articoli  Il D.Lgs. 231/2001 al bivio dei vent’anni: è tempo di riflessioni

In questi ultimi 3-4 mesi di straordinario contesto emergenziale, la compliance 231 ha movimentato la vita delle imprese. La principale motivazione risiede nella necessaria cautela con la quale occorre proteggere la salute dei lavoratori dal rischio di contagio COVID-19 e, di riflesso, la salute della funzione datoriale e dell’impresa per i possibili effetti indesiderati in termini rispettivamente di responsabilità civile e penale e di responsabilità amministrativa[1].

Questa fiammata sarà passeggera oppure rappresenterà l’occasione utile affinché la compliance 231 possa assumere una solida centralità nella gestione delle imprese, anche in quelle di più limitata dimensione? Esistono spazi di miglioramento che possono facilitare questa evoluzione?

A giugno 2021 il D.Lgs. 231/2001 (d’ora in avanti “Decreto”, “231”) compirà 20 anni. Una lunga storia cadenzata da un continuo fiorire di reati presupposto e indirizzi giurisprudenziali e dottrinali che ne hanno delineato l’evoluzione.

Alcune riflessioni sono così necessarie anche per via del frequente formalismo che si incontra e che finisce per svilire la norma che, ad inizio del nuovo millennio, aveva rappresentato una positiva innovazione per il sistema economico italiano, finalizzata inizialmente a contenere gli effetti distorsivi e perversi dei reati contro la pubblica amministrazione.

L’impianto normativo è attuale e moderno

Corretta e indovinata si ritiene innanzitutto la scelta del legislatore di non dare carattere di obbligatorietà al Decreto. Libera, quindi, l’impresa di decidere di applicare o meno il Decreto e di costruirsi una sorta di polizza assicurativa per coprire i rischi di subire sanzioni anche particolarmente incidenti, a seguito di quella che viene ritenuta dalla giurisprudenza, oramai in modo granitico, una sostanziale colpa dell’organizzazione. Qualche eccezione per la verità esiste: le società private accreditate al servizio sanitario pubblico di alcune regioni come Lombardia e Sicilia hanno l’obbligo di adottare il Decreto. Ma la sostanza non cambia.

Il pungolo sul quale occorre insistere per far comprendere l’importanza della compliance 231 non è comunque il timore della sanzione, percepita il più delle volte distante e applicabile solo agli altri, bensì la sua capacità di caratterizzare l’ambiente operativo aziendale attraverso buone pratiche e processi più controllati ed efficienti, per una gestione con rischi più contenuti, comunque valutati ed accettati. L’applicazione del Decreto, quindi, come strumento di costante check-up aziendale e diffusione di importanti capisaldi organizzativi come la regolamentazione dei processi, la segregazione dei compiti, la tracciabilità e controllabilità delle operazioni, la coerenza tra deleghe e poteri degli amministratori e apicali.

Moderno e attuale si ritiene l’impianto normativo voluto dal legislatore. Un contenitore che consente di essere riempito in funzione delle specifiche esigenze di business ed organizzative, dello stadio di sviluppo, della propensione al rischio dell’impresa. Il legislatore non poteva del resto fare altrimenti onde evitare di comprimere con eccessi prescrittivi la libertà dell’imprenditore di organizzare la propria impresa. Si è limitato quindi a:

  • identificare i reati presupposto della responsabilità amministrativa, divenuti nel tempo così numerosi – più di 160 reati ordinati in 23 gruppi – da comportare di fatto l’esposizione al rischio di tutte le attività e funzioni d’impresa;
  • indicare i criteri di imputazione (soggettivi e oggettivi) verificati i quali l’impresa è esposta al rischio di trovarsi coinvolta in un procedimento giudiziario per responsabilità amministrativa;
  • specificare le condizioni attraverso le quali l’impresa può beneficiare dell’esimente. Con il sostanziale ribaltamento dell’onere della prova. Al verificarsi di uno o più reati presupposto ed in presenza dei criteri di imputazione, la responsabilità scatta in modo quasi automatico; spetta all’impresa provare la sussistenza delle condizioni (scelte organizzative) grazie alle quali la società è esentata dalla responsabilità[1].

Quanto all’ultimo punto, l’art. 6 comma 1 del Decreto recita:

Se il reato è stato commesso dalle persone indicate nell´articolo 5, comma 1, lettera a) (ndr persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell´ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale nonchè da persone che esercitano, anche di fatto, la gestione e il controllo dello stesso) l´ente non risponde se prova che:

  1. l´organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, modelli di organizzazione e di gestione idonei a prevenire reati della specie di quello verificatosi;
  2. il compito di vigilare sul funzionamento e l´osservanza dei modelli di curare il loro aggiornamento è stato affidato a un organismo dell´ente dotato di autonomi poteri di iniziativa e di controllo;
  3. le persone hanno commesso il reato eludendo fraudolentemente i modelli di organizzazione e di gestione;
  4. non vi è stata omessa o insufficiente vigilanza da parte dell´organismo di cui alla lettera b).”

Nella scelte organizzative, l’impresa può dunque muoversi in modo abbastanza libero, pur dovendo rispettare i paletti imposti dalla normativa e suggeriti dagli orientamenti giurisprudenziali. Una volta tanto, lo Stato interviene con una norma poco burocratica che affida la sua efficacia di funzionamento alla sapiente interpretazione dell’impresa e, soprattutto, al suo impegno ed alla sua capacità di rendere operative le disposizioni previste dai suoi modelli di organizzazione e di gestione (d’ora in avanti anche “MOGC” o “Modello”). Attraverso l’effettiva applicazione di disposizioni sviluppatesi negli anni grazie anche a linee guida e buone prassi sviluppatesi nel mercato.

Certo, l’incremento vertiginoso negli anni dei reati presupposto, da ultimo quelli tributari a dicembre 2019, ha reso più complesso e articolato il percorso attuativo. Proprio da questa considerazione si intende partire per identificare alcune aree di miglioramento che possono rendere più fluido ed efficace il percorso attuativo e contribuire a quella reale centralità prima evocata. Lasciando a luoghi più qualificati e competenti le riflessioni su eventuali miglioramenti della norma. Con l’auspicio personale però che le future modifiche non stravolgano l’impianto normativo.

Rifletteremo, in particolare, su tre punti cardine della compliance 231: la predisposizione del Modello, la sua effettiva attuazione e la vigilanza.

Spazio ad un Modello più pragmatico ed operativo

Per la stesura dei Modelli, il riferimento principale sono divenute nel corso degli anni le linee guida tra le quali quelle di Confindustria e del CNDCEC. Si sono sviluppate, inoltre, ulteriori linee guida specialistiche di associazioni di settore.

Oggi il MOGC risulta solitamente suddiviso in:

  • Parte Generale che descrive i contenuti del Decreto, le finalità del Modello, la descrizione, il business ed il sistema di governance della Società, le attività sensibili e i reati presupposto rilevanti, i poteri dell’Organismo di Vigilanza (d’ora in avanti anche “OdV” o “vigilanza”), i flussi informativi verso l’OdV, le loro modalità di attivazione, il sistema sanzionatorio, le modalità operative di comunicazione, formazione ed aggiornamento del Modello.
  • Parte Speciale, articolata per gruppi di reato (ad esempio reati contro la PA, reati societari, reati ambientali, …) con la descrizione delle attività sensibili, i protocolli specifici di controllo (controlli preventivi), i principi specifici di comportamento, le funzioni aziendali più esposte, i flussi informativi specifici all’OdV.
  • Codice Etico, la carta dei valori aziendali che sintetizza i comportamenti generali che amministratori, organi di controllo, procuratori, dipendenti, consulenti, fornitori, clienti, in genere gli stakeholder (interni ed esterni) devono rispettare nell’ambito delle proprie attività e responsabilità e nel rapporto con la Società.

L’esperienza sul campo dimostra la convenienza di predisporre Modelli che, deliberati dal massimo organo societario, rappresentino una fonte normativa primaria dell’impresa. In altri termini, il Modello va interpretato come una sorta di regolamento generale, un set di disposizioni che, caratterizzando il funzionamento aziendale, sia in grado di creare un efficace scudo protettivo e preventivo atto a supportare la buona gestione d’impresa.

Poiché la gestione è dinamica per definizione e comporta costanti evoluzioni delle attività aziendali e del tessuto organizzativo, l’orientamento prevalente è di non inserire nel MOGC procedure[2] onde evitare che le loro evoluzioni – dovute spesso a motivazioni non collegate alla 231 – comportino l’esigenza di continui aggiornamenti del Modello, dunque passaggi formali dell’organo amministrativo. E’ preferibile intervenire sul MOGC[3] solo a seguito di modifiche della norma, variazioni legali ed organizzative, apertura/chiusura di nuove sedi, modifica/chiusura/avvio di attività aziendali, lacune di controllo. In tal modo, si potrà concentrare l’azione del management sull’allineamento delle procedure operative e dei regolamenti aziendali alle disposizioni del Modello, evitando così che quest’ultimo insegua l’organizzazione e finisca per essere in perenne elaborazione. Con l’ulteriore beneficio di evitare il fenomeno della duplicazione delle fonti normative interne e dei conflitti che si andrebbero a generare. Con un Modello così impostato, ci si può dedicare più agevolmente alla sua effettiva applicazione permettendo così allo stesso di dispiegare i suoi benefici e mitigare i rischi di commissione dei reati presupposto. L’aspetto rilevante è che il management sia sempre proattivo nell’iter di adeguamento dei processi operativi. Responsabilità quest’ultima oggetto di controllo da parte dell’Organismo di Vigilanza. Ma su questi punti si tornerà più avanti.

Dato per buono e accettabile quanto prima richiamato, all’alba dei 20 anni, è opportuno riflettere sull’impostazione di questi Modelli. Proprio a causa della numerosità dei reati presupposto, il Modello è documento che oggi supera di gran lunga le 100 pagine. Un lungo e verboso word con attività e prescrizioni che sovente si ripetono oppure si rimandano da gruppo di reato a gruppo di reato. Così congegnato, il documento risulta spesso di difficile lettura e complessa metabolizzazione da parte dell’impresa. Cosa succede allora in azienda? Occorre l’intervento di un traduttore interno che trasformi il Modello in documenti operativi articolati per funzione e processo. Trasformazione e accompagnamento che avviene se in azienda è attiva una funzione di compliance, dedicata a questa specifica attività. Se la funzione non è presente, si tratta della maggioranza delle imprese italiane, il percorso risulta molto più accidentato ed il management finisce fatalmente per convivere con il documento originario. Il primo reale ostacolo, quantomeno psicologico, per affrontare la fase attuativa. Il MOGC corre così il serio rischio di rimanere realmente e metaforicamente nel cloud, compromettendo la sforzo e l’investimento iniziale.

Premesso che per la stesura del Modello il lavoro congiunto e multidisciplinare di giuristi, aziendalisti, tecnici, esperti del business è quanto mai opportuno, per facilitare l’attività di deployment si potrebbero predisporre documenti più snelli con un linguaggio più operativo ed aziendalistico. L’opzione ideale sarebbe integrare oppure sostituire la tradizionale vista per gruppi di reato con la vista per processo. Valutazione quest’ultima da lasciare all’impresa con il supporto dei professionisti esterni incaricati.

Rispetto alle lunghe paginate di protocolli di controllo suddivisi per ciascuna attività sensibile all’interno di ciascun gruppo di reati (vista per reati), sperimentare schede di controllo di processo, articolate per attività, con la descrizione dei reati cui è esposto il processo, le modalità commissive, le funzioni più esposte, i codici di comportamento, i protocolli di controllo per la prevenzione 231 (vista per processo). In tal modo, si permetterebbe all’azienda di avere a disposizione uno strumento più immediato e intuitivo per controllare l’aderenza delle procedure alle disposizioni del Modello e implementare più agevolmente gli eventuali gap.

Per ottenere un MOGC customizzato alle esigenze aziendali, è notorio poi che sia necessaria a monte la valutazione dei rischi e la mappatura delle attività/processi sensibili e delle funzioni aziendali più esposte:

  • l’attività rileva l’esposizione al rischio 231 delle attività aziendali ed i controlli in essere; sulla base della valutazione del rischio residuo e del suo livello di accettabilità, le necessarie azioni di rafforzamento, dunque l’esigenza di interventi organizzativi e procedurali da inserire come disposizioni del MOGC, e quindi nel piano operativo di allineamento;
  • se la valutazione dei rischi è granulare, impostata per processo anche con il supporto di un file excel, le schede di controllo – inizialmente ci si può concentrare sui processi più esposti ai rischi (risk based approach) – risultano più rapidi da predisporre poiché seguono l’impostazione iniziale del risk assessment;
  • poiché la valutazione dei rischi va aggiornata periodicamente in relazione alla dinamica dell’impresa e dell’evoluzione dei profili di rischio, se sin dall’inizio è impostata la vista per processo, anche l’aggiornamento del Modello risulta più veloce.

Al termine del lavoro, si avrebbero così i seguenti documenti:

  • le griglie di risk assessment impostate per processo;
  • la Parte Generale in linea con i contenuti tradizionalmente presenti;
  • la Parte Speciale arricchita (o sostituita) dalle schede di controllo con evidenza dei reati presupposto cui sono esposte le singole attività, le funzioni più direttamente interessate, le modalità commissive dei reati, i protocolli di controllo, i codici di comportamento ed i flussi informativi specifici da inviare all’OdV;
  • il Codice Etico in linea con i contenuti tradizionalmente presenti;
  • il piano operativo di allineamento che, sulla base degli specifici requirements del Modello, descriva gli interventi aziendali, con responsabilità e tempistiche, intesi a riassorbire i gap e attuare così in modo completo il MOGC.
  • eventuali allegati tra i quali i principali richiami al Decreto ed il catalogo aggiornato dei reati.

Consapevole che la materia non si possa esaurire in poche battute, in questa sede si intende sottolineare l’esigenza di rivedere alcuni approcci metodologici oramai consolidati e diffusi che, soprattutto attraverso opportuni strumenti operativi, consentano il più agevole ed efficace percorso attuativo.

A beneficio soprattutto della stragrande maggioranza delle imprese che non ha e non può permettersi una funzione di staff in grado di accompagnare e supportare la compliance 231 all’interno dell’organizzazione. A beneficio anche di quelle che colgono l’occasione per avviare, sin dall’inizio del percorso attuativo, un ufficio di compliance 231 (interno oppure in outsourcing), sia esso autonomo oppure incardinato in una funzione già esistente.

Responsabilizzazione del management nell’attuazione del MOGC

Si osserva, sovente, un orientamento del management che, benchè abbia deciso liberamente di applicare il Decreto, tende ad affrontare il percorso attuativo con una certa ritrosia. Il momento deliberativo di adozione del Modello, invece di coincidere con l’avvio del percorso attuativo, è sovente percepito quasi come la fine del lavoro. Proprio nel momento in cui lo stesso organo amministrativo nomina l’OdV con compiti di vigilare sull’attuazione, il rispetto e l’efficacia del Modello.

Il fulcro dell’attuazione e dell’efficace funzionamento del MOGC è il management che deve garantire diretto e costante impegno. Sin dall’inizio. Soprattutto all’inizio. Se così non fosse, si renderebbero vani non solo gli investimenti sostenuti ma anche gli sforzi della vigilanza, pur la migliore possibile, esponendo peraltro l’ente alla fatidica responsabilità amministrativa. Un investimento che così corre il rischio di divenire mero costo.

Posto che la 231, come tutta la compliance aziendale, non funziona con lo spauracchio della punizione, occorre prima di tutto che il management comprenda l’importanza della decisione aziendale di applicare il Decreto e si responsabilizzi a dovere. Così come gli anticorpi impediscono la trasmissione di un virus tra diversi organismi, allo stesso modo gli anticorpi 231 nell’organizzazione impediscono il contagio dell’azienda. Gli anticorpi sono il commitment del management, il comportamento consapevole del decisore aziendale. La prevenzione si fa solo se i manager diventano le sentinelle della compliance. Diversamente, anche nei più sofisticati controlli interni, si rischia di arrivare in ritardo. Addio prevenzione.

L’unico sistema di prevenzione davvero efficace e funzionante è il mix di a) sani e saldi principi fondanti dell’impresa; b) ambienti operativi con efficaci controlli preventivi, c) manager responsabili e consapevoli dei rischi. Alla base di tutto occorre però il lavoro costante del vertice aziendale che con l’esempio, la motivazione e la forza della lungimiranza sia in grado di infondere, a tutti i livelli, saldi valori etici e chiari principi di gestione. Promuovendo obiettivi di social responsability, coesione valoriale e compliance aziendale, arricchendo gli indicatori quantitativi del business, attraverso i quali vengono solitamente determinati i premi annuali, con nuovi indicatori di performance. Nel sistema di rewarding oggi non possono non entrare le tematiche della compliance e della sostenibilità sociale dell’impresa. Quanto prima si farà questo salto in avanti tanto più l’impresa ne trarrà beneficio anche sotto il profilo della competitività. Minore sarà nel tempo il numero di aziende che competerà in modo sleale, maggiore sarà lo spazio per la competizione basata sulle competenze ed il merito.

Si tratta di un investimento culturale di lungo termine, una sfida di ampio respiro. Non mi pare esista alternativa. Vi sono imprese che si sono mosse, anche da tempo, lungo questa direttrice. Occorre impegnarsi per la diffusione di questi concetti. Anche nelle imprese di dimensioni più ridotte, nelle quali il motore manageriale è ancora ridotto.

E se l’emergenza economica impone oggi nell’agenda di molte realtà imprenditoriali il drammatico tema della sopravvivenza, le imprese, superata la fase emergenziale, dovranno affrontare, si auspica con l’ausilio di mirate politiche industriali, questo fondamentale tema strategico.

 

Legittimazione della vigilanza e impegno professionale dell’OdV

L’impegno del management significa legittimazione della vigilanza. Si parla spesso del disagio di essere nominati da un organo amministrativo che diventa la prima funzione oggetto di vigilanza. La principale fonte del disagio risiede, invece, nella difficoltà di instaurare un rapporto franco e collaborativo con l’organo amministrativo. Troppo timide le prime uscite dell’OdV. Troppo deboli i rapporti devoluti ad un paio di report annuali. Troppo saltuari i passaggi che solitamente l’OdV compie in CdA. Anche qui vale quanto detto in precedenza. Se nelle aziende di più grandi dimensioni, i servizi di staff (legale, compliance, organizzazione, internal audit, …) diventano gli interlocutori stabili della vigilanza, magari entrando con un suo rappresentante nel collegio dell’OdV, e garantiscono il necessario grip per l’espletamento del mandato, nella stragrande maggioranza delle aziende italiane che non beneficiano di queste funzioni, la vigilanza, espletata da professionisti esterni, si confronta con interlocutori spesso occasionali. L’OdV finisce così inesorabilmente per scivolare e diluirsi.

L’OdV, quale conseguenza di questa distanza, incontra non poche difficoltà: formalismo interpretativo della compliance, precarietà e ritardo dei flussi informativi ricevuti, mancanza di segnalazioni di violazioni, disapplicazione del codice sanzionatorio, persistenza di disallineamento effettivo al Modello. Di fronte a tutto ciò, la vigilanza si trascina sino a fine mandato. Fatalmente, le riunioni dell’OdV si diradano ed i verbali si riducono nei contenuti. L’OdV apre così le porte alla responsabilità contrattuale di cui alla lettera d) del comma 1 dell’art. 6 del Decreto. Forse l’unica vera responsabilità della quale rispondere.

Sin da inizio mandato, l’OdV deve assumere, con metodo, professionalità e pazienza, una posizione solida, indipendente, coerente alle responsabilità che il Decreto le assegna. Deve stimolare il dialogo e, con un chiaro contratto psicologico, far comprendere le finalità del Decreto e della sua azione. Deve incontrare gli amministratori ed i manager e promuovere il dialogo con le linee operative. Senza toni ispettivi ed eccessivamente invasivi. A maggior ragione quando l’impresa è ad inizio del percorso e sconta una comprensibile inesperienza. Deve promuovere continue iniziative di formazione ed informazione così da posizionare in modo corretto la 231 e la vigilanza nella mente delle persone.

L’OdV si proponga per essere presente alle sedute deliberative dell’organo amministrativo e richieda i relativi verbali. A questo proposito, molto utile, al fine di stimolare il rapporto con l’organo amministrativo, è il rapporto con l’organo di controllo. Pur essendo il collegio sindacale (sindaco unico) con revisione legale destinatario del Modello per le attività connesse al processo di formazione ed approvazione del bilancio di esercizio, è molto utile promuovere tra le due funzioni una costante collaborazione. Anzi, nominare un sindaco quale componente dell’OdV collegiale, la norma lo consente, significa favorire in modo quasi automatico l’integrazione. Quel professionista che, in qualità di sindaco, partecipa di diritto alle sedute del CdA rappresenta il link automatico tra organo amministrativo e OdV, risolvendo alla fonte l’eventuale buco informativo. Formalità vorrebbe, comunque, che nell’apposita sezione del Modello sia scritto nero su bianco che, tra gli obblighi informativi del management verso l’OdV, vi siano i verbali del CdA. Possibilmente anche il diritto dell’OdV di partecipare alle riunioni del CdA.

L’azione professionale, progressiva e continua dell’OdV scioglie qualsiasi ambiguità:

  1. se il management non fornisce alcun segnale di apertura e collaborazione, anzi peggio si chiude ancor più a riccio, occorre prenderne doverosamente atto e, soprattutto se il mandato è temporalmente avanzato, concludere l’incarico e non affrontare il secondo mandato;
  2. se il management fornisce segnali di comprensione e legittimazione dell’operato, la vigilanza può procedere innanzi e consolidare il ruolo che il Decreto le assegna.

*****

Le evoluzioni sulle riferite materie possono imprimere una spinta decisiva per l’auspicata centralità della compliance 231 nella gestione dell’impresa. Nel loro combinato disposto, consentono infatti di allineare i due piani, formale e sostanziale, attraverso:

  • effettiva e consapevole attuazione delle disposizioni del Modello;
  • responsabilizzazione diretta del management su una materia cardine per l’efficiente ed efficace gestione aziendale, a prescindere dagli obiettivi esimenti dalla responsabilità amministrativa dell’ente;
  • efficacia della funzione di vigilanza che da ufficio slegato e avulso dalla vita dell’impresa diventa funzione indipendente ed autonoma riconosciuta dall’organizzazione, intesa a promuovere e sollecitare continui miglioramenti nella gestione aziendale attraverso l’esercizio delle prerogative che la normativa le attribuisce.

E, guardando al prossimo futuro, la centralità può ulteriormente consolidarsi laddove la compliance 231 diventi pilastro degli adeguati assetti organizzativi, amministrativi e contabili, obbligo dell’imprenditore ai sensi del novellato art. 2086 c.c., nonché punto di riferimento per le nuove procedure di allerta previste dal Codice della crisi d’impresa e dell’insolvenza.

Quelle descritte rappresentano linee evolutive ritenute urgenti affinché si possa effettuare un vero scatto in avanti. Se vogliamo evitare che la compliance 231 continui troppo spesso a scorrere su un piano diverso e parallelo rispetto alle azioni di coloro che prendono le decisioni e gestiscono le risorse, occorre operare con pazienza e metodo, partendo dai valori e le tradizioni dell’imprenditore. Gradatamente gli amministratori, i dirigenti, i funzionari, accetteranno queste pratiche sino a farle divenire naturali comportamenti quotidiani. Viceversa rimarremo nel campo del mero formalismo oppure dei controlli ex post i cui limiti ben si conoscono.

L’appello affinchè si operi un balzo in avanti è rivolto a tutti. Allo Stato che troppo spesso si dimentica le politiche industriali e di sviluppo intese a favorire il corretto equilibrio tra competitività e legalità. Alle associazioni industriali che devono intensificare le loro iniziative di promozione e diffusione dell’innovazione, la qualità, la buona gestione. Alle imprese che spesso limitano l’azione della compliance 231 in un angolo formalistico pur in presenza di una norma per nulla burocratica. Ai professionisti che si occupano di queste materie, sovente attratti da pulsioni autoreferenziali di esasperato tecnicismo. Ai manager e uomini di azienda che talvolta vivono con insofferenza e ritrosia questo mondo che sentono lontano e di freno al business. Agli operatori del diritto che dovrebbero sforzarsi di maggiormente fondere le loro sapienti valutazioni e disquisizioni alla realtà industriale del Paese.

[1] Nel caso di reato commesso dai collaboratori diretti degli apicali, il Decreto prevede invece che spetti all’accusa dimostrare che il reato presupposto è stato commesso a seguito del difetto di controllo da parte del superiore gerarchico.

[2] Per procedura si intende un documento di natura organizzativa e regolamentare che descrive, secondo modalità proprie, le modalità operative attraverso le quali occorre svolgere una determinata attività (liquidazione della fattura) oppure uno specifico processo (ciclo passivo).

[3] Le migliori pratiche tendono a sviluppare un concetto di Modello dinamico. In alcune società, con cadenza periodica, il MOGC è sottoposto ad autovalutazioni e stress-test per identificare punti critici e definire interventi di miglioramento. La numerosità dei reati presupposto e dei processi aziendali impattati, le costanti evoluzioni delle modalità di commissione dei reati e gli orientamenti giurisprudenziali suggeriscono l’effettuazione di questi interventi, utili peraltro per tenere alta la tensione delle funzioni aziendali sull’obbligo del rispetto delle disposizioni previste e per favorire l’effettuazione di check-up quantomai opportuni.
Scarica il documento allegato