08 aprile 2010

L'attività di vigilanza sul D.Lgs. 231/2001

di Achille Tonani(*)

L'attività di vigilanza sul D.Lgs. 231/2001 può consistere in un'attività di audit, svolta a supporto dell'Organismo di Vigilanza, sul Modello di Organizzazione, Gestione e Controllo implementato dalla società in ottemperanza a quanto definito dal Decreto.
Tuttavia, la vigilanza non si può certo esaurire nella sola attività di auditing ma può e deve essere supportata da una serie di interventi di varia natura, tendenti ad assicurare un continuo monitoraggio dell'efficiente funzionamento del modello.
Tra le possibili attività che giova menzionare si possono annoverare:
  • le autocertificazioni ad opera dei soggetti che ricoprono "key positions" nell'organizzazione;
  • analisi di dati contabili ed amministrativi,
  • analisi delle non conformità emesse da altre strutture aziendali o da organismi esterni durante ispezioni/controlli/certificazioni/vetting;
  • analisi dei reclami circa le prestazioni o le attività dell'azienda;
  • analisi delle rilevazioni automatiche dei sistemi informatici aziendali tarati per rilevare valori che superino indicatori di anomalia reimpostati dal sistema, report periodici su attività, volumi e operazioni critiche o a maggior rischio.
L'attività di auditing viene svolta, di norma, strutturando un piano periodico, che garantisca una certa continuità d'azione e permetta di verificare dapprima l'ambiente di riferimento e successivamente il livello di formazione/sensibilizzazione di tutti i soggetti che occupano posizioni chiave nel sistema di prevenzione adottato; lo scopo quindi è non solo quello di controllare cosa avviene in azienda, ma soprattutto quello di accertare la bontà dello strumento organizzativo e mantenere aggiornata l'analisi dei rischi predisposta in origine. Il piano in questione può tenere non solo conto delle risultanze del Risk assessment ma anche, oltre a prevedere una serie di attività casuali ed alcune extra conseguenti a segnalazioni ricevute, può legittimamente fondarsi sugli output degli altri strumenti di controllo disponibili, prevedendo ad esempio una più forte attenzione su quelle strutture aziendali che risultino meno collaborative o non puntuali nel fornire dati e report previsti.

Tale attività può prevedere lo svolgimento di attività di vigilanza sull'ambiente di controllo e attività di vigilanza sui comportamenti (tramite idonei campioni rappresentativi):
  • l'attività di vigilanza sull'ambiente di controllo consiste in un'attività di revisione finalizzata alla disamina dell'adeguatezza del Modello, ossia dell'efficacia dello stesso nel prevenire comportamenti che potrebbero configurare i reati contemplati dal D.Lgs. n. 231/01. Tale analisi è focalizzata a rilevare l'ambiente di controllo (schema organizzativo, procure, deleghe, attività esternalizzate, sistemi informatici, ecc.) e la sua coerenza rispetto agli standard di controllo di riferimento del Modello.
  • l'attività di vigilanza sui comportamenti consiste nell'attività di verifica del rispetto e dell'osservanza delle disposizioni del Modello (audit di conformità) e dei relativi standard di controllo. L'obiettivo è di verificare la rispondenza dei comportamenti all'ambiente di controllo attraverso verifiche effettuate su un campione determinato in base ai dati quantitativi forniti dall'azienda.
Ciascun audit prevede un esame documentale iniziale delle procedure/istruzioni applicabili alla struttura/funzione da auditare e di quanto emerso dall'analisi dei rischi o da precedenti audit, la rilevazione e verifica di conformità rispetto al sistema delle modalità operative adottate e del sistematico e coerente utilizzo dei sistemi di controllo previsti, la redazione di un rapporto finale in cui sarà indicata la mappatura delle attività sensibili gestite da ogni struttura ed eventuali scostamenti dall'analisi dei rischi, e lo stato di applicazione del sistema con rilevazione di non conformità e di raccomandazioni per il miglioramento.

(*) RINA Services S.p.A.
Certification Division
Sustainability, Governance and Innovation Sector Manager


Altri articoli che potrebbero interessarti:

Nessun commento:

Posta un commento