Dopo 7 anni dalla pubblicazione delle linee guida del 2014, a giugno 2021 Confindustria ha aggiornato le Linee Guida per la costruzione dei Modelli di organizzazione, gestione e controllo ai sensi del Decreto Legislativo 8 giugno 2001, n. 231.
Mediante il predetto documento, Confindustria si propone di “offrire alle imprese che abbiano scelto di adottare un modello di organizzazione e gestione una serie di indicazioni e misure, essenzialmente tratte dalla pratica aziendale, ritenute in astratto idonee a rispondere alle esigenze delineate dal decreto 231.”
Di seguito si indicano e si riassumono le principali indicazioni fornite dall’associazione di categoria. 

I.              INDIVIDUAZIONE DEI RISCHI E DEI PROTOCOLLI

Le fasi principali in cui il sistema di prevenzione dei rischi 231 dovrebbe articolarsi sono le seguenti:

a)     l’identificazione dei rischi potenziali: ossia l’analisi del contesto aziendale per individuare in quali aree o settori di attività e secondo quali modalità si potrebbero astrattamente verificare eventi pregiudizievoli;
b)     la progettazione del sistema di controllo (cd. “protocolli” per la programmazione della formazione e attuazione delle decisioni dell’ente), ossia la valutazione del sistema esistente all’interno dell’ente per la prevenzione dei reati ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente, cioè ridurre ad un livello accettabile, i rischi identificati. A tal proposito, si precisa che per livello accettabile deve intendersi come sistema di prevenzione che può essere aggirato se non fraudolentemente,
c)     le componenti sopra descritte devono integrarsi organicamente in un’architettura del sistema che rispetti una serie di principi di controllo;
d)     whistleblowing: le imprese dotate del modello organizzativo 231 devono disciplinare le modalità per effettuare le segnalazioni e le modalità di gestione delle stesse, distinguendo fasi e responsabilità, eventualmente con una procedura ad hoc.

I passi operativi che l’ente dovrà compiere per attivare un sistema di gestione dei rischi coerente con i requisiti imposti dal decreto 231 sono i seguenti:

1)     Il compimento di una revisione periodica esaustiva della realtà aziendale, con l’obiettivo di individuare le aree che risultano interessate dal potenziale compimento di taluno dei reati previsti dalla normativa;
2)     l’analisi dei potenziali rischi che deve aver riguardo alle possibili modalità attuative dei reati nelle diverse aree aziendali, individuate secondo il processo di cui al punto precedente; 
3)     valutazione del sistema di controlli preventivi eventualmente esistente e con il suo adeguamento quando ciò si riveli necessario, ovvero con la sua costruzione quando l’ente ne sia sprovvisto; 

II.             CODICE ETICO O DI COMPORTAMENTO E SISTEMA DISCIPLINARE 

a)     Il Codice Etico

L’adozione di principi etici rilevanti ai fini della prevenzione dei reati 231 costituisce un elemento essenziale del sistema di controllo preventivo. Tali principi possono essere inseriti in un codice etico o di comportamento.
Tali codici mirano a raccomandare, promuovere o vietare determinati comportamenti, indipendentemente da quanto previsto a livello normativo, e possono prevedere sanzioni proporzionate alla gravità delle eventuali infrazioni commesse. I codici etici sono documenti voluti ed approvati dal massimo vertice dell’ente. Il Codice etico dovrebbe focalizzarsi sui comportamenti rilevanti ai fini del decreto 231.

b)     Il sistema disciplinare

Un punto qualificante nella costruzione del modello è costituito dalla previsione di un adeguato sistema sanzionatorio per la violazione delle norme del Codice etico, nonché delle procedure previste dal modello. Infatti, per valersi dell’efficacia esimente del modello, l’ente deve assicurarsi che questo sia adottato, ma anche efficacemente attuato. 
Il modello dovrebbe, cioè, individuare nel dettaglio le misure disciplinari cui si espone chiunque non osservi le misure organizzative adottate, ricollegando a ciascuna violazione o gruppo di violazioni le sanzioni applicabili, in una prospettiva di gravità crescente. 

III.           L’ORGANISMO DI VIGILANZA

L’organismo di vigilanza, deputato a vigilare sul funzionamento e l’osservanza del modello e di curarne l’aggiornamento, deve svolgere le seguenti attività:

a)     vigilare sull’effettività del modello, cioè sulla coerenza tra i comportamenti concreti e il modello istituito; 
b)     esaminare l’adeguatezza del modello, ossia della sua reale capacità di prevenire i comportamenti vietati; 
c)     analizzare il mantenimento nel tempo dei requisiti di solidità e funzionalità del modello; 
d)     curare il necessario aggiornamento in senso dinamico del modello, nell’ipotesi in cui le analisi operate rendano necessario effettuare correzioni ed adeguamenti.