Il modello organizzativo 231, inteso come l’insieme dei processi atti a prevenire e controllare le condotte del personale aziendale, può essere considerato il punto nodale del sistema complessivo di risk management e della gestione della compliance, nonché la base di sviluppo per l’adozione dei nuovi principi di sostenibilità.
Che cos’è il modello organizzativo 231
Il modello organizzativo 231 rappresenta un insieme sistemico di processi, protocolli, regole, procedure che possono presentarsi in forma cartacea o digitale. La scelta è una questione di opportunità basata solo ed unicamente sulle caratteristiche degli interlocutori principali: i tribunali.
La legge nulla prescrive in merito alla forma, ma si focalizza sul contenuto. È possibile avere un modello organizzativo perfetto, senza per questo essere in possesso di una parte generale e di una parte speciale. Viceversa, vi sono aziende che pensano di essere dotate di un modello organizzativo perfetto, ma che in realtà sono solo in possesso di una parte generale ed una parte speciale, consistenti in documenti assolutamente generici, spesso redatti in modalità “copia e incolla” e lasciati ammuffire in un qualche sconosciuto cassetto dell’amministrazione.
Il ruolo del modello organizzativo deve evolvere da mero adempimento a contenitore dinamico e unico della compliance integrata aziendale che dovrà accogliere anche tematiche ESG e di compliance specifiche dell’attività di impresa effettivamente esercitata.
Le caratteristiche del modello organizzativo 231
Il modello organizzativo 231 ideale deve essere dinamico, integrato, digitalizzato ed essere rivolto alle tematiche ESG e digitalizzato. Per il dinamismo bisogna puntare su una infrastruttura fissa e su un appropriato “motore” di gestione.
L’infrastruttura fissa si fonda sui seguenti pilastri:
- Un solido organigramma aziendale che non si limiti alla rappresentazione grafica, ma che raccolga, per ogni soggetto, la sua job descritpion, le deleghe, le procure, la conseguente collocazione nelle aree di rischio (attività questa successiva al risk assessment)
- Un solido sociogramma di gruppo che non si limiti ad essere una rappresentazione grafica ma che raccolga anche le informazioni di interrelazione tra le varie società come ad esempio quelle che riguardano la governance (per le nomine ripetute e incrociate), i contratti di finanziamento, i prestiti di personale, i servizi infragruppo, i rapporti di core business, la tipologia del rapporto partecipativo. L’obiettivo è quello di individuare una opportuna segregation of duty, opponibile ai terzi
- Una adeguata individuazione delle aree di rischio 231 ed una conseguente analisi del livello di compliance per l’emissione dei piani di rimedio e/o intervento (Risk assessment)
- Un giusto setup dei sistemi di prevenzione consistenti soprattutto in una approfondita formazione continua dei dipendenti
Il “motore” consiste invece in un sistema di gestione documentale intelligente, ovvero dotato di processi automatizzati che consentano:
- Di relazionare le persone dell’organigramma con le aree di rischio e con il sociogramma in quanto attori delle relazioni tra società diverse. Ad esempio, sapere in ogni momento quali sono le persone coinvolte nei contratti di servizio infragruppo, oppure quelle connesse al rischio informatico o per altro reato 231;
- Di generare report (a beneficio dell’ODV o dell’internal audit) relativi allo status dei piani di intervento, avendo precedentemente individuato i responsabili dell’esecuzione.
- Di valutare in modo automatico, sulla base si del rischio inerente che delle attività di rimedio in corso, lo status del rischio residuo effettivo in relazione al livello di compliance raggiunto (vi sono aree che per quanto compliante al 100%, conservano un rischio residuo elevato).
Come integrare il modello
L’integrazione del modello si ottiene trattando le aree della matrice di materialità ESG alla stessa stregua delle aree di rischio 231 ed inserendole in sovrapposizione ai pilastri precedentemente individuati, per una corretta definizione delle responsabilità.
Ai fini della prevenzione e del controllo, non esiste alcuna differenza di processo tra un’area di rischio 231 ed un’area rilevante ai fini della matrice di materialità. Anche l’organigramma e il sociogramma, come per il modello 231, costituiscono la matrice comune per il controllo dello stato di avanzamento dei processi di rimedio o di miglioramento, grazie soprattutto al sistema di gestione documentale.
Il modello 231 è uno strumento inclusivo perché può essere considerato (e implementato) come un unico contenitore a disposizione delle funzioni risk, audit e compliance aziendali. La pratica insegna che laddove non esiste un approccio scientifico al tema, analisi dei rischi e compliance sono attività disseminate nelle funzioni aziendali.
Digitalizzazione del modello organizzativo 231
Infine la digitalizzazione del modello. Fino a qualche anno fa, digitalizzare voleva dire trasformare i documenti da cartacei a informatici. E’ necessario invece compiere un ulteriore sforzo verso la digitalizzazione dei processi, distinguendo il contenuto dal contenitore.
Il contenuto consiste nei pilastri dell’infrastruttura già visti. Il contenitore deve essere invece un sistema di gestione documentale che oltre alle attività dinamiche descritte sopra, deve essere in grado di sfruttare la potenzialità dell’intelligenza artificiale nei seguenti diversi ambiti:
- algoritmico, con riferimento all’analisi dei rischi ed alla produzione dei piani di rimedio.
- generativo, con riferimento ai documenti propri del modello a partire dalle job description, per arrivare alle policy aziendali passando attraverso la definizione del ciclo attivo e passivo
- generativo della reportistica utilizzando prompt di enquiry a testo libero
