ANALISI DEI RISCHI
Imprese di Costruzione STANDARD.
Per le imprese di Costruzione che possono definire la propria complessità “standard” secondo quanto previsto dal Codice di Comportamento ANCE 2013 (Cfr. Analisi dei rischi, pag. 182-183) possono utilizzare direttamente l’analisi dei rischi effettuata da ANCE (identificazione dei reati applicabili e dei processi critici).
Altri ENTI.
Gli altri Enti devono per prima cosa effettuare una Analisi dei Rischi.
Il sistema utilizzato da SQuadra231 per analizzare i rischi dell’Ente si fonda su un’analisi in grado di fornire obiettivi misurabili e quindi di attribuire un valore numerico al livello di rischio presente in azienda, e rendere l’insieme delle valutazioni il più oggettivo possibile ispirandosi a criteri prudenziali e all’adozione di parametri attendibili.
I valori così determinati costituiscono la base su cui l’Organo Dirigente o l’OdV compie le proprie valutazioni sui rischi presenti in azienda e in generale sull’adeguatezza del sistema; i numeri identificati dal sistema quindi rappresentano un supporto ma non si sostituiscono ad un’attenta analisi da parte dell’Organo Dirigente o dell’OdV.
Per far sì che la gestione del rischio sia efficace, un’organizzazione dovrebbe, a tutti i livelli, seguire i principi riportati qui di seguito:
-
La gestione del rischio crea e protegge il valore:
La gestione del rischio contribuisce in maniera dimostrabile al raggiungimento degli obiettivi ed al miglioramento della prestazione, per esempio in termini di salute e sicurezza delle persone, security, rispetto dei requisiti cogenti, consenso presso l’opinione pubblica, protezione dell’ambiente, qualità del prodotto gestione dei progetti, efficienza nelle operazioni, governance e reputazione. -
La gestione del rischio è parte integrante di tutti i processi dell’organizzazione:
La gestione del rischio non è un’attività indipendente, separata dalle attività e dai processi principali dell’organizzazione. La gestione del rischio fa parte delle responsabilità della direzione ed è parte integrante di tutti i processi dell’organizzazione, inclusi la pianificazione strategica e tutti i processi di gestione dei progetti e del cambiamento. -
La gestione del rischio è parte del processo decisionale:
La gestione del rischio aiuta i responsabili delle decisioni ad effettuare scelte consapevoli, determinare la scala di priorità delle azioni e distinguere tra linee di azione alternative. -
La gestione del rischio tratta esplicitamente l’incertezza:
La gestione del rischio tiene conto esplicitamente dell’incertezza, della natura di tale incertezza e di come può essere affrontata. -
La gestione del rischio è sistematica, strutturata e tempestiva:
Un approccio sistematico, tempestivo e strutturato alla gestione del rischio contribuisce all’efficienza ed a risultati coerenti, confrontabili ed affidabili. -
La gestione del rischio si basa sulle migliori informazioni disponibili:
Gli elementi in ingresso al processo per gestire il rischio si basano su fonti di informazione quali dati storici, esperienza, informazioni di ritorno dai portatori d’interesse, osservazioni, previsioni e parere di specialisti. Tuttavia, i responsabili delle decisioni dovrebbero informarsi, e tenerne conto, di qualsiasi limitazione dei dati o del modello utilizzati o delle possibilità di divergenza di opinione tra gli specialisti. -
La gestione del rischio è “su misura”:
La gestione del rischio è in linea con il contesto esterno ed interno e con il profilo di rischio dell’organizzazione. -
La gestione del rischio tiene conto dei fattori umani e culturali:
Nell’ambito della gestione del rischio individua capacità, percezioni e aspettative delle persone esterne ed interne che possono facilitare o impedire il raggiungimento degli obiettivi dell’organizzazione. -
La gestione del rischio è trasparente e inclusiva:
Il coinvolgimento appropriato e tempestivo dei portatori d’interesse e, in particolare, dei responsabili delle decisioni, a tutti i livelli dell’organizzazione, assicura che la gestione del rischio rimanga pertinente ed aggiornata. Il coinvolgimento, inoltre, permette che i portatori d’interesse siano opportunamente rappresentati e che i loro punti di vista siano presi in considerazione nel definire i criteri di rischio. -
La gestione del rischio è dinamica:
La gestione del rischio è sensibile e risponde al cambiamento continuamente. Ogni qual volta accadono eventi esterni ed interni, cambiano il contesto e la conoscenza, si attuano il monitoraggio ed il riesame, emergono nuovi rischi, alcuni rischi si modificano e d altri scompaiono. -
La gestione del rischio favorisce il miglioramento continuo dell’organizzazione:
Il sistema di valutazione del rischio parte dall’individuazione del Livello di Rischio [LR], ovvero il rischio in assenza di controllo, dal quale partire per arrivare a definire il Rischio Residuo [RR].
Il Livello di Rischio viene calcolato in relazione alla gravità del reato e alla probabilità che si verifichi lo specifico reato nell’Azienda (Livello di Rischio Aziendale). È quindi indipendente dal Modello applicato.
Viene quindi valutato il Rischio Residuo in funzione dell’applicazione del Modello di Organizzazione e Gestione.
Il Rischio Residuo si può distinguere in differenti valori. Un primo valore è il Rischio Residuo Teorico [RRT] che è il risultato della perfetta applicazione del Modello al Livello di Rischio.
Esiste poi il Rischio Residuo Atteso [RRA] in funzione della applicazione realistica del Modello in base al livello di Regolazione presente nell’Azienda ed in particolare nei vari Processi.
Il Modello deve infatti prevenire i reati nella sua probabile realistica applicazione e non solo nell’ipotetica applicazione perfetta del Modello.
Il Rischio Residuo Atteso dovrà essere ritenuto “accettabile” dall’Organo Dirigente dell’azienda. In caso contrario si dovrà agire per rendere più “stringente” il Modello (aggiungendo procedure di controllo – riducendo quindi il RRT) o dando maggiore Regolazione allo svolgimento delle Attività in oggetto (probabilità attesa di una applicazione conforme di tutte le procedure del Modello).
Il livello di conformità a quanto previsto nel Modello, osservato attraverso l’attività di audit effettuata dall’Organismo di Vigilanza, determinerà il Rischio Residuo Rilevato [RRR], ovvero il rischio che si stima essere presente. Se il livello di Conformità rilevato è minore del livello di Regolazione previsto il RRR sarà maggiore del RRT (e ritenuto accettabile).