Modello «231», la costruzione passa dall’individuazione del rischio accettabile

L’implementazione di un modello 231 che abbia i requisiti di «idoneità» ed «efficacia», caratteri che attribuiscono un reale valore esimente allo strumento, rappresenta un procedimento complesso, composto da varie attività, le quali si snodano secondo un approccio metodologico per fasi, composte da: check up aziendale, risk assessment in «ottica 231», gap analysis e individuazione della soglia di rischio accettabile.

Nel febbraio scorso è stato emanato un interessante documento redatto da un gruppo di lavoro multidisciplinare (costituito da esponenti del Cndcec, Confindustria, Abi, Cnf), che approfondisce queste tre fasi di costruzione del modello. Clicca qui per scaricare il documento «Principi consolidati per la redazione dei modelli organizzativi e l’attività dell’organismo di vigilanza, prospettive di revisione del Dlgs 8 giugno 2001 n.231».

In particolare, la prima fase di implementazione del modello 231 rimanda a un’indispensabile attività di check up aziendale che consente di pervenire a un sufficiente grado di conoscenza generale della società o dell’ente, allo scopo di individuare gli aspetti che saranno oggetto di approfondimento e di specifico esame nelle fasi successive.

Si procede, pertanto, all’acquisizione della documentazione rappresentativa e descrittiva della struttura organizzativa, della corporate governance, dei dati dimensionali, del tipo di attività svolta e delle aree di business, nonché all’acquisizione di codici etici e di comportamento, norme di autodisciplina, compliance programme che costituiscono la codificazione dei valori e delle regole dell’ente.

La fase successiva si concretizza nell’attività di risk assessment attraverso la mappatura e la valutazione dei rischi nei processi aziendali, che consente di individuare i comportamenti maggiormente a rischio da cui possa derivare la responsabilità amministrativa ex Dlgs 231/2001, nel caso di illecito commesso nell’interesse o a vantaggio dell’ente. Il processo indirizza anche continue azioni di miglioramento e di rafforzamento delle misure preventive alla commissione dei «reati 231», in quanto necessita di una costante attività di follow-up e aggiornamento.

La terza e ultima fase di costruzione del modello fa riferimento alla gap analysis e all’individuazione della soglia di rischio accettabile. La valutazione dell’adeguatezza del sistema di controllo interno esistente deve essere esaminata in relazione al livello auspicabile e ritenuto ottimale di efficacia ed efficienza di protocolli e standard di controllo.

La valutazione in questione (gap analysis) e le attività conseguenti si estrinsecano, dunque, nell’adeguamento dei meccanismi di controllo esistenti alla prevenzione delle fattispecie di rischio individuate.

Occorre far riferimento al concetto di «rischio accettabile» nell’ambito della definizione e del miglioramento delle procedure, criterio che va stabilito in relazione alla probabilità di commissione del reato e ai potenziali oneri che ne conseguirebbero. In particolare, in relazione ai presidi e ai controlli da istituire per fronteggiare il rischio di commissione delle fattispecie di reato previste, la soglia concettuale di accettabilità è rappresentata da un sistema di prevenzione tale da poter essere eluso solo fraudolentemente.

Il documento citato incentiva, inoltre, una maggiore diffusione del modello 231, «baluardo» di una cultura d’impresa che accoglie in maniera positiva gli obiettivi di rafforzamento dei meccanismi di corporate governance e gestione dei rischi, oltre che di promozione di logiche gestionali che tengono conto delle sempre più impellenti esigenze connesse alla corporate social responsibility.

Per approfondire: Modello 231, in Settimana fiscale 20/2019