Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Dopo l’introduzione della presente rubrica dedicata alle worst practices 231 – così “battezzate” in un articolo de Il Sole 24 Ore da cui abbiamo preso le mosse – abbiamo esaminato 7 cattive pratiche basate su dei casi reali finiti sotto la lente del giudice. Nell’elenco del Il Sole 24 Ore se ne trovano elencate altre 4 che non discendono in realtà da alcuna sentenza o decisione di alcun giudice. Sono, invece, basate su dei requisiti normativi o su altro fondamento non precisato dall’autore dell’articolo:
Tabella 1 – Le cattive pratiche non basate su casi reali
| Titolo | Descrizione | Riferimento |
| Whistleblowing non operativo | I Modelli prevedono, ai sensi del decreto attuativo della direttiva UE 2019/1937, canali di segnalazione interni, il divieto di ritorsione e misure disciplinari in caso di violazione delle disposizioni in materia. | Articolo 6, comma 2-bis, D.lgs 231/2001 |
| Mancanza del sistema disciplinare | I Modelli devono introdurre un sistema disciplinare a sanzionare il mancato rispetto delle misure indicate. | Articolo 6, comma 2, lettera e), D.lgs 231/2001 |
| Deleghe e procure ignorate | Modello che non tiene conto di ruoli, deleghe e procure effettivamente operative perde di efficacia quale sistema di prevenzione e non rispetta i presidi organizzativi. | – |
| Mancata integrazione con i sistemi di gestione | Il Modello deve essere integrato con i sistemi di gestione sicurezza, qualità e ambiente. Si richiama la norma UNI ISO 37301:2021 (sistemi di gestione per la compliance) e il D.lgs 81/2008, cui l’articolo 30, comma 5, attribuisce valenza esimente solo se i modelli sono conformemente attuati ed efficacemente implementati. | Articolo 30, comma 5, D.lgs 81/2008 |
Poiché questa rubrica intende focalizzarsi e basarsi sull’analisi di “cosa è andato storto” nel mondo reale 231 [= quando un’azienda finisce davanti al giudice penale], con l’intento di ricavare delle lessons learned con cui poter rivedere ed eventualmente migliorare il proprio Modello 231, comprenderete che le 4 “worst practices 231” di sopra nulla possono contribuire ai nostri fini. Lasciamo ben volentieri ad altri autori il compito del ragionamento (più o meno astratto) su un requisito normativo (a sua volta, più o meno astratto). Con grande piacere, invece, continuiamo ad occuparci in questa rubrica di casi reali e concreti di cattive pratiche 231, (ri)cominciando con quelli legati alla componente più censurata dai giudici e per ciò stesso definibile come “la componente più critica di un Modello 231” (anche perché su di essa poi tutto è basato), ossia il:
Risk Assessment 231 (o Mappatura delle Attività Sensibili)
Con i prossimi articoli ci concentreremo quindi su dei casi reali in cui i rischi 231 non sono stati adeguatamente identificati (e gestiti) a parere dei giudici che hanno esaminato i Modelli 231 presentati in giudizio. Per comodità ricondurremo tutti questi casi in un’unica e comune cattiva pratica che intitoliamo fin da adesso:
Le Valutazioni di Rischio 231 “a sentimento”
Vedremo che in questi casi ad essere censurate non sono in sé le metodologie di risk management impiegate per identificare e valutare le attività sensibili a rischio 231. E di metodologie ce ne sono davvero tante e diverse tra loro (quasi quanto il numero dei Modelli in circolazione); ciò anche a acusa del fatto che sia il Decreto 231, sia le linee guida di riferimento, nulla o quasi nulla dicono su come concretamente identificare e valutare i rischi 231.
Generalmente ad essere censurato è, invece, il principale output di tali metodologie e attività da esse guidate: la mappa delle attività sensibili 231. Ma non il documento “mappa delle attività sensibili 231” in quanto tale, o in quanto frutto di questa o quella metodologia. Quanto piuttosto il caso o illecito concretamente verificatosi nel mondo reale (ed oggetto di contestazione ai sensi del D.Lgs. 231/01) rispetto alla sua previsione e/o inclusione e valutazione nella mappa delle attività sensibili 231 posta alla base del Modello (e delle contromisure in esso contenute).
Vedremo che il giudice non chiede conto dei numeri o degli aggettivi associati alle attività sensibili – tra l’altro generalmente tutti basati su metodologie discendenti dal risk management convenzionale oggi sempre più criticato e messo in discussione dagli stessi autori più riconosciuti – ma piuttosto domanderà:
Avete visto arrivare il problema?
Quello che rileva nel giudizio (necessariamente postumo) sarà cioè il confronto tra:
- quello che è concretamente accaduto (es. un reato ambientale o un delitto contro la pubblica amministrazione) in un determinato momento nel tempo [il Fatto X avvenuto nel punto T1 della scala del tempo]
- quello che in un momento antecedente è stato previsto, redigendo o aggiornando e/o integrando da ultimo la mappa delle attività sensibili 231 alla base del Modello [l’Attività Sensibile X prevista e in qualche modo descritta/aggiornata nel punto T0, insieme alle relative contromisure].
Possiamo quindi definire le valutazioni di rischio 231 “a sentimento” come quelle valutazioni in cui a T1 il Fatto X risultava completamente o significativamente sconnesso e/o diverso rispetto a quanto previsto e (da ultimo) documentato a T0 nella mappa delle attività sensibili (per essere oggetto di “trattamento” mediante i controlli previsti nel Modello).
Vedremo che il risultato finale e comune in tutti questi casi è che alla domanda del giudice “Avete visto arrivare il problema?”:
- generalmente la risposta al massimo non potrà che essere stata l’espressione di un sentimento e/o di un (faticoso) ricordo della valutazione di rischio eseguita in un passato più o meno remoto, senza citare la più scontata difesa del “non potevamo sapere o prevedere che … ”
- ciò in quanto difficilmente ci si trovava nelle condizioni di poter rispondere con dati e riscontri oggettivi sull’evoluzione osservata dei rischi-reato 231 da T0 a T1 insieme alla produzione delle evidenze di comportamento conseguenti, necessarie per dimostrare quella diligenza organizzativa che avrebbe consentito all’azienda di sfuggire dalle pesanti sanzioni previste dal Decreto 231.
E lasciatemi aggiungere ed anticipare già qui che oggi vedere arrivare un problema tra gli oltre 200 rischi–reato 231 non è di certo un esercizio facile e/o risolvibile con un semplice aggiornamento della mappa delle attività sensibili, come invece troppi ancora raccontano.
🤔 Ma con oltre 200 rischi–reato 231 all’orizzonte, siete così sicuri che i Vostri attuali strumenti Vi consentano di vedere arrivare il problema?
L’idoneità di un Modello 231 richiede sempre più una tecnologia adeguata e, soprattutto, tempo per farla realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del Vostro Modello 231, il momento di pianificarlo è adesso.
📌Richiedi una demo o maggiori informazioni cliccando qui
Continuate a seguirci: nei prossimi articoli inizieremo ad occuparci dei casi reali in cui è emersa la cattiva pratica de “Le valutazioni di rischio a sentimento” per scoprire quali sono i problemi che sono concretamente emersi e quali possano essere le soluzioni già a disposizione per le aziende.