Di Stefano Barlini, MBA, Certified AI Officer, CIA, CISA, Certified ISO 31000 Trainer, CCSA, QAR e Internal Audit & GRC Expert presso Compet-e.
Iniziamo a parlare di Valutazioni di Rischio 231 “a sentimento” attraverso l’esame di un numero di casi in cui i giudici hanno censurato la componente principale e più critica di un Modello 231, ossia quella su cui poi tutto poggia: la Mappa delle Attività Sensibili.
Nel caso in esame il Giudice per le indagini preliminari presso Tribunale di Milano, con ordinanza del 20 settembre 2004 ex articolo 45 (“Applicazione delle misure cautelari”) del D.Lgs. 231/01, nell’esaminare i Modelli 231 di ben 4 società coinvolte per dei reati di corruzione e truffa ai danni della PA, ha confermato il seguente principio (peraltro di puro buon senso):
📌 Non si può prevenire un rischio se non lo si comprende
Nel testo dell’ordinanza in esame per ben 12 volte il giudice usa la parola “modalità”, in prevalenza per riferirsi all’elemento essenziale che caratterizza l’identificazione (e quindi comprensione e con essa prevenzione) di ciascun rischio-reato 231: il modo concreto, o meglio, le modalità con cui il singolo reato 231 può essere concretamente realizzato nello specifico contesto (interno ed esterno) dell’azienda e naturalmente nel suo interesse e/o vantaggio.
Si badi che è proprio nell’identificazione delle specifiche modalità realizzative che si passa:
- da un elenco di reati 231 necessariamente astratti nelle loro descrizioni e relative ipotesi esemplificative (sostanzialmente una “libreria standard” o, se volete, lo stesso “catalogo 231” impiegato nel risk assessment 231)
- ad una vera e propria Mappa delle Attività Sensibili 231 in cui i rischi-reato 231, attraverso la concreta identificazione delle modalità realizzative, sono ricondotti alle specifiche attività di business e/o di supporto al business di una singola azienda e all’interesse e/o vantaggio che ne potrebbe derivare.
🤔Ma perché la maggior parte dei Modelli farebbe “fatica” a dimostrare la propria capacità di identificare e quindi prevenire i rischi-reato 231?
Tralasciando le pur diffuse ipotesi di paper compliance oppure, ancora più raffinate, di cosmetic compliance, dietro questo problema ci sono dei numeri oggettivi e non quindi pure opinioni del sottoscritto o di altri autori sicuramente più bravi del sottoscritto.
👉 Con un “perimetro 231” che oggi include oltre 200 rischi-reato 231 – in continuo aumento – si possono stimare dalle 1.000 alle 1.500 modalità realizzative da analizzare e riscontrare nella realtà aziendale e (in caso di esito positivo, supponiamo per un 20% circa) da collegare a non meno di 50 attività sensibili, a loro volta da governare con oltre 100 misure di controllo e flussi informativi.
E anche se il risk assessment 231 fosse fatto a regola d’arte, con un’appropriata e giusta combinazione di competenze legali, di risk management e naturalmente di profonda conoscenza del contesto interno ed esterno in cui la singola azienda si trova ad operare, il problema (la cui gestione è poi “affidata” ad un OdV “Super Eroe”) rimarrebbe praticamente intatto nella sua complessità come certificano i seguenti numeri:
Ma a questo punto sono io a porvi una chiara e semplice domanda, senza neanche introdurre ulteriori elementi di complessità (pur presenti), come ad esempio il continuo evolversi del contesto interno ed esterno:
☝️Com’è razionalmente possibile (continuare a) pensare di poter gestire in maniera efficiente ed efficace un sistema così complesso con un elenco di file Word® e Excel® ed un flusso di e-mail verso l’OdV?
Lascio che siate voi a dare a voi stessi la risposta più sincera e vi ringrazio di nuovo per avermi letto fin qui.
🤖Ma con CORA 231 – la Soluzione RegTech Anti-Sanzioni 231 è possibile far uscire il Modello dal cassetto (o meglio, dalla cartella dove custodite l’ultima versione del file Word® o Excel®) per trasformarlo in uno strumento vivo e funzionale in grado di gestire dinamicamente le modalità realizzative dei rischi-reato 231?
Non vi sorprenderete se anche questa volta, la nostra risposta è: “Yes, of course!”.
Portando il Vostro Modello su CORA 231 alzerete definitivamente il livello di difesa della Vostra azienda dai rischi e dalle conseguenti sanzioni 231, aggiungendogli la capacità di adattarsi sistematicamente alle modifiche di contesto esterno e interno. CORA 231 è, infatti, l’unico software con capacità adattiva che non si limita – come fanno gli altri software – a notificarvi l’inserimento di una nuova fattispecie nel catalogo dei reati presupposto della responsabilità 231. Oltre a gestire efficientemente ed efficacemente le frequenti modifiche della vostra organizzazione, processi e attività, CORA 231 è l’unica soluzione che “fa muovere” rischi e controlli insieme alle continue modifiche di contesto, e non solo in occasione dell’aggiornamento dell’ultima versione del Modello.
Ma soprattutto, con CORA 231 non rischierete più di avere un Modello obsoleto proprio quando serve alla vostra azienda!
Il risultato finale è che solo su CORA 231 sarete nelle condizioni di tenere sempre “in tiro” le misure di controllo, e il vostro Modello da statico (soggetto all’obsolescenza rapida) diventerà dinamico (in grado di adattarsi alle modifiche di contesto interno ed esterno) e pronto per essere ulteriormente potenziato con l’Artificial Intelligence per predire l’esposizione ai rischi 231 ancora prima che qualcosa accada!
L’idoneità di un Modello 231 richiede sempre più una tecnologia adeguata e, soprattutto, tempo per farla realmente funzionare. Se desiderate scoprire come CORA 231 possa semplificare le vostre attività di compliance ed alzare definitivamente il livello di difesa del Vostro Modello 231, il momento di pianificarlo è adesso.
Continuate a seguirci: nei prossimi articoli continueremo ad occuparci di altri casi reali di “Valutazioni di Rischio 231 a Sentimento”, per scoprire insieme quali sono stati i problemi emersi e quali possano essere le soluzioni già a disposizione per le aziende.