Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Con questo articolo ci focalizziamo su una componente fondamentale dei Modelli 231: i Protocolli di Controllo. Partiremo sempre dall’esame della cattiva pratica che – nell’articolo de Il Sole 24 Ore – è stata denominata “Protocolli Generici” e ricavata dal caso “Derivati – MPS” (Tribunale di Milano, sentenza n. 10748/2021), per arrivare sorprendentemente a rilevare e rivelare che, anche questa volta, stiamo affrontando dei problemi ricadenti nella terza dimensione dei Modelli 231.
Sebbene nel sanzionare la società, le censure del giudice abbiano riguardato anche ulteriori componenti e aspetti del Modello, è emerso innanzitutto che alla data dei fatti la società era «sprovvista di accorgimenti organizzativi concretamente idonei a prevenire il rischio», in particolare essendo assenti le «puntuali previsioni … in merito … alla predisposizione di specifici protocolli diretti alla prevenzione dei reati».
Si noti che questa assenza – da cui poi è derivato il giudizio di inadeguatezza del Modello 231 con applicazione delle relative sanzioni – è stata dedotta e dimostrata da una circostanza ben precisa e paradossalmente documentata negli stessi verbali dell’OdV e del CdA: la versione del Modello, in vigore all’epoca degli illeciti, necessitava – per stessa esplicita ammissione societaria – di «un corposo lavoro di rivisitazione» a fronte di «plurime criticità e manchevolezze» che il consulente incaricato dall’azienda stessa aveva avuto modo di esplicitare nella sua relazione di analisi del Modello 231 in essere.
Quindi, a cosa è dovuta l’incapacità di molti Modelli 231 di rimanere vivi e operativi insieme ai propri protocolli di controllo che dovrebbero invece garantire, ogni giorno, la gestione adeguata ed efficace delle attività a rischio-reato?
Se il Modello 231 – posto in ottica temporale – si traduce in una successione di versioni di documenti, spesso attivata da «criticità e manchevolezze» della versione in vigore, al fine di emetterne una nuova con aggiunta di nuove attività sensibili, integrazione delle Parti Speciali o aggiornamento dei processi e unità organizzative, si sta ammettendo o dichiarando che il Modello non vive: viene semplicemente “rigenerato” o direttamente “sostituito” di tanto in tanto.
Ogni aggiornamento nasce, cioè, come reazione a un difetto rilevato, e non come espressione di un “organismo” capace di adattarsi sistematicamente ai cambiamenti del contesto organizzativo e/o normativo. In questo schema ricorrente si nasconde un enorme punto di debolezza: tra una versione e l’altra, il Modello risulta “già superato”, mentre è ancora formalmente in vigore. E in quel lasso di tempo, con gli strumenti attuali (sostanzialmente una cartella con un lungo elenco di files Word® e Excel®), la società rischia di restare priva di un Modello realmente idoneo a proteggerla dalle sanzioni 231, proprio quando ne avrebbe più bisogno.
E quando l’OdV si ritrova nelle sue riunioni periodiche a (tentare di) fare l’ennesimo punto della situazione per ricordarsi e/o ricordare al responsabile di un’attività di controllo chi, come, dove, quando, perché e con quale evidenza deve fare qualcosa o assicurarsi che venga fatto, avete tutti presente in che groviglio di note, colonne, colori, simboli, commenti e versioni di files si va a finire?
È, infatti, a tutti noto che le attività di controllo sono proprio le componenti del Modello 231 a più rapida obsolescenza: un nuovo sistema gestionale o applicativo (o un suo rilevante aggiornamento), gli sviluppi e/o le modifiche dei processi e attività aziendali e/o delle funzioni organizzative ad essi preposte, la fusione con o incorporazione in un’altra unità organizzativa, etc. sono eventi frequenti, rapidi e spesso imprevedibili come i lampi durante una tempesta.
🤔 “Ma è ancora realistico pensare di poter aggiornare manualmente il Modello per stare dietro a tutti questi cambiamenti?”
È il dubbio che lascio a voi che – con mio grande piacere – avete letto fin qui.
Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far uscire il Modello dal cassetto (o meglio, dalla cartella dove custodite l’ultima versione del file Word® o Excel®) per trasformarlo in uno strumento realmente vivo e funzionale con una chiara e dinamica attribuzione di responsabilità?
Non vi sorprenderete se anche questa volta, la nostra risposta è: “Yes, of course!”.
Portando il Vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della Vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di adattarsi sistematicamente alle modifiche di contesto esterno e interno. CORA 231 è, infatti, l’unico software con capacità adattiva che non si limita – come fanno gli altri software, nonché nella sostanza gli stessi consulenti con le loro email o post su LinkedIn – a notificarvi l’inserimento di una nuova fattispecie nel catalogo dei reati presupposto della responsabilità 231. Oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, CORA 231 è l’unica soluzione che “fa muovere” rischi e controlli insieme alle continue modifiche di contesto, e non solo in occasione dell’aggiornamento dell’ultima versione del Modello.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che solo su CORA 231 sarete nelle condizioni di tenere sempre “in tiro” le misure di controllo, e il vostro Modello da statico (soggetto all’obsolescenza rapida) diventerà dinamico (in grado di adattarsi alle modifiche di contesto interno ed esterno) e pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
L’efficacia – sia nel disegno che nell’attuazione – di un Modello 231 richiede strumenti adeguati e, soprattutto, tempo per farlo realmente funzionare e vivere. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Continuate a seguirci: nel prossimo articolo ci occuperemo della cattiva pratica denominata “Assenza di verifiche interne” e avremo finalmente l’occasione di fare un po’ di chiarezza, anche in ambito 231, sui concetti di rischi, controlli e audit, spiegando come CORA 231 – la Soluzione RegTech anti-sanzioni 231 risulti l’unico strumento capace di gestirli in modo intelligente e sistematico.