PROFILI ECONOMICO-AZIENDALI DEI MODELLI ORGANIZZATIVI

Transcript

1 PROFILI ECONOMICO-AZIENDALI DEI MODELLI ORGANIZZATIVI La responsabilità da reato degli enti collettivi Bari 26 e 27 maggio 2006 Giovanni Maria Garegnani

2 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 2

3 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 3

4 CENNI SULL AMBITO NORMATIVO Art. 6 Soggetti in posizione apicale e modelli di organizzazione dell ente L ente NON risponde se prova che: l organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi; Il compito di vigilare sul funzionamento e l osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell ente dotato di autonomi poteri di iniziativa e di controllo; le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione; non vi è stata omessa o insufficiente vigilanza da parte dell organismo di cui alla lettera b). 4

5 CENNI SULL AMBITO NORMATIVO Art. 7 - Soggetti sottoposti all altrui direzione e modelli di organizzazione dell ente L ente è responsabile se viene provato che la commissione del reato è stata resa possibile dall inosservanza degli obblighi di direzione o vigilanza; In ogni caso, è esclusa l inosservanza degli obblighi di direzione o vigilanza se l ente, prima della commissione del reato, ha adottato ed efficacemente attuato un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. 5

6 CENNI SULL AMBITO NORMATIVO Il modello prevede, in relazione alla natura e alla dimensione dell organizzazione nonché al tipo di attività svolta, misure idonee a garantire lo svolgimento dell attività nel rispetto della legge e a scoprire ed eliminare tempestivamente situazioni di rischio. L efficace attuazione del modello richiede: una verifica periodica e l eventuale modifica dello stesso quando sono scoperte significative violazioni delle prescrizioni ovvero quando intervengono mutamenti nell organizzazione o nell attività; un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. 6

7 CENNI SULL AMBITO NORMATIVO Nel caso in cui il reato sia stato commesso da soggetti in posizione apicale (Art.6), la società deve fornire la prova di aver predisposto il modello; di averlo attuato in modo efficace; che l Organisno di Vigilanza ha eseguito i dovuti controlli; e quindi che solo FRAUDOLENTEMENTE il modello è stato eluso (Art. 6, comma c). 7

8 CENNI SULL AMBITO NORMATIVO Nel caso in cui il reato sia stato commesso da soggetti in posizione subordinata (Art.7) è il PM a dover provare che il reato è stato reso possibile dall inosservanza degli obblighi di direzione e vigilanza. 8

9 CENNI SULL AMBITO NORMATIVO E esclusa l inosservanza degli obblighi di direzione e vigilanza se esiste un modello efficacemente attuato e quindi periodicamente verificato; adeguatamente modificato; quando sono scoperte significative violazioni; oppure in caso di mutamenti dell attività aziendale; che prevede meccanismi sanzionatori in caso di inosservanza. 9

10 CENNI SULL AMBITO NORMATIVO Insomma, il Modello deve essere strutturato in modo tale per cui l agente potrà attuare il proprio proposito criminoso soltanto aggirando fraudolentemente le indicazioni dell Ente (LGConf) 10

11 CENNI SULL AMBITO NORMATIVO Se il modello 231 è adottato. in via preventiva (prima della commissione del reato), consente l esenzione di responsabilità dell ente; successivamente alla commissione del reato, ma prima dell apertura del dibattimento di primo grado, consente (a certe condizioni) di evitare l applicazione delle sanzioni interdittive e la riduzione della sanzione pecuniaria; nei 20 giorni dalla notifica dell estratto della sentenza di condanna, consente di richiedere la conversione delle sanzioni interdittive in sanzioni pecuniarie. 11

12 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 12

13 IL MODELLO ORGANIZZATIVO Schema di analisi 1. La norma 2. Le linee guida 3. Il governo 4. La mappatura dei rischi di reato 5. L inventariazione degli ambiti di attività 6. La gap analysis 7. I Protocolli (Codice etico - Sistema organizzativo - Poteri organizzativi e di firma - Procedure manuali ed informatiche - Sistema di controllo di gestione) 8. La formazione del personale 9. Comunicazione 10.Risorse umane - valutazione delle performance 11.Principi di controllo 12.Model assessment 13

14 IL MODELLO ORGANIZZATIVO 1) La norma (art. 6) I modelli organizzativi devono rispondere alle seguenti esigenze: individuare le attività nel cui ambito possono essere commessi reati; prevedere specifici protocolli diretti a programmare la formazione e l attuazione delle decisioni dell ente in relazione ai reati da prevenire; individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione dei reati; prevedere obblighi di informazione nei confronti dell organismo deputato a vigilare sul funzionamento e l osservanza dei modelli; introdurre un sistema disciplinare idoneo a sanzionare il mancato rispetto delle misure indicate nel modello. 14

15 IL MODELLO ORGANIZZATIVO 2) Le linee guida I modelli di organizzazione e di gestione possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia che, di concerto con i Ministeri competenti, può formulare, entro trenta giorni, osservazioni sulla idoneità dei modelli a prevenire i reati. (Art.6, comma 3) Associazioni rappresentative degli enti: Confindustria, Ania, ABI Elaborano delle linee guida che forniscono un indicazione nella costruzione del modello e nella composizione dell organismo di controllo. I codici di comportamento in nessun caso potranno costituire acriticamente un modello da adottare. E necessario che il modello organizzativo sia predisposto nel rispetto delle peculiarietà organizzative della singola impresa. 15

16 IL MODELLO ORGANIZZATIVO 3) Il governo Chi è responsabile dell approvazione del modello (La delibera da parte dell organo amministrativo è considerata mezzo di adozione corretto dei modelli organizzativi). Chi attribuisce le funzioni apicali all interno della Società e con quali modalità. Chi è responsabile dello sviluppo di procedure operative idonee alla prevenzione di irregolarità per la Società ed all interno di ciascun processo. Chi ha la responsabilità di compliance normativa all interno del modello. Chi ha la responsabilità di assicurare l applicazione operativa del Modello all interno delle funzioni/processi a rischio. Chi ha la responsabilità di svolgere i controlli sull osservanza e sull idoneità del Modello in generale (cd. compliance program ). Chi ha la responsabilità di gestione delle violazioni del Modello. Chi ha la responsabilità di un idonea gestione delle risorse umane. Chi ha la responsabilità di un idonea gestione delle risorse finanziarie. 16

17 IL MODELLO ORGANIZZATIVO 4) La mappatura dei rischi di reato La mappatura deve essere specifica ed esaustiva e non meramente descrittiva o ripetitiva del dettato normativo. Nei modelli predisposti successivamente alla commissione del reato occorre prestare particolare attenzione ai profili dell attività aziendale nei quali si è verificata la commissione del reato, definendo il contenuto programmatico dell attività dell ente in modo mirato e calibrato sulle carenze organizzative. 17

18 IL MODELLO ORGANIZZATIVO P rro c e s s o d i i rris isk m a n a g e m e n t t 1. M a p p a tu r a p r o c e s si i a r is c h io 2. E le n c o r is c h i p o te n z ia li ( p e r p r o c e s s o ) 3. A n a lis i d e l s is t e m a d i c o n t rro o llo p r e v e n t iv o e s is t e n t e ( p r o t o c o lli ) 4. V a lu t a z io n e d e i r is c h i r e s id u i ( n o n c o p e r t i d a i c o n t r o lli p r e v e n t iv i) 5. A d e g u a m e n t o S is t e m a d i C o n t r o llo p r e v e n t iv o ( p r o t o c o lli ) N O R is c h io a c c e t t a b ile? S I RISULTATO : S I S T E M A d i C O N T R O L L O in g r a d o d i P R E V E N I R E i R I S C H I 18

19 IL MODELLO ORGANIZZATIVO Mappatura e rischio accettabile. concetto assolutamente nodale è quello di rischio accettabile (LGConf) marginalità: spingersi fino al punto oltre al quale i controlli costano di più della risorsa da proteggere difficile da applicare in ambito 231: come valutare ad es. il rischio di interdizione? (richiesta PM in procedimento Bari / farmaceutiche) ad impossibilia nemo tenetur 19

20 IL MODELLO ORGANIZZATIVO 5) L inventariazione degli ambiti di attività (per attività, funzioni, processi); obiettivo: individuare aree potenzialmente interessate alle particolari casistiche di reato; attenzione a situazioni di sospetto (ad es. ambiente dove erano stati rilevati episodi di reato, anche al di fuori dell Ente); L evidenziazione delle modalità operative con cui il reato può essere connesso (analisi del rischio potenziale). 20

21 IL MODELLO ORGANIZZATIVO 6) Valutazione della situazione esistente e determinazione degli adeguamenti necessari (gap analysis) Analisi della situazione as is Analisi della situazione to be 21

22 IL MODELLO ORGANIZZATIVO 7) Protocolli di un sistema di controllo preventivo (LGConf) Codice etico con riferimento ai reati considerati Rispetto leggi e regolamenti Correttezza nella registrazione, autorizzazione, legittimità, verificabilità, coerenza e congruità di ogni operazione Principi base integrità e trasparenza nei rapporti con gli interlocutori dell Ente 22

23 IL MODELLO ORGANIZZATIVO Sistema organizzativo formalizzato e chiaro Attribuzione responsabilità Mansioni Dipendenze gerarchiche Contrapposizione funzioni e meccanismi di controllo Attenzione a sistemi premiali eccessivi o eccessivamente difficile da raggiungere (potrebbero spingere a commettere reato) Poteri organizzativi e di firma coerenti con struttura organizzativa Sistema di controllo di gestione in grado di segnalare con tempestività l insorgere di situazioni di potenziali rischi 23

24 IL MODELLO ORGANIZZATIVO Procedure manuali ed informatiche specifiche e concrete coerenti con processi di risk assessment e strutturate in funzione a reati, funzioni e processi coinvolti, monitoraggio segnali premonitori. devono disciplinare le interazioni ai fini del controllo dei rischi tra funzioni operative e i responsabili del processo; Internal Audit e gli altri organi di controllo; gestione delle risorse umane devono essere aggiornate in caso di violazioni, mutamenti del quadro giuridico, operazioni straordinarie, sviluppo aziendale oltre determinate soglie partnership 24

25 IL MODELLO ORGANIZZATIVO 8) Formazione del personale La formazione deve essere differenziata a seconda di soggetti cui si rivolge. Nel modello deve essere previsto il contenuto dei corsi, la loro frequenza, l obbligatorietà della partecipazione ai programmi di formazione. 25

26 IL MODELLO ORGANIZZATIVO Più in dettaglio devono essere definiti: programmi di training generale; programmi di training dedicati a temi etici; programmi di training specifici per gli addetti alle aree di rischio; programmi di training specifici ai responsabili della vigilanza sul Modello; frequenza e qualità dei programmi di training e loro programmazione; controlli di frequenza e di qualità della partecipazione ai programmi di training; controlli sul livello qualitativo raggiunto (test, dilemmi etici, etc.). 26

27 IL MODELLO ORGANIZZATIVO 9) Comunicazione Oltre alla formazione, è importantissimo il sistema di comunicazione interna in relazione agli elementi del modello e, in particolare, all adeguatezza di: contenuti e sufficienza delle comunicazioni inerenti al Modello (principi e presupposti etici e legali, metodologia di risk assessment, procedure operative, principi di reporting e di salvaguardia della confidenzialità, etc.); canali di comunicazione utilizzati e loro adeguatezza ( codice etico, bilancio sociale, bilancio d esercizio, training, newsletter, manuali, meeting, circolari, help-line etc.); linguaggio usato e sua comprensibilità ed adeguatezza; diffusione interna (intranet ) adeguata differenziazione per tipologia di controparte esterna e gerarchia, funzione e livello di rischio interni. 27

28 IL MODELLO ORGANIZZATIVO 10) Risorse umane - valutazione delle performance Componente importante del modello è la gestione delle risorse umane, con particolare riferimento a: esistenza di procedure di selezione e di dismissal del personale focalizzate alla riduzione dei rischi di irregolarità e la loro efficacia; esistenza di sistemi di incentivazione allo sviluppo del Modello e al comportamento coerente, proprio e dei sottoposti, e la loro efficacia; esistenza di sistemi disciplinari per mancati contributi attivi e per le violazioni, proprie e dei sottoposti, e la loro efficacia (problematiche interazioni con normativa sul lavoro dipendente) esistenza di una procedura di gestione delle segnalazioni e di allontanamento del personale a rischio e la loro efficacia. 28

29 I MODELLI ORGANIZZATIVI 11) I principi di controllo Possibilità verifica documentale operazioni (tracciabilità) Separazione delle funzioni (nessuno può gestire in autonomia un intero processo) No poteri illimitati Poteri e responsabilità chiaramente definiti Coerenza tra poteri autorizzativi e di firma e ruolo nell organizzazione Documentazione controlli 29

30 IL MODELLO ORGANIZZATIVO 12) Model assessment In questo ambito: sono definite le caratteristiche e le modalità di effettuazione delle attività di audit e/o di investigazione interna o esterna, al fine di verificare l efficacia del modello in termini di standard professionali e/o qualitativi; è valutata l efficacia delle procedure in essere di fronte a situazioni di rischio conclamato o possibile, come, ad esempio, investigazioni da parte della Magistratura o da parte di altri organi di controllo, segnalazioni di gravi irregolarità, azioni legali da parte di terzi o casi analoghi; si valuta se le procedure di gestione dei casi di crisi permettono la formazione di documentazione valida ai fini dei successivi contenziosi; Per tali finalità, e per dimostrare che sono state svolte tutte le attività previste dalla legge ai fini della prevenzione dei reati, è necessaria una corretta archiviazione. 30

31 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 31

32 L ORGANISMO DI VIGILANZA I compiti valutare la capacità di prevenzione del modello organizzativo (adeguatezza); controllare i processi di mappatura delle aree di rischio e dei segnali premonitori di potenziali irregolarità ( risk assessment ); vigilare sulla effettiva applicazione del modello, anche effettuando controlli sia di routine che a sorpresa (audit di performance); effettuare programmi di revisione su segnalazione o su segnali premonitori (audit di processo); effettuare analisi di compliance al modello organizzativo (audit del modello o compliance program ); proporre gli aggiornamenti del modello ove necessario. 32

33 L ORGANISMO DI VIGILANZA La composizione I componenti dell Odv devono essere nominati in modo da garantire l autonomia, l indipendenza e la professionalità dell Odv. In caso di organismo plurisoggettivo, indipendenza nel suo complesso I componenti devono possedere capacità specifiche in tema di attività ispettiva e/o consulenziale in ambito di sistemi di controllo e penale L organismo deve poter dare garanzie di continuità di azione Devono essere previste delle cause di non eleggibilità relative ai componenti dell Odv (onorabilità, assenza di conflitti di interessi ) 33

34 L ORGANISMO DI VIGILANZA La scelta sulla collegialità Può essere un organo collegiale, composto da: Professionisti esterni; Responsabile internal auditing; Membri del comitato di controllo interno; Sindaci o amministratori esecutivi; Dirigenti; Responsabile ufficio legale/risorse umane. Può essere un organo monocratico (responsabile internal auditing, amministratore indipendente, consulente). Può coincidere con particolari strutture aziendali (comitato di controllo interno, funzione di internal auditing) 34

35 L ORGANISMO DI VIGILANZA Le Linee Guida di Confindustria, in materia, ammettono una composizione dell Odv sia mono che plurisoggettiva (purchè ciascun soggetto, sia interno che esterno all azienda, possegga i requisiti previsiti). La scelta tra una o l altra soluzione deve tenere conto delle finalità perseguite dalla legge e, quindi, assicurare il profilo di effettività dei controlli in relazione: alla dimensione; alla complessità organizzativa dell azienda. 35

36 L ORGANISMO DI VIGILANZA I flussi informativi all Odv Devono essere definite le modalità di generazione, accesso e reporting direzionale delle informazioni necessarie per una efficace vigilanza sui rischi di parte degli organismi interessati e, in primo luogo, da parte dell Organismo di Vigilanza. Pertanto devono essere disciplinate: La disponibilità dei dati necessari per l esercizio di un efficace vigilanza preventiva e successiva sulle attività a rischio; L esistenza di canali di comunicazione preferenziali per la segnalazione di operazioni esposte a rischio, sia da parte di terzi che da parte del personale (cd. help line ); La tempestiva segnalazione del cambiamento dei profili di rischi (es. nuove normative, acquisizioni di nuove attività, violazioni dei sistemi di controllo interni, accessi ed ispezioni da parte di enti supervisori, etc.); La regolare registrazione e reporting degli eventi sopradescritti, con le relative azioni successive implementate e l esito dei controlli svolti. 36

37 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 37

38 SCI/MODELLO 231 Rapporto tra modello 231 e SCI Un problema che sorge nel momento in cui viene adottato un modello organizzativo di gestione e controllo, è la relazione che si viene ad instaurare tra questo e il sistema di controllo interno. Occorre rendere compatibili: Focalizzazione del modello 231 Integrazione tra modello 231 e SCI 38

39 SCI/MODELLO 231 Il modello 231 deve essere focalizzato sulla prevenzione dei reati; se risulta troppo generico e troppo diluito nel SCI, rischia di perdere di efficacia (caso P) Però, se il modello 231 non è in alcun modo integrato con il SCI, i rischi sono diseconomie possibile percezione del modello 231 come corpo estraneo all organizzazione e difficoltà di legittimazione 39

40 SCI/MODELLO 231 Se infine un SCI non esiste proprio o è in forma molto embrionale, e quindi manca una cultura del controllo il rischio è che il modello 231 venga considerato l ennesimo adempimento ; non gli si dia la giusta importanza; sia predisposto ma di fatto non applicato. Cosa fare nelle Piccole Medie Imprese? (facilitazione solo nella possibilità di avere l organismo dirigente quale organo di controllo peraltro scelta inopportuna ) 40

41 SCI/MODELLO 231 ALCUNE CONSIDERAZIONI IN TEMA DI SISTEMI DI CONTROLLO INTERNO Ogni azienda si propone di raggiungere determinati obbiettivi strategici: primo fra tutti quello di creare valore per i propri stakeholder. Il raggiungimento di questi obiettivi dipende dalla gestione manageriale di tutte le attività aziendali. L ERM (Enterprise Risk Management coso Commitee of Sponsoring Organizations) ha come obiettivo proprio quello di supportare il management nelle decisioni con riferimento alla gestione dei rischi (risk management) 41

42 SCI/MODELLO 231 DAL GOVERNO DEI CONTROLLI ALLA SOSTENIBILITA DEI RISCHI Controllo quale adempimento (fino agli anni 80): orientamento a garantire il rispetto della normativa vigente Controllo come scelta di economicità (dai primi anni 90), più associato ai concetti di risk assessment e risk management 42

43 SCI/MODELLO 231 RISK ASSESSMENT E RISK MANAGEMENT I modelli di risk assessment mirano a identificare i fattori di rischio a cui risulta esposta l azienda e a quantificare la vulnerabilità aziendale ai suddetti fattori di rischio, in termini sia di probabilità di manifestazione dell evento rischioso sia di impatto conseguente alla manifestazione dell evento. I modelli di risk management si prefiggono di individuare le contromisure di volta in volta più indicate per fronteggiare i rischi identificati, considerata la propensione al rischio propria di ciascuna azienda: accettarli, mitigarli, trasferirli, evitarli. 43

44 SCI/MODELLO 231 Impatto Basso Alto Rischio medio Trasferire Rischio modesto Accettare Rischio elevato Evitare Rischio medio Ridurre Bassa Probabilità Alta 44

45 SCI/MODELLO 231 Le aziende valutano costi e benefici dei controlli necessari Il CoSO Report (1992) introduce la definizione del Sistema di Controllo Interno, individuandone i 3 obiettivi (attendibilità, economicità, conformità alle normative) e le 5 componenti (ambiente di controllo, sistema informativo, attività di controllo, valutazione dei rischi, monitoraggio) L attore del controllo non è più un soggetto distinto e distante da chi esercita mansioni operative L ispettore lascia spazio all internal auditor, il cui ruolo è valutare l adeguatezza del SCI progettato dai manager operativi 45

46 SCI/MODELLO 231 IL GOVERNO DEI RISCHI QUALE ELEMENTO DI GOVERNANCE E QUALE PRESUPPOSTO COMPETITIVO (LA SFIDA ATTUALMENTE IN CORSO) Controllo inteso quale leva a disposizione del management per mitigare l esposizione ai rischi Al management non è più affidato il solo compito di raggiungere risultati, ma anche di individuare i rischi che compromettono il raggiungimento dei risultati e di porre in essere le contromisure in grado di diminuire gli effetti negativi correlati all esposizione ai rischi o di trasferirli ad altri E enfatizzata quale skill manageriale l attitudine a prevenire i rischi piuttosto che la capacità di curare le 46 conseguenze della loro manifestazione

47 SCI/MODELLO 231 I manager devono dimostrarsi capaci di gestire convenientemente situazioni in continuo divenire (accountability dei manager) Si parla di gestire i rischi, ovvero di diffondere un sistema di corporate governance basato sulla cultura della prevenzione dei fenomeni, accompagnata dall utilizzo di strumenti in grado di ridurre la probabilità di accadimento degli eventi rischiosi e di circoscriverne l impatto negativo (ciò è particolarmente utile nei contesti dinamici) Aumenta l attenzione verso rischi non economici (sociali, ambientali, etici) a beneficio delle diverse categorie di stakeholder con cui l azienda si relaziona 47

48 SCI/MODELLO 231 Le tipologie di rischio si distinguono a seconda della fonte interna o esterna. Tra le prime vi sono: Rischi di efficacia/efficienza dei processi Rischi di informativa Rischi di integrità Rischi relativi alle risorse umane Rischi di delega Tra le seconde troviamo: Rischi di concorrenza Rischi di mercato Rischi di normativa 48

49 SCI/MODELLO 231 In sostanza con l implementazione del modello ERM ci si prefigge l obbiettivo di avere all interno della società: uno strumento di valutazione sistematica dei rischi; il rafforzamento della cultura dei rischi. Il raggiungimento di tali obiettivi passa attraverso una sostanziale rivisitazione ed upgrade del concetto stesso di Sistema di Controllo Interno 49

50 SCI/MODELLO 231 Fonte: COSO Enterprise Risk Management Integrated Framework

51 SCI/MODELLO 231 In particolare nella parte superiore del Cubo ERM sono identificati gli obiettivi che un sistema ERM si pone di raggiungere Strategic: finalizzati alla mission/vision dell impresa; Operations: relativi alla efficacia/efficienza delle operazioni aziendali; Reporting: relativi alla efficacia del sistema di reporting aziendale; Compliance: relativi alla conformità delle attività aziendali rispetto alle leggi e regolamenti applicabili. 51

52 SCI/MODELLO 231 Nella parte frontale troviamo invece i componenti di base del SCI: Internal Enviroment: individuazione delle caratteristiche dell ambiente aziendale con riferimento alla gestione dei rischi; Objective Setting: definizione del set di obiettivi e valutazione del grado di tolleranza dei rischi associati; Event Identification: identificazione degli eventi sfavorevoli, e non, associati a target definiti; Risk Assessment: attività di supporto alla valutazione dei rischi inerenti e residuali dei potenziali eventi identificati. 52

53 SCI/MODELLO 231 Risk Response: selezione delle risposte ai rischi in base all analisi dei costi-benefici; Control Activities: implementazione sistematica di policies e procedure per garantire il conseguimento dei target; Information & Comunication: comunicazione agli attori aziendali interessati delle criticità rilevate e delle azioni necessarie per sanarle; Monitoring: attività di monitoraggio sullo stato di strutturazione e manutenzione del sistema. 53

54 SCI/MODELLO 231 Sul lato laterale del Cubo troviamo il livello di dettaglio su cui si può esplicare l attività dell ERM: Aziendale (entity level) Division Business unit Subsidiary 54

55 SCI/MODELLO 231 L EVOLUZIONE DEI PROCESSI DI RISK MANAGEMENT: VERSO UNA GESTIONE STRATEGICA DEI RISCHI L approccio al rischio era tradizionalmente caratterizzato da: focus sull identificazione e la valutazione dei rischi percezione dei rischi come eventi estranei al business e alle strategie mappatura e monitoraggio di tutti i rischi potenziali implementazione di controlli per ridurre tutti i rischi mancanza di tecniche di misurazione (soggettività nella valutazione) attitudine di tipo reattivo 55

56 SCI/MODELLO 231 Un moderno approccio al rischio è caratterizzato dai seguenti aspetti: il risk management è un processo di tipo strategico i rischi sono classificati per tipologie e raggruppati in un portafoglio dei rischi (risk profile) specifici dell impresa l attenzione è riposta sui rischi più critici il portafoglio dei rischi è ottimizzato esistenza di una strategia di rischio (risk appetite e risk response) i rischi sono misurati e monitorati le responsabilità di gestione dei rischi sono definite a tutti i livelli aziendali l attitudine dell impresa nei confronti degli eventi incerti è di tipo proattivo, tesa cioè a prevenire piuttosto che a gestire 56

57 SCI/MODELLO 231 LA QUANTIFICAZIONE DEI BENEFICI DELL ERM L analisi costi-benefici può essere articolata come segue: identificazione e quantificazione dei costi associati al sistema di ERM formazione implementazione e manutenzione dei supporti informativi (hardware, software) consulenza esterna (significativi nella fase di start-up del processo) personale della funzione di Risk Management identificazione dei benefici associati al sistema di gestione dei rischi riduzione del costo dei controlli (per la focalizzazione sulle aree di rischio) maggiore efficienza dei processi e riduzione delle perdite inattese (riduzione dei tempi di approvvigionamento, riduzione dei reclami per difetti dei prodotti, riduzione delle perdite su crediti ) riduzione dei costi per premi assicurativi quantificazione dei benefici non è sempre possibile apprezzare in termini monetari i benefici connessi ai sistemi di gestione dei rischi (es. sicurezza dei dipendenti, capacità di trattenere personale ad elevato potenziale, capacità di scongiurare danni di immagine o di reputazione); spesso la consapevolezza di non avere investito in misura sufficiente si ha solo a posteriori, al verificarsi di eventi dannosi di impatto significativo, allorché non sono raggiunti gli obiettivi aziendali prefissati 57

58 SCI/MODELLO 231 Alcuni indicatori di una efficace implementazione dei sistemi di risk management, generalmente apprezzabili a posteriori, sono i seguenti: riduzione dei premi assicurativi riduzione dei reclami e di altri costi riduzione del turnover del personale rispetto dei tempi di consegna riduzione dei sinistri miglioramento delle condizioni di approvvigionamento miglioramento del clima interno riduzione degli articoli di stampa negativi aumento della % di raggiungimento degli obiettivi maggiore facilità di accesso alle fonti di finanziamento incremento del valore delle azioni minore incidenza delle frodi riduzione degli incidenti e degli eventi inattesi feedback positivo dalle agenzie di rating 58

59 SCI/MODELLO 231 E POSSIBILE UN PARALLELO TRA IL MODELLO ERM ED UN MODELLO 231? 59

60 SCI/MODELLO 231 COSO ERM Internal Envioronment LEGGE 231 E LINEE GUIDA Codice etico con riferimento ai reati considerati Sistema disciplinare Sistema organizzativo Comunicazione e formazione del personale Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information and Comunication Monitoring Mappatura dei processi a rischio Elenco dei rischi potenziali per processo Analisi del sistema dei controlli preventivi Sistema dei controlli preventivi Suddivisione dei compiti: poteri autorizzativi di firma Enfasi sui controlli dei processi di tesoreria (creazione e impiego di fondi) Documentazione dei controlli Procedure manuali ed informatiche Sistema di controllo di gestione Organo di vigilanza 60

61 SCI/MODELLO 231 Paralleli evidenti. Il posizionamento di un modello 231 in una azienda che già possiede un efficiente sistema di controllo interno dovrebbe essere MOLTO più semplice: esiste già una cultura di gestione del rischio. 61

62 SCI/MODELLO 231 Integrazione con il sistema di controllo interno, in senso biunivoco Un modello 231 crescerà meglio in una culla già efficiente ed attrezzata; L ottica 231, sensibilizzando forzatamente l azienda verso integrità ed etica, contribuisce a potenziare il SCI. 62

63 SCI/MODELLO 231 valorizzando nel contempo la focalizzazione: i rischi del caso P. il modello 231, anche all interno del SCI, deve conservare la propria individualità e la tracciabilità dei propri dati mai dimenticare che il cliente è il PM 63

64 STRUTTURA DELL INTERVENTO Cenni sull ambito normativo Il modello organizzativo L Organismo di Vigilanza Sistemi di controllo interno/modello 231 Conclusioni 64