Il risk management nei modelli organizzativi ex D.Lgs 231/01

I modelli organizzativi da realizzare a fronte delle esigenze di costruzione delle condizioni di causa esimente per un’impresa secondo i dettami del D.,Lgs 231/01, sono fondamentalmente sistemi di gestione basati sul risk management integrato.

Il processo di base che prevede l’adozione di un insieme di responsabilità, deleghe, poteri, protocolli e misure cautelari è infatti basato sulla identificazione, classificazione, ponderazione, analisi e valutazione dei rischi rispetto a tutte le famiglie di fattispecie di reato menzionate dal decreto e dai dispositivi successivi.

Per ben impostare quindi una gestione del rischio efficace che renda il modello organizzativo idoneo (nel rispetto di tutti i requisiti normativi), efficace (implementato operativamente in modo reale) e adeguato (progettato su misura rispetto alle esigenze aziendali), occorre far riferimento alla identificazione e successiva mappatura dei rischi collegati ai reati.

In tal senso di può procedere in due modi appaiati:

  • Procedere dal singolo reato presupposto e valutare in quale o quali processi aziendali di business e gestionali potrebbe insediarsi
  • Procedere dal processo aziendale identificato e trasversalmente valutare quali possano essere i reati coinvolti nell’ambito delle attività di pertinenza

Per quanto riguarda il punto (1), la metodologia di gestione del rischio prevede quindi un elemento matriciale di collegamento tra famiglie di reato e processi, per poter identificare le minacce sulle attività di processo e le relative vulnerabilità.

Definiamo minaccia un’azione o un evento che potrebbe pregiudicare la conformità legislativa di un processo in esame e rendere possibile il concretizzarsi di un rischio.

Definiamo vulnerabilità un punto di debolezza di un processo, che potrebbe consentire a una minaccia di avere successo.

Ciò che va definito come protocollo del modello organizzativo è sicuramente la metodologia di risk assessment prescelta, con attenta ponderazione degli elementi di rischio.

Tra queste vanno considerate:

  • Livello di esposizione al rischio (in funzione di diversi parametri quali il livello di autonomia decisionale e quello della disponibilità finanziaria nel processo)
  • Livello di rilevanza al rischio (danno economico diretto e indiretto in relazione alla tipologia di reato associato)

Ogni rischio potrà essere realmente quantificato attraverso la metodologia definita se saranno chiari due aspetti:

  • Il grado di rischio presente (che dipende dai livelli di esposizioni e di rilevanza)
  • Lo stato di controllo del processo rispetto alle minacce identificate

Ecco allora che il piano delle misure cautelari deriverà da questo tipo di processo:


Per quanto riguarda il punto (2), il percorso è inverso.

Occorre disegnare bene il processo secondo tutte le attività che ne fanno parte e le relative responsabilità (di esecuzione, controllo, comunicazione, archiviazione documentale, etc.). Dopodiché è necessario valutare, passo dopo passo, quali sono i punti del processo nell’ambito dei quali una determinata fattispecie di reato possa avere luogo, tenendo conto del livello di minaccia in essere e delle relative vulnerabilità presenti.

Il risultato finale, un calcolo del rischio per processo, va affiancato a quello ottenuto con il calcolo del rischio per famiglia di reato.

Entrambe le valutazioni aiuteranno a completare il risk assessment che, ricordiamo, va comunque ripetuto periodicamente (almeno una volta l’anno) e comunque a seguito di riorganizzazioni o aggiornamenti normativi sostanziali.