Autore
Il piano annuale dei controlli è il documento che trasforma l’Organismo di Vigilanza da organo formale a presidio operativo. Senza di esso, l’attività di vigilanza è episodica, difficile da difendere in sede giudiziale e incapace di garantire una copertura sistematica delle aree a rischio. In questo articolo analizziamo come costruirlo correttamente: dai reati presupposto alle frequenze di controllo, dall’assegnazione delle responsabilità al rischio — concreto e sottovalutato — dei piani copiati da altri Modelli.
Perché il piano annuale è il fondamento di tutto
L’Organismo di Vigilanza ha, per legge, il compito di vigilare sul funzionamento e sull’osservanza del Modello di Organizzazione, Gestione e Controllo. Ma questa vigilanza non può essere esercitata in modo efficace — né dimostrata in caso di procedimento — se non è pianificata in anticipo, strutturata per aree e documentata.
Il piano annuale dei controlli è lo strumento che risponde a questa esigenza. Non è un documento di stile, né un adempimento pro forma: è la mappa operativa della vigilanza, il documento che dice cosa verrà verificato, quando, con quale frequenza, da chi e con quale metodologia. È anche il documento che, in sede di giudizio, dimostra che l’OdV non si è limitato a esistere, ma ha programmato e strutturato la propria attività.
La Cassazione e i Tribunali che si sono occupati di responsabilità ex D.Lgs. 231/01 hanno più volte sottolineato che la “vigilanza” richiesta dalla legge non è un concetto generico. È un’attività sistematica, proporzionata ai rischi specifici dell’ente, documentata e verificabile. Il piano annuale è la premessa indispensabile di questa sistematicità.
| Il punto di partenza obbligato: il Modello 231 già adottato
Il piano annuale dei controlli non si costruisce nel vuoto: nasce dal Modello 231 già adottato dall’ente, e in particolare dalla mappatura delle aree a rischio e dei processi sensibili già contenuta nel Modello stesso. Se il Modello è ben fatto, contiene già l’elenco delle aree di rischio, i reati presupposto associati, le procedure di controllo previste e i soggetti responsabili. Il piano annuale traduce questa struttura in un calendario operativo. |
Il catalogo dei reati presupposto: da dove partire
Il primo passo per costruire un piano di vigilanza è identificare quali categorie di reati presupposto sono rilevanti per lo specifico ente. Non tutti i reati del catalogo 231 hanno la stessa rilevanza per ogni azienda: la selezione dipende dal settore di attività, dalla struttura organizzativa, dalla tipologia di clienti e fornitori, e dai mercati in cui si opera.
Per un’azienda manifatturiera i reati più rilevanti saranno probabilmente quelli in materia di salute e sicurezza (art. 25-septies) e di reati ambientali (art. 25-undecies). Per una società di servizi finanziari, il profilo di rischio è diverso e richiede un’attenzione concentrata su altre categorie.
Le categorie prioritarie per una società di servizi finanziari
Prendiamo come riferimento operativo il caso di una società di servizi finanziari — consulenza, intermediazione, gestione patrimoniale — con rapporti regolari con soggetti istituzionali e clientela privata di fascia alta. Questo profilo espone l’ente ad alcune categorie di reati in modo strutturale:
| Categoria di reato | Priorità | Motivazione specifica |
| Reati contro la PA (artt. 24-25) | Alta | Rapporti con autorità di vigilanza (Banca d’Italia, Consob, MEF), gare e appalti pubblici, contributi agevolati |
| Reati societari (art. 25-ter) | Alta | Falso in bilancio, manipolazione del mercato, ostacolo alla vigilanza: rischi endemici nel settore finanziario |
| Reati di riciclaggio e autoriciclaggio (art. 25-octies) | Alta | Movimentazione di capitali, intermediazione, gestione di patrimoni: esposizione diretta e strutturale |
| Reati tributari (art. 25-quinquiesdecies) | Alta | Evasione fiscale, dichiarazioni fraudolente: introdotti nel catalogo 231 dalla L. 157/2019 |
| Market abuse (art. 25-sexies) | Media | Abuso di informazioni privilegiate, manipolazione del mercato: dipende dall’operatività specifica |
| Reati informatici (art. 24-bis) | Media | Accesso abusivo a sistemi, intercettazione: rilevante per la gestione dei dati clienti e delle piattaforme operative |
| Corruzione tra privati (art. 25-ter c. 1 lett. s) | Media | Rapporti commerciali con terzi, commissioni, accordi di distribuzione |
| Reati in materia di salute e sicurezza (art. 25-septies) | Bassa | Presente ma non prioritario per un ufficio di servizi: richiede comunque verifica minima |
Questa analisi di priorità non è un esercizio teorico: determina direttamente quante risorse allocare a ciascuna area, con quale frequenza effettuare i controlli e a quale profondità. Un’area ad alta priorità richiede controlli frequenti e approfonditi; un’area a bassa priorità può essere gestita con verifiche più rade e documentali.
Come determinare la frequenza ottimale dei controlli
La frequenza dei controlli è una delle decisioni più delicate nella costruzione del piano annuale. Non esiste una risposta universale: la frequenza deve essere proporzionata al livello di rischio dell’area, alla storicità delle criticità emerse in passato e alle caratteristiche operative dell’ente.
Pianificare con frequenza eccessiva può sovraccaricare l’OdV e rendere i controlli superficiali. Pianificare con frequenza insufficiente lascia scoperte aree critiche per periodi troppo lunghi. L’obiettivo è trovare il punto di equilibrio tra copertura effettiva e sostenibilità operativa.
I fattori che determinano la frequenza
- Livello di rischio intrinseco dell’area: le aree ad alta priorità richiedono almeno controlli trimestrali; quelle a media priorità possono essere gestite semestralmente; quelle a bassa priorità anche con una verifica annuale.
- Storicità delle non conformità: se in un’area sono già emerse criticità nei cicli di vigilanza precedenti, la frequenza va aumentata fino a risoluzione documentata del problema.
- Variazioni del contesto aziendale: un cambio di management, una nuova linea di business, una modifica procedurale significativa richiedono un controllo straordinario, indipendente dalla frequenza pianificata.
- Indicatori di allarme (red flag): la presenza di segnali anomali — segnalazioni, anomalie contabili, cambi improvvisi nei comportamenti operativi — deve scatenare un controllo non pianificato e documentato.
- Vincoli regolatori esterni: per le società di servizi finanziari, le prescrizioni di Banca d’Italia, Consob o degli standard AML definiscono periodicità minime di alcune verifiche che l’OdV deve tenere in conto.
| Schema di frequenza consigliato per una società di servizi finanziari
Aree ad alta priorità (reati PA, societari, riciclaggio, tributari): controllo trimestrale, con una verifica approfondita annuale. Aree a media priorità (market abuse, reati informatici, corruzione privata): controllo semestrale, con monitoraggio degli indicatori nel periodo intermedio. Aree a bassa priorità (sicurezza sul lavoro): controllo annuale documentale, con verifica degli adempimenti di legge. Controlli straordinari: attivati su segnalazione, su red flag rilevati o su variazioni significative del contesto. Documentati come fuori piano con motivazione. |
Il calendario annuale: un esempio operativo
Tradurre le priorità e le frequenze in un calendario concreto è il passaggio che rende il piano effettivamente operativo. Di seguito un esempio di piano annuale per la società di servizi finanziari considerata, con indicazione delle aree, dei mesi di controllo e dei componenti OdV responsabili.
Nota metodologica: questo calendario è un esempio di riferimento, non un modello rigido da applicare meccanicamente. Ogni OdV deve adattarlo alla propria struttura, al numero di componenti disponibili e alle specifiche del Modello adottato.
| Area sensibile | Reato presupposto principale | Frequenza | Mesi di controllo | Responsabile OdV |
| Rapporti con PA e autorità di vigilanza | Artt. 24-25 D.Lgs. 231/01 | Trimestrale | Mar – Giu – Set – Dic | Membro 1 (giurista) |
| Bilancio e reporting finanziario | Art. 25-ter (reati societari) | Trimestrale | Mar – Giu – Set – Dic | Membro 3 (revisore) |
| Flussi finanziari e antiriciclaggio | Art. 25-octies | Trimestrale | Feb – Mag – Ago – Nov | Membro 3 (revisore) |
| Gestione fiscale e dichiarazioni | Art. 25-quinquiesdecies | Trimestrale | Feb – Mag – Ago – Nov | Membro 3 (revisore) |
| Operazioni di mercato e info privilegiate | Art. 25-sexies (market abuse) | Semestrale | Aprile – Ottobre | Membro 1 (giurista) |
| Sistemi informatici e dati clienti | Art. 24-bis (reati informatici) | Semestrale | Marzo – Settembre | Membro 2 (compliance) |
| Rapporti commerciali con terzi | Art. 25-ter lett. s (corruzione privata) | Semestrale | Maggio – Novembre | Membro 2 (compliance) |
| Sicurezza sul lavoro e ambienti | Art. 25-septies | Annuale | Settembre | Membro 2 (compliance) |
| Verifica canale segnalazioni (whistleblowing) | Trasversale | Trimestrale | Gen – Apr – Lug – Ott | Tutti i membri |
| Riunione plenaria OdV + aggiornamento piano | Trasversale | Semestrale | Gennaio – Luglio | Tutti i membri |
Come leggere e usare questo calendario
Il calendario non è una lista di scadenze da spuntare: è uno strumento di governo dell’attività di vigilanza. Ogni riga corrisponde a un fascicolo che verrà aperto, a un verbale che verrà redatto, a un esito che verrà documentato e comunicato al CdA nella relazione semestrale.
L’assegnazione a componenti specifici serve a distribuire il carico di lavoro e a garantire che ciascun membro dell’OdV abbia competenza specifica sull’area che gli è assegnata. Per un OdV composto da tre membri — un giurista esterno, un responsabile compliance interno e un revisore — la distribuzione per competenza è la scelta più efficace.
Il rischio dei piani «copia-incolla»: perché è più grave di quanto sembri
Uno dei problemi più diffusi nella prassi degli OdV — specialmente nelle PMI e nelle società che si affidano a consulenti esterni con molti mandati — è il ricorso a piani di vigilanza generici, non personalizzati, sostanzialmente identici tra enti diversi. Questo approccio, spesso giustificato con la necessità di contenere i costi o i tempi, è uno dei rischi più concreti per l’efficacia del Modello 231.
Perché il piano generico non protegge
Un piano costruito su un template standard, non adattato al profilo di rischio specifico dell’ente, presenta tre problemi strutturali che possono emergere in modo devastante in sede di giudizio:
- Non rispecchia le aree di rischio reali dell’ente. Un piano pensato per una società manifatturiera applicato a una società di servizi finanziari non copre i reati più rilevanti — e copre in modo sproporzionato aree che hanno peso marginale. Questo squilibrio è immediatamente rilevabile da un giudice che confronta il piano con le attività concrete dell’impresa.
- Non è proporzionato alla struttura organizzativa. La frequenza dei controlli, le aree presidiate e i responsabili devono corrispondere alla struttura reale dell’OdV e alle risorse disponibili. Un piano che prevede 20 controlli trimestrali per un OdV monocomponente è carta straccia.
- Dimostra l’assenza di una valutazione del rischio genuina. La giurisprudenza più recente è chiara: il Modello 231 — e il piano di vigilanza che lo attua — deve essere il risultato di una valutazione del rischio “su misura” per l’ente. Un piano identico per dieci società diverse non può essere il risultato di valutazioni autonome. Questo è sufficiente a far decadere l’esimente.
| Come riconoscere un piano «copia-incolla»
Alcuni segnali che indicano un piano non personalizzato: • Aree sensibili non coerenti con il settore dell’ente (es. reati ambientali con alta priorità per una società di consulenza finanziaria) • Frequenze identiche per tutte le aree, indipendentemente dal rischio • Responsabilità non assegnate a persone reali con nome e ruolo • Assenza di riferimento ai processi aziendali specifici e ai soggetti apicali o subordinati coinvolti • Nessuna traccia di una valutazione del rischio che giustifichi le scelte di frequenza e copertura |
Il piano non è statico: aggiornamento e gestione delle variazioni
Un piano annuale approvato a gennaio non è immutabile per i dodici mesi successivi. La realtà aziendale cambia: cambiano i processi, le persone, i mercati, la normativa. Il piano di vigilanza deve essere in grado di recepire questi cambiamenti in modo documentato.
Si distinguono due tipologie di aggiornamento:
Revisioni programmate
La revisione semestrale del piano è raccomandata come standard minimo. Nell’occasione della riunione plenaria OdV prevista a metà anno, i componenti verificano se le priorità stabilite a inizio anno sono ancora valide, se le frequenze si sono rivelate adeguate e se è necessario aggiungere aree di controllo non previste. L’esito della revisione viene verbalizzato e il piano aggiornato diventa documento ufficiale dell’OdV.
Aggiornamenti straordinari
Alcune situazioni richiedono un aggiornamento immediato del piano, indipendentemente dalla revisione periodica:
- Modifiche legislative al catalogo dei reati presupposto (come avvenuto con l’introduzione dei reati tributari nel 2019 o dei reati di abuso di mercato)
- Apertura di nuove linee di business o ingresso in nuovi mercati che espongono l’ente a rischi non presenti nel piano originale
- Cambio di figure apicali (CEO, CFO, direttori di funzione) con nuove deleghe e nuovi processi decisionali da presidiare
- Segnalazioni gravi ricevute dall’OdV che rivelano criticità sistemiche in aree non adeguatamente presidiate
- Risultati di audit che evidenziano carenze strutturali in un’area che richiedono un aumento immediato della frequenza di controllo
Ogni aggiornamento straordinario deve essere documentato con data, motivazione e delibera dell’OdV. Il piano aggiornato sostituisce quello precedente nell’archivio ufficiale, ma la versione precedente va conservata con la data di vigenza, per dimostrare la coerenza temporale dell’attività di vigilanza.
Costruire il piano in modo strutturato: lo strumento che fa la differenza
La costruzione manuale del piano annuale — su un foglio Word o Excel — comporta un rischio operativo significativo: è facile dimenticare aree, sbagliare la distribuzione delle frequenze, perdere il collegamento tra il piano e il Modello 231 di riferimento, e soprattutto produrre un documento difficile da aggiornare e da collegare ai verbali dei controlli effettuati.
Un piano che non è collegato operativamente ai controlli che genera è, di fatto, un documento separato dalla realtà. Serve uno strumento che mantenga questa coerenza in modo automatico.
| Con il Registro Controlli 231 costruisci il piano in pochi minuti
Il software Registro Controlli 231 di Edirama ti permette di importare direttamente le aree sensibili del tuo Modello 231 e di costruire il piano annuale di vigilanza in modo strutturato, con: • Aree sensibili preconfigurate per settore, personalizzabili in base al tuo Modello • Assegnazione di frequenze e responsabilità per ciascuna area • Calendario automatico dei controlli con scadenze e alert • Collegamento diretto tra il piano e i verbali dei controlli eseguiti • Storico delle versioni del piano, con data di approvazione e motivazione di ogni aggiornamento |
Il piano annuale dei controlli ODV non è la copertina del Modello 231. È lo strumento attraverso cui l’Organismo di Vigilanza esercita concretamente la propria funzione, distribuisce il lavoro, garantisce la copertura delle aree critiche e produce le evidenze che, in caso di necessità, dimostrano l’operatività del sistema di compliance.
Costruirlo bene significa partire dai reati presupposto rilevanti per il proprio ente, non per un ente generico. Significa assegnare frequenze proporzionate al rischio reale, non uguali per tutti. Significa distribuire le responsabilità in modo coerente con le competenze dei componenti dell’OdV. E significa tenerlo aggiornato ogni volta che la realtà cambia.
Un piano così costruito non è solo un documento difensivo: è lo strumento che permette all’OdV di lavorare meglio, di non dimenticare nulla e di rendicontare al CdA in modo credibile e completo.