29 novembre 2006

Le attività dell’Organismo di Vigilanza in attuazione del D.Lgs. 231/01

Il D.Lgs. 231/01 richiede [1], ai fini dell’esonero dalla responsabilità amministrativa dell’ente, l’istituzione di un “organo di controllo interno all’ente (chiamato Organismo di Vigilanza o Compliance Officer, ndr) con il compito di vigilare sull’efficacia reale del modello” [2].

Confindustria, nelle sue Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo ex D.Lgs. n. 231/01 [3], elenca le attività che tale Organismo di Vigilanza deve assolvere:

  • vigilare sull’effettività del Modello;
  • verificare l’adeguatezza del Modello;
  • analizzare il mantenimento nel tempo dei requisiti di solidità e funzionalità del Modello;
  • curare l’aggiornamento, ove necessario, del Modello, attraverso:
  • la presentazione di proposte di adeguamento del Modello agli organi aziendali competenti (tipicamente, il Consiglio di amministrazione);
  • lo svolgimento di follow up per accertare l’attuazione e l’effettiva funzionalità delle soluzioni proposte.


Le attività che l’Organismo di vigilanza intende svolgere in attuazione del D.Lgs. 231/01 devono essere riportate in un documento, solitamente denominato Piano di Azione o Piano Operativo dell’Organismo di Vigilanza.

Il Piano Operativo, pertanto, è un documento dell’Organismo di Vigilanza che:

  • definisce le attività ispettive che l’Organismo intende compiere nel corso dell’anno;
  • ne fornisce una pianificazione temporale;
  • identifica le funzioni o processi coinvolti, le attività che saranno svolte ed i risultati attesi;
  • serve per la definizione delle risorse finanziarie (budget dell’Organismo di vigilanza), strumentali ed umane necessarie;
  • è funzionale alla pianificazione pluriennale degli interventi di verifica e di controllo.

Il Piano Operativo può, se ritenuto opportuno dall’Organismo di Vigilanza, essere presentato all’organo dirigente, ma non è necessaria la sua approvazione, che anzi minerebbe l’autonomia dell’iniziativa di controllo e l’indipendenza del OdV stesso.

Allo stesso modo può essere comunicato alla Direzione Generale, per favorire l’interazione tra l’Organismo stesso e tutte le strutture aziendali.


*****
[1] D.Lgs. 231/01, art. 6, co. 1, let. b) e c).
[2] Confindustria, Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo, “Introduzione”, pag. 5.
[3] Cap. III, par. 2.2. “Compiti, requisiti e poteri dell’organismo di vigilanza”, pag. 22.

0 commenti Etichette: ,
Link a questo post

24 novembre 2006

Regolamento di funzionamento dell’Organismo di Vigilanza

di Giovanni Battisti.

Le Linee guida di Confindustria [1] prevedono che l’Organismo di Vigilanza (cui il D.Lgs. 231/01 assegna il compito di "vigilare sul funzionamento e l’osservanza dei modelli organizzativi e di curare il loro aggiornamento") provveda, come uno dei primi atti formali, a disciplinare il proprio funzionamento interno: “[…] è opportuno che l’Organismo formuli un regolamento delle proprie attività (determinazione delle cadenze temporali dei controlli, individuazione dei criteri e delle procedure di analisi, ecc.)”.

A titolo esemplificativo, il Regolamento di funzionamento dell’Organismo di Vigilanza potrebbe essere articolato come segue:

  • Modalità di svolgimento delle attività di competenza dell’OdV:
    - redazione del programma annuale di attività;
    - definizione del budget;
    - esecuzione di interventi non previsti nel programma;
    - ricorso a strutture aziendali (es. auditing) per le attività di competenza.
  • Convocazione e gestione delle riunioni dell’OdV:
    - modalità di convocazione;
    - validità delle riunioni.
  • Presidenza e svolgimento delle riunioni:
    - funzione di presidenza e di segreteria;
    - partecipazione di soggetti terzi;
    - votazione delle delibere;
    - verbalizzazione delle riunioni e modalità diarchiviazione.
  • Informazioni da e verso l’OdV:
    - protocollo ed archiviazione dei documenti.
  • Gestione delle segnalazioni all’OdV.

--
[1] Confindustria, Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo, cap. III, par. 2.2. “Compiti, requisiti e poteri dell’organismo di vigilanza”, pag. 28.

0 commenti Etichette: ,
Link a questo post

23 novembre 2006

Management audit


Con il termine management audit si identifica l’attività di audit tesa a verificare la qualità del processo decisionale, con particolare attenzione alla fase esecutiva (cioè, alla effettiva esecuzione da parte del management delle decisioni prese dall’alta Direzione). In altre parole, il management audit deve accertare la coerenza della politica aziendale nei diversi punti dell’organizzazione aziendale.

L’assuzione di un’iniziativa di management auditing è di esclusiva competenza dell’Alta Direzione; l’esecuzione non deve necessariamente essere affidata all’Internal Auditing.

L’analisi coinvolge un’intera area, funzione o ufficio e deve permettere di identificare il suo “grado di managerialità”; pertanto, l’auditor non deve esprimere un giudizi su di una specifica persona (ad es. sul responsabile di funzione), ma sul grado di efficienza ed efficacia organizzativa che il responsabile ha posto in essere attraverso l’emanazione di direttive, la costituzione di gruppi di lavoro, la previsione di periodiche riunioni ecc.
0 commenti Etichette:
Link a questo post

17 novembre 2006

Costituzione ed avvio dell’Organismo di Vigilanza

di Giovanni Battisti.

All’adozione di un Modello di organizzazione, gestione e controllo (in attuazione del D.Lgs. 231/01) devono immediatamente seguire gli atti necessari a garantire la piena operatività dell’Organismo di Vigilanza.

Pertanto:
  • l’organo dirigente, “al momento della formale adozione del Modello […] dovrà disciplinare gli aspetti principali relativi al funzionamento dell’Organismo (es. modalità di nomina e revoca, durata in carica) ed ai requisiti soggettivi dei suoi componenti.” [1];
  • l’Organismo di Vigilanza dovrà disciplinare il proprio funzionamento interno. “A tale proposito è opportuno che l’Organismo formuli un regolamento delle proprie attività (determinazione delle cadenze temporali dei controlli, individuazione dei criteri e delle procedure di analisi, ecc.)” [2];
  • Sempre l’Organismo di Vigilanza dovrà definire tutti quegli aspetti attinenti alla sua continuità d’azione, “quali la calendarizzazione dell’attività, la verbalizzazione delle riunioni e la disciplina dei flussi informativi dalle strutture aziendali all’Organismo” [2].


-----
[1] Confindustria, Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo, cap. III, par. 2.2. “Compiti, requisiti e poteri dell’organismo di vigilanza”, pag. 26.

[2] Confindustria, Linee Guida per la costruzione dei Modelli di Organizzazione, gestione e controllo, cap. III, par. 2.2. “Compiti, requisiti e poteri dell’organismo di vigilanza”, pag. 28.

0 commenti Etichette: ,
Link a questo post

08 novembre 2006

Le fasi del processo di Internal Audit: obiettivi e output


Per comprendere le attività che devono essere svolte “in concreto” da un Auditor, possiamo scomporre il processo di Internal Audit in 5 macro-fasi:
  • Analisi preliminare;
  • Risk Assessment;
  • Piano di audit;
  • Intervento di Audit;
  • Follow Up.

Per ciascuna fase è possibile indicare sinteticamente obiettivi, principali attività che devono essere svolte e gli output:


Fase 1: Analisi preliminare
Obiettivi
· Comprendere il modello di business dell’azienda;
· Identificare correttamente il risk appetite dell’azienda (ovvero, la sua propensione al rischio);
· Comprendere le aspettative dell’Alta Direzione circa l’attività di Internal Audit.


Attività principali
· Mappatura dei processi aziendali (a livello “macro”), identificando i processi di business e di supporto.

Output
· Mappa dei processi aziendali.

Fase 2: Risk Assessment
Obiettivi
· Individuare gli obiettivi di ciascun processo e i relativi i fattori critici di successo;
· Identificare e valutare i rischi che possono compromettere il raggiungimento degli obiettivi ed i controlli in essere.


Attività principali
· Identificazione e valutazione dei rischi (Control and Risk Self Assessment e Risk Assessment Criteria Matrix).


Output
· Mappa dei rischi aziendali.


Fase 3: Piano di Audit
Obiettivo
· Identificare e formalizzare gli interventi da attuare nel periodo considerato (di solito un triennio), principalmente in base ai risultati del risk assessment.


Attività principali
· Definizione degli interventi di Audit;
· Predisposizione del piano;
· Approvazione del piano.

Output
· Piano di audit approvato dal Vertice aziendale.


Fase 4: Intervento di Audit
Obiettivo
· Testare e valutare l’adeguatezza del sistema di controllo, individuando le aree di miglioramento.


Attività principali
· Assegnazione dell’incarico;
· Definizione del programma di audit;
· Ricognizione preliminare;
· Analisi di dettaglio;
· Stesura della relazione e presentazione dei risultati.

Output
· Internal Audit Report.


Fase 5: Il Follow Up
Obiettivo
· Determinare l’adeguatezza e l’efficacia delle azioni correttive intraprese dal management in risposta ad un rilievo di audit.

Attività principali
· Verifica dell’attuazione delle azioni correttive;
· Accettazione del rischio (eventuale).

Output
· Follow Up Report;
· Documento finale di “risk acceptance” (eventuale).

0 commenti Etichette:
Link a questo post
Iscriviti a: Post (Atom)