L’analisi e valutazione del rischio è un tema che riguarda l’imprenditore in qualsiasi area della propria attività e non soltanto in relazione ai rischi per la salute e la sicurezza dei lavoratori, che devono essere parametrati sulla base del settore di appartenenza dell’impresa e della tipologia di mansioni svolte.
Infatti, il legislatore ha reso l’analisi e valutazione del rischio uno strumento essenziale per guidare l’imprenditore nella scelta di molti tipi di strategie idonee a minimizzare il rischio previsto in un determinato settore, da ultimo anche con la normativa sulla crisi di impresa.
Dal settore assicurativo al Codice della Crisi d’Impresa
L’analisi e valutazione del rischio è un modus operandi tipico del settore assicurativo, dove prima di decidere se assumersi un rischio di un terzo, vengono valutati in modo puntuale l’attività e il settore da assicurare.
In ambito legale, sono molti i settori che hanno fatto propria la metodologia dell’analisi e valutazione del rischio. Si pensi al d.lgs. 231/2001 in materia di responsabilità amministrativa degli enti, al Reg. UE 2016/679 (GDPR) in tema di trattamento dei dati personali, al Codice della Crisi d’Impresa (d.lgs. 14/2019) di cui si continua a rimandare la complessiva entrata in vigore.
Il rischio da mitigare per il d.lgs. 231/2001 è quello relativo alla possibile commissione dei reati presupposto, il quale viene minimizzato mediante la predisposizione e adozione di protocolli organizzativi aziendali (raccolti nel “Modello 231”, di cui vi abbiamo parlato in un precedente articolo), ove sono indicate le modalità operative da porre in essere per evitare la commissione del reato.
Per quanto riguarda il trattamento dei dati personali, il rischio da gestire è quello relativo ai parametri della c.d. CIA, ovvero alla perdita di Confidentiality (da intendersi come perdita di riservatezza del dato), Integrity (da intendersi come perdita di integrità del dato ovvero come perdita di completezza) e Availability (da intendersi come perdita di disponibilità del dato). Al fine di limitare tali rischi, si procede alla definizione di modalità operative aziendali spesso trascritte in policy sul trattamento dei dati personali, in procedure interne o in regolamenti.
Per quanto concerne il rischio di crisi d’impresa, l’art. 2086 c.c. prevede l’obbligo per l’imprenditore di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, che deve essere anche idoneo alla rilevazione tempestiva della crisi ed alla sua gestione, nell’ottica di assicurare la continuità aziendale. Tale assetto organizzativo si sostanzia in modalità operative interne, spesso codificate, volte ad una corretta amministrazione aziendale.
Sia il sistema 231 che quello derivante dal GDPR, sono essi stessi dei sistemi che rientrano in un adeguato assetto organizzativo. Invero, l’implementazione di procedure volte a mitigare tali rischi rientra nei doveri dell’imprenditore virtuoso.
Definizione di rischio legale e di rischio aziendale
Il rischio legale può essere inteso come il rischio al quale si espone un soggetto di subire perdite derivanti da violazioni di leggi o di regolamenti, da responsabilità contrattuale o extracontrattuale ovvero da altre controversie.
Il rischio aziendale, in generale, può invece essere definito come un evento incerto nella sua possibile realizzazione, atto ad incidere in senso negativo sul raggiungimento degli obiettivi dell’impresa.
Il ragionamento sotteso all’analisi e valutazione del rischio, sia esso inteso come rischio legale o aziendale, è un ragionamento ipotetico, il quale vaglia la probabilità che un determinato evento accada ed il relativo impatto, ovvero le conseguenze che potrebbero derivarne.
La valutazione del rischio, può suddividersi in tre distinti aspetti:
- La valutazione del rischio c.d. inerente o potenziale, ovvero quello valutato senza considerare gli effetti della prevenzione e/o mitigazione degli specifici meccanismi di controllo posti in essere dall’imprenditore;
- La valutazione dell’adeguatezza ed efficacia dei meccanismi già implementati dall’imprenditore a fronte dei rischi potenzialmente identificati;
- La valutazione del rischio residuo, ovvero il rischio che persiste anche a fronte dei meccanismi già implementati dall’imprenditore.
Terminata la valutazione, l’imprenditore dovrà predisporre un sistema in grado di mitigare il c.d. rischio residuo. Tale attività prevede necessariamente un controllo interno, che si traduce in sistemi di presidi idonei ad evitare o, quantomeno, a limitare le ripercussioni negative nel caso di avveramento della specifica minaccia.
Approccio olistico all’impresa
Al fine di attuare una politica complessiva in tema di mitigazione del rischio, è necessario che l’imprenditore adotti un approccio olistico all’impresa. Invero, risulta necessario che i flussi informativi relativi a ciascuna funzione aziendale permettano una corretta circolazione delle informazioni. L’analisi del c.d. as is è possibile solo in presenza di adeguate e corrette informazioni. Tale approccio si rende indispensabile alla luce delle plurime previsioni normative che richiedono di applicare l’analisi e valutazione del rischio a vari livelli.
Per questo motivo l’attività di compliance, ovvero quell’insieme di attività preventive che gli imprenditori sono chiamati ad effettuare per essere conformi alla normativa, devono necessariamente essere viste come un driver competitivo e non soltanto come una mera attività burocratica.
Un’impresa organizzata, rispettosa della legge e che tiene sotto controllo la parte finanziaria è un’azienda strutturalmente sana, in grado di sopportare anche le vicissitudini avverse del mercato.
Rivolgiti allo Studio legale Soccol per fare impresa in piena sicurezza!
