Nell’ambito della compliance 231 l’adeguatezza di un Modello di organizzazione e gestione del rischio delle società viene valutata sulla base di due indicatori primari: la sua idoneità a prevenire la commissione dei delitti per i quali è prevista la responsabilità amministrativa degli enti, e la sua efficace attuazione da parte dell’organizzazione. Ma come garantire questi due requisiti in realtà imprenditoriali che sono, per indole, dinamiche e mutevoli?
Compliance 231, la pluralità di elementi di rischio
È proprio per rispondere a questa esigenza, manifestata dalla compliance 231, che si muove il mercato legal tech, volendo garantire non soltanto che le imprese adottino sistemi di controllo (teoricamente) idonei a prevenire i reati, ma che siano altresì in grado di mantenere nel tempo l’efficacia delle contromisure a riduzione del rischio-reato. Il Modello 231, infatti, non è un documento statico ma, al contrario, necessita di continui adattamenti, in considerazione di una pluralità di elementi in grado di incidere sul rischio o sull’adeguatezza del sistema di controllo interno, quali:
- l’ingresso di nuovi reati presupposto della responsabilità o la modifica degli stessi,
- le variazioni societarie o del sistema delle partecipazioni,
- le trasformazioni della governance, i cambiamenti organizzativi o dei poteri autorizzativi delle società,
- l’adozione di sistemi di gestione di varia natura o l’attuazione di best practices,
- l’implementazione, le modifiche o le integrazioni alle procedure aziendali,
- gli accertamenti di mancata adozione o attuazione del sistema di controllo, oppure l’inefficacia funzionale di alcune misure di prevenzione,
- la presenza di possibili elementi di debolezza del sistema di controllo interno, che necessita di rafforzamenti,
- l’inefficienza del sistema dei flussi informativi,
- l’avvio di procedimenti giudiziari o le pronunce giurisprudenziali su fatti di reato presupposto.
Compliance efficace nel tempo col software
Subito dopo avere terminato un progetto di adeguamento al d.lgs.231/2001, ogni ente deve affrontare il problema di come potrà mantenere l’idoneità e l’efficacia del suo Modello nel tempo.
Il modo più efficace, e anche meno oneroso nel lungo periodo, è quello che oggi propone il mercato legal tech, tramite soluzioni software capaci di mantenere costante il monitoraggio del sistema di controllo e, ancora più importante, di recepire i cambiamenti in modo rapido e puntuale, programmato e verificabile in tempo reale. È per tutti questi aspetti, e per altri ancora, che si apprezza il valore aggiunto della tecnologia applicata ai progetti di compliance. Vediamo quali.
Aggiornamento automatizzato del Modello 231
Pensiamo al caso di una modifica normativa e all’ingresso di un nuovo delitto nel catalogo dei reati 231. Una volta avuto conferma dall’Organismo di Vigilanza che questo reato rappresenta un nuovo potenziale pericolo per l’impresa, l’ente dovrebbe poter subito avviare il processo di analisi e di valutazione del rischio. In termini pratici, questo significa che, accedendo alla sua piattaforma, l‘azienda potrebbe assegnare in modo agile i task alle risorse, ingaggiando rapidamente tutti (e solo) i referenti aziendali in grado di fornire informazioni sul sistema di controllo interno, utilizzando un flusso comunicativo diretto e protetto (interno al sistema).
Inoltre, l’azienda riuscirebbe a tenere monitorato il rispetto delle tempistiche, oltre che programmare l’eventuale invio di solleciti automatizzati all’approssimarsi delle scadenze. Infine, dopo avere ricevuto la conferma (o meno) dei presidi esistenti, il sistema consentirebbe di ricalcolare in modo automatico il rischio, in relazione (anche) al nuovo reato, mettendo il management nella condizione di poter sempre predisporre eventuali piani di trattamento coerenti con la propria organizzazione e la propria propensione al rischio. A questo punto, l’aggiornamento del Modello avverrebbe con un processo automatizzato.
La gestione delle variazioni nella governance
Ma pensiamo anche al caso di una modifica organizzativa o della governance, che comporti cambiamenti di ruoli e di responsabilità. Queste variazioni, ovviamente, dovrebbero essere assimilate in modo celere nel Modello Organizzativo 231, potendo avere riflessi diretti sulla tenuta del sistema di controllo, e potendo comportare variazioni del calcolo del rischio-residuo. Anche in questo caso, ove vi fosse un semplice cambiamento di ruolo, basterà modificare una sola volta quel dato nel sistema, e ciò comporterà la sua automatica variazione in ogni sezione del Modello, evitando i soliti disallineamenti tra la parte documentale e quella operativa, tipici della gestione manuale della compliance.
Ove la modifica fosse di carattere più sostanziale, ad esempio andando a irrobustire la segregazione tra le funzioni, si potrà compiere un’automatica rivalutazione del rischio del sistema di controllo, in termini migliorativi.
Stesso discorso si potrebbe fare in relazione al corpo procedurale, che di per sé costituisce un importante requisito del sistema di controllo interno. Al variare dell’operatività aziendale, infatti, inserita l’informazione nella piattaforma, si potrebbe subito ricalcolare il rischio per l’impresa e integrare il Modello con i nuovi presidi, o, di contro, prevedere nuovi piani di azione.
Peraltro, volendo conoscere i benefici concreti che si potrebbero raggiungere in conseguenza di un ipotetico cambiamento nell’impresa, il sistema potrebbe essere utilizzato anche per compiere simulazioni di variazioni, consentendo all’azienda di avere visione dei reali vantaggi che si otterrebbero dall’adozione di un determinato presidio, prima di affrontarne le spese di implementazione.
Compliance 231, i dati per un approccio sistemico
Ma ancor di più, tra i benefici derivanti dall’applicazione della tecnologia alla compliance, va sottolineata la possibilità di associare e combinare dati e informazioni presenti nel sistema informatico, afferenti al sistema di controllo per la prevenzione dei reati 231, con altri sistemi di controllo (specifici di altre normative), mediante un approccio sistemico.
Il vantaggio dei sistemi di controllo della riduzione del rischio non deve infatti mai essere inferiore, anche nella somma complessiva, al costo per lo sviluppo, per la gestione e per la manutenzione dei sistemi di controllo stessi. Solo in questo modo, si riesce a evitare il rischio di una costosa sovrapposizione di sistemi di controllo e si può garantire una compliance integrata realmente sostenibile per l’impresa.
La richiesta di comportamenti funzionali a specifiche esigenze di controllo, ma differenti e non integrati, o addirittura in contraddizione tra loro, rischierebbe infatti di portare al rifiuto del concetto stesso del controllo interno, della sua valenza preziosa in termini di gestione del rischio o viceversa alla paralisi operativa dell’organizzazione, per eccesso di mezzi e risorse dedicati alla compliance.
Per evitare questo infausto appesantimento del sistema di controllo appare sempre più necessario aprire lo scenario a soluzioni tecnologiche condivise ed integrate, diffuse in azienda e rese disponibili a tutti gli interessati, nel proprio ruolo operativo o di supervisione, ai sistemi di controllo interno. Tutto ciò consentirà alle imprese maggiore resilienza, in termini di adesione all’innovazione e di reazione alle minacce.