specifici reati o per i quali le transazioni economiche sono sottoposte a specifiche normative doganali o internazionali?
E lo stesso internamente.
– quale è la struttura dell’organizzazione e del gruppo?
– vi è un’adeguatezza organizzativa rispetto alle dimensioni del business?
– come è strutturato il riparto di deleghe e funzioni?
Questo passaggio è fondamentale e necessario per comprendere:
- quali siano le condizioni interne-esterne nelle quali potranno manifestarsi i rischi e,
- quali siano i perimetri normativi da considerare al fine di identificare le norme potenzialmente violabili e le relative responsabilità societarie.
Non vi sono requisiti specifici per dire come dovrà essere redatta questa analisi ma, sicuramente utile, sarà avere una certa “evidenza documentale” dell’attività svolta che potrà essere soddisfatta grazie alla raccolta di informazioni o in documentazione di lavoro volta a mappare le responsabilità degli amministratori e, a cascata, individuare le norme potenzialmente fonte di questa responsabilità. Anche l’uso di una matrice di materialità volta ad identificare gli aspetti più rilevanti per gli stakeholder coinvolti nell’analisi potrebbe essere un approccio utile e concreto.
Attenzione che questa attività è fondamentale anche per comprendere dove potrebbero manifestarsi i reati ad interesse vantaggio dell’ente e definire le “aree a rischio”. La comprensione dell’organizzazione interna, delle dinamiche di pianificazione e budgeting potrebbero far emergere indicazioni sulle aree che maggiormente contribuiscono al business aziendale in termini di marginalità e quindi permettere una focalizzazione su tali processi maggiormente esposti a potenziali “interessi dell’ente”.
2) L’identificazione dei rischi
In questa attività bisogna tenere in massima considerazione due aspetti:
- specie nell’ambito del perimetro 231 il focus dovrà essere nell’identificare quegli scenari, minacce o comportamenti caratterizzanti uno dei reati (specialmente in fattispecie di reati d’evento) che, sulla base dell’analisi del contesto, potrebbero manifestarsi. Per esempio nel rischio corruzione, dato un contesto di relazioni con la PA e un business che prevede la gestione di appalti, si dovranno caratterizzare quelle ipotesi di condotte che potenzialmente possono esporre a condotte corruttive (es. dazioni di regalie, selezione di partner in violazione di norme o in assenza di trasparenza etc..)
- in analisi di Compliance più ampie (utilizzate anche a fini 231) sarà utile identificare all’interno dei processi le possibili violazioni di norme a cui è sottoposta l’organizzazione in via generale dato che, in alcune fattispecie di reato, la violazione di norme (anche di mera condotta o semplici omissioni) possono costituire “predicate offenses” di fattispecie a rilevanza penale.
Eseguita questa attività si dovrà, a livello documentale, dare evidenza del percorso logico svolto e, ad esempio:
– per fattispecie di reato che sono integrabili in modo variegato e con condotte composte o varie, fare un elenco di condotte o situazioni (minacce) che verranno successivamente sottoposte ad assessment;
– per violazioni di norme che possono avvenire per sé e rientrano nel perimetro di analisi, creare un inventario dei principali adempimenti normativi e obblighi di controllo incombenti sulla società.
Quali metodi utilizzare?
Molte sono le metodologie utilizzabili che variano a seconda dell’oggetto di analisi. A parere di chi scrive un utile strumento è coinvolgere chi conosce maggiormente le funzioni, quindi il personale.
Creare focus group o team di progetto multidisciplinari e plurireparto permette, con un approccio di brainstorming, di individuare gli aspetti più rilevanti secondo la sensibilità interna delle funzioni.
In organizzazioni più complesse, o con supply chain particolari, il coinvolgimento anche di partner e fornitori per il tramite di questionari o interviste può portare ad una visione molto completa anche di aspetti che sfuggono alle funzioni interne.
3) L’assessment dei rischi
In questa fase sarà utile documentare la logica di base dell’assegnazione dei rischi (e relative minacce) individuati in precedenza all’interno dell’organizzazione ai confacenti processi. Questa attività potrà essere documentata come un match tra il contesto interno (una overview dei processi) il contesto esterno (considerando gli aspetti relativi ai rapporti con il mercato e partner che possono incidere sugli eventi a rischio) allocando i rischi presso i rispettivi processi.
Anche questa fase in ottica di accountability richiederà una certa evidenza documentale al fine di comprendere la ragioni di allocazione di un rischio presso un processo piuttosto che un altro. Il richiamo a studi, linee guida, report di analisi di istituzioni pubbliche, ONG e altre organizzazioni saranno sicuramente utili ma, altresì, saranno le evidenze del contesto interno che si dovranno considerare: segnalazioni passate, comunicazioni ricevute per il tramite del canale di whistleblowing, sanzioni e ispezioni, contenziosi aperti e reclami di partner e consumatori.
4) La Risk Valuation
Allocati i possibili rischi presso i processi dell’organizzazione un aspetto molto critico è la valutazione dei rischi al fine di dare un’immagine quanto più possibile vicina ad evidenze oggettive di frequenza e impatto.
In prima battuta verrà quantificato il rischio inerente, a prescindere da ogni trattamento presente in azienda. Questa valutazione potrà avvenire:
– in termini di impatto, andando a stimare quello che potrebbe essere l’impatto economico delle sanzioni e delle possibili interruzioni di attività derivanti da sanzioni accessorie nel worst case scenario;
– in termini di probabilità definendo, ad esempio, in un orizzonte temporale preciso, le evidenze di accadimento di fenomeni similari, in relazione allo specifico mercato o aziende paragonabili. Questo primo passo non potrà mai portare ad una valutazione di assenza o estrema rarità dei rischi che in fase di contesto sono stati analizzati come presenti internamente ed esternamente. Una gradazione potrà essere data tenendo conto del numero di eventi similari avvenuti a competitor o aziende della propria supply chain dando un valore alto o medio alto ogni qualvolta vi fosse un apprezzamento di un fenomeno esistente e avvenuto.
Preso atto del rischio inerente, dovrà essere valutato il rischio residuo. L’allocazione di un rating in questa fase è sicuramente l’attività più complicata in quanto necessita di considerare aspetti diversi a seconda del tipo di rischio o, meglio, del tipo di minaccia/pericolo che può costituire fonte del rischio. Un suggerimento per avere un approccio semplice ma documentabile e dimostrabile di risk valuation potrebbe essere:
– per rischi che possono manifestarsi in modo diverso e con condotte plurime utilizzare i comportamenti/minaccia/pericoli analizzati in precedenza e, tramite interviste o focus group valutare: i) la presenza di vulnerabilità nei controlli in essere che potrebbero aprire la strada a tali condotte; ii) l’opportunità: ossia aspetti organizzativi che potrebbero facilitare l’esecuzione come la coincidenza di poteri decisionali su singoli soggetti, o l’assenza di un doppio controllo iii) la presenza di segnalazioni passate di situazioni similari o l’assenza di controlli interni specifici su tali aspetti; iv) gli esiti di passati controlli;
– per rischi che sono caratterizzati da omissioni amministrative, o deviazioni da obblighi previsti da norme, identificare se risultano considerati all’interno dei punti di controllo di processo valutandone l’adeguatezza;
– per rischi che sono disciplinati o considerati in standard internazionali o dove organizzazioni internazionali hanno sviluppato specifiche misure di controllo o di prevenzione valutare il gap presente tra tali standard e quanto presente in azienda.
Il documentare l’approccio e il criterio valutativo adottato permette di gestire l’accountability e dare evidenza della diligenza adottata nell’attività di risk assessment e risk valuation evitando il più possibile contestazioni di eccessiva discrezionalità valutativa e dimostrando l’aderenza a criteri secondo la miglior scienza ed esperienza del momento.
Il completamento della valutazione avverrà con la parte dei controlli operativi e gli esiti degli stessi.
Il comportamento proattivo dell’OdV, a seguito di questo percorso, si focalizzerà sui maggiori rischi residui dando priorità a processi ove i controlli sono carenti o, ove presenti, manifestano gap rispetto a standard o, ad ogni modo, un rischio residuo non tollerabile o con elevata vulnerabilità e quindi capacità di aggiramento fraudolento.
Integrare nei criteri di risk valuation anche la gradazione degli esiti degli audit di vigilanza permette di aggiustare il rischio residuo a seconda dell’esito dei controlli testati, incidendo su probabilità e, ove possibile, su impatto del rischio.
Documentare i criteri di valutazione in tutta questa fase risulta fondamentale per dimostrare la scelta dei controlli da testare e la valutazione del rischio finale. Scale di valutazione del tipo (basso, medio, alto, severo) difficilmente aiutano nel dimostrare a posteriori i criteri di valutazione. Documentare una descrizione del criterio valutativo, meglio se appoggiata a criteri adottati in fase di assessment, permette di ricondurre in forma logica una valutazione ad una serie di informazioni raccolte in fase di analisi.
Ai fini dei controlli di idoneità e adeguatezza del MOG risulterà quindi fondamentale ripercorrere questo processo valutativo, indagando la base tecnica e logica che ha portato l’organizzazione ad identificare e valutare i rischi in una determinata modalità optando quindi per alcune misure di controllo rispetto ad altre, ma essendo in grado di giustificarne la scelta e la priorità assegnata.