Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Nella nostra rubrica dedicata all’approfondimento delle worst practices elencate nell’“omonimo” articolo de Il Sole 24 Ore, arriviamo al caso intitolato “Assenza di Verifiche Interne”. La Corte d’Appello di Venezia, con la sentenza n. 3348/2022, ha sanzionato la società ai sensi del D.Lgs. 231/01, rilevando l’assenza di una adeguata programmazione delle attività di verifica da parte dell’OdV, la mancanza di verifiche interne e di rilievi concreti, nonché l’incapacità di intercettare anche le criticità più evidenti.
In realtà nell’affrontare e decidere su questo caso, i giudici hanno espresso un giudizio di non idoneità del Modello 231 censurando non solo l’assenza di un’adeguata:
🔎 attività di verifica interna (più comunemente detta Internal Audit) delle previsioni del Modello, da parte e/o sotto il coordinamento dell’OdV
ma anche [l’assenza di un’adeguata]:
⚠️ attività di valutazione dei rischi 231 (più comunemente detta Risk Assessment)
e
⛑️ attività di gestione dei protocolli, controlli, flussi 231 (anche detta Risk Treatment)
All’interno di un unico caso, troviamo sotto la lente del Giudice le 3 Componenti Essenziali di un qualsiasi Modello 231 o Compliance Program: ⚠️Rischi, ⛑️Controlli e 🔎 Verifiche Interne.
Si badi che esse rappresentano anche le componenti più “volatili”, ossia quelle più esposte al continuo evolversi di fattori e/o circostanze interne ed esterne.
E quindi, come per le precedenti worst practices analizzate, poniamo la seguente domanda:
A cosa è dovuta l’incapacità di molti Modelli 231 di riuscire ad adattarsi su base continua e con sufficiente flessibilità ai ripetuti cambiamenti di contesto interno ed esterno?
Per poter rispondere alla domanda di sopra, propongo di partire proprio dalle definizioni e concetti che i giudici della Corte di Appello di Venezia hanno elaborato nel caso in esame, nell’analizzare le 3 Componenti Essenziali di un Modello 231, ossia:
⚠️RISCHI 231: «il modello organizzativo altro non rappresenta che uno strumento di gestione del rischio da commissione di (determinati) reati, ovverosia un dispositivo finalizzato a scongiurare la perpetrazione di attività delittuose poste in essere, come s’è detto, nell’interesse o a vantaggio dell’ente medesimo e, quindi, ad evitare le conseguenze sfavorevoli costituite, per l’ente in questione, dalle relative sanzioni»
⛑️PROTOCOLLI, CONTROLLI, FLUSSI 231: «il modello in esame contiene indicazioni di portata assolutamente generale per prevenire la commissione dei delitti in questione, in larga parte risolvendosi nella previsione della adozione di un’organizzazione interna basata sui criteri di ripartizione di competenze e segregazione funzionale in ordine a specifiche attività, nonché di cura di adempimenti formali, ovvero nell’impartire divieti attinenti a profili marginali rispetto all’esigenza di prevenire i reati in esame», essendo riscontrata «l’assenza di previsioni puntuali riferibili, oltre che alle modalità di predisposizione dei bilanci … e di erogazione del credito, a profili essenziali dell’operatività della banca, sempre in relazione al pericolo di commissione dei suddetti delitti», in particolare censurandosi l’assenza e/o inidoneità di:
- «meccanismi di controllo delle operazioni di collocamento delle azioni dell’istituto» e degli «… impieghi ai quali erano destinati i finanziamenti concessi dall’istituto medesimo rispetto alla collocazione delle azioni»;
- «flusso di informazioni interne (sempre a titolo meramente esemplificativo: manca la previsione di report periodici provenienti dai settori più a rischio in relazione alle fattispecie in esame; né constano presidi organizzativi tali da assicurare che all’OdV potessero giungere segnalazioni con modalità tali da assicurare garanzie reali di riservatezza)»
🔎VERIFICHE INTERNE IN AMBITO 231: «i verbali delle riunioni dell’OdV non sono che la plastica espressione di un organismo che interpretava il proprio ruolo in modo meramente formale, posto che non offrono la benché minima contezza di alcuna programmazione di attività di verifica, né evidenziano che fossero state rilevate criticità, neppure in relazione ai casi più eclatanti»
🤓 Signore e Signori, abbiamo qui una vera e propria lezione magistrale sui concetti di Rischio, Controllo e Verifiche Interne nel contesto dei Modelli 231 che – nella nostra rubrica dedicata alle worst practices 231 – non possiamo lasciarci sfuggire in alcun modo, avendo anzi l’occasione di illustrare qui di seguito uno dei problemi più diffusi (nonché difficilmente risolvibile con gli strumenti attuali) tra i Modelli 231:
Potete già comprendere che, anche in questo caso, siamo ben oltre i problemi della prima (adeguato disegno) e seconda (efficace attuazione) dimensione dei Modelli 231; torniamo cioè per forza e con forza a parlare e ad occuparci di terza dimensione dei Modelli 231, ossia della loro capacità di adattamento continuo – o più semplicemente della loro capacità adattiva – rispetto alle modifiche di contesto interno ed esterno.
Partendo dalla cattiva pratica in esame, possiamo provare a trovare la causa o le cause di questo problema, focalizzandoci di nuovo su ciascuna delle 3 Componenti Essenziali di un Modello 231 sopra richiamate nei testi della sentenza:
⚠️ RISCHIO 231: consentitemi di affermare – sulla base della mia esperienza di quasi 25 anni nel settore del Risk Management e lungo tutta la vita e applicazione del Decreto 231/01 fin dai primissimi progetti di set-up – che non esiste una migliore definizione di rischio 231 rispetto a quella elaborata dalla Corte d’Appello di Venezia: esso consiste nel rischio che [gli amministratori o collaboratori di un’azienda] commettano determinati reati (ossia solo quelli richiamati dal Decreto), nell’interesse o a vantaggio dell’azienda con le conseguenze sfavorevoli costituite dalle relative sanzioni previste dal Decreto stesso. E’ tra l’altro una definizione al 100% allineata con la definizione di rischio che l’ISO 31000 sul Risk Management ha adottato da anni: “l’effetto dell’incertezza sugli obiettivi”, dove l’obiettivo aziendale è quello della conformità (agire nel pieno rispetto delle norme), l’effetto è la sanzione e le ulteriori conseguenze che (nel nostro caso) ti possono allontanare da quell’obiettivo, mentre l’incertezza è appunto la situazione e/o condizione in cui un’azienda – così come qualsiasi altra persona – si trova di fronte ad un evento che si colloca nel futuro, che potrebbe accadere o non accadere, e rispetto al quale non può disporre di un’informazione completa, come invece potrebbe avere per un evento già verificatosi (ossia in relazione ad un evento già passato). E cosa puoi fare allora in questa situazione di incertezza per cercare di raggiungere l’obiettivo che ti sei dato? Ovviamente puoi fare solo un puro e corretto Risk Management, anzitutto stimando – sulla base delle informazioni disponibili (e inevitabilmente incomplete) – le probabilità di accadimento dell’evento e le relative conseguenze che ne potrebbero derivare. In un prossimo articolo torneremo a parlare di questo puro e corretto processo di Risk Management, per (cercare di) dimostrare che quello più impiegato oggi nell’ambito dei Modelli 231 è un Risk Management sempre più considerato dagli addetti ai lavori del tutto inutile, oltreché tecnicamente errato. E vedremo che ciò rappresenta una importante causa del problema del “Modello Piatto” sopra richiamato.
⛑️ CONTROLLO 231: anche per le misure di trattamento dei rischi in ambito 231, ossia protocolli, controlli e flussi informativi, si trovano nella sentenza e caso in esame dei preziosissimi spunti e principi. Vediamoli, sempre nell’ottica della nostra ricerca delle cause del problema del “Modello Piatto” sopra richiamato. E’ anzitutto assai pregevole il rimprovero che i giudici fanno all’uso dei principi di controllo: asserzioni e indicazioni di “portata assolutamente generale” di cui i Modelli – com’è noto a tutti – abbondano con formule peraltro standard e generalmente vuote – non tanto di significato – quanto piuttosto di reale capacità di incidere ossia di modificare un rischio (attributo che qualifica un controllo), ovvero – nel contesto 231 – “prevenire la commissione dei delitti” per i quali poi l’azienda è stata chiamata a rispondere davanti al giudice penale. In questo senso, mi si consenta una semplice domanda a tutti coloro che ad esempio, nel redigere un Modello, richiamano il principio di segregazione dei compiti (Segregation of Duties), censurato (il mero richiamo) dagli stessi giudici di Venezia: ma avete presente quanto sia complicata un’analisi SoD? E avete presente quanto siano astratti i relativi principi, necessariamente da calare nel singolo contesto con notevolissimi sforzi? Nulla aggiungo poi sulla diffusa abbondanza nei Modelli 231 dei principi del fare e del non fare a copertura di tutto e quindi di niente.
In contrapposizione a ciò, emerge in modo chiaro per qualsiasi Modello 231 la necessità di contenere (vera e propria componente essenziale) delle “previsioni puntuali” o “meccanismi di controllo” – diremmo noi, attività di controllo vere e proprie – a presidio delle attività realmente sensibili per l’azienda, ossia di quelle attività nel cui ambito è stato poi commesso il reato contestato davanti al giudice. E qui si torna sul puro e corretto Risk Management di sopra, non essendo possibile evitare il problema del “Modello Piatto”, ossia della sua incapacità di funzionare davvero prevenendo “i reati in esame”, se un’azienda non è in grado di identificare e allo stesso tempo valutare correttamente e su base continua, i rischi 231 a cui è più esposta. Quando scrivo “più esposta” intendo quindi una reale quantificazione che è necessariamente dinamica – esposta cioè al continuo evolversi delle circostanze interne ed esterne – e non certo gestibile di tanto, in tanto, in occasione del prossimo aggiornamento del Modello, sperando che non accada nel frattempo niente!
Credo che però sia sui flussi informativi che si raggiunga l’apice con una magistrale esemplificazione: “manca la previsione di report periodici provenienti dai settori più a rischio in relazione alle fattispecie in esame”. Abbiamo qui la perfetta descrizione dei flussi informativi 231 sui cui ha poco senso aggiungere altre parole, se non il riconoscimento – come brillantemente fatto da altro autore da me indicato nei commenti – che i flussi informativi sono il motore di un Modello 231 che consentono non solo alle singole componenti del Modello di funzionare realmente (in termini di prevenzione), ma soprattutto – se opportunamente configurati e usati – di farlo adattare in maniera continua rispetto alle modifiche di contesto interno ed esterno. Nell’ambito della nostra ricerca, qui noi possiamo quindi dire che la generalità dei Modelli 231 è “piatta” e quindi incapace di funzionare davvero prevenendo “i reati in esame”, proprio a causa di flussi informativi non adeguatamente configurati, supportati e usati. E qui sapete a cosa mi riferisco, avendo già più di una volta esaminato la componente dei flussi informativi. Torneremo in ogni caso anche su questa causa in un prossimo articolo.
🔎 VERIFICA INTERNA 231: il caso in esame ci fornisce la possibilità di esaminare anche questa ulteriore componente dei Modelli 231 che, nella terminologia più comune tra gli addetti ai lavori, è riconducibile alle attività di assurance tipicamente svolte dall’Internal Audit (o altro provider di servizi di assurance) in ambito 231 a supporto e/o sotto il coordinamento dell’Organismo di Vigilanza. Rappresenta il momento topico in cui il mondo ideale (quello descritto nel Modello e nelle sue procedure o previsioni in genere) si confronta con il mondo reale (quello che emerge nelle transazioni eseguite, nelle decisioni prese, nelle attività svolte, etc. all’interno di un’organizzazione composta da persone e assets che si confronta con un gran numero di altre organizzazioni e soggetti in genere). Senza entrare troppo nel tecnico (vi scrive pur sempre un Certified Internal Auditor dal lontano gennaio 2004), mi limito a porre il seguente interrogativo o dubbio, che sento ancora più forte quando mi capita di leggere ogni tanto le check-list standard per gli OdV: ma quanto modifica il rischio di commissione di un reato informatico 231, una sessione annuale da tenersi con il Responsabile ICT dell’azienda? Oppure la raccolta di una sola evidenza di un controllo previsto per un largo numero di transazioni come gli acquisti di una certa tipologia? O anche un campione di transazioni che viene definito “statisticamente rappresentativo”, salvo comunque poi perdere ogni significato nel momento in cui le anomalie pur emerse vengono in qualche modo ricondotte a eccezioni tollerabili?
Qui però mi fermo, perché si entra nel tema delle procedure analitiche di audit, su cui torneremo in un prossimo articolo, per mostrare come metodologie nate e consolidate in contesti statici e industriali – mi riferisco alle tecniche di campionamento sviluppate ai tempi della seconda guerra mondiale – risultino oggi strutturalmente inadeguate (e a parere di chi scrive prima o poi non più riconducibili alla categoria delle “buone pratiche”) a governare sistemi organizzativi complessi, dinamici e digitalizzati come quelli attuali. In quanto tali (complessi, dinamici e digitalizzati), e in un contesto in cui i dati sono il nutrimento essenziale dei modelli di Artificial Intelligence, oggi disponibili per chiunque, continuare a gestire Modelli 231 senza dati vivi e continui significa condannarli a restare “piatti”: formalmente corretti, ma strutturalmente incapaci di prevenire o rilevare tempestivamente i rischi 231.
🤔 Alla luce di quanto descritto sopra è ancora sostenibile (anche solo pensare di poter) gestire il Vostro Modello 231 con Word® e Excel® e magari Outlook® per i flussi informativi?
La risposta la lascio a voi che – con mio grande piacere – avete letto fin qui.
Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far uscire il Modello dal cassetto (o meglio, dalla cartella dove custodite l’ultima versione del file Word® o Excel®) per trasformarlo in uno strumento realmente vivo e funzionale e finalmente in possesso della terza dimensione?
Non vi sorprenderete se anche questa volta, la nostra risposta è: “Yes, of course!”.
Portando il Vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della Vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di adattarsi sistematicamente alle modifiche di contesto esterno e interno. CORA 231 è, infatti, l’unico software con capacità adattiva che non si limita – come fanno gli altri – a notificarvi l’inserimento di una nuova fattispecie nel catalogo dei reati presupposto della responsabilità 231. Oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, CORA 231 è l’unica soluzione che “fa muovere” rischi e controlli insieme alle continue modifiche di contesto, e non solo in occasione dell’aggiornamento dell’ultima versione del Modello.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che solo su CORA 231 il vostro Modello da Statico (soggetto all’obsolescenza rapida) diventerà Dinamico (in grado di adattarsi su base continua alle modifiche di contesto interno ed esterno) e pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
L’idoneità di un Modello 231 richiede strumenti adeguati e, soprattutto, tempo per farlo realmente funzionare e vivere. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Continuate a seguirci: nel prossimo articolo ci occuperemo della cattiva pratica denominata “Le valutazioni di rischio a sentimento” in cui finalmente potremo focalizzarci sulla componente centrale dei Modelli 231: il risk assessment 231, da cui poi tutte le altre componenti dipendono.