In un’epoca di globalizzazione, contraddistinta dalle incertezze e complessità, risulta amplificata l’esigenza dell’impresa di prevenire e gestire le minacce al raggiungimento degli obiettivi aziendali.

Negli ultimi anni Sistemi di Risk Assessment, sempre più evoluti, sensibili e poliedrici, sono divenuti lo strumento indispensabile alla conduzione e alla salvaguardia del business d’impresa.

Lo S.C.I. – Sistema di controllo integrato (con i famosi framework, come il Co.So. Report e le successive elaborazioni, come l’E.R.M.) é il prototipo del sistema di gestione e controllo di molteplici ed eterogenei fattori di rischio aziendale, tanto interdipendenti e correlati, da poter condizionare o nullificare le performances ed il raggiungimento dei target di periodo.

A ben vedere, però, trattasi di sistemi gestionali – ormai informatizzati e sofisticati – la cui ratio riposa nella gestione di fattori di rischiosità aziendale, che tecnicamente vengono definiti quali “esternalità negative del ciclo d’impresa“. Fattori di rischio, o meglio variabili – sempre presenti e insiti nella conduzione dell’impresa – che devono essere rilevati, mappati e gestiti nella loro complessità ed interdipendenza, proprio al fine di poter realizzare il risultato favorevole nel business intrapreso.

Una domanda allora sorge spontanea: quando occorra rilevare, identificare e graduare non una rischiosità aziendale, quanto la verificabilità di un evento negativo ed eccezionale, qual’é la commissione di un reato (rectius, di un  “reato presupposto” di cui al catalogo ex d.lgs. n. 231/2001), può detto framework di stampo squisitamente aziendalistico realizzare tale obiettivo ? E realizzare compiutamente i risultati all’uopo richiesti dall’art. 6, d.lgs. n. 231/2001 ?

In altri termini, l’art. 6 richiede che venga rilevata, censita e graduata l’effettiva potenzialità commissiva di un fatto di reato tipico presso la specifica realtà aziendale, alla luce dei caratteri peculiari di essa.

Valutazione questa di stampo propriamente giuridico-penalistico (più che economico), che involge principi e categorie giuridiche – come la natura “propria” o “comune” del reato; l’elemento soggettivo (dolo o colpa) in capo all’autore, ecc.- e una sensibilità non propriamente “aziendalistica”. Percorso valutativo questo, che deve essere condotto rispetto alle (ormai) centinaia di fattispecie di reato ricomprese nel catalogo “mobile” ex 231.

A marcare la differenza concettuale e funzionale tra le due distinte tipologie di Risk Mapping muove anche la considerazione che  i fattori di ponderazione del processo di Assessment aziendale – ossia: i) la “Probabilità dell’evento” e ii) il suo “Impatto economico” – non sembrano coerenti e funzionali a tal fine.

A ben vedere, la verificazione di un rischio aziendale compromette in varia misura l’obiettivo economico, ma resta possibile resettare il sistema, tarare nuovamente e diversamente il fattore di rischio ignorato o non correttamente gestito e centrare l’obiettivo successivamente, es. nel prossimo esercizio sociale. Diversamente, la verificazione di un reato configura la realizzazione di un evento di carattere illecito dagli effetti irrevocabili per l’ente.

Basti pensare al sanzionamento dell’ente, alla compromissione della sua affidabilità ed immagine commerciale, alla sottoposizione dell’ente ad un procedimento giudiziale, all’impatto sulla struttura organizzativa ed operativa, oltre al nocumento e al danno prodotto in capo ai terzi (il mercato e/o la collettività).

Detto ciò, una rilevazione e graduazione del rischio-reato, ove risulti inaffidabile, non corretta, non esaustiva, approssimativa, diciamo effettuata con strumenti non idonei e congruenti, impedirà altresì l’elaborazione di efficaci ed effettive misure penal-preventive idonee a nullificare o a ridurre ad un livello “accettabile” il rischio precedentemente mappato.

Alla luce di quanto sopra, ciò che da tempo vado sostenendo é che la frequente applicazione “surrogata” della metodica del Risk Assessment in chiave di costruzione del Modello organizzativo ai sensi del decreto legislativo 231/2001 – i.e. della Mappatura dei rischi-reato – può dar luogo a (tendenziali) incongruenze, disfunzionalità, non conformità, se non anche sviamenti rispetto alla prevenzione del “reato”, allorché si intenda equipollente alla propria operazione di Mappatura dellle potenzialità commissive di un reato tipico.

Approccio questo divenuto oggi frequente. E peggio, portato di una semplificazione e pericolosa omogeneizzazione  di due tecniche intrinsecamente “infungibili” per diversità dei criteri valutativi, della natura del rischio valutato, della finalità perseguita.