Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Se con le prime tre cattive pratiche esaminate abbiamo affrontato dei problemi connessi al disegno (Modello “Copia e Incolla”, Assenza di un adeguato Risk Assessment) o all’efficace attuazione dei Modelli 231 (Organismo di Vigilanza di facciata), con il caso in esame affrontiamo per la prima volta un problema che si colloca sotto entrambe le dimensioni.
È la cattiva pratica del Modello 231 come documento statico e formale. Tra vari principi e chiarimenti in tema di Modelli 231 emersi nel famoso “caso Impregilo” (tra cui quello sulla configurazione e collocazione dell’OdV che dà il nome al titolo originale), la Suprema Corte (Cassazione Penale, sentenza n. 23401/2021), ha precisato che un modello organizzativo deve, invece, rappresentare uno strumento vivo e funzionale, capace di incidere realmente sull’operatività dell’ente e di prevenire concretamente la commissione dei reati.
Si conferma, quindi, che un Modello adeguato oggi può rivelarsi inadeguato domani se non tiene conto e non è in grado di rispondere e/o adattarsi al continuo evolversi del contesto interno ed esterno di riferimento: l’idoneità è quindi una condizione che va continuamente mantenuta nel tempo, non un requisito che si conquista una volta per tutte.
Quali sono, allora, i limiti e le difficoltà più diffuse che impediscono al Modello di essere vivo e funzionale e ne rendono difficile il continuo adattamento rispetto all’evoluzione dell’azienda e del contesto in cui essa opera?
Per spiegare questo problema, racconto spesso un’esperienza di qualche anno fa (o forse più di qualcuno). Avevamo appena concluso – alla moda dei consulenti – un importante progetto di revisione del Modello 231 per una società quotata: un buon numero di interviste ai responsabili di processo, nuova mappa delle attività sensibili, matrice di rischio 5×5 dai colori vivaci, aggiornamento della Parte Generale, nuove Parti Speciali, protocolli, flussi informativi, etc. Tutto perfetto, Modello fiammante e cliente soddisfatto.
Pochi mesi dopo, però, il nostro interlocutore ci chiamò non nascondendo una pesante frustrazione: l’introduzione di nuovi reati-presupposto nel catalogo 231 lo aveva già catapultato nel déjà-vu dei solleciti e delle richieste, da più parti, di aggiornare ancora una volta il Modello. E aggiunse una frase che mi è rimasta ben impressa: “È come se stessimo facendo affidamento su una polizza che risulta scaduta proprio quando serve: i nuovi reati 231 e i continui cambiamenti organizzativi rendono presto obsoleto il Modello e potenzialmente inidoneo a difendere l’azienda proprio nel momento del bisogno!”.
Figura 1 – Il problema della Polizza Scaduta
Stiamo parlando proprio del problema del Modello 231 gestito come un documento statico e formale, una raccolta di file ordinatamente (o quasi) stipati nella cartella “Modello 231”: Parte Generale, Parte Speciale A, B, …, Protocollo X, Y, Z … tutti con nomi simili e il classico distintivo “V0”, “V1.1”, “V2.3”, “V5.8”, accompagnati da tag più o meno misteriosi.
🤔 “Ma qual è l’ultima versione del Modello?”
Una domanda che prima o poi ti hanno fatto – o che ti poni tu stesso – ogni volta che apri quella cartella e ti ritrovi davanti un elenco infinito di Word® ed Excel®. Ne apri qualcuno, trovi note colorate o commenti sparsi, provi a ricordare quale fosse “la più aggiornata”, ma niente da fare: hai altre urgenze e chiudi tutto.
Peggio ancora quando il dubbio riaffiora nel bel mezzo di una riunione dell’OdV, magari proprio mentre stai ricordando per l’ennesima volta al Sales Manager che “il Modello 231 prevede che…” – e sai benissimo che aprire quella cartella con lo schermo condiviso davanti a tutti e non riuscire a trovare l’ultima versione non sarebbe molto bello.
Il problema è che le parti più dinamiche del Modello – le Parti Speciali, la mappa delle attività sensibili lungo i processi aziendali, i protocolli di controllo, etc. – sono proprio quelle che soffrono di più la “obsolescenza congenita” che è inevitabilmente nel DNA dei Modelli gestiti manualmente a colpi di Word® ed Excel®.
Questi Modelli sono statici come una fotografia di famiglia: perfetta nel momento in cui la scatti, ma già vecchia qualche mese dopo.
Ogni aggiornamento – “fai da te” o affidato ai consulenti – produce sì una nuova versione (la “V13” nella nostra serie), ma non risolve il problema: appena ti illudi di aver raggiunto l’allineamento, qualcosa cambia. Un nuovo reato-presupposto, una riorganizzazione interna, una non conformità inattesa, … e il tuo Modello torna, inevitabilmente, obsoleto.
Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far evolvere il mio Modello da documento statico e formale a uno strumento vivo e funzionale, capace di incidere realmente sull’operatività della mia azienda e (capace) di prevenire concretamente la commissione dei reati?
Anche qui, possiamo rispondere “Yes, of course!”. E per argomentare la risposta, ci affidiamo a un’immagine, spesso capace di dire più di mille parole.
Figura 2 – CORA 231 vs le altre soluzioni
Quindi, se volete continuare con un Modello 231 statico, da aggiornare di tanto in tanto per (provare a) ridurre il rischio che venga giudicato obsoleto, potete affidarvi ai vostri consulenti di fiducia per elaborare la versione numero 21 del vostro documento su file Word® o Excel® dentro la cartella “Modello 231”.
Se invece preferite un Modello “a stampino”, costruito su template e librerie predefinite, che in termini di “dinamicità” si limita a notificarvi l’aggiunta di un nuovo rischio-reato nel catalogo dei reati presupposto 231 o – nel migliore dei casi – a tracciare lo stato di un flusso verso l’OdV, allora qualsiasi software 231 può andar bene.
Ma se volete davvero digitalizzare il vostro Modello attuale, quello che oggi vive solo nel mondo di Word® ed Excel®, per dargli finalmente vita reale e capacità di incidere sull’operatività – rendendo dinamici flussi informativi, controlli e soprattutto attività sensibili (la componente più soggetta a obsolescenza) – anche grazie a modelli di Artificial Intelligence, allora non abbiate dubbi: CORA 231 è la scelta giusta per la vostra azienda.
Figura 3 – Il beneficio della Reg Tech Vera
L’efficacia – sia nel disegno che nell’attuazione – di un Modello 231 richiede strumenti adeguati e, soprattutto, tempo per farlo realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Continuate a seguirci: nel prossimo articolo ci occuperemo della cattiva pratica denominata “Modello sconosciuto” e vedremo come CORA 231 sia la migliore soluzione per far uscire il Modello dal cassetto – o meglio dalla cartella “Modello 231” – e farlo vivere anche presso i suoi destinatari.