IL RISCHIO NEI SISTEMI DI COMPLIANCE

A proposito del concetto di rischio, il noto psicologo statunitense del secolo scorso, Abraham Maslow sosteneva che: <<La vita è un processo in cui si deve costantemente scegliere tra la sicurezza (per paura e per il bisogno di difendersi) e il rischio (per progredire e crescere). Scegli di crescere almeno dieci volte al giorno>>.

Per la norma ISO 31000:2018 il rischio è l’effetto dell’incertezza sugli obiettivi, in particolare :

1.     Un effetto è uno scostamento da quanto atteso – Può essere positivo e/o negativo e può indirizzare, creare o generare opportunità e minacce;

2.     Gli obiettivi possono presentare aspetti differenti e possono intervenire a livelli differenti.

3. Quando si parla di rischio lo si associa spesso agli eventi o cause scatenanti già accaduti, pensando alle statistiche e le probabilità che tali accadimenti possano accadere di nuovo, anche in base all’esperienza passata.

Gestione del rischio

La gestione del rischio è ormai un requisito basilare di tutti i sistemi di gestione.

L’approccio alla “Gestione del Rischio” viene lasciato il più possibile generico, senza porre limiti alla metodologia che una organizzazione può adottare.

Uno standard affidabile per i sistemi di compliance riviene dalle Linee Guida ISO 31000:2018, che in estrema sintesi prevedono:

• Analisi del contesto
• Valutazione del rischio
• Identificazione di ruoli e responsabilità (titolari del rischio)
• Monitoraggio e riesame periodico del rischio

Incertezza e rischio

L’ «incertezza» è la causa scatenante del rischio.

Il «rischio» rappresenta tutto ciò che la presenza dell’incertezza può causare, nel bene («opportunità»), come nel male («rischio puro»).

Qualunque processo o attività che possiamo immaginare è condizionato dalla presenza di una serie di incertezze.

Spesso, anche con una conoscenza perfetta della situazione attuale, non siamo in grado di dire cosa accadrà in un istante arbitrario del futuro.

A maggior ragione se non conosciamo in modo preciso e completo la situazione attuale «Incertezza» è quindi il concetto che riassume la nostra incapacità di predire il futuro è collegato alla nostra conoscenza incompleta del presente.

Il risk management

Il risk management è un processo (di gestione del rischio) continuo, graduale e proattivo, che coinvolge la strategia di una organizzazione, ente o società e che deve essere integrato nella cultura della organizzazione attraverso una ‘politica’ mirata da parte dei suoi massimi dirigenti, i quali assegnano responsabilità specifiche e ruoli appropriate all’interno di ciascuna di esse.

I passi fondamentali per il risk management

1. Capire chi siamo, cosa facciamo, come lo facciamo e per chi lo facciamo (contesto interno)
2. Capire in quale panorama ci muoviamo (contesto esterno)
3. Analizzare le incertezze che impattano sull’organizzazione e le conseguenze positive o negative che possono derivarne e capire se sono o meno accettabili (valutazione del rischio)
4. Decidere quale atteggiamento tenere rispetto ai rischi non accettabili (trattamento del rischio)
5. Valutare e migliorare costantemente la capacità dell’organizzazione di realizzare quanto sopra (monitoraggio e miglioramento)

Analisi del rischio

La misurazione dell’incidenza dell’evento rischioso sulle attività tipiche (di un’organizzazione, di un’unità organizzativa, di un processo) prevede l’attribuzione di un valore alle due variabili caratterizzanti il rischio: la probabilità di accadimento dell’evento rischioso e l’impatto da questo generato.

Tuttavia, oltre alla misurazione e valutazione delle singole variabili, può essere opportuno ai fini decisionali valutare anche le interazioni tra di loro e giungere ad una definizione e/o rappresentazione sintetica del livello di rischio, che esprime il c.d. rischio inerente. Il “rischio inerente” è quel livello di rischio complessivo a cui è esposta una (Azienda/Ente) organizzazione (o una sua unità organizzativa o un processo), dati i livelli di probabilità e impatto, senza l’attivazione di alcun intervento di trattamento del rischio.

La definizione del rischio inerente dipende dal tipo di tecniche utilizzate in fase di misurazione della probabilità e dell’impatto. Ad esempio, in caso di tecniche quantitative, di matrice probabilistica, è possibile pervenire a misure sintetiche del rischio, applicando metodi matematico-statistici, mentre nel caso di tecniche qualitative è possibile utilizzare rappresentazioni grafiche che sintetizzano i giudizi di valore espressi.

Ai rischi inerenti, relativi alla sicurezza sui luoghi di lavoro si addice molto di più un approccio quantitatico per i rischi collegati a fenomeni di frode e corruzione, sono applicabili in via prioritaria tecniche qualitative, data la natura dei fenomeni e la mancanza di dati affidabili, come chiarito da ANAC con alcuni esempi nell’allegato 1 dell’ultimo Piano Nazionale Anticorruzione pubblicato dall’Autority.

Tra le tecniche qualitative di rappresentazione del livello di esposizione al rischio, la matrice impatto/probabilità è sicuramente la più diffusa, tenuto conto della semplicità di costruzione e dell’immediatezza delle informazioni sui livelli di rischio.

Esempio di rappresentazione grafica di una matrice impatto probabilità del rischio

L’attribuzione delle combinazioni impatto/probabilità ai livelli di rischio identificati avviene sulla base di criteri di accettabilità del rischio stesso. L’accettabilità del rischio riflette la propensione al rischio di un’organizzazione, ma deve tener conto anche delle aspettative degli stakeholder di riferimento.

In estrema sintesi è possibile individuare tre macro categorie di rischi.

• Rischi INACCETTABILI – rischi talmente significativi che vanno trattati ad ogni costo.
• Rischi CONDIZIONATAMENTE ACCETTABILI – si decide di trattarli sulla base di una valutazione costi/benefici.
• Rischi ACCETTABILI – Si può non attuare alcun trattamento e lasciarli come sono.

Il discrimine tra rischio accettabile e non accettabile è costituito, nella prassi, dal costo diretto e indiretto dei controlli, che per ovvi motivi non dovrebbe mai superare il “valore” delle risorse da proteggere.

Conclusioni

Riconoscere e controllare i rischi è attività fondamentale per qualsiasi sistema di gestione e controllo di una organizzazione. Per questo la gestione del rischio non coinvolge solo gli organi apicali (la dirigenza) di una organizzazione, al contrario si estende a tutti e comporta un coinvolgimento di ogni partecipante all’organizzazione.

La gestione del rischio di una organizzazione costituisce il presupposto per il successo e la crescita di quest’ultima, anche perché, diversamente, come direbbe Marcel Proust: <<Ognuno di noi rischia ogni sera di diventare il fatto di cronaca del giorno dopo>>.

Vincenzo Candido Renna

Altri articoli pubblicati dall’ autore:

• COME SFATARE LA PAURA DELLE GARE PER L’ASSEGNAZIONE DELLE CONCESSIONI DEMANIALI
• IL D.LGS. 231/2001 SI APPLICA ALLE SOCIETA’ UNIPERSONALI?
• LA VIGILANZA EX D.LGS. 231/01 E LA PRIVACY GDPR

Avv. Renna Vincenzo Candido

Co-fondatore di Renna Studio Legale - Avvocato Cassazionista - Corporate Ethics & Compliance Specialist - Lead Auditor ISO 9001- 37001 - 19011. E' partner 24 ore avvocati - Esperto di diritto degli appalti - Cultore della materia di diritto Amministrativo e componente commissione di esami - Università degli Studi "A. Moro" Bari - Facoltà di Economia e Management - Componente di Organismi di Vigilanza e Controllo ex D.lgs. 231/01 e ISO 37001 di società italiane e straniere.