La capacità d’identificazione e valutazione dei rischi (c.d. Risk Assessment) ossia identificare, analizzare e valutare il rischio presente nell’ambito aziendale considerato, stimarne il valore e verificarne il livello di accettabilità, in coerenza con i criteri definiti dal management aziendale, e la capacità di controllo dell’intero processo di gestione dei rischi (Risk Management) costituiscono un elemento di buon governo e, quindi, di un più probabile successo della gestione aziendale.

Preliminare è, quindi, l’attività di consulenza per individuare le attività che possono essere sensibili rispetto alla commissione dei reati presupposto del D.Lgs. 231, con particolare attenzione a quelle che determinano potenziali reati nei confronti della Pubblica Amministrazione, reati societari, informatici ed in ambito della sicurezza del lavoro.

La mappatura delle funzioni e dei processi aziendali a rischio di commissione dei “reati presupposto”, con le relative valutazioni sul grado di rischio, costituisce un elemento informativo base per l’impostazione e l’aggiornamento del Modello di Organizzazione, Gestione e Controllo, nonché per ispirare le azioni di controllo dell’Organismo di Vigilanza. Per tali motivazioni, le valutazioni sul rischio di commissione dei “reati presupposto” devono essere periodicamente aggiornate, al fine di adeguare i controlli preventivi alle dinamiche del contesto aziendale.

La fase di mappatura rappresenta, quindi, il riferimento preliminare per la valutazione e l’analisi dei rischi reato all’interno della Società.

Al termine della mappatura e dell’analisi, i risultati sono riportati all’interno di specifica modulistica aziendale.

L’attività una comporterà, quindi, una serie di interviste con soggetti chiave nell’ambito della struttura aziendale mirate all’approfondimento dei processi sensibili e del controllo sugli stessi. 

L’obiettivo di questa fase è l’analisi del contesto aziendale al fine di identificare in quale area di attività e secondo quale modalità si possono realizzare i reati.

Il Grado di valutazione “preliminare” dei Rischi Reato 231 viene così determinato:

Rischio alto: alta possibilità di accadimento della commissione del reato (frequenti e ripetitive attività o operazioni che sono di presupposto al reato), alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari ed eventi a rischio che si sono manifestati in passato.

Rischio medio: media possibilità di accadimento della commissione del reato (non frequenti e mediamente ripetitive attività o operazioni che sono di presupposto al reato) e medio/alto impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato.

Rischio basso: bassa possibilità di accadimento della commissione del reato (poche o scarse attività o operazioni che sono di presupposto al reato) medio impatto sanzionatorio derivante dalla commissione del reato per la società e per i destinatari e nessun evento a rischio in passato.

Rischio non realizzabile: reato solo teoricamente realizzabile, i valori etici di riferimento e il contesto operativo in cui la società opera sono tali da non creare le condizioni e/o non permettere e/o non tollerare la commissione di simili reati.

Rischio non applicabile: non si rilevano le condizioni oggettive e di applicabilità normativa nella realizzazione del reato in oggetto. In ogni caso anche i rischi valutati a un livello basso o non realizzabili, devono essere tenuti in considerazione all’interno dell’intero Modello. In particolare, nel Codice Etico sono stati inseriti comportamenti generali atti a prevenire la commissione dei reati 231.

A questo punto segue la fase di rilevazione e progettazione del sistema di controlli finalizzata alla mitigazione dei rischi esistenti, che prevede la valutazione del sistema di controlli preventivi esistente (procedure di controllo), con un suo eventuale adeguamento qualora fosse insufficiente o addirittura una costruzione ex novo laddove l’ente ne fosse sprovvisto.

Il sistema dei controlli preventivi dovrà essere tale da garantire l’eliminazione o almeno la mitigazione del rischio di commissione dei reati, entro una soglia ritenuta “bassa”.

Il criterio di valutazione di un rischio residuo basso è rappresentato dalla presenza di un sistema di prevenzione (o mitigazione del rischio) tale da non poter essere aggirato se non fraudolentemente dal soggetto fisico che commette l’illecito.