Risk assessment & management: il rischio di impresa

Risulta allora sicuramente utile provare a declinare il concetto di rischio. Nella normativa italiana non è presente una vera e propria definizione di rischio di impresa. Nella prassi e nella best practice di riferimento (Documento CNDCEC “Sostenibilità, governance e finanza di impresa” dell’8.3.2024), per “rischio” si intende la pericolosità di un fenomeno, ed è determinato dal prodotto tra P (probabilità del suo verificarsi) e G (gravità del suo impatto), secondo la formula: R = P x G.

In particolare:

• per “probabilità (P)” si intende il livello di eventualità che il fenomeno indesiderato si possa verificare tenendo conto delle misure precauzionali già in essere al momento della valutazione;
• per “gravità dell’impatto (G)” s’intende la portata delle conseguenze del fenomeno indesiderato.

Sempre nella best practice, si è soliti distinguere il downside risk dall’upside risk.

Il downside risk riguarda le potenziali perdite o risultati peggiori rispetto alle aspettative. È il tipo di rischio tradizionalmente associato alle decisioni imprenditoriali o finanziarie e comprende scenari in cui eventi avversi possono compromettere la performance aziendale o il valore degli asset.

L’upside risk si riferisce, invece, alla possibilità che un evento produca un risultato migliore rispetto alle aspettative o alle proiezioni iniziali. Questo tipo di rischio riguarda le opportunità positive e i potenziali guadagni oltre il livello previsto. È spesso associato a contesti in cui innovazione, performance superiori o cambiamenti di mercato possono generare valore aggiunto per un’organizzazione. L’upside risk è legato, quindi, ad un concetto più progredito di rischio, ovvero di un qualcosa che è portatore di possibili opportunità di creazione di valore (Cfr. “Il Risk Assessment, il Risk Management e i Compliance Programs”, Gianaria N., Parena B., Vernero P., in “Modello Organizzativo Dlgs. 231 e organismo di vigilanza”, a cura di Vernero P., 2024, Torino).

La corretta gestione del rischio diventa, in quest’ottica, ancor più di vitale importanza per un’impresa. Non a caso, con la riforma del D.Lgs. 14/2019 – rubricata “Codice della crisi di impresa e dell’insolvenza”, in attuazione della L. 155/2017 – il Legislatore ha introdotto una nuova esplicitazione dei doveri di un imprenditore nell’articolo 2086, cod. civ. “l’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”. La norma di comportamento del Collegio sindacale per le società non quotate n. 11.1, aggiornata al dicembre 2023, chiarisce, tra l’altro, che : “l’adozione e la valutazione dell’adeguatezza degli assetti rientra tra le competenze degli organi amministrativi (…)”.

Il rischio, logicamente, va prima individuato e valutato; e – in un secondo momento – gestito. Queste due fasi sono quelle che vengono comunemente chiamate risk assessment & management.

Il risk assessment è il processo attraverso cui un’organizzazione identifica e analizza i rischi a cui è esposta. Secondo il Comitato COSO (Committee of Sponsoring Organizations of the Treadway Commission), come descritto nel documento “Enterprise Risk Management – Integrated Framework”, si tratta di una fase critica per comprendere l’impatto e la probabilità degli eventi rischiosi. Questo processo include l’identificazione delle vulnerabilità aziendali e l’assegnazione di priorità per un intervento mirato.

Diversamente, il risk management si riferisce alle attività intraprese per ridurre, monitorare e controllare i rischi identificati. L’ISO 31000 definisce il risk management come “il coordinamento di attività per dirigere e controllare un’organizzazione con riferimento ai rischi”. Questo include strategie come la riduzione del rischio, il trasferimento dello stesso (ad esempio, attraverso assicurazioni) o l’accettazione consapevole del rischio residuo.

Queste due fasi sono esattamente quelle delineate da Confindustria (“Linee Guida per la costruzione del modello di organizzazione, gestione e controllo”) per strutturare un sistema di prevenzione dei rischi di cui al D.Lgs. 231/2001 che preveda:

“a) l’identificazione dei rischi potenziali: ossia l’analisi del contesto aziendale per individuare in quali aree o settori di attività e secondo quali modalità si potrebbero astrattamente verificare eventi pregiudizievoli per gli obiettivi indicati dal decreto 231. Per “rischio” si intende qualsiasi variabile o fattore che nell’ambito dell’azienda, da soli o in correlazione con altre variabili, possano incidere negativamente sul raggiungimento degli obiettivi indicati dal decreto 231 (in particolare all’art. 6, comma 1, lett. a); pertanto, a seconda della tipologia di reato, gli ambiti di attività a rischio potranno essere più o meno estesi. Per esempio, in relazione al rischio di omicidio colposo o lesioni colpose gravi o gravissime commessi con violazione delle norme in materia di salute e sicurezza sul lavoro, l’analisi dovrà verosimilmente estendersi alla totalità delle aree ed attività aziendali;

b) la progettazione del sistema di controllo (cd. “protocolli” per la programmazione della formazione e attuazione delle decisioni dell’ente), ossia la valutazione del sistema esistente all’interno dell’ente per la prevenzione dei reati ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè, ridurre ad un livello accettabile, i rischi identificati. Sotto il profilo concettuale, ridurre un rischio comporta di dover intervenire – congiuntamente o disgiuntamente – su due fattori determinanti: i) la probabilità di accadimento dell’evento e ii) l’impatto dell’evento stesso”.