Modelli organizzativi per la sicurezza e modelli ex D.Lgs. 231/01

Premesso che, come già sostenuto, non è corretto parlare di Modelli organizzativi ex D.Lgs. 231/01 e di Modelli organizzativi ex D.Lgs. 81/08, in quanto uno è il modello organizzativo, gestionale e di controllo dell’azienda, mi è in questo caso utile analizzare separatamente i Modelli descritti all’art. 6 del D.Lgs. 231/01 ed i Modelli codificati all’art. 30 del D.Lgs. 81/08.

Questa distinzione teorica è in questo caso utile, in quanto, per stessa volontà del legislatore, il primo modello è orientato a prevenire la commissione dei reati previsti dallo stesso decreto legislativo 231 del 2001 (l’art. 6 parla di “modelli di organizzazione e di gestione idonei a prevenire reati”), l’altro a garantire l’adempimento degli obblighi giuridici relativi alla salute e della sicurezza nei luoghi di lavoro (all’art. 30 del D.Lgs. 81/08 è infatti precisato che “Il modello di organizzazione e di gestione [deve assicurare] un sistema aziendale per l'adempimento di tutti gli obblighi giuridici relativi a…”).
Ne consegue che la possibilità per l’ente di beneficiare della c.d. esimente passa per strade diverse:

• per i delitti ex art. 25 septies, attraverso la costruzione di un sistema organizzativo che garantisca l’adempimento degli obblighi sanciti dalla normativa quali (a puro titolo esemplificativo) il rispetto degli standard tecnico-strutturali e di legge relativi a attrezzature, impianti, luoghi di lavoro, agenti chimici, fisici e biologici; la valutazione dei rischi e la predisposizione delle conseguenti misure di prevenzione e protezione etc;
• per i delitti previsti dai restanti articoli del D.Lgs. 231/01, attraverso la valutazione del rischio che i processi aziendali siano utilizzati per commettere tali rischi e la costruzione di un sistema di controllo che non possa essere aggirato se non “fraudolentemente” (cfr. Linee Guida Confindustria).

Differenza non da poco (ma che non deve stupire, avendo i primi reati natura “colposa”, gli altri natura “dolosa”), che richiede un diverso approccio progettuale alla realizzazione dei Modelli:

• nel primo caso si dovranno essenzialmente formalizzare tutte le procedure inerenti le materie elencate al comma 1 dell’art. 30 del D.Lgs. 81/08, e il sistema di controllo dovrà garantire l’esecuzione di tali attività;
• nel secondo caso si dovrà adottare un approccio “risk based”, analizzando il rischio di possibile commissione dei reati, valutando il sistema di controllo esistente e definendo i gap (e le conseguenti azioni correttive) rispetto ad un sistema di controllo che evidenzi eventuali tentativi di commissione dei reati prima della commissione del reato stesso.

Un'altra differenza che vale la pena focalizzare è la seguente: secondo il legislatore, “i modelli di organizzazione e di gestione (ex D.Lgs. 231/01, art. 6, ndr) possono essere adottati, …, sulla base di codici di comportamento redatti dalle associazioni rappresentative degli enti, comunicati al Ministero della giustizia ...” (D.Lgs. 231/01, art. 6, co. 3); secondo l’art. 30, co. 5 del D.Lgs. 81/08 “i modelli di organizzazione e gestione aziendale possono essere indicati dalla” Commissione consultiva permanente per la salute e sicurezza sul lavoro istituita presso il Ministero del lavoro e della previdenza sociale (le linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro del 28 settembre 2001 o il British Standard OHSAS 18001:2007 varrebbero soltanto “in sede di prima applicazione”).
Se prendiamo alla lettera queste disposizioni, le indicazioni fornite da Confindustria nelle proprie Linee Guida in materia di prevenzione dei delitti ex art. 25-septies non avrebbero pertanto alcuna validità, essendo prive (per le parti corrispondenti) di fondamento giuridico.

Forse ti possono interessare anche questi altri articoli:

• I Modelli per la sicurezza sono obbligatori?
  
• Principali novità del TU sicurezza in relazione al d.lg. 231/2001
• Modelli di organizzazione e Linee Guida UNI-INAIL (SGSL)

Aiia, l'International Professional Practices Framework disponibile in bozza

L'Institute of Internal Auditors ha reso disponibile sul proprio sito la bozza dei nuovi Standard Internazionali per la Pratica Professionale dell’Internal Auditing (in inglese).

Il documento, approvato dal Board dell'Istituto, recepisce le indicazioni raccolte nella precedente fase di pubblica consultazione.
I nuovi standard saranno rilasciati (nella versione in inglese, francese e in spagnolo) ufficialmente a gennaio 2009.

Semplificazione degli adempimenti privacy rispetto ai trattamenti per finalità amministrative e contabili

Il Garante per la protezione dei dati personali ha reso pubbliche alcune misure per la semplificazione di alcuni adempimenti "in ambito pubblico e privato" rispetto a trattamenti per finalità amministrative e contabili.
Le indicazioni fornite integrano il precedente provvedimento di carattere generale
"Guida pratica e misure di semplificazione per le piccole e medie imprese" emanato dal Garante lo scorso 24 maggio 2007 (vai al testo del provvedimento).

Il nuovo provvedimento nasce dall'esigenza di semplificazione nell'applicazione della disciplina sulla protezione dei dati personali, esigenze avvertita in modo particolare da

"piccole e medie imprese, liberi professionisti e artigiani, per quanto riguarda la gestione di informazioni attinenti ad altre imprese, amministrazioni, clienti, fornitori e dipendenti utilizzate, anche in relazione a obblighi contrattuali e normativi, per correnti finalità amministrative e contabili."

Per rispondere a questa esigenza, il Garante identifica nel provvedimento

"soluzioni concrete volte ad agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in modo particolare rispetto ai casi in cui non sono trattati dati di carattere sensibile o giudiziario."

Le misure di semplificazione riguardano gli adempimenti di informativa agli interessati e di raccolta del consenso.

Informativa agli interessati
I titolari del trattamento "in ambito privato e pubblico, in particolare [...] piccole e medie imprese, liberi professionisti, artigiani [...] per semplificare l'informativa rispetto allo svolgimento di correnti finalità amministrative e contabili, anche in relazione all'adempimento di obblighi contrattuali, precontrattuali o normativi" possono:

• fornire un'unica informativa per il complesso dei trattamenti, anziché per singoli aspetti del rapporto con gli interessati;
• redigere una prima informativa breve, anche usando la seguente formulazione sotto riportata. E' invece necessario fornire un'informativa specifica o ad hoc quando il trattamento ha caratteristiche del tutto particolari.

"I SUOI DATI PERSONALI
Utilizziamo -anche tramite collaboratori esterni- i dati che la riguardano esclusivamente per nostre finalità amministrative e contabili, anche quando li comunichiamo a terzi. Informazioni dettagliate, anche in ordine al suo diritto di accesso e agli altri suoi diritti, sono riportate su..."

• l'informativa può essere riportata negli "spazi utili nel materiale cartaceo e nella corrispondenza che si impiegano già, ordinariamente, per finalità amministrative e contabili";
• l'informativa breve può rinviare a un testo più articolato, disponibile ed accessibile agevolmente e senza oneri per gli interessati;
• è possibile non inserire nell'informativa più articolata gli elementi noti all'interessato;
• è opportuno "omettere riferimenti meramente burocratici o circostanze ovvie";
• l'informativa può non essere fornita quando vi è un obbligo normativo di trattarli.
  

Il Garante precisa inoltre che "è opportuno che l'informativa più articolata sia basata su uno schema tendenzialmente uniforme per il settore di attività del titolare del trattamento"; a tal fine "invita le associazioni di categoria a predisporre informative-tipo per determinati settori o categorie di trattamento".

Consenso
Il Garante precisa che il consenso non deve essere richiesto (dai soggetti pubblici) o è superfluo (per i soggetti privati) quando:

"a) il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;
b) i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato (v., per i presupposti relativi a ciascuno dei predetti casi, l'art. 24, comma 1; v. anche l'art. 18, comma 4)."

Il Garante individuare un'ulteriore, nuova ipotesi nella quale il consenso non va richiesto:

"Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio a un interessato, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare nei termini di cui al seguente dispositivo i recapiti (oltre che di posta elettronica, come già previsto per legge: art. 130, comma 4) di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore suo materiale pubblicitario o promuovere una sua vendita diretta o per compiere sue ricerche di mercato o di comunicazione commerciale."

Ricorda infine che "la notificazione telematica al Garante non è necessaria per perseguire finalità amministrative e contabili", salvo che nei casi eccezionali indicati dalla legge (art. 37).

Puoi discutere questo articolo sul forum, nell'area dedicata alla "Privacy" e scaricare il testo del provvedimento.

Privacy e comunicazioni elettroniche

Fonte: Garante per la Privacy, newsletter n. 308 del 17 giugno 2008.

Le Autorità europee per la protezione dei dati hanno presentato (a fine maggio) le seguenti proposte di modifica della direttiva 2002/58 in materia di comunicazioni elettroniche:

• applicabilità delle disposizioni della direttiva alle cosiddette "etichette elettroniche" Rfid (in quanto utilizzano "reti di comunicazione elettronica disponibili al pubblico" per veicolare i segnali di trasmissione);
• attribuzione del diritto di intraprendere azioni legali in caso di violazioni della normativa nazionale (ad esempio, in materia di spam) anche a soggetti non direttamente colpiti, ma comunque direttamente interessati, quali i provider di servizi Internet. L'estensione del "diritto di intraprendere azioni legali" dovrebbe comprendere anche le violazioni dell'articolo 5.3 della direttiva, ad esempio l'uso e l'installazione di spyware;
• estensione dell'obbligo per i provider di servizi di comunicazione di notificare violazioni e/o rischi per la sicurezza delle reti a tutti gli "utenti" dei servizi di comunicazione elettronica (anziché ai soli "abbonati" a tali servizi);
• opportunità di ampliare la definizione di "sistemi di chiamata" contenuta nella direttiva 2002/58 (art. 13) includendovi i sistemi di "comunicazione" (per tenere conto degli sviluppi tecnologici legati, ad esempio, alla tecnologia Bluetooth); ciò consentirebbe di garantire una protezione più efficace nei confronti delle comunicazioni indesiderate.

Link:

• La disciplina di attuazione della Direttiva 2002/58/CE sulle comunicazioni elettroniche, di Giuseppe Briganti (Altalex)

Telecamere condominiali e privacy

Il Garante per la Privacy, nella newsletter n. 308 del 17 giugno 2008, segnala l'assenza di regole chiare in materia di trattamento dei dati personali determinati dall'installazione di impianti di videosorveglianza nei condomini.

Il riferimento è agli impianti impianti installati nelle aree comuni (portoni d'ingresso, androni, cortili, scale, parcheggi) di condomini, residence o multiproprietà. A tale proposito, il Garante evidenzia l'esistenza di due interessi contrapposti: da un lato l'esigenza di sicurezza delle persone e di tutela di beni comuni; dall'altro, la libertà di muoversi senza essere controllati nel proprio domicilio e all'interno delle aree comuni.

I punti da chiarire, posti all'attenzione del Parlamento e del Governo, sono:

• se l'installazione di sistemi di videosorveglianza possa essere effettuata in base alla sola volontà dei proprietari o se si debba tener conto anche del consenso di altri soggetti, ad esempio i conduttori;
• con quale tipo di maggioranza possa essere approvata l'installazione di sistemi di videosorveglianza;
• infine, come debba essere considerato in questo contesto il divieto di procurarsi indebitamente immagini relative alla vita privata che si svolge nel domicilio (art. 615 bis del Codice Penale), nozione che secondo alcune decisioni giurisprudenziali può giungere fino a ricomprendere le aree comuni.

Convegno "Le funzioni di Internal Audit e Compliance"

Attenzione: questo evento non è più attivo!

L'Associazione Italiana Internal Auditors e l'Associazione italiana Compliance hanno organizzato il convegno "Le funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza".

L'incontro, che si terrà a Milano il prossimo 2 luglio 2008, sarà l'occasione per
analizzare l'impatto organizzativo dell'introduzione (prevista dalle norme di settore) nel settore finanziario della Funzione di Compliance, riconsiderare l’articolazione del Sistema dei Controlli Interni e valutare le possibili integrazioni tra la Funzione Compliance e la Funzione di Internal Audit.

Il programma prevede la partecipazione delle Autorità di Vigilanza (Banca d'Italia e Consob) e le testimonianze di Banca Leonardo, Intesa SanPaolo, UBI Banca e Unicredit

La partecipazione al convegno è gratuita per i soci Aiia e Aicom; ulteriori informazioni sul sito dell'AiiA.

Obbligatorietà dei modelli organizzativi ex dlgs 231/01, considerazioni

di Luca De Gennaro.

Sull’argomento si sono già espressi molti studiosi e valenti professionisti; il mio non vuole essere un contributo risolutivo, ma semplicemente uno stimolo per uno scambio di idee e opinioni sull’argomento.
Il decreto legislativo 231/01 indica, come, ormai risaputo, facoltativa l’adozione dei modelli, alla stessa conclusione si giunge facendo riferimento all’articolo 30 del decreto legislativo 81/08.
A questo punto la questione sembrerebbe chiusa. I modelli organizzativi ex D.lgs 231/01 sono facoltativi, per cui l’Ente se vuole trarre il giovamento derivante dall’esenzione della responsabilità penale, deve adottarli, altrimenti, in caso di commissione di reato l’azienda non potrà giovarsi delle esimenti.
Sembra trattarsi di una valutazione di tipo gestionale - economica che spetta agli amministratori. Gestionale, perché l’applicazione dei modelli organizzativi e la loro corretta attuazione porta ad “imbrigliare” il decisionismo aziendale; economica, perché il management deve valutare se i costi necessari a porre in essere i modelli, e a mantenerli aggiornati, siano inferiori degli eventuali benefici che l’azienda riceverà nel momento in cui dovessero essere applicate le esimenti.

Ma l’articolo 2392 del Codice Civile [1] pone a carico degli Amministratori degli obblighi, ovvero, devono adempiere “i doveri ad essi imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell'incarico e dalle loro specifiche competenze”. Questo e’ il grimaldello usato dal giudice penale per procedere nei confronti degli Amministratori [2]. Gli Amministratori non devono essere, in base a una diffusa interpretazione [3] di questo articolo del Codice Civile, esperti in contabilità, in materia finanziaria, e in ogni settore della gestione e dell'amministrazione dell'impresa, ma le loro scelte devono essere informate e meditate, basate sulle rispettive conoscenze e frutto di un rischio calcolato, e non di irresponsabile o negligente improvvisazione.

Da questa rapida analisi emerge che la facoltà di applicare o meno i modelli organizzativi risulta di molto attenuata, in quando vi è una precisa responsabilità in capo agli amministratori, i quali saranno chiamati a rispondere per i fatti illeciti imputati alla società e per i danni patrimoniali causati ai soci.

Luca De Gennaro
Revisore contabile
email: studioldg(at)hotmail.it

-----
[1] Codice Civile, art. 2392, comma 1 “Gli amministratori devono adempiere i doveri ad essi imposti dalla legge e dallo statuto con la diligenza richiesta dalla natura dell'incarico e dalle loro specifiche competenze. Essi sono solidalmente responsabili verso la società dei danni derivanti dall'inosservanza di tali doveri, a meno che si tratti di attribuzioni proprie del comitato esecutivo o di funzioni in concreto attribuite ad uno o più amministratori”.
[2] Si possono a questo proposito trovare diverse sentenze, si veda “La responsabilità dell'amministratore nei reati di bancarotta fraudolenta impropria e di false comunicazioni sociali tra delega di funzioni e concorso apparente di norme” di A.Pasculli o la sentenza del 20/02/2002 del tribunale di Torre Annunziata
[3] Si veda ad esempio “Responsabilità degli amministratori verso la società per azioni” A.Rossi.

Responsabilità degli enti per le intercettazioni telefoniche

Fonte: I Reati Societari.

Maurizio Arena segnala che il disegno di legge approvato il 13 giugno scorso dal Consiglio dei Ministri prevede l'estensione della responsabilità amministrativa degli enti al reato di "pubblicazione arbitraria di atti di un procedimento penale", previsto dall'art. 684 del Codice penale (così come modificato dal disegno di legge stesso), la cui commissione sarà punita con una sanzione pecuniaria da cento a trecento quote.

Il disegno di legge prevede infatti la modifica del D.Lgs. 231/01, con l'introduzione dell'art. 25 nonies "Responsabilità per il reato di cui all’articolo 684 del Codice penale": "In relazione alla commissione del reato previsto dall’articolo 684 del Codice penale, si applica all’ente la sanzione pecuniaria da cento a trecento quote."

Come si legge nel comunicato stampa del Consiglio dei Ministri del 13 giugno 2008, si riconosce in questo modo "la responsabilità amministrativa della testata giornalistica intesa come soggetto giuridico".

E' quindi evidente che i principali destinatari di questa nuova norma sono le aziende editoriali titolari di testate giornalistiche, che dovranno pertanto (eventualmente) provvedere all'aggiornamento dei propri Modelli di organizzazione, gestione e controllo.

Link:

• Disegno di legge 13 giugno 2008, Norme in materia di intercettazioni telefoniche, telematiche e ambientali. Modifica della disciplina in materia di astensione del giudice, degli atti di indagine, e integrazione della disciplina sulla responsabilità amministrativa delle persone giuridiche.

Assirevi, biennio specialistico in auditing

Assirevi, in collaborazione con alcune università italiane, ha organizzato un biennio di specializzazione in Auditing.

La proposta è indirizzata agli studenti universitari in possesso di una laurea triennale compatibile, e debutterà con l'apertura dell'anno accademico 2008-2009.

Sul sito di Assirevi sono disponibili tutte le informazioni sul "biennio specialistico in Auditing" e sulle Università che hanno aderito al progetto formativo.

Convegno AiiA sul D.Lgs. 81/08

L'Associazione Italiana Internal Auditors ha organizzato, per il 25 giugno a Milano, un incontro formativo sull'attuazione del nuovo "testo unico" sulla salute e sicurezza sul lavoro (D.Lgs. 81 del 9 aprile 2008).

Due i temi affrontati:

• i luoghi di lavoro e cantieri temporanei e mobili;
• i modelli organizzativi ex art. 30 del D.Lgs. 81/08, delega di funzioni, sanzioni.

Il programma è scaricabile dal sito dell'Aiia.

Legge 262/2005: procedure e modelli organizzativi

Attenzione: questo evento non è più attivo!

Le società quotate e controllate hanno avviato i progetti di adeguamento dei propri modelli organizzativi e dei relativi sistemi di controllo al dettato normativo della Legge 262/05, la cosiddetta "Legge sul risparmio".

Per discuterne gli aspetti organizzativi e procedurali, Business International propone un seminario (Milano, 19/06/08) nel corso del quale, partendo dall'esperienza di Autogrill, Unicredit Group, Enel, Electrolux International, Fiat Group, Intesa SanPaolo, Mega Italia si discuterà di:

• Impatti della L. 262/05 sulla Governance delle imprese;
• Mappatura dei processi e gestione della compliance in ottica 262/2005;
• Ruolo dell’Internal Audit e sistema di controllo interno ex L. 262/2005;
• Definizione delle procedure contabili amministrative e rapporto con il dirigente preposto.

Il programma e le modalità di iscrizione sono disponibili sul sito di Business International.

La compliance nella Pubblica Amministrazione

Attenzione: questo evento non è più attivo!

"La Pubblica Amministrazione, come impresa di tutti i cittadini, è sempre più coinvolta a garantire il rispetto, non puramente formale, delle regole e la trasparenza nel suo operato codificato da numerose normative"

Per far crescere l'attenzione e il dibattito sui temi della compliance negli pubblica amministrazione, AICOM ha organizzato (in collaborazione con Opentech e l'Università La Sapienza) il convegno "La compliance nella Pubblica Amministrazione", che si terrà a Roma il 17 giugno 2008.

La partecipazione è gratuita, previa prenotazione. Maggiori informazioni sul sito dell'AICOM.

Come promuovere la cultura della compliance in azienda

Atto finale della nostra chiacchierata con il dott. Stefano Barlini (SB), uno dei fondatori e amministratori di operàri (leggi la prima parte dell'intervista). Oggi parliamo della promozione della cultura della compliance nelle imprese italiane.

CA. Secondo lei, come si può intervenire per promuovere lo sviluppo della compliance nelle aziende?

SB. Credo sia assai arduo trovare una risposta completa al suo quesito. Certo alcuni piccoli accorgimenti potrebbero senza dubbio avere un notevole beneficio ai fini dello sviluppo e diffusione della compliance presso le aziende.

Tra questi proporrei:

• accreditare e diffondere la conoscenza dei Modelli 231 di quelle società che sono stati capaci di dimostrare la non responsabilità dell’ente (beneficio dell’esimente), dimostrando la diligenza organizzativa dell’ente e, quindi, “reggendo” alla prova dell’azione e del giudizio dei magistrati;
• fare ricorso a framework internazionali (i.e. ERM, COBIT, etc.), standard e pratiche internazionali (i.e. quali quelle emesse dall’IIA) già diffuse e praticate nelle aziende dei paesi industrializzati: perché il legislatore 262 o la Consob nel regolamento attuativo o nelle istruzioni non ha fatto riferimento al framework del CoSO? Ciò è invece avvenuto con l’articolo 30 del D.Lgs. 81/08 in materia di idoneità dei modelli organizzativi capaci di prevenire i rischi-reato introdotti dalla L. 123/07, che ha espressamente fatto riferimento alle Linee guida UNI-INAIL per un sistema di gestione della salute e sicurezza sul lavoro (SGSL) o al British Standard OHSAS 18001:2007;
• ricorrere a sistemi di compliance integrata che siano realmente tali: non è certo più sostenibile per le aziende avere separati e spesso sovrapposti programmi di conformità e relative procedure quali quelle riferibili al modello 231/01, sistema 262/05, DPS ex D.Lgs. 196/03, sistema sicurezza ex D.Lgs. 81/08, etc. Quante aziende oggi affrontano la compliance con approccio realmente integrato?
• promuovere maggiormente le società virtuose e penalizzare quelle meno virtuose, indipendentemente dalla leva della norma di legge, ma collocando tra i fondamentali di una società la sua governance, oggetto di serie analisi, verifiche e confronti (perlomeno tra le società quotate).

Infine, considero un ottimo strumento di sviluppo e diffusione della cultura della compliance il vostro sito e gli altri simili (tra cui, per una sua parte significativa il nostro www.operari.it) che cercano di fornire una pratica guida in un ambito sempre più complesso e caratterizzato da modifiche frequenti. Al riguardo spero ben presto di poter condividere con gli utenti di ComplianceAziendale.com i risultati di una ricerca in corso di svolgimento sul comportamento delle società quotate dopo il primo anno di conformità ai requisiti di cui all’articolo 154-bis del TUF. Arrivederci presto, allora!

Il Ruolo dell'Auditing nella Governance del Settore pubblico

"Per proteggere l'interesse pubblico, ogni pubblica amministrazione richiede una indipendente attività di audit che fornisca una serie di servizi di assurance e consulenza, a partire dall'attestazione finanziaria fino all'efficienza funzionale e operativa, sia che essa si esplichi attraverso l'utilizzo di servizi di auditi interni ed esterni, sia attraverso l'utilizzo congiunto dei due. Il Mandato della funzione di audit del settore pubblico deve essere il più esteso possibile per consentirgli di rispondere a tutte le finalità delle attività di governo"

Questa è la "raccomandazione" iniziale che l'AiiA ha voluto richiamare sin dall'executive summary del nuovo documento "Il ruolo dell'Auditing nella governance del settore pubblico".

Il documento formalizza l'opinione dell'associazione sull'importanza della funzione di audit nel settore pubblico e definisce gli elementi che devono essere rispettati per massimizzare il valore che tale funzione deve fornire a tutti i livelli della pubblica amministrazione.

L'Audit della pubblica amministrazione viene infatti visto come la base per il "buon governo" del settore pubblico:

"fornendo accertamenti imparziali ed obiettivi sul fatto che le risorse pubbliche siano gestite responsabilmente ed efficacemente al fine di realizzare i risultati voluti, [gli auditor, ndr] aiutano le organizzazioni statali ad ottenere la responsabilità e l'integrità, a migliorare le operazioni ed infondono la fiducia fra i cittadini e gli stakeholder".

Tre i servizi che gli auditor offrono all'amministrazione:

• controllo: il controllo verifica se le amministrazioni svolgono i compiti istituzionalemente assegnati, e serve a scoprire e a dissuadere forme di corruzione pubblica;
  
• comprensione (insight): la comprensione fornisce al soggetto decisore una valutazione indipendente di programmi, policy, operazioni e risultati pubblici;
  
• previsione: la previsione individua i trend e le sfide emergenti.

Il tema dei controlli nella Pubblica Amministrazione, finalizzati al miglioramento dei risultati, non è tuttavia nuovo. Una rassegna, seppur aggiornata al 2003, è disponibile sul sito ClubDirigentiPA, area "gestione responsabilità e controlli".

Di seguito, l'indice del documento dell'AiiA:

EXECUTIVE SUMMARY
- Internal Auditing e Revisione Esterna in un Contesto Pubblico
- La Governance del Settore Pubblico
- Il ruolo dell’Auditing della pubblica amministrazione
- I principali elementi di una efficace funzione di Audit della Pubblica Amministrazione

LA GOVERNANCE NEL SETTORE PUBBLICO
- Principi di Governance
- Principi di Governance Fondamentali per il Settore Pubblico
- Responsabilità

L’AUDITING DEL SETTORE PUBBLICO
- Definizione ed Origini dell’Auditing
- Ruoli dell’Audit
- Linee di riporto dell’Auditor della Pubblica Amministrazione (reporting line)
- Tipi di Audit ed Altri Servizi

CONCLUSIONI
- Allegato: l’Audit Committee nel Settore Pubblico

Documento Programmatico per la Sicurezza: scarica il modello

Fonte: Compliancenet.it
Autore: Panfilo Marcelli

Dopo i recenti articoli dedicati agli adempimenti Privacy e al DPS - Documento Programmatico sulla Sicurezza nella piccola e media impresa (vedi: "La privacy nella piccola e media impresa: parte prima: il quadro di riferimento; parte seconda: analisi dei rischi e misure di sicurezza; parte terza: la formazione") ho pensato di redigere un vero e proprio DPS che possa servire da modello. Si tratta, ovviamente, di un DPS fittizio relativo ad un’azienda di fantasia, la Arcobaleni196 srl (i cui dirigenti ed impiegati hanno tutti cognomi "colorati"…) ma verosimile che nasce dalle esperienze professionali da me condotte presso le PMI. In allegato al DPS sono inoltre forniti esempi di modulistica (informativa, consenso, istruzioni, lettere di nomime).
Il modello di DPS viene rilasciato sotto licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 2.5 Italia License) al fine di favorirne la diffusione; il DPS è disponibile due formati:

• DPS in formato OpenOffice 2.4 (estensione odt, 202 K); attenzione: chi usa IE potrebbe avere problemi a scaricare tale formato; qui è disponibile la versione odt zippata (161 K)
• DPS in formato Adobe (estensione pdf, 280 K)

Chiunque avesse bisogno di ulteriori informazioni o approfondimenti può scrivermi via email. Buona lettura a tutti

Indice del documento

• Introduzione
• Guida alla lettura
  • La società
  • Struttura organizzativa
  • Funzioni organizzative relative alla privacy e protezione dei dati personali
    • Responsabile interno per il trattamento dei dati personali
    • Responsabili esterni
    • Incaricati del trattamento dei dati
  • Sistemi informativi
• Elenco dei trattamenti di dati personali (regola 19.1)
• Distribuzione dei compiti e delle responsabilità (regola 19.2)
• Analisi dei rischi che incombono sui dati (regola 19.3)
• Misure in essere (regola 19.4)
• Criteri e modalità di ripristino della disponibilità dei dati (regola 19.5)
• Pianificazione degli interventi formativi previsti (regola 19.6)
• Trattamenti affidati all’esterno (regola 19.7)
• Cifratura dei dati o separazione dei dati identificativi (regola 19.8)
• Allegati
  • Informativa e consenso
    • Informativa e consenso al trattamento dei dati personali al sensi del d. lgs. 196/2003 "Codice in materia di protezione dei dati personali" (per i dipendenti)
    • Informativa al trattamento dei dati personali al sensi del d. lgs. 196/2003 "Codice in materia di protezione dei dati personali" (per i clienti e fornitori)
  • Nomina a Responsabile
    • Nomina a Responsabile (interno) dei trattamenti
    • Nomina a Responsabile esterno dei trattamenti
  • Elenco incaricati
  • Istruzioni per il trattamento dei dati personali

• Informazioni sull'autore di questo documento

La compliance nelle aziende italiane

Prosegue la nostra chiacchierata con il dott. Stefano Barlini (SB), uno dei fondatori e amministratori di operàri (leggi la prima parte dell'intervista). Oggi parliamo dell'evoluzione della cultura della compliance aziendale nelle imprese italiane.

CA. Dall'esperienza maturata, a che punto è la cultura della compliance nelle aziende? E quali i principali ostacoli al suo sviluppo?

SB. Per rispondere a questa domanda propongo di usare come indicatore la numerosità e la portata delle attività di verifica interna dei programmi di conformità posti in essere. Il tema è: oltre ad aver predisposto un documento formale e strettamente conforme ai requisiti di legge (i.e. DPS, Modello di Organizzazione, gestione e controllo ex D.Lgs. 231/01, Modello di supporto per le attestazioni del Dirigente Preposto ex art. 154-bis del TUF; Procedure per la gestione delle informazioni societarie e delle informazioni privilegiate; etc.), quante aziende oggi possono sostenere di avere un processo interno di verifica dell’effettiva osservanza? Eppure è lo stesso legislatore che lo prevede espressamente ai fini della stessa conformità ai requisiti di cui al D.Lgs. 231/01 (…vigilare sul funzionamento e l'osservanza dei modelli…; …modello…efficacemente attuato; etc.), ai fini della conformità ai requisiti di cui all’articolo 154-bis del TUF (effettiva applicazione delle procedure…amministrativo e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario), così come in generale per gli ulteriori requisiti di legge (Privacy, Registro delle persone con accesso a informazioni price sensitive, etc).

La mia percezione è che sebbene sia piuttosto diffusa l’adozione formale di Modelli/Sistemi/procedure astrattamente ben disegnate in corrispondenza dei requisiti di legge, non siano moltissime le aziende che oggi possono dimostrare di avere un processo già a regime di verifiche interne comunque essenziale per la piena conformità.

Ciò dipende sia da fattori interni che esterni. Con riferimento ai primi, occorre tenere presente la limitatezza delle risorse a disposizione nella maggior parte delle aziende (si diceva che con riferimento alle sole società quotate in borsa 250 su 300 non superano il 15% della capitalizzazione complessiva) che si vedono spesso investite, alla pari delle aziende più articolate e complesse dotate di ben altri mezzi, di un apparato di contromisure interne dello stesso spessore e onerosità (ovviamente con un’incidenza ben più massiccia!). Ciò è spesso una conseguenza connaturata alla previsione di legge che appunto in quanto valida erga omnes, non riesce certo a graduarsi in funzione del destinatario (si converrà che il destinatario ENI che da sola rappresenta il 15% della capitalizzazione è ben diverso dal destinatario GEOX che si attesta nel limite massimo delle 250 società quotate, ma che da sola non supera lo 0,35% della capitalizzazione complessiva!). Forse sotto questo profilo il sistema basato sull’autodisciplina consente, a mio modesto parere, una migliore efficienza ed, in ultima analisi, efficacia delle contromisure; certo si dirà, se non c’è l’obbligatorietà per legge, non sarebbero prese in considerazione dalla maggior parte dei potenziali destinatari.

Per ciò che concerne i fattori esterni, indubbi ostacoli sono rappresentati:

• dall’incertezza delle stesse previsioni (quante volte si è costretti ad ammettere che l’interpretazione da parte dei giudici non è affatto prevedibile?)
• dalla nebulosità del testo di legge (perché non si è fatto esplicito e diretto riferimento e rimando al framework del CoSO, come base su cui supportare il giudizio di adeguatezza ed efficacia delle procedure amministrativo-contabili da parte del DP?)
• dalla contraddittorietà del dettato normativo (pur essendo relativamente recente, quanti cortocircuiti possono già contarsi tra l’impianto originario della responsabilità degli enti ex D.Lgs. 231 e le successive modifiche/integrazioni introdotte in occasione degli innumerevoli ampliamenti?)
• dall’impiego di terminologia desueta o comunque non corrente e diffusa da parte del legislatore (quante volte occorre spiegare cosa è un soggetto in posizione apicale? Perché si parla di Dirigente Preposto e non di CFO? Cosa sono davvero i protocolli? E le procedure amministrative e contabili a supporto del DP?)
• dalla complessità e gravosità via, via crescente (siamo sicuri che il sistematico ampliamento dei reati-presupposto della responsabilità degli enti riduca la gravosità e la frequenza degli illeciti che si vogliono contrastare?)
  

[continua]

Benefici dei Modelli ex D.Lgs. 231/01 sulla gestione operativa

L'adozione del Modello di organizzazione ex D.Lgs. 231/01 può portare all'azienda dei vantaggi competitivi o, comunque, degli effetti positivi nella gestione operativa? Ne parliamo con il dott. Stefano Barlini (SB) e la dott.ssa Sabrina Cicalò (SC) di operàri (leggi la prima parte dell'intervista).

CA. operàri ha effettuato uno studio approfondito sull'adozione dei modelli organizzativi ex D.Lgs. 231/01 nelle aziende quotate italiane. Oltre agli effetti previsti dalla normativa, avete osservato anche dei benefici nella gestione operativa?
SB. Sul tema preferirei coinvolgere la collega dott.ssa Sabrina Cicalò che più da vicino oggi ha occasione di confrontarsi con chi quotidianamente è chiamato a mettere in pratica le previsioni di un Modello 231 (i.e. protocollo) o i controlli previsti nell’ambito della conformità alla L. 262/05. Quello che, infatti, ci sta più a cuore è che un sistema di controllo interno, ancorché ben disegnato e conforme alle migliori pratiche di riferimento, oltreché ai requisiti di legge, possa sopravvivere successivamente all’impianto: ciò dipende proprio dalle figure che in azienda saranno chiamate con una certa frequenza a porre in essere delle attività di controllo, lasciandone opportuna evidenza. L’esperienza mi dice che per convincere queste persone è comunque necessario condividere con loro quali sono i benefici (al di là della mera conformità) che, dall’attività di controllo disegnata e proposta, discendono in favore della sua struttura e dell’azienda in generale. Mi creda che ciò non è affatto scontato e il rischio che il progetto di conformità si traduca in un libro dei sogni irrealizzabile è veramente alto. Tra l’altro, il rigetto rafforza poi la percezione di mero costo addizionale imposto alle imprese, piuttosto diffuso nel sentire comune. Al riguardo l’esperienza SOX ha già dimostrato che la percezione dei costi addizionali e spropositati (indubbiamente causato anche da una politica di vendita miope da parte delle big) ha indubitabilmente prevalso su quella del conseguimento di qualche beneficio.

SC. Come ha accennato il dott. Barlini uno dei nostri obiettivi nel disegnare un sistema di controllo interno, è quello di riuscire a dare la possibilità allo stesso “di camminare con le proprie gambe” e quindi di creare i presupposti affinchè esso possa sopravvivere gli anni successivi all’impianto. Questo aspetto è sicuramente uno dei più stimolanti a livello personale: riuscire a condividere i controlli con i diretti responsabili, con coloro che giornalmente si trovano a dover porre in essere le attività di controllo e lasciare le adeguate evidenze (che nella maggioranza dei casi non sono gli stessi alti livelli che hanno l’imposizione di legge, come il Dirigente Preposto o in genere l’Alta Direzione), riuscendo a mettere in luce i benefici operativi che si possono trarre dagli stessi dopo una prima percezione di puro sforzo (economico, di tempo ed energia), che in genere i programmi di compliance presentano. Ecco la vera sfida.

Parlando di esempi pratici e di sensazioni che abbiamo ricavato, ricordo con piacere il caso di una società acquisita da un nostro cliente quotato e soggetto ai requisiti di cui all’articolo 154-bis del TUF. La società inclusa nel perimetro del progetto di compliance 154-bis, si è ritrovata in brevissimo tempo catapultata in una realtà in forte crescita economica, con una propria struttura amministrativa non sufficientemente organizzata e matura per essere vicina ai requisiti richiesti dalla capogruppo e necessari per la conformità. La nostra presenza in questo frangente è stata colta dal management locale come l’occasione per far maturare rapidamente la propria organizzazione e, in particolare, il personale (vecchio e nuovo) coinvolgendolo attivamente nel progetto e motivandolo adeguatamente. Un’altra ipotesi di sicuro beneficio discendente dallo svolgimento di un progetto di conformità, è quella di una società in cui Direttore Amministrativo, da poco in azienda, aveva incontrato non poche difficoltà nel cercare di introdurre alcune pratiche di controllo all’interno di una struttura che da troppi anni lavorava sempre allo stesso modo e con poca attenzione alle esigenze di controllo. Il progetto ha consentito di fornire al Direttore Amministrativo la concreta possibilità di impiantare nuove pratiche di controllo, migliorando l’organizzazione e modificando quegli equilibri preesistenti e restii al cambiamento che non era riuscito inizialmente a smuovere. Un’altra esperienza di beneficio che in maniera ricorrente si riscontra in un progetto di compliance in azienda è il tema della sicurezza logica: nella generalità dei casi è un tema considerato molto critico in azienda, ma spesso è procrastinato nel futuro, rimandandone la soluzione e lasciando l’azienda esposta ai rischi connessi ad una scarsa sicurezza negli accessi agli applicativi in uso in azienda. Sia un progetto per la conformità ai requisiti D.Lgs. 231/01, che un progetto per la conformità ai requisiti di cui all’articolo 154-bis del TUF, certamente sono colti come un’opportunità per procedere anzitutto alla ricognizione di chi può fare cosa sul gestionale aziendale, con eliminazione di tutti i conflitti (in termini di segregazione dei compiti) che col tempo si sono stratificati, a causa di una non adeguata gestione degli accessi e dei privilegi negli applicativi in uso in azienda. Insomma, tali progetti sono visti come un’occasione per riordinare il pregresso e porre le basi affinché d’ora in poi non ci siano ulteriori eccezioni, se non pienamente conosciute ed accettate.

Forse ti può interessare anche questo articolo:

• Vantaggi competitivi dall’attuazione del D.Lgs. 231/01

[continua]

Indagine Assonime sullo stato di attuazione del d. lgs. 231/2001

Fonte: Assonime.

Sono stati pubblicati i risultati dell’indagine promossa da Assonime sullo stato di attuazione del d. lgs. 231/2001, che ha introdotto nel nostro ordinamento una responsabilità autonoma delle persone giuridiche per i reati commessi, nel loro interesse o a loro vantaggio, da soggetti che rivestono funzioni di rappresentanza, amministrazione e gestione all’interno dell’ente e dai loro sottoposti.

L’indagine è stata svolta attraverso un questionario inviato ad un campione di società associate all’Assonime, con il quale sono state raccolte informazioni sui principali temi della normativa: modello organizzativo, organismo di vigilanza, applicazione del decreto nell’ambito di gruppi d’imprese, informativa ai dipendenti, amministrori, sindaci e collaboratori, aggiornamento dei modelli e costi sostenuti.

L’obiettivo alla base dell’indagine è quello di monitorare alcuni profili dell’applicazione delle prescrizioni contenute nel d. lgs 231/2001, a qualche anno dalla sua entrata in vigore, al fine di esaminare le soluzioni individuate nella prassi e di valutare, anche alla luce della giurisprudenza, l’efficacia del nuovo sistema di responsabilità e le criticità della disciplina.

Forse ti possono interessare anche questi altri articoli:

• Adozione del Modello 231/01 nelle società quotate (gli obiettivi della ricerca);
• Adozione del Modello 231/01 nelle società quotate (i risultati della ricerca).

Come sta cambiando la corporate governance nelle aziende italiane

Prosegue la nostra chiacchierata con il dott. Stefano Barlini, uno dei fondatori e amministratori di operàri e la dott.ssa Sabrina Cicalò (leggi la prima parte dell'intervista). Oggi si parla dei cambiamenti della corporate governance nelle aziende italiane.

CA. In base alla vostra esperienza, come sta cambiando la corporate governance nelle aziende italiane? Cosa ci possiamo aspettare nel prossimo futuro?

SB. A mio giudizio la principale evoluzione a cui stiamo assistendo è rappresentata dal passaggio da un sistema in cui buona parte delle regole interne di governo societario era lasciata all’auto-disciplina delle imprese, ad un sistema dove sempre più tali regole sono imposte e/o notevolmente condizionate da leggi o regolamenti di natura vincolante. Anche la conformità ai requisiti di cui al D.Lgs. 231/2001, sebbene astrattamente facoltativa, è di fatto sempre più vincolante, a seguito dell’introduzione di un numero sempre maggiore di nuovi rischi-reato e delle relative sanzioni sempre più pesanti (tra quelle non scritte, non si dimentichi il titolo di giornale che riporta la notizia dell’iscrizione della società nel registro degli indagati), nonché in virtù di taluni meccanismi già in essere o che presumibilmente saranno impiantati al fine renderne obbligatorio il rispetto: ad esempio per le società quotate nel segmento STAR; nel testo in bozza dell’articolo 30 del TU sulla sicurezza sul lavoro; etc.

Tale evoluzione è forse ancora di più percepibile se si considera quanto ha operato la L. 262/05 sul tema dell’affidabilità del financial reporting da parte delle società quotate, la stessa direttiva Transparency in materia di obblighi di trasparenza riguardanti le informazioni rilasciate dalle società emittenti, il medesimo D.Lgs. 81/08 in ambito sicurezza.

Ciò che quindi in azienda si sarebbe dovuto fare secondo meccanismi sostanzialmente di auto-disciplina, oggi sempre più si è chiamati a farlo obbligatoriamente per legge. In termini di sistema di controllo interno, impiegando il framework elaborato dal CoSO, è come se l’obiettivo della conformità a leggi e regolamenti applicabili diventasse sempre più ampio e rilevante per le aziende, nonché capace di “assorbire” almeno un altro obiettivo di un sistema di controllo interno (i.e. quello dell’attendibilità delle informazioni di bilancio).

[continua]

Servizi di consulenza in materia di internal auditing e compliance

ComplianceAziendale.com ha intervistato il dott. Stefano Barlini, uno dei fondatori e amministratori di operàri e la dott.ssa Sabrina Cicalò risorsa professionale di operàri specializzata nei servizi di compliance management.
Ci siamo presentati con queste sei domande:

1. Dott. Barlini, potete presentarvi ai visitatori di ComplianceAziendale.com?
2. Chi si rivolge a operàri e che tipo di servizio richiede?
3. In base alla vostra esperienza, come sta cambiando la corporate governance nelle aziende italiane? Cosa ci possiamo aspettare nel prossimo futuro?
4. operàri ha effettuato uno studio approfondito sull'adozione dei modelli organizzativi ex D.Lgs. 231/01 nelle aziende quotate italiane. Oltre agli effetti previsti dalla normativa, avete osservato anche dei benefici nella gestione operativa?
5. Dall'esperienza maturata, a che punto è la cultura della compliance nelle aziende? E quali i principali ostacoli al suo sviluppo?
6. Secondo lei, come si può intervenire per promuovere lo sviluppo della compliance nelle aziende?

Visto l'interesse delle risposte ricevute, abbiamo deciso di pubblicarle singolarmente. Oggi vi proniamo le prime due, che ci permettono di approfondire la conoscenza del nostro interlocutore e di operàri.


ComplianceAziendale.com (CA). Dott. Barlini, potete presentarvi ai visitatori di ComplianceAziendale.com?

Stefano Barlini (SB). Ringrazio anzitutto ComplianceAziendale.com per l’interesse nei nostri confronti e, fin da subito, rivelo di essere un visitatore frequente e assai interessato del vostro sito. Sono Stefano Barlini CIA, CISA e CCSA, componente di alcuni Organismi di Vigilanza di cui al D.Lgs. 231/2001 e, come da vostra premessa, co-fondatore e amministratore di operàri.

operàri è una società di consulenza nata nel 2004 da una semplice idea “fare bene, facendosi pagare il giusto”: ovviamente nei servizi di risk management, internal auditing e corporate governance su cui è focalizzata la specializzazione professionale delle proprie risorse e la propria offerta. Con operàri abbiamo voluto prendere il buono delle big, da cui gli stessi soci fondatori provengono, ossia la professionalità, la competenza, l’efficienza nell’organizzazione del lavoro, la capacità di forgiare al proprio interno le proprie risorse professionali (né è un bellissimo esempio la dott.ssa Cicalò, qui con me), etc. per riproporlo a dei prezzi “leggeri” con un’attenzione vera alle esigenze e caratteristiche specifiche dei nostri clienti; non avendo un brand internazionale alle spalle, sostenuto da milioni di euro spesi per le proprie attività di marketing, per noi ogni progetto è un’occasione irripetibile per soddisfare pienamente le aspettative del nostro cliente al fine di farci ingaggiare nuovamente (vantiamo un grado di fidelizzazione davvero elevato anche a distanza di anni) e innescare il nostro principale strumento di comunicazione: il passaparola. Sono veramente numerosi gli esempi in cui, tra i risultati di un buon progetto, abbiamo potuto contare, oltre a genuine referenze dai nostri stessi clienti, sincere e dirette presentazioni a colleghi di altre società da cui siamo stati successivamente ingaggiati.

Abbiamo poi integrato le tradizionali attività di una società di consulenza, con un’altra attività non meno impegnativa che però ci fornisce notevole lustro e visibilità a costi contenuti (non dobbiamo quindi farla poi pagare ai nostri clienti!): le ricerche scientifiche e gli articoli professionali pubblicati nelle più importanti riviste nonché siti (tra cui ComplianceAziendale.com) di settore. Ovviamente il nostro sito www.operari.it raccoglie poi i contenuti da noi prodotti oltre a quelli degli autori dei nostri “partner editoriali”, tra cui ComplianceAziendale.com.

CA. Chi si rivolge a operàri e che tipo di servizio richiede?

SB. E’ difficile sintetizzare i clienti di operàri, perché accanto a circa venti società quotate (di cui 5 in mercati esteri), ci sono anche interessantissime società non quotate di medie e, a volte, di piccole dimensioni. Se oggi si prende la distribuzione per capitalizzazione delle società quotate in Italia e la si ordina in senso crescente, i nostri clienti si trovano tra le prime 250 società (sulle circa 300 complessive) che insieme non riescono a superare il 15% della capitalizzazione complessiva. La nostra offerta risulta, quindi, particolarmente interessante per le aziende di medio-piccola capitalizzazione. Se si ammette una correlazione diretta tra capitalizzazione e complessità dell’organizzazione, ecco allora che il nostro cliente tipo può identificarsi in una società di medio-piccole dimensioni tra quelle oggi quotate in borsa. In linea generale, il budget a disposizione per i servizi da noi offerti è proporzionale alle dimensioni: credo che proprio questo tipo di cliente, con limitate risorse a disposizione, apprezzi la nostra professionalità e competenza ai buoni prezzi che riusciamo a garantirgli. In talune ipotesi abbiamo, anzi, riscontrato che la nostra offerta a prezzi competitivi era l’unica in grado di intercettare una domanda che altrimenti non poteva essere soddisfatta, se non con progetti “mordi e fuggi” (tipicamente pilota e/o ad ambito progettuale assai ristretto a cui non si da mai successivo e completo seguito) da parte di una big.

Gran parte dei servizi, specie quelli erogati in occasione dei primissimi contratti con un nuovo cliente, ruota intorno al tema della compliance: dal Sarbanes-Oxley Act (per la cui conformità il sotto-scritto ha partecipato a più di 20 incarichi), ai requisiti discendenti dall’articolo 154-bis del TUF (più noto come L. 262/05 a tutela del risparmio), al D.Lgs. 231/2001 (a cui iniziai a dedicarmi proprio dal 2001 in uno dei primissimi progetti di conformità in tale ambito). Al tema della compliance ai requisiti discendenti dal D.Lgs. 231/2001, vanno poi ricondotti i sempre più numerosi incarichi di supporto operativo in favore degli Organismi di Vigilanza, particolarmente nell’ambito delle loro attività di monitoraggio e verifica dell’effettiva osservanza del Modello e dei protocolli in esso previsti.
Non mancano, ovviamente, poi gli altri servizi al di fuori del dominio della pura compliance: set up e assistenza continuativa a Funzioni di Internal Auditing, assistenza al management nello sviluppo e aggiornamento delle procedure aziendali, business audit, IS audit, etc. Un’ulteriore tipologia di servizio, particolarmente ricercata dalle organizzazioni più mature e illuminate, è rappresentata dai progetti basati su tecniche di CRSA (Control&Risk Self Assessment) per l’identificazione e valutazione dei rischi e dei controlli di dominio operativo (efficacia ed efficienza delle operazioni) eseguita, grazie all’attività da noi svolta di facilitatori, dagli stessi attori aziendali che più di tutti conoscono il business aziendale, criticità e punti di forza.

[continua]