Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines

Transcript

1 Applicazioni dello standard ISO 31000:2009 Risk Management Principles and guidelines Lo standard ISO nei programmi 231/2001 di Stefano Barlini, CT31000, CIA, CISA, CCSA, QAR, professionista specializzato in servizi di consulenza e formazione in materia di risk management e controllo interno. E associato a Crowe Horwath AS per i servizi di risk consulting. Crowe Horwath AS è una società di revisione e consulenza che fa parte di Crowe Horwath International tra i primi 10 network internazionali di consulenza globale presente in oltre 100 Paesi. Crowe Horwath AS è specializzata nei servizi di Audit, Risk Consulting, Advisory e Forensic Accounting con sedi a Milano, Roma, Torino, Trento e Napoli. Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale 4.0 Internazionale. Per leggere una copia della licenza visita il sito web o spedisci una lettera a Creative Commons, 171 Second Street, Suite 300, San Francisco, California, 94105, USA.

2 Finalità del documento e ringraziamenti Il presente documento intende avviare una ricerca sull applicabilità dello standard ISO 31000:2009 Risk Management Principles and guidelines nei programmi di conformità ai requisiti di cui al Decreto Legislativo 231/2001 e sui benefici derivanti da tale applicazione. L autore ringrazia The Global Institute for Risk Management Standards per gli spunti forniti anche attraverso il LinkedIn Group ISO Risk Management Standard. 2

3 Dopo aver introdotto lo standard ISO 31000:2009 Risk Management Principles and guidelines, ci si può ora domandare se esso possa essere applicato e produrre concreti benefici nei programmi di conformità ai requisiti di cui al D.Lgs. 231/2001. E noto che il Decreto Legislativo 231/2001 (nel seguito anche il Decreto 231 ), nell introdurre e sanzionare direttamente la responsabilità delle società e degli enti in genere per (taluni) reati commessi nel loro interesse o vantaggio dai propri amministratori e dipendenti, prevede la possibilità di escludere o limitare la pesantezza delle sanzioni dirette alle stesse società, mediante l efficace attuazione di adeguati Modelli di organizzazione, gestione e controllo. A tal fine, il Decreto 231 esplicitamente richiede che tali Modelli: 1) siano basati sull identificazione e valutazione delle attività a rischio-reato (profilo di rischio della società); ad esempio, prestando particolare attenzione alle attività e/o interi processi aziendali dove uno o più reati rilevanti (tra quelli inclusi dal Decreto 231 nel proprio perimetro) possono essere commessi nell interesse o vantaggio della società; [Individuazione Attività Sensibili] 2) prevedano adeguati controlli, in particolare sull accesso e utilizzo delle risorse finanziarie, a presidio dei rischi identificati; [Predisposizione e miglioramento dei Protocolli] 3) assicurino nel tempo l efficacia di tali controlli prevenendo e/o riducendo il rischio di commissione dei reati identificati e valutati, in risposta a modifiche (es. al modello di business, a livello organizzativo o normativo) o a violazioni degli stessi controlli; [Processo di aggiornamento e di verifica dell efficace attuazione del Modello] 4) includano un Organismo di Vigilanza che sia responsabile e abbia la necessaria autorità per monitorare l osservanza e verificare l efficacia delle previsioni del Modello e in particolare dei controlli; [Organismo di Vigilanza] 5) implementino adeguati flussi di comunicazione lungo l organizzazione aziendale e ai suoi vari livelli che consentano l Organismo di Vigilanza di dare seguito alle responsabilità ad esso assegnate (es. la puntuale e tempestiva informazione sulle modifiche organizzative o al modello di business della società, permettono di avviare l aggiornamento del profilo di rischio così come delle corrispondenti misure di controllo); [Flussi informativi per OdV] 6) definiscano un sistema disciplinare idoneo a sanzionare le violazioni delle previsioni del Modello. [Sistema disciplinare] Poiché il Modello 231 è un sistema particolare e focalizzato sulla prevenzione/gestione di taluni rischi-reato da cui può discendere la responsabilità delle società ai sensi del Decreto 231 (rischi di non conformità), mentre l ambito dello standard ISO è generale e molto più ampio includendo qualsiasi tipologia di rischio, è possibile ricondurre le componenti del primo (Modello 231) all interno di un sistema ISO così come illustrato nella seguente tabella: 3

4 Tabella 1 Modello 231 vs. ISO ISO Principles Framework Process Modello Individuazione Attività Sensibili 2. Predisposizione e miglioramento dei Protocolli 3. Processo di aggiornamento e di verifica dell efficace attuazione 4. Organismo di Vigilanza 5. Flussi Informativi per OdV 6. Sistema disciplinare a) Creates Value c) Part of decision making b) Integral part of organisational processes g) Tailored j) Dynamic, iterative and responsive to change i) Transparent and inclusive Mandate and commitment (4.2) Monitoring and review of the framework (4.5) Continual improvement of the framework (4.6) Establishing the context (5.3) Risk Assessment (5.4) Risk Treatment (5.5) Monitoring and Review (5.6) Recording the risk management process (5.7) Communication and Consultation (5.2) Risk Treatment (5.5) Oltre a quanto premesso alla stessa tabella, alcune brevi note possono meglio spiegare le associazioni eseguite in tabella: a. gli 11 principi rappresentano uno dei 3 pilastri dello standard ISO e (tutti) devono essere alla base di qualsiasi sistema di risk management, incluso, nel nostro esempio, il Modello 231 nel suo complesso. Pertanto, le associazioni sopra esposte si limitano a mettere in maggiore evidenza taluni principi che maggiormente sono correlati con alcune componenti del Modello 231 (es. il principio a) Creates value riporta esplicitamente la conformità a leggi e regolamenti come uno degli obiettivi al cui raggiungimento il risk management può contribuire, così creando valore per l azienda); b. il framework, basato sugli 11 principi e a sua volta a fondamento del processo di risk management, è riferito alla componente Organismo di Vigilanza, con l assunzione di un Modello già in esercizio e quindi adottato (Design of framework for managing risk 4.3) e implementato (Implementing risk management 4.4), ossia affidato alle attività dell OdV di verifica e mantenimento nel tempo (incluso il miglioramento continuo classico da ciclo PDCA ), così come riportato nell associazione; 4

5 come anticipato in premessa l ambito del framework, secondo lo standard ISO 31000, è molto più ampio e non limitato ai soli rischi-reato 231. c. il processo di risk management inquadra in maniera molto chiara e diretta il processo caratteristico di un programma di conformità ai requisiti di cui al Decreto 231, con una la centralità data dallo standard ISO al risk assessment ( risk identification, risk analysis e risk evaluation ) e alla previa definizione del contesto, nonché alle continue attività di monitoring and review da un lato e di communication and consultation dall altra in cui l OdV ha un ruolo essenziale e da cui poi dipende in concreto l efficacia operativa del Modello 231 nonché il suo miglioramento continuo. Lo standard ISO31000 presta, infine, una specifica attenzione alla tracciabilità di tutte le attività in cui si articola il processo di risk management, nella tabella, invece, riferita alla sola attività di verifica; ciò perché è obiettivo caratteristico dell audit acquisire le evidenze delle attività e dei controlli per valutarne la correttezza, producendo a sua volta adeguata evidenza della verifica e consentendo ad altro auditor di giungere alle medesime conclusioni; d. il risk treatment, anch esso centrale nel processo di risk management secondo lo standard ISO così come nel Modello 231, è in tabella associato alla componente Protocolli attraverso cui principalmente la società, che si dota del Modello 231, governa le attività sensibili a rischio 231 (es. previene o riduce le probabilità di accadimento di un rischio-reato commesso nell interesse o vantaggio della società da cui discende la responsabilità di cui al Decreto 231). Con una certa forzatura è associato al risk treatment anche la componente del sistema disciplinare, nella misura in cui la previsione delle sanzioni ha valenza dissuasiva e quindi teoricamente in grado di modificare i comportamenti potenzialmente illeciti e i rischi da questi causati. Quali allora i benefici? L analisi effettuata mostra che è quindi possibile realizzare o rivedere criticamente e migliorare un Modello 231, rispettivamente nuovo o già in essere, basandosi sullo standard internazionale ISO 31000:2009. Quali potrebbero però essere i benefici derivanti? 1. Basare un Modello 231 su uno standard internazionale che riprende le migliori pratiche di riferimento e possiede l intrinseca forza e spessore di uno standard ISO, può essere particolarmente utile innanzi a qualsiasi soggetto interno o esterno che sia chiamato ad esprimere una valutazione sull adeguatezza del disegno e sulla sua efficace attuazione. Certamente ad oggi ai fini del Decreto 231, la forza e spessore attribuibile all ISO non è pari a quella del BS OHSAS (in via di revisione per futura sostituzione con il nuovo standard ISO che sarà a sua volta allineato con lo standard ISO 31000) per la gestione dei rischi derivanti dalle fattispecie di reato introdotte dall articolo 25-septies del Decreto 231; tuttavia, oltre a possibili favorevoli evoluzioni del Decreto 231 stesso, deve riconoscersi che il Decreto 231, alla pari delle altre normative o sistemi similari di altri Paesi, trovano origine nella medesima Convenzione internazionale OCSE ( e, al di là delle peculiarità nazionali, un approccio basato su uno standard internazionale ha maggiori probabilità di diffusione e in ultima istanza di reciproca accettazione. 2. L'estrema eterogeneità e rilevante numero delle fattispecie di reato via via introdotte dal Decreto 231, rendono sempre più essenziale rivedere e/o aggiornare i Modelli 231 basandoli su una rigorosa valutazione dei rischi. La focalizzazione dei Modelli 231 sulle attività realmente a rischio e la conseguente graduazione delle misure organizzative di prevenzione e contrasto in funzione del 5

6 livello di rischio, sono essenziali per lo stesso futuro dei Modelli e per il raggiungimento degli obiettivi da esso perseguiti. Modelli 231 con centinaia o anche decine di attività giudicate allo stesso modo sensibili e a fronte delle quali ci si propone di realizzare e attuare in pari o maggior numero altrettante procedure o misure di prevenzione/gestione, non hanno buone possibilità di essere attuati e rispettati dai relativi destinatari (cfr. I fattori critici di successo dei Modelli 231). Ciò sarà sempre più vero, mano a mano che saranno introdotte nel perimetro 231 nuove fattispecie di reato in aggiunta alla già corposa popolazione attuale. 3. L integrazione di un Modello 231 in un più ampio sistema di gestione dei rischi (es. unico framework, unica risk policy, metodologia, etc.), o ancora meglio, nel più ampio sistema di gestione aziendale, è essenziale ai fini della sua efficace attuazione. Lo standard ISO ha proprio come suo primo obiettivo la realizzazione di tale integrazione (cfr. Introduzione all ISO 31000) non solo per esigenze di mera conformità a requisiti di legge e regolamento, ma anzitutto per esigenze di miglioramento della performance aziendale. 4. Lo standard ISO è in continua evoluzione ed oltre ad essere già stato ufficialmente adottato come proprio standard in materia di Risk Management dalla grande maggioranza dei Paesi, inclusi i Paesi dell UE (Germania, Gran Bretagna, Francia, Italia, etc.), USA, Canada, Brasile, Giappone, Russia, Cina, Australia, India, Sud-Africa, etc. ( è ragionevole attendersi che oltre ad avere sempre più maggior consenso e applicazione, si arricchirà, facendo proprie le migliori e/o più importanti pratiche internazionali di riferimento, di ulteriori strumenti applicativi che standardizzeranno sempre di più le pratiche di risk management nel mondo (si vedano le notizie riguardanti il piano di lavoro del comitato ISO / TC 262 responsabile dello sviluppo ed emissione dello standard ISO 31000:2009, nonché dell ISO Guide 73:2009 Risk management Vocabulary). 6