A cura dell’Avvocato Guido Sola

Rischio, inteso alla stregua d’eventualità di subire un danno o, in prospettiva più commerciale, una perdita, è un concetto fisiologicamente legato all’attività imprenditoriale.

Posto che ogni azione (ogni scelta, ivi compresa quella di non agire) modifica la realtà fattuale, marcando, in positivo o in negativo, il risultato finale, il rischio è un concetto che altro non parametra se non la variazione di risultati alla luce della verificazione d’eventi futuri (interni, vale a dire dipendenti dalle infrastrutture, dal personale, dai processi, dalla tecnologia, etc.; esterni, vale a dire dipendenti dall’economia, dall’ambiente, dalla politica, dalla società, dalla tecnologia, etc. al sistema aziendale) incerti e (s)favorevoli, in grado – in quanto tali – di pregiudicare il raggiungimento degli obiettivi aziendali, minacciando la capacità competitiva, la situazione economico/finanziaria, l’immagine ovvero la stessa sopravvivenza dell’azienda.

Categorie di rischi esistenti

Come noto, esistono plurime categorie di rischi. Vi sono:

  • rischi strategici (che incidono sulla capacità dell’azienda di competere sul mercato);
  • rischi economici (che incidono sull’equilibrio tra costi e ricavi dell’azienda);
  • rischi finanziari (che incidono sulla liquidità dell’azienda);
  • rischi patrimoniali (che incidono sulle attività dell’azienda);
  • rischi globali (che incidono sulle interdipendenze estere dell’azienda);
  • rischi operativi (che incidono sulla gestione operativa dell’azienda), etc.

Tra questi, nell’attualità (dopo l’entrata in vigore del d.lgs. 8 giugno 2001, n. 231), di primaria importanza si appalesano altresì i rischi penali (vale a dire i rischi che, essendo correlati alla commissione di un reato-presupposto da parte della persona fisica che operi in nome e per conto dell’azienda e, conseguentemente, all’imputazione in sede penale della stessa, possono incidere tanto sulla liquidità/sul patrimonio aziendale quanto sulla continuità aziendale in senso stretto intesa).

In ambito aziendale, come noto, molteplici sono le cause che possono condurre alla verificazione d’eventi futuri incerti e (s)favorevoli.

Può accadere:

  • che vengano assunte decisioni errate;
  • che si verifichino perdite economico/finanziarie;
  • che s’usino le risorse in modo inefficiente;
  • che s’eseguano i piani aziendali in modo inadeguato;
  • che s’abbiano inefficienze a livello operativo, etc.

Così come può accadere che l’azienda operi in modo non compliant – in modo, cioè, non conforme a leggi, regolamenti e procedure (anche interne) –; ciò che, nell’attualità (dopo l’entrata in vigore del d.lgs. 8 giugno 2001, n. 231), può dare vita a rischi penali (vale a dire a rischi che, come detto, ne possono compromettere liquidità, patrimonio e continuità).

I rischi, in quanto tali, non sono eliminabili; ma possono essere gestiti.

Essendo il concetto di rischio intimamente connesso alle aspettative umane o, per meglio dire, alla nostra capacità di predire eventi incerti, infatti, è possibile fotografare i rischi che minacciano l’azienda e determinare il livello accettabile degli stessi.

Enterprise Risk Management

Il processo di gestione del rischio – c.d. risk management – è in grado di fare esattamente ciò: è in grado, cioè, di identificare e misurare i rischi (ivi compresi quelli penali) e di stabilire strategie (azioni/scelte) atte a governare gli stessi.

Partendo dal presupposto che, in ambito aziendale, ogni rischio – qualsiasi rischio (ivi compresi i rischi penali) – può e deve essere visto alla stregua di un rischio di gestione che dipende dalle strategie proprie dell’organo amministrativo, il processo di gestione del rischio – c.d. risk management – è in grado di fornire una risposta a tale rischio; una risposta che transiti attraverso l’individuazione sistematica dello stesso in vista della sua riduzione.

Riduzione, questa, che, a sua volta, deve transitare attraverso attività di controllo (intese alla stregua di attività in grado di guidare l’azienda lungo la strada del perseguimento degli obiettivi attesi), vale a dire attraverso scelte/azioni (politiche e, soprattutto, procedure) atte a garantire un’efficace risposta al rischio (sono i controlli – preventivi – a ridurre le conseguenze del rischio; e sono i controlli – preventivi e successivi – a segnalare l’esigenza d’eventuali azioni correttive), nonché attraverso informazioni (che devono essere identificate, raccolte e diffuse in modo corretto e verso l’alto e verso il basso) e monitoraggio (affinché risulti possibile, ove necessario, operare modifiche di processo).

Su queste basi, negli anni, s’è andata sviluppando quella che è stata correttamente definita “l’attuale struttura della gestione integrata del rischio” (P. VERNERO) – o Enterprise Risk management – (a venire qui in emergenza, come è stato correttamente osservato, è, appunto, l’”insieme di processi attraverso i quali un’azienda identifica, valuta, mitiga e monitora i rischi”).

Compliance Programs

Ma, soprattutto, sempre su queste basi, negli anni, si sono andati sviluppando i cc.dd. compliance programs (intesi alla stregua di strumenti di prevenzione e di gestione dei rischi d’impresa), tra i quali, per quel che qui importa, i modelli organizzativi e gestionali ex d.lgs. 8 giugno 2001, n. 231.

Dopo l’entrata in vigore del d.lgs. 8 giugno 2001, n. 231, infatti, anche nell’ambito dell’ordinamento giuridico italiano, anche la societas delinquere potest, con la conseguenza che, nell’ipotesi di commissione d’un reato-presupposto della responsabilità penale della società, accanto alla persona fisica che abbia delinquito in nome e per conto della stessa, nell’ambito del processo penale, sarà processata altresì la medesima.

Peraltro, se penetranti sono le sanzioni – pecuniarie (da € 25.823 a € 1.549.371) e interdittive (interdizione dall’esercizio dell’attività; sospensione o revoca delle autorizzazioni, licenze o concessioni; divieto di contrattare con la pubblica amministrazione; esclusione da agevolazioni, finanziamenti, contributi o sussidi e revoca di quelli già concessi; divieto di pubblicizzare beni o servizi) – direttamente collegate alla colpa in organizzazione della società, alla condanna della stessa in sede penale possono conseguire, in danno della medesima, vuoi la confisca del profitto vuoi la pubblicazione della sentenza.

Da quanto precede discende che, nell’attualità, gli obiettivi aziendali non possano più essere unicamente strategici e operativi, ma debbano necessariamente essere altresì di conformità: avendo il legislatore tramutato quelle che erano mere best practices in materia in regole di diritto comune (si vedano, in proposito, il d.lgs. 8 giugno 2001, n. 231 e, con esso, gli artt. 2086 –“l’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa” – 2381 –“il consiglio di amministrazione … valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società” – 2403 – “il collegio sindacale vigila … in particolare sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento”– c.c.), infatti, l’attualità impone che le aziende conducano le proprie attività (e assumano in merito i più opportuni provvedimenti) in conformità a leggi e regolamenti vigenti e ciò anche in chiave penalistica.

In difetto, a derivarne sarà altresì la responsabilità penale anche delle società ex art. 6 d.lgs. 8 giugno 2001, n. 231, con possibile irrogazione in danno delle stesse, come detto, di penetranti sanzioni pecuniarie e interdittive.

MOG 231

Se così stanno le cose, l’unico antidoto contro i rischi penali – l’unico vero scudo penale per imprese e imprenditori insomma – è rappresentato dal modello organizzativo e gestionale – c.d. MOG 231 –, vale a dire dall’unico strumento ex lege idoneo a governare i rischi di commissione di reati nell’ambito della quotidiana vita aziendale.

A mente dell’art. 6 lett. a) d.lgs. 8 giugno 2001, n. 231, infatti, la società non risponde – e non può, dunque, essere condannata in sede penale per colpa in organizzazione – se prova:

  • d’avere adottato e efficacemente attuato, prima della commissione del reato-presupposto da parte della persona fisica, un modello organizzativo e gestionale idoneo a prevenire reati della stessa specie di quello verificatosi;
  • che il compito di vigilare sul funzionamento e sull’osservanza del modello organizzativo e gestionale e di curarne l’aggiornamento è stato affidato all’organismo di vigilanza (vale a dire a un organismo dotato d’autonomi poteri d’iniziativa e di controllo);
  • che l’organismo di vigilanza ha svolto il proprio compito con diligenza;
  • che la persona fisica ha commesso il reato-presupposto eludendo fraudolentemente il modello organizzativo e gestionale.

Cosa significhi, in concreto, predisporre un MOG 231 è presto detto.

Fare ciò significa, sostanzialmente, dare vita a un progetto destinato a snodarsi attraverso cinque fasi:

  • raccolta e verifica della documentazione aziendale (questa prima fase consiste nell’analizzare, dal punto di vista statico, l’azienda e ciò al fine d’acquisire tutte le informazioni preliminari utili onde procedere alla descrizione della stessa, delle sue funzioni, nonché delle sue modalità operative);
  • mappatura delle aree a rischio-reato (questa seconda fase consiste nell’analizzare, dal punto di vista dinamico, l’azienda, anche attraverso la somministrazione d’interviste alle funzioni aziendali, onde procedere alla mappatura delle aree aziendali a rischio-reato);
  • identificazione e analisi delle eventuali procedure aziendali in essere (questa terza fase consiste nell’identificazione e nell’analisi delle eventuali procedure aziendali in essere);
  • d. gap analysis (questa quarta fase consiste nella c.d. gap analysis, vale a dire nella comparazione tra la situazione attuale dell’azienda e quella normativamente imposta dalla vigente legislazione in materia);
  • elaborazione di procedure e verifica di tenuta (questa quinta fase consiste nell’elaborazione, d’intesa con l’azienda, di sistemi e procedure costruite a partire dalla realtà aziendale di riferimento).

Con l’avvertenza, per quel che qui importa, che, nell’ottica dell’Enterprise Risk management, particolarmente importante si appalesa la seconda fase – quella avente ad oggetto la mappatura delle aree a rischio-reato –, siccome fase destinata, in ultima analisi, a valutare i rischi di commissione di reati secondo il metodo “rischio inerente-controllo-rischio residuo”.

A venire qui in emergenza, in altre parole, sono i concetti di rischio inerente e rischio residuo, intendendosi con tali locuzioni fare riferimento, da un lato alla suscettibilità delle informazioni/dei dati a essere errati in quanto non correlati a controlli mitiganti e, dall’altro lato,  al livello di rischio che permane dopo che il management ha introdotto procedure – ha posto in essere azioni di controllo – per ridurre probabilità d’accadimento e impatto dell’un evento futuro incerto e sfavorevole.

Se quanto precede è corretto, soprattutto nelle piccole/medie imprese, evidenti appaiono allora i legami – profondi – tra risk management e funzione legale aziendale.

Se corrisponde a verità, infatti, che stabilire un livello accettabile di rischio (anche penale) in ambito aziendale significa in primis garantire la business continuity, non vi è allora chi non veda come la funzione legale aziendale possa e – sempre più – debba contribuire a sviluppare processi di messa in sicurezza (anche delle informazioni aziendali) e, soprattutto, assicurare il presidio della governance e della compliance normativa.

Soprattutto nelle piccole/medie imprese, infatti, è la funzione legale la funzione chiamata:

  • a mappare rischi e piani d’azione strategici atti a mitigare gli stessi;
  • a sviluppare/condividere le analisi dei rischi;
  • a integrare le priorità di gestione dei rischi nell’ambito della pianificazione strategica generale dell’azienda;
  • a sviluppare/attuare strategie d’informazione e assicurazione dei rischi;
  • e, soprattutto, a riferire all’organo amministrativo circa i profili di rischio e le conseguenti valutazioni aziendali.

Benefici del Risk Management nelle PMI

I benefici propri d’un processo di gestione del rischio – c.d. risk management –, peraltro, sono evidenti anche a livello di piccole/medie imprese (si vedano, in proposito, gli incoraggianti dati pubblicati dall’Osservatorio CINEAS/Mediobanca sulla diffusione del risk management nelle piccole/medie imprese).

Come già osservato in precedenti occasioni, infatti, il processo di gestione del rischio – c.d. risk management – è ciò che consente:

  • di pianificare correttamente le effettive priorità aziendali;
  • di aumentare efficienza ed efficacia del controllo di gestione;
  • di ridurre i danni/le perdite causate da eventi futuri incerti e s-favorevoli;
  • di disporre d’un imprescindibile (e valido ) strumento per assumere decisioni (strategiche) in modo corretto;
  • di disporre di “un potente veicolo di comunicazione con gli stakeholders” (PESENATO-E. PESENATO);
  • di proteggere l’immagine aziendale;
  • di utilizzare tutte le risorse aziendali in modo efficiente e efficace (ivi comprese le persone-chiave presenti in azienda).

 

Guido Sola

Guido Sola

Avvocato

Guido Sola è avvocato in Modena ed esperto di modelli di organizzazione e gestione, patrocinante in Cassazione. Si è laureato in giurisprudenza presso l’Università degli studi di Modena e Reggio Emilia. Ha conseguito il titolo di Dottore di ricerca in Scienze Penalistiche presso l’Università degli studi di Trieste. È stato professore a contratto dell’Università di Modena e Reggio Emilia e Assegnista di Ricerca presso l’Università degli studi di Roma-La Sapienza. Cultore della materia (diritto processuale penale), ha all’attivo numerose pubblicazioni in materia di diritto processuale penale e di modelli organizzativi e gestionali ex d.lgs. 8 giugno 2001, n. 231, partecipazioni a seminari di formazione, lezioni e convegni in qualità di relatore.