"Offrire alle imprese, che abbiano scelto di adottare un modello di organizzazione e gestione, una serie di indicazioni e misure, essenzialmente tratte dalla pratica aziendale, ritenute in astratto idonee a rispondere alle esigenze delineate dal decreto 231 [...] mira a orientare le imprese nella realizzazione dei modelli. Pertanto, fermo restando il ruolo chiave delle Linee Guida sul piano della idoneità astratta del modello che sia conforme ad esse, il giudizio circa la concreta implementazione ed efficace attuazione del modello stesso nella quotidiana attività dell’impresa è rimesso alla libera valutazione del giudice… Quest’ultimo compie un giudizio sulla conformità e adeguatezza del modello rispetto allo scopo di prevenzione dei reati da esso perseguito”.
Quanto sopra è ciò che recita la LG 231, la quale espone delle finalità effettivamente molto chiare. Dovremmo però soffermarci a riflettere sull’ambiente aziendale, correlato a tutto ciò, e sulle nuove tematiche poste in essere dalle Linee Guida di Confindustria.
Le nuove Linee Guida trattano dei metodi di controllo interno, e nell’individuazione dei modelli di Risk management rimandano ai framework COSO Internal Control Framework e al COSO enterprise Risk Management.
Il problema è che la nuova LG 231 tratta gli eventi a rischio solo nell’accezione negativa, quando a volte possono rivelare anche un lato positivo: le opportunità di miglioramento, crescita e benessere per l’azienda e per la collettività ad esempio, ma anziché come tema a sé, la gestione del rischio, va permeata all’interno dell’azienda, così da anticipare eventuali problemi.
"Il modello non deve rappresentare un adempimento burocratico, una mera apparenza di organizzazione. Esso deve vivere nell’impresa, aderire alle caratteristiche della sua organizzazione, evolversi e cambiare con essa"
Si deve essere perciò consapevoli di quali sono le possibilità per la singola organizzazione, per valutare i modelli.
Purtroppo, molte aziende sono ancora convinte che il solo aver definito un modello 231 basti come esimente; il fatto è che è fondamentale applicarlo con una visione sul lungo periodo per poter raggiungere gli obiettivi aziendali e le performance correlate.
Flussi Informativi
Un altro aspetto importante, che viene evidenziato con le linee guida, è l’importanza dei flussi informativi tra l’OdV 231 e il Collegio Sindacale, con la funzione Internal Audit.
Forse sarebbe servito un approfondimento o comunque un rinvio al framework del 3 Lines Model; ma la cosa fondamentale resta comunque la condivisione delle informazioni ed una collaborazione concreta tra l’Organismo di Vigilanza e i vari attori del controllo.
Per concludere, se la cultura del rischio non aumenta in consapevolezza però, non si può procedere realmente con un’implementazione del risk management 231; a meno che non si voglia continuare a mettere in luce i modelli 231 come soli adempimenti burocratici, bisogna perciò velocizzare i processi decisionali e garantire conformità e trasparenza.
