Controllo rischi: il coordinamento è la soluzione

La prevenzione dei rischi richiede un coordinamento sempre più stretto tra Modello 231, funzioni di controllo e organi societari. Il dato di fatto emerge da un’attenta analisi del documento “L’Applicazione del d.lgs.231/01 al settore bancario, assicurativo e finanziario” pubblicato nel febbraio 2026 da parte dell’Associazione dei Componenti degli Organismi di Vigilanza (AODV) che propone una riflessione articolata sul ruolo della governance e dei sistemi di controllo nelle imprese vigilate.

Il documento muove da una constatazione preliminare: negli intermediari vigilati la responsabilità dell’ente non si innesta su un’organizzazione neutra, ma su un sistema già densamente regolato, composto da presidi prudenziali, funzioni di controllo e procedure tecniche. Di conseguenza il Modello di Organizzazione e Gestione ex d.lgs 231/01 (MOG 231/01) non può essere progettato come un corpo autonomo e parallelo; deve invece funzionare come una struttura di coordinamento della compliance già esistente.

Il documento a cui si rimanda per approfondimenti, affronta inoltre ulteriori interessanti profili di rilievo per gli intermediari vigilati, tra cui il ruolo del Modello 231 e dell’Organismo di Vigilanza nei gruppi bancari, il sistema dei flussi informativi nonché le interazioni tra la disciplina del D.Lgs. 231/2001 e quella antiriciclaggio prevista dal D.Lgs. 231/2007 ed infine le indicazioni provenienti dalle Linee guida EBA.

Si evidenzia innanzitutto la convergenza tra finalità della vigilanza prudenziale e finalità del MOG 231/01. Le norme di settore mirano a una sana e prudente gestione, prevenzione di attività illecite, affidabilità dei processi e correttezza verso il mercato; il decreto legislativo 231/01 persegue la prevenzione dei reati mediante un’organizzazione idonea. Cambia la prospettiva, ma non l’obiettivo sostanziale.

Architettura dei controlli coerente

Questa sovrapposizione emerge con particolare evidenza sul piano organizzativo: segregazione dei poteri, tracciabilità decisionale, controlli multilivello, formalizzazione delle procedure e flussi informativi sono richiesti sia dalle autorità di vigilanza sia dal MOG 231/01. Il risultato è che un modello efficace non nasce dall’introduzione di nuove regole, bensì dalla mappatura di quelle già esistenti e dalla loro qualificazione giuridica. L’adempimento non consiste quindi nell’aggiungere documentazione, ma nel rendere coerente l’architettura dei controlli.

Il punto decisivo riguarda il ruolo delle funzioni aziendali di controllo: internal audit, compliance e antiriciclaggio svolgono attività di verifica dei processi e individuazione delle anomalie che coincidono, nella sostanza, con i controlli richiesti dal Modello ex d.lgs. 231/2001. Il Decreto Legislativo 231/01 richiede una funzione dotata di autonomia e indipendenza e le regole europee insistono sulla presenza di controlli indipendenti con reporting diretto agli organi gestori. In questa prospettiva l’organismo di vigilanza non è un organismo isolato, ma un nodo di coordinamento che utilizza anche verifiche già presenti nell’organizzazione.

La stessa logica si riflette sui protocolli del MOG 231/01: molte procedure aziendali, come quelle antiriciclaggio, di gestione delle informazioni privilegiate o di product governance, possono costituire direttamente presidi di prevenzione dei reati. Il lavoro richiesto all’ente è allora un’attività di risk assessment e gap analysis volta a dimostrare la loro idoneità preventiva ai fini del d.lgs.231/01. L’efficacia del modello non deriva dalla quantità di regole, ma dalla documentazione delle scelte organizzative ex ante.

Il ruolo degli indipendenti

In questo contesto analizziamo il ruolo degli amministratori indipendenti: in alcune realtà l’organismo di vigilanza include anche un consigliere non esecutivo e indipendente (organismo ad hoc a composizione mista). Nel documento difatti ci si è interrogati sulla possibilità che la funzione dell’Organismo di Vigilanza possa coincidere, in tutto o in parte (nel caso di collegio sindacale), con il ruolo di amministratore indipendente, componente del collegio sindacale, titolare di funzioni aziendali interne (quali il responsabile dell’Internal audit o dell’Ufficio legale), etc.

Tale opzione incide inevitabilmente sul requisito fondamentale dell’indipendenza. In proposito, la dottrina più autorevole sottolinea come la composizione mista dell’OdV rappresenti la soluzione preferibile, poiché consente di bilanciare l’esigenza di indipendenza con quella di una adeguata conoscenza dei meccanismi operativi interni.

Inoltre, anche per gli amministratori indipendenti il modello diventa sicuramente uno strumento di valutazione della qualità dei controlli e permette di verificare la cultura del rischio dell’organizzazione. Attraverso il MOG 231/01 si può verificare se l’impresa governa effettivamente i rischi relativi.

Per il consiglio di amministrazione le conclusioni sono nette: il Modello di Organizzazione e Gestione ex d.lgs 231/01 non è un allegato giuridico ma una scelta di architettura aziendale. La duplicazione dei controlli produce inefficienze e non rafforza la prevenzione; l’integrazione invece riduce i rischi perché rende verificabile la razionalità dell’organizzazione.

Il messaggio conclusivo è che nei settori vigilati la responsabilità 231 non si gestisce aumentando la regolazione interna ma armonizzando quella già imposta dall’ordinamento. Quando controlli, audit e organismo di vigilanza operano come un sistema integrato, la prevenzione del reato diventa conseguenza naturale della buona governance. Quando restano compartimenti separati, la responsabilità dell’ente torna a essere un evento possibile anziché un rischio governato.

Angela Bonizzi: consulente di Governance & Leadership Advisory