Analisi Rischio Corruzione

Anticorruzione e approcci alla valutazione del rischio all’interno dei Compliance Management Systems (CMS)

31 gennaio 2022

di Marco AVANZI

Un aspetto non sempre oggetto di attenzione all’interno dei sistemi di gestione del rischio di compliance, 231 e anticorruzione e, altresì, non frequentemente oggetto di idonea disclosure, è la metodologia utilizzata per la valutazione del rischio al fine di poter dare una visione chiara e trasparente delle modalità utilizzate per analisi e valutazione.

Così facendo si assiste a rappresentazioni del rischio per il tramite di criteri che in realtà spesso non rispecchiano la realtà dell’organizzazione o, in alternativa, soffrono di alcuni vizi metodologici che possono comportare una distorta comunicazione del rischio.


Questa riflessione si applica anche alla gestione del rischio corruzione oltre ai generali rischi di compliance, e rileva ai fini della predisposizione di modelli di organizzazione e gestione ai sensi della normativa 231 nonché ai fini dei Piani Triennali Anticorruzione con riferimento alla disciplina pubblicistica.

Alcuni aspetti da considerare come rilevanti per chi si approccia al tema sono:

  1. – differenze – intendere correttamente le differenze tra assessment e valutazione del rischio corruzione rispetto alle valutazioni di performance dei sistemi di gestione;
  2. – approccimetodologie da adottare per l’analisi del rischio corruzione.

1 – DIFFERENZE

In prima battuta va chiarito come vi sia una differenza sostanziale tra l’attività di risk assessment e le attività di reporting generale del rischio corruzione o della valutazione della performance di un sistema di gestione in ottica anticorruzione. Da un punto di vista metodologico questi due profili vanno considerati come correlati ma anche separati in relazione all’oggetto della valutazione.

Se con la fase di risk assessment si intende l’identificazione, l’analisi e la valutazione del rischio all’interno di un determinato contesto al fine di adottare eventuali misure di trattamento, gli aspetti di reporting e di performance valuation sono invece diretti alla rappresentazione, per il tramite di KPI (Key Performance Indicators) o altri indicatori, di una situazione più generale di andamento di un sistema di gestione al fine di permetterne, ove necessaria, una review o una modifica e comunque dare al management gli strumenti per rivedere l’assetto organizzativo in generale in modo più high level rispetto alla gestione del singolo evento di rischio potenziale. In seconda battuta se il primo trova fonte nei processi (principalmente ma anche in prodotti o servizi) gli altri trovano fondamenta nel sistema di gestione dei primi.

Sgombrato il campo da misunderstanding a volte frequenti, va anche compreso, trattando di processo di risk assessment, quali metodologie siano presenti in ambito anticorruzione e i diversi approcci utilizzabili.

Dalla idonea valutazione del rischio ne derivano conseguenze importanti anche in relazione alla performance del sistema di gestione, quali le scelte operative e strategiche dell’organizzazione nonché le scelte di adottare o meno specifiche misure di gestione del rischio rispetto ad altre. In breve ne deriva l’efficacia e l’efficienza del sistema di gestione di prevenzione del reato. Al contrario, da un errore nell’adozione dei criteri più idonei di valutazione del rischio e, come conseguenza, di valutazione della performance del sistema di gestione, può derivare l’esposizione dell’organizzazione ad un giudizio negativo di inadeguatezza del sistema di compliance, con tutte le conseguenze che a seconda delle varie giurisdizioni possono interessare l’azienda.

Il tema di base in materia di metodologie di analisi del rischio corruzione è relativo ai diversi approcci presenti, ove si alternano soluzioni di carattere qualitativo e soluzioni più propriamente di carattere quantitativo o legate alla performance di KRI (Key Risk Indicators).

Di certo una valutazione del rischio esclusivamente qualitativa o solamente quantitativa porta con sé problematiche rilevanti di obiettività o aderenza alla realtà della valutazione svolta.

Molto spesso una soluzione puramente quantitativa comporta il possibile errore di introdurre una valutazione di carattere „lineare“ del rischio, oppure di fare affidamento su KRI/KPI (Key Risk Indicators/Key Performance Indicators) se non addirittura su serie storiche che poco si relazionano con il contesto dell’anticorruzione. In relazione agli approcci quantitativi va innanzitutto considerato come le organizzazioni siano la manifestazione dell’interazione tra il contesto interno e il contesto esterno in cui operano che, per eccellenza, non sono sistemi lineari, anzi, sono anche detti sistemi complessi ove pertanto gli approcci di carattere strettamente matematico soffrono la mancata considerazione delle interrelazioni tra i fattori abilitanti il rischio che difficilmente possono essere oggetto esclusivo di un calcolo matematico su basi lineari.

In seconda battuta, quello che si osserva, è molto spesso una produzione di valutazioni di rischio basate su un „average method“ ossia una aggregazione media delle diverse valutazioni di rischio dei singoli processi analizzati che con successivi steps vengono utilizzate anche per dare evidenza della performance di valutazione del sistema di gestione. Se questo metodo può essere utile per far comprendere nel medio lungo periodo il comportamento di un’organizzazione in termini di „sistema di gestione del rischio“, applicato alla singola analisi del rischio può invece celare delle insidie a causa del fattore „media“, e non rappresentare singoli processi non funzionanti celandone l’evidenza all’interno di valutazioni mediane e occultando la dispersione delle singole valutazioni di rischio su singoli processi.

Dall’altra parte, l’utilizzo di strutture qualitative lasciate alla „prudenza“ del valutatore e non propriamente disciplinate, apre a bias cognitivi che possono portare ad una totale errata rappresentazione se non errata identificazione del rischio stesso in quanto frutto dell’errata convinzione o percezione del valutatore stesso. Questi approcci possono portare a problematiche quali:

  • sottostima del rischio: l’assessor non ha elementi sufficienti per poter validare le proprie valutazioni comparandole con indicatori terzi o di terzi;
  • convinzioni: l’assessor ritiene determinate misure sufficienti sulla base della propria esperienza o dell’esperienza degli intervistati senza avere un criterio di validazione indipendente;
  • una sottostima del rischio inerente che comporta a sua volta una sottostima del rischio residuo;
  • la definizione di misure non adeguate allo specifico processo;
  • l’utilizzo di criteri solo qualitativi che non considerano indicatori numerici o fattuali utili per comprendere dei trend che rappresentano rischi potenziali non ancora verificatesi ma di cui sono manifeste le premesse.

Forse l’errore più frequente è quello definito come „availability bias“ o euristica della disponibilità“ ossia una scorciatoia mentale che si basa su esempi immediati che arrivano alla mente di una determinata persona quando valuta un argomento. Sul tema così veniva definita da due noti studiosi: “There is a potential pitfall associated with how people estimate the probability of future events Research shows that when individuals are asked for probability estimates, they overestimate the likelihood of events with which they are familiar or which they can easily recall, and they underestimate or ignore those remote in time or experience, a cognitive bias known as the availability heuristic”. Tversky Amos Kahneman Daniel 1973 Availability A heuristic for judging frequency and probability Cognitive Psychology 5 2 207 232

A parere di chi scrive la soluzione che forse permette di minimizzare i rischi descritti è una situazione ibrida, che associa metodi qualitativi di valutazione a metodologie di valutazione definite in modo chiaro e tassativo successivamente rappresentabili in forma anche quantitativa, al fine di eseguire comparazione tra diversi periodi storici di un medesimo modello di gestione. In breve, una modalità di valutazione soggettiva legata a stretti criteri quali-quantitativi può evitare problematiche di rappresentazione.

2 – APPROCCI – METODOLOGIE

Proseguendo nelle differenze dei perimetri valutativi (assessment del rischio vs performance del modello di gestione) vi è una differenza metodologica tra l’attività di risk assessment e l’attività di reporting della performance di un sistema di gestione del rischio corruttivo. Spunti per comprendere appieno la differenza tra queste due fasi si possono trovare nell’ISO standard 37001 (Antibribery management System, ABMS) e ancor più nella recente ISO 37301 (Compliance Management System).

In particolare andando a vedere il capitolo 9 della ISO 37301 viene riportato come: “The organization shall evaluate the compliance performance and the effectiveness of the compliance management system” attraverso fonti di feedback, reporting, indicatori che includano non solo l’efficacia dei controlli ma altresì tutte le altre attività organizzate all’interno dell’ABMS che permettono la gestione efficiente del rischio.

Questa „Performance Valuation“ può considerare vari tipi di indicatori: reattivi come le non conformità rilevate e i near miss oppure predittivi come le valutazioni dei rischi di non compliance misurati in termini di impatto/conseguenza o efficienza delle misure, o i trend di rischio tra status attuale e passato. Si vede come la identificazione – valutazione del rischio può essere una parte della valutazione di un sistema di compliance ma non può né identificarsi né esaurirsi in essa.

Le attività di risk assessment, invece, costituiscono un prodromo di questa valutazione di performance dell’intero sistema/modello di gestione e hanno come obiettivo:

a- identificare cosa l’organizzazione vuole considerare come rischio;

b- identificare se una determinata attività/processo è esposta o meno ad un rischio;

c- valutare e dare priorità ai rischi;

d- allocare risorse o definire interventi ove i rischi siano stati individuati e non siano adeguatamente gestiti;

e- valutare gli interventi di cui sopra sulla base di un criterio di priorità (Principio di Pareto) identificando i rischi che per rilevanza (probabilità e impatto) siano da trattare in via principale.

Le differenze tra i due processi sono evidenti:

  • uno (risk assessment) diretto a identificare come un rischio possa manifestarsi all’interno di una organizzazione;
  • l’altro (performance) volto a rappresentare come l’organizzazione stia performando in relazione a quei rischi in ottica gestoria;
  • uno (performance) fonda le proprie valutazioni su combinazioni di KPI/KRI per rappresentare l’andamento di una grandezza (la performance di un rischio nel senso di gestione e di capacità preventiva o reattiva);
  • l’altro (l’assessment) volto ad identificare fenomeni e valutarli in termini di probabilità e impatto in riferimento ad uno specifico processo.

Proprio sulla base di queste differenze di scopo, la metodologia di valutazione del rischio deve differenziarsi da metodologie di valutazioni del rischio intese come efficienza preventiva del modello di gestione e adattarsi, la prima, alle caratteristiche del rischio che, ove non misurabile, dovrà essere compreso secondo logiche non prettamente numeriche ma pur sempre ricostruibili e inquadrabili in criteri definiti.

1/2  to be continued

LEGGI QUI l’articolo successivo  2/2,  Anticorruzione: una panoramica delle metodologie di gestione del rischio tra similitudini e differenze

Related Items

OneTrust Software GRCSicurezza delle informazioni KRI e metriche di Cybersecurity
Continua a leggere
Prevenzione CorruzioneL'Anticorruzione elemento prioritario della performance organizzativa e individuale nelle amministrazioni pubbliche
Continua a leggere
Compliance-IntegrazioneSpunti e pratiche per l'integrazione dei sistemi di gestione (CMS)
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *