Esperti e imprenditori concordano: “gestire i rischi” è fondamentale per crescere. Ma ora è necessario che la normativa sostenga lo sviluppo dei modelli organizzativi.
di Daniele Bartolucci
Imprese, istituzioni e professionisti si sono incontrati e confrontati sul tema della “Responsabilità della persona giuridica”, per comprenderne l’evoluzione normativa a San Marino e, soprattutto, anche nel contesto europeo. Perché, come hanno ricordato tutti i relatori invitati da ANIS, Giochi del Titano e PK Consulting che hanno organizzato il convegno dell’8 giugno alla Sala Montelupo di Domagnano, la normativa sammarinese ha alcune – e per certi versi fondamentali – differenze rispetto a quella degli altri Paesi.
Anche per questo, più volte è stato usato il termine “involuzione”, in merito alle modifiche apportate alla Legge del 21 gennaio 2010 n. 6 che ha introdotto sul Titano la “Responsabilità da misfatto della persona giuridica”, dalla successiva Legge 29 luglio 2013 n. 99 “Responsabilità della persona giuridica”. Su questo passaggio e sull’evoluzione futura che potrebbe conseguirne (anche alla luce delle valutazioni tecniche dei relatori del convegno), si sono confrontati soprattutto il Dott. Gilberto Felici (Commissario della Legge del Tribunale Unico di San Marino, dal 1 ottobre Giudice della Corte Europea dei diritti dell’uomo a Strasburgo), il Prof. Dott. Massimiliano Zanigni del dipartimento di Scienze Aziendali dell’Università di Bologna e il Dott. Fabio Tartaglia della società di consulenza PK Consulting, protagonisti della prima parte del convegno, più “formativa” essendo dedicata in particolare ad Avvocati, Notai e Commercialisti (circa ottanta tra professionisti e imprenditori gli iscritti al convegno). Ma anche alle aziende, verso le quali la normativa è rivolta, anche con aspetti positivi, come ha ricordanto il Prof. Zanigni: “Il modello di organizzazione e controllo (MOG) rappresenta un investimento e non un costo. Come tale sottende la capacità di vedere la compliance e la risk assurance come azioni del vivere aziendale orientate al rispetto delle norme, alla generazione di valore per gli stakeholders. Una strategia di continuità aziendale (going concern) improntata sulla gestione e sul governo dei rischi, come anche dei rischi-reato, costituisce una vision strategica innovativa ed illuminata”.
L’altro aspetto, più istituzionale, ha riguardato la Legge stessa, su cui si è concentrato l’intervento di Maria Katia Savoretti della Segreteria di Stato Affari Esteri e Giustizia che, riportando le parole del Segretario Nicola Renzi, ha ricordato come “l’introduzione della Legge 6/2010, motivata anche da raccomandazioni degli organismi internazionali quali il Moneyval, che richiedevano una sempre maggiore attenzione da parte di San Marino alla lotta al riciclaggio e al finanziamento del terrorismo, ha costituto senz’altro un’innovazione rispetto al passato in quanto ha reso di fatto perseguibili penalmente soggetti giuridici in quanto tali”. Poi, come noto, “con l’entrata in vigore della Legge 29 luglio 2013 n. 99, che ha abrogata la precedente del 2010, sono state introdotte delle novità che hanno portato ad un ampliamento, ad una estensione della responsabilità della persona giuridica rispetto a quanto disciplinato in precedenza. Questa evoluzione della responsabilità non deve essere letta solo in chiave negativa da chi fa impresa, ma deve essere considerata stimolo e impulso verso l’adozione di un sistema dei controlli sempre più efficace, ed adeguato, un metodo di sviluppo di un nuovo modo di fare impresa. Auspichiamo”, si è quindi concluso l’intervento della Segreteria di Stato, che sulla base degli spunti raccolti nel convegno potrebbe in futuro riveredere anche l’impianto normativo, “che questo momento di confronto e di formazione possa essere di ausilio e di supporto per approfondire e analizzare in maniera più dettagliata tutti gli aspetti e le caratteristiche della materia oggetto del convegno odierno”.
Nella seconda parte del convegno, invece, sono stati esposti alcuni casi aziendali in cui è stato già impostato un modello organizzativo efficace, come quello di Giochi del Titano Spa illustrato dal Direttore Dott. Salvatore Caronia e quello del Gruppo Del Conca per voce del Dott. Lino Sbraccia di Impact Srl, che ne è membro del Organismo di Vigilanza, e di due importanti istituti di credito della Repubblica di San Marino, quali BAC Banca Agricola Commerciale (relatore Dott. Luca Lorenzi, al tempo Amministratore Delegato) e Banca CIS Credito Industriale Sammarinese (relatrice Ing. Adele Timo, Responsabile Area Strategia & Controllo). Dalla teoria alla pratica, dunque, mettendo in luce sia la questione normativa che quella imprenditoriale: nella prima, ovviamente, prevale il rischio di un procedimento penale (e a San Marino la normativa estende tale rischio a tutti i reati, ndr), nella seconda quella strategica, perché analizzare il rischio e dotarsi quindi di un modello organizzativo in grado di controllare ogni processo, non sono semplici “costi”, ma risultano appunto investimenti, sia per evitare processi, ma anche danni, patrimoniali e reputazionali. Anche per questo è importante che la normativa vada in questa direzione, come ad esempio fa quella italiana, che come noto esime le imprese che si dotano di un modello compliance, al contrario di ciò che è previsto a San Marino.
Su questo fronte anche il Presidente ANIS, Stefano Ceccato (oggi Past President, sostituito come noto da Neni Rossini, ndr), è stato molto diretto: “E’ fondamentale conoscere quelle che sono le regole del gioco, ma, soprattutto nel caso in cui riguardino le imprese e la loro operatività, è altrettanto importante che queste regole siano chiare, semplici e condivise. Questo è ciò che auspichiamo e che secondo noi può dare la spinta allo sviluppo economico, ma anche sociale, del Paese”.
Salvatore Caronia (GdT) “Un Modello per crescere”
di Salvatore Caronia*
Il Modello Organizzativo comporta una forte capacità di responsabilizzazione delle aree intermedie, ma proprio per questo è fondamentale per la crescita di un’azienda come la Giochi del Titano Spa. La società opera dal 2007 a San Marino e ha come oggetto sociale la conduzione delle Sale e delle strutture nelle quali si svolgono le attività di gioco disciplinate dalla Legge 25 luglio 2000 n. 67, ma anche l’organizzazione e gestione all’interno della sede operativa di intrattenimenti, spettacoli, avvenimenti e punti di ristoro. Ad oggi, la Giochi del Titano Spa occupa più di 100 persone tra dipendenti e collaboratori e dotarsi di un Modello è data la naturale prosecuzione di un percorso di crescita, non un’imposizione, quindi, perché l’abbiamo volutamente costruito, soprattutto in riferimento al settore in cui la società opera e ai rischi connessi a questo genere di attività. Da ultimo, ma non di minore importanza, è l’aspetto del Modello legato alla crescita della professionalità e consapevolezza nei ruoli di responsabilità imputati a guidare i processi. Ovviamente il Modello di Organizzazione, Gestione e Controllo di cui la società si è dotata risponde ai dettami della Legge 99/2013, ma proprio perché è parte del percorso di crescita che l’azienda ha intrapreso, il nostro Modello ha anche ottenuto una certificazione esterna ed istituzionale, in forma di asseverazione, dall’Alma Mater Studiorum Università di Bologna nella persona del Prof. Dott. Massimiliano Zanigni docente di diritto in Economia Aziendale. Non solo, la società si è dotata anche di un Codice etico, in cui vengono specificate l’importanza della gestione del rischio e la conseguente opera di sensibilizzazione verso tutti i dipendenti, ma anche il sistema di controllo interno, quale efficace presidio contro tali rischi.
*Direttore Generale Giochi del Titano SpA
Sbraccia (Impact): “In ambito manifatturiero è un strumento per creare valore”
di Lino Sbraccia*
Vorrei in premessa mettere a fuoco il fondamentale concetto di “rischio”. Il rischio è una condizione ineliminabile del vivere aziendale, e, in quanto tale, deve essere gestito. Gestirlo vuol dire attivarsi per trasformare il rischio da minaccia ad opportunità. La mia esperienza aziendale di manager e di consulente mi ha portato a concludere che lo sviluppo di un sistema di risk management rappresenta una priorità strategica per ogni tipo di azienda. L’obiettivo che ci si deve porre è quello di identificare, valutare e gestire gli elementi di rischio che potrebbero ostacolare la realizzazione dei propri obiettivi strategici e le cui conseguenze potrebbero minare la nostra solvibilità e il nostro futuro. In questa presentazione farò specifico riferimento alla normativa italiana, ambito nel quale ho sviluppato una significativa esperienza in qualità di Presidente e Componente di Organismi di Vigilanza in aziende appartenenti a vari settori manifatturieri e, in particolare, al D.Lgs. 231/2001 che, introducendo il concetto di responsabilità penale e amministrativa degli enti, ha fornito un forte contribuito diffusione di una cultura di risk mangement a tutti i livelli aziendali. L’analisi dei rischi rappresenta quindi l’asse portante nella costruzione di un modello di organizzazione e gestione che, oltre a rispondere alle esigenze sopra indicate, rispetti anche i requisiti sistemici previsti dal DLgs 231. Le conclusioni dell’analisi dei rischi sono infatti determinanti per individuare gli elementi intorno ai quali definire le condizioni di organizzazione, gestione e controllo previste dal modello medesimo. Il processo di identificazione dei rischi e di valutazione delle aree maggiormente esposte alla commissione dei reati si esplicita con la stesura di un documento di mappatura dei rischi. E’ poi necessario stabilire se il livello di rischio presente è accettabile o se è necessario adottare misure specifiche, al fine di ricondurlo ad un livello massimo predefinito. In generale, la normativa stabilisce che un reato non può essere imputato e perseguito se, unitamente ad altre condizioni, esiste un sistema di prevenzione tale da non poter essere aggirato, se non in modo fraudolento. La mia esperienza sul campo mi ha portato a constatare che, per avviare un sistema organico ed efficace di gestione dei rischi, un elemento imprescindibile è l’impegno dell’alta direzione aziendale in termini di: commitment esplicito; messa a disposizione delle risorse economiche, finanziarie ed umane necessarie all’impostazione e gestione del modello di organizzazione e gestione; definizione del modello e allineamento delle regole organizzative fondamentali; controllo, aggiornamento e revisione nel tempo del modello di organizzazione e gestione. Ai fini del corretto funzionamento del Modello di Organizzazione e Gestione, la normativa prevede infine la nomina da parte dell’organo amministrativo di un Organismo di Vigilanza con caratteristiche di professionalità, indipendenza e dotato di adeguati poteri. Per concludere, vorrei sottolineare come, nella mia esperienza, l’avvio di processi documentati e formalizzati di analisi e gestione dei rischi aziendali, in cui il rispetto del D.Lgs. 231/2001 non è stato visto solo come pura e semplice formalità o perdita di tempo, ha consentito di conseguire numerosi vantaggi, sia in termini di migliore immagine e reputazione sul mercato, oltre che di sviluppo di business, ma anche in termini di chiarezza organizzativa, razionalizzazione dei processi interni ed evidenziazione delle opportunità di miglioramento. Per tutti questi motivi ritengo che una evoluzione normativa che sviluppi e allinei le norme sammarinesi sulla responsabilità amministrativa alle best practices italiane ed europee in materia, facilitando l’estensione a società collegate o correlate sammarinesi di procedure di gestione rischi già adottate in ambito italiano da gruppi industriali presenti sul nostro territorio, rappresenti una importante opportunità per lo sviluppo del nostro Paese.
*Impact Srl
“Il Modello Organizzativo continua a rappresentare la via maestra per le imprese”
di Gilberto Felici*
Il tema della possibilità di punire un ente, cioè un soggetto giuridico che non è dotato di un corpo, è stata esclusa dalla dottrina giuridica per secoli. Fino a qualche decennio fa l’ipotesi veniva liquidata ricorrendo ad un brocardo in latino, che diceva societas delinquere non potest. Al contrario di quanto si può credere, non si tratta però di un portato del diritto romano: è in realtà la Rivoluzione Francese che tende a misconoscere il problema. Gli ordinamenti italiano, tedesco, greco e spagnolo rimarranno strettamente ancorati ad una concezione antropocentrica del diritto penale e questa ragione ideologica si trasformerà in una posizione dogmatica, che solo la “prammatica” anglosassone riuscirà a scalfire. Invero, nel diritto romano era pacifico il dato dell’incapacità completa delle persone giuridiche, come ci dice il Digesto e come si può leggere nel Corpus Iuris del Mommsen: la pena era applicabile solo laddove si poteva immaginare il concetto di moralità. Come poi sintetizzeranno le correnti più ortodosse della filosofia inglese, no soul to damn, no body to kick. Nel Medio Evo, Sinibaldo de Fieschi (futuro papa Innocenzo IV) escludeva l’applicazione della scomunica per l’assenza di un’anima e del battesimo. Ma in quell’epoca, molto feconda per l’elaborazione del diritto comune che ancora oggi si applica in Repubblica quale fonte sussidiaria del diritto privato, la scuola del più grande tra i Commentatori – Bartolo da Sassoferrato – propenderà per una possibile responsabilità penale delle universitates. La sistemazione dogmatica del Savigny nel XIX secolo, per cui la persona giuridica rappresenta una fictio iuris, un’entità fittizia, sopirà il dibattito per molto tempo nel diritto continentale. È il crescente fenomeno della criminalità dell’impresa e nell’impresa che nelle società occidentali pone con forza – anche quale necessità di politica criminale – il problema di individuare una sanzione per l’impresa, che, in quanto tale, è spesso esercitata da una persona giuridica. A San Marino, l’attenzione di giudici ed avvocati al tema si nota anche in alcuni procedimenti penali: in particolare – ma l’estratto pubblicato sulla Giurisprudenza Sammarinese non da sufficiente ragione della profondità e dell’innovazione (per l’epoca) delle soluzioni prospettate dalle parti e valutate dal giudicante – in un procedimento penale del 1981, laddove veniva richiesto il coinvolgimento “penale” dell’ente anonimo, rispetto ad una vicenda in cui erano contestate, in esito alla rigenerazione di gas di petrolio liquefatto, fattispecie penali societarie, tributarie e derivanti dalla disciplina in materia di prodotti petroliferi.
La radice culturale del modello italiano di cui alla legge n. 231 del 2001, e poi anche di quello sammarinese, si deve rinvenire nelle riflessioni della dottrina tedesca degli anni Ottanta, in particolare del prof. Klaus Tiedemann (scomparso a luglio 2018, ndr), che si imperniano sulla Organisationsverschulden, cioè sul rimprovero che si può muovere all’ente per non essersi dato un’organizzazione efficiente. A quel punto, alla personalità giuridica riconosciuta all’ente deve fare da paio una responsabilità personale (teoria dell’immedesimazione), anche afflittiva, penale o amministrativa. Proprio su questo dilemma si è notevolmente arrovellata la dottrina di lingua italiana in esito all’entrata in vigore della legge n. 231. La vicenda sammarinese, invece, mostra una certa originalità, caratterizzatasi dal revirement compiuto dal legislatore che, introdotto l’istituto con la legge n. 6 del 21 gennaio 2010 (“responsabilità da misfatto della persona giuridica”), tre anni dopo detta una disciplina completamente nuova, la legge 29 luglio 2013, n. 99 (“responsabilità della persona giuridica”). Fenomeni così originali hanno sempre una specifica giustificazione. Nel caso nostrano, deve ricordarsi che negli ultimi anni la Repubblica ha inteso adottare linee politiche – e anche di politica del diritto e di politica giudiziaria – volte primariamente ad aumentare il grado di compliance rispetto alla prescrizioni degli organismi internazionali. Il Moneyval, dopo aver prescritto la necessità di introdurre una legislazione che affliggesse anche gli enti, nei successivi round di verifica ha constatato che i modelli organizzativi previsti dalla prima normativa soffrivano di un deficit di effettività flagrante: alla fine del 2011 nessun ente risultava aver registrato il proprio modello organizzativo. La legge n. 6 infatti aveva quale caratteristica principale – resa del tutto applicabile ad opera del decreto 27 giugno 2010, n. 96 – proprio quella di contemplare, in capo agli enti passibili di quella responsabilità, l’adozione di un preventivo modello organizzativo.
Alla luce delle osservazioni mosse dagli organismi internazionali, il legislatore ha preferito abbandonare improvvisamente la strada tracciata, concentrando gli sforzi normativi sulla applicabilità, indipendentemente dall’obbligo dell’adozione di una condotta avente finalità prettamente preventive. L’ulteriore novità – già individuabile dal titolo – sta anche nello stacco netto che si è voluto segnare rispetto alla natura della responsabilità: non più penale (“da misfatto”), bensì “né amministrativa, né penale perché costituisce un unicum solo in parte riconducibile alle tradizionali forme di responsabilità” (Relazione alla legge n. 99). Il quadro impone due riflessioni. La cessazione dell’obbligo normativo di provvedere alla adozione di un modello organizzativo non solo non costituisce un divieto a che l’ente proceda in questi termini; ma continua a rappresentare la via maestra per un corretto sicuro ed efficace rapporto dell’ente rispetto al tema della responsabilità. L’adozione di un modello organizzativo risponde infatti alla stessa esigenza, mutatis mutandis, cui l’imprenditore adempie allorchè redige, aggiorna ed esegue il piano di sicurezza aziendale. Se questo serve a limitare, da un lato, il rischio di infortuni sul lavoro e, dall’altro e corrispondentemente, la conseguente responsabilità dell’imprenditore e dei preposti, il modello organizzativo va adottato proprio per limitare il rischio che attraverso l’ente o a beneficio di questo si commettano misfatti e, dall’altro, la conseguente responsabilità cui lo stesso soggiacerebbe. In secondo luogo, sembra indispensabile ricordare che – aldilà del nomen iuris – vale il principio della responsabilità personale e colpevole: l’ente risponde solo rispetto a condotte illecite agite attraverso lo stesso o a suo beneficio, e solo se rispetto alle stesse è possibile muovergli un rimprovero.
La veloce successione delle norme nel tempo ha imposto e imporrà di rispondere al quesito su quale normativa vada applicata allorchè la condotta ricada temporalmente sotto la vigenza della legge n. 6, ma il procedimento sanzionatorio si svolga nella vigenza della legge n. 99. La risposta si trova nell’articolo 3 del codice penale che però deve essere applicato – come già effettuato, ad esempio, in relazione alla legge n. 99 dell’anno 2010 – avuto riguardo, caso per caso, a quale risulta la normativa più favorevole al reo, ergo all’ente; e tenuto presente che il principio di legalità della pena impedisce di procedere ad un mixtum compositum tra le (diverse) conseguenze sanzionatorie previste dalle due discipline.
Quanto precede consente di affermare che l’applicazione delle sanzioni può avvenire solo nell’ambito di un processo penale, e con le garanzie forti della procedura penale, che si leggono anche nel codice penale. Gli istituti sostanziali vanno applicati nella loro interezza: così se si deve compiutamente interrogarsi sul fatto che la violazione potrebbe essersi estinta per intervenuta prescrizione, è però indispensabile applicare l’istituto nella sua interezza, e quindi tenere conto anche delle cause di interruzione e sospensione del termine. Nessun dubbio, poi, che la disciplina sia applicabile all’ente in quanto tale, cioè in quanto esistente come soggetto giuridico, indipendentemente dallo status, anche irrevocabilmente volto alla estinzione (liquidazione, liquidazione coatta, liquidazione coatta amministrativa, giudiziale concorso dei creditori) in cui eventualmente versa, e senza che assuma rilievo ogni valutazione preventiva intorno all’eseguibilità del trattamento sanzionatorio, che troverà la giusta considerazione in sede di procedimento esecutivo. Allo stato, la normativa ha avuto applicazione nel procedimento penale n. 306 dell’anno 2010 (e riuniti), conclusosi in primo grado a giugno 2017, e nel procedimento penale n. 527 dell’anno 2010, conclusosi in primo grado a maggio 2018.
*Commissario della Legge, Tribunale di San Marino
Timo (Banca CIS): “La gestione integrata dei rischi e la pianificazione strategica”
di Adele Timo*
La prevenzione dei rischi e la progettazione delle misure di controllo e monitoraggio degli stessi, rientra tra gli obiettivi strategici di un’azienda in generale e delle banche in particolare. Banca CIS ha sviluppato un modello di pianificazione strategica (forward looking) integrato nel modello di governo e gestione dei rischi aziendali e nel Management Information System (MIS), sia ai fini del target setting prospettico sia per il controllo a consuntivo, realizzando di conseguenza un effettivo Risk Appetite Framework (RAF). Grazie all’esperienza derivata dall’implementazione del modello di pianificazione strategica, Banca CIS qui suggerisce un approccio metodologico organico alla prevenzione ed al controllo dei rischi. Tale approccio prevede elementi di integrazione tra i due modelli: il Modello di Gestione e Controllo da cui può discendere la responsabilità amministrativa dell’azienda e il Modello di Controllo e gestione dei rischi bancari, a sua volta strettamente connesso alle soluzioni metodologiche e applicative per la pianificazione strategica.La loro integrazione aumenta l’efficacia del modello, evita una duplicazione di attività, migliora il processo organizzativo, con ciò contribuendo alla creazione di valore.
Gli ambiti di integrazione, tra il Modello di pianificazione strategica e il Modello di Gestione e Controllo, sono: prospettiva forward looking, che impone la valutazione del rischio sulla base delle attese di evoluzione del modello di business come desumibili dai piani e programmi aziendali sviluppati nel processo di pianificazione strategica; definizione di un Risk Appetite, che implica la scelta strategica della quantità di rischio che la Banca è disposta ad accettare nel perseguimento dei propri obiettivi di redditività / creazione di valore; inclusione nella valutazione di alternative e/o nuove iniziative strategiche di analisi di impatto sul rischio inerente, l’adeguatezza dei presidi di controllo a prevenzione del rischio ed il conseguente rischio residuo connesso all’evoluzione attesa del business model; scelta delle specifiche metodologie di identificazione e misurazione (forte integrazione con Modelli di rischio operativo); definizione, nel target setting di risk appetite, degli indicatori di rischio (Key Risk Indicator) da monitorare per il controllo di ciascun rischio, anche quello difficilmente quantificabile come quello strategico, operativo e reputazionale; criteri e processi per la valutazione di efficacia dei presidi di mitigazione (valutazione di adeguatezza).
L’impatto del RAF sul Modello di Controllo e Gestione della responsabilità amministrativa dell’azienda potrebbe riguardare, come principali momenti di integrazione: la coerenza di metriche e modello per la valutazione del rischio operativo e compliance; l’identificazione di indicatori di controllo «gestionali» con adeguati vincoli di Risk Capacity; l’integrazione dei flussi informativi e dei modelli di valutazione dell’adeguatezza dei presidi di controllo nel più ampio sistema di reporting della Banca.
L’adozione di un tale modello di RAF nell’ambito di un’Organizzazione, con la progressiva integrazione dei diversi rischi, può essere considerata una scelta strategica che guida la mappatura dei processi, determina l’infrastruttura di un’Organizzazione supportando le attività relative al riconoscimento, alla valutazione, alla risposta ed al monitoraggio dei rischi nel perseguimento di obiettivi organizzativi, influenza l’atteggiamento dell’Organizzazione nei confronti dei rischi, è parte integrante del governo societario e orienta l’allocazione delle risorse umane, economiche e finanziarie su attività che creano redditività e valore per tutti gli stakeholders.
*Responsabile Area Strategia & Controllo Banca Cis SpA
Tartaglia (PK Consulting): “Il punto di partenza è il rischio. Opportunità e implicazioni operative”
di Fabio Tartaglia*
Applicare la normativa sulla responsabilità di impresa comporta il comprendere quali eventi indesiderati (es. misfatti) si possono verificare in azienda e quali conseguenze possono portare. Per questo il punto di partenza è il rischio.
La gestione del rischio aziendale è un processo, posto in essere dal CdA, dal management e da altri operatori della struttura aziendale, quindi utilizzato per la formulazione delle strategie in tutta l’organizzazione.
Il corretto approccio per la valutazione del rischio prevede la definizione del livello di criticità per ciascuna attività sensibile sulla base del grado di controllo ed il rischio potenziale.
Molto spesso dall’analisi scaturisce la necessità di implementare delle contromisure che normalmente vanno a rafforzare il sistema dei controlli e ridefinendo modalità operative, assegnando compiti e responsabilità e richiedendo l’emissione di procedure specifiche.
Ad esempio, per il rafforzamento del sistema dei controlli, è usuale che occorra ricalibrare il sistema dei poteri autorizzativi e delle deleghe in maggior coerenza con il principio di segregazione e con le responsabilità organizzative definite prevedendo, in ogni caso, il controllo sull’esercizio dei poteri delegati. Oppure formalizzare ruoli, responsabilità nonché specifiche misure di controllo sulla gestione della verifica dei requisiti di onorabilità del Consiglieri del CdA al momento della nomina.
Oltre all’analisi dei rischi, occorre implementare il proprio modello di Organizzazione e normalmente gli elementi da considerare per la predisposizione sono i seguenti: analisi della governance; rilevazione del sistema organizzativo della società; esame del sistema delle deleghe, delle procure e dei poteri di spesa e di firma; esame dei processi aziendali; mappatura delle aree a rischio di commissione dei reati e valutazione del livello di rischio; esame delle procedure aziendali esistenti, loro implementazione e redazione di nuove procedure aziendali e/o protocolli comportamentali. Inoltre è necessario l’esame o l’elaborazione del codice etico della società e la predisposizione del “Sistema disciplinare”.
Le azioni e le considerazioni emerse dall’analisi degli elementi sopracitati, vanno ad alimentare il Sistema dei Controlli dell’Organizzazione. Sistema che si sviluppa in controlli interni, la cosiddetta “spina dorsale” di un modello per la prevenzione dei reati e da cui dipendono: controlli di primo livello o controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni; controlli di secondo livello o controlli sui rischi e sulla conformità che hanno l’obiettivo di assicurare la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni, la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.
Le funzioni preposte a tali controlli sono distinte da quelle produttive, infatti esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi e sono normalmente rappresentate dalle funzioni Risk Managenet, Compliance, Controllo Costi o Controllo di Gestione, Servizio pianificazione e controllo, Responsabile Sistemi di gestione ecc. Controlli di terzo livello o revisione interna, volti a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni, normalmente affidate all’Internal Audit.
I benefici legati all’implementazione possono essere individuati sia internamente che esternamente all’Organizzazione stessa. In particolare: internamente, si otterrà un rafforzamento del sistema dei controlli; la revisione, adeguamento e coerenza delle procure e deleghe; la responsabilizzazione e consapevolezza delle figure apicali/non apicali e process owner; l’individuazione ed implementazione Indicatori (KPI); la revisione e riordino della compliance (normative applicabili). Mentre esternamente, aumenteranno la reputazione e il rating di legalità dell’azienda, mentre si ridurrà il rischio di commissione reati.
A livello commerciale, infine, si amplieranno le possibilità di partecipare alle gare d’appalto.
*PK Consulting
Lorenzi: “Banca Agricola Commerciale, quale case study di Risk Universe”
di Luca Lorenzi*
Una corretta e “consapevole” gestione del rischio è elemento strategico nella gestione dei processi aziendali e rappresenta uno dei vantaggi competitivi dell’impresa, specialmente se Banca. In questo quadro il Gruppo Banca Agricola Commerciale ha ritenuto fondamentale sviluppare un modello interno di valutazione della rischiosità di ciascuna delle che compongono il suo Risk Universe. Obiettivo del modello è quello di identificare le aree di rischio, valutarne coerentemente il grado di rischiosità attribuendo loro metriche comuni, al fine di addivenire ad una pianificazione degli interventi dell’unità di Audit che sia coerente con il livello di rischio individuato dal modello. Tutti i processi operativi del Gruppo BAC sono stati mappati e ricondotti in 3 macro-categorie (Governo e Controllo, Business e Supporto) a cui corrispondono 59 Aree di rischio associate a complessive 421 attività a rischio potenziale. A ciascuna attività è stato «accoppiato» il relativo rischio inerente, misurato dalla combinazione della “frequency” di accadimento e dalla “severity” dell’impatto, e attribuito uno specifico livello di rischiosità (da 1 a 4). Si è poi scelto di non limitare la rischiosità di un singolo processo operativo al solo rischio inerente, giacché l’impatto finale è determinato anche dall’«universo» a cui l’attività di rischio appartiene e conseguentemente alla capacità dell’Area operativa di amplificare o ridurre l’impatto finale del rischio. Per questa ragione ogni processo è stato valutato congiuntamente all’area di appartenenza, attraverso l’attribuzione del grado di rischio sistemico (Effetto sistemico del rischio inerente). Il modello per la valutazione dei rischi complessivi è stato ottenuto attraverso l’attribuzione di uno specifico Rating BAC, il quale partendo dalla singola attività, ricostruisce il rating dell’Area di riferimento valutando congiuntamente sia il rischio inerente sia il suo effetto sistemico. Ad ogni “punteggio” è attribuito un livello di rischiosità a cui corrisponde una frequenza minima di intervento richiesto alla funzione di Audit, in modo da ottenere una consapevole pianificazione delle verifiche, partendo dalle funzioni caratterizzate da maggiore grado di rischiosità. Questo modello costituisce altresì una base moto attendibile per una efficiente allocazione delle risorse umane, destinando le più esperte e competenti alle aree operative che presentano maggiori criticità, per i colleghi che aspirano a gestire aree di rischio complesse, sono predisposti specifici piani formativi. Tutto ciò risponde al forte convincimento che, in una banca, la gestione del rischio non possa essere demandata solo a funzioni specifiche, ma debba essere diffusa il più possibile affinché tutti e a tutti i livelli intraprendano comportamenti virtuosi.
*CEO Gruppo BAC
