Uno dei principali compiti che l’Organismo di Vigilanza deve assolvere nel corso del suo mandato è l’effettuazione di attività di audit sul Modello di Organizzazione e Controllo. Tali attività devono essere volte a comprendere le modalità di gestione dei processi e verificare il rispetto dei principi di comportamento e di controllo contenuti nelle Parti Speciali (o Protocolli / Procedure) allegate al Modello o a cui il Modello rimanda, suggerendo, ove ritenuto necessario, le relative azioni di miglioramento; in secondo luogo le attività di audit 231 sono il veicolo per monitorare la correttezza delle Parti Speciali (o Protocolli / Procedure) ed individuare eventuali carenze nel disegno dei controlli in essere ovvero, laddove ritenuti adeguati, la loro effettiva applicazione ed eventualmente modificare le parti speciali nel caso non coerenti con le attività di controllo svolte dal personale operante nelle aree a rischio, ovvero nel caso vi siano state modifiche nell’organizzazione aziendale tali da comportare modifiche nelle modalità di svolgimento dei processi. Le modifiche alle parti speciali devono essere attentamente valutate al fine di garantire che gli eventuali controlli sostitutivi assicurino la prevenzione dalla commissione dei reati 231/01 allo stesso modo di quelli inizialmente inseriti. Pertanto, il principale compito delle attività di audit sul modello 231/01 deve essere quello di educare il comportamento degli attori coinvolti e non modificarne il “copione”, se non in casi di reale necessità.
La pianificazione delle attività di audit è effettuata a cura dell’Organismo di Vigilanza (ODV) il quale deve garantire la copertura di tutte le parti speciali (o Protocolli/Procedure) in un arco temporale accettabile; se non è possibile effettuarle tutte annualmente l’ODV deve fare il possibile per andare a copertura nell’arco di un biennio. È consigliabile effettuare per primi gli audit sulle attività ritenute più a rischio in modo tale che questi siano anche i primi ad essere ripetuti; è inoltre necessario che sui processi a rischio da auditare sia precedentemente stata effettuata adeguata formazione. Il piano annuale di audit è oggetto di condivisione e discussione con il Consiglio di Amministrazione ed il Collegio Sindacale nel corso della riunione annuale con l’Organismo di Vigilanza.
Per l’effettuazione operativa degli audit è necessario che gli auditor abbiano competenze tecniche sulla materia che stanno auditando (ad esempio, è bene che l’audit sul protocollo “gestione degli adempimenti in materia di salute e sicurezza sul lavoro” sia effettuato da personale con specifiche competenze in materia); l’Organismo di Vigilanza può, quindi, scegliere di: a) effettuare da se le attività operative di audit, b) avvalersi della collaborazione di personale interno alla Società come la funzione Internal Audit, c) se gli è stato assegnato il dovuto budget, dare mandato a consulenti esterni esperti in materia.
L’operatività di un audit 231 non ha nulla di differente rispetto ad un qualsiasi altro audit, pertanto è necessario definire gli obiettivi dell’intervento, l’organizzazione progettuale (chi effettua l’audit) e l’approccio da seguire, nonché l’ambito di intervento , sia in termini temporali, sia in termini di “perimetro”. Tali valutazioni sono svolte dall’Organismo di Vigilanza, con l’eventuale collaborazione del personale coinvolto a livello operativo.
Una volta definiti i punti di cui al precedente capoverso è necessario stendere un “piano dei test” con evidenza dei controlli che dovranno essere verificati, l’eventuale documentazione (evidenza documentale) da visionare/allegare, la periodicità ed il tipo di controllo ed il campione selezionato (si suggerisce di lasciare traccia anche del metodo di campionamento utilizzato). Prima di cominciare con le attività operative di audit è consigliabile condividere il piano dei test con il management (e, se possibile, con il/i rappresentanti del vertice aziendale quali “sponsor” dell’attività) operante nell’area a rischio che si sta auditando al fine di preparare il personale alle domande che gli verranno rivolte ed alla documentazione che si chiederà di visionare, sottolineando che non si tratta di un’attività di “controllo punitiva” ma di attività volte al miglioramento nell’operatività dei processi e dell’impalcatura documentale 231. Nell’ambito dello svolgimento dell’attività è bene che vi siano evidenze documentali allegate alla documentazione di audit in modo da “provare” quanto verificato in occasione di eventuali indagini da parte della magistratura; inoltre, è consigliata la compilazione del piano dei test con le risultanze ottenute al fine di facilitare il lavoro a chi dovrà, a conclusione dell’attività, redigere e presentare il Rapporto di Audit.
Il Rapporto di Audit deve essere presentato al management coinvolto nell’area a rischio in oggetto in modo da discutere e condividere le azioni di miglioramento da porre in essere e le eventuali modifiche da apportare alla Parte Speciale oggetto della verifica. Le azioni di miglioramento concordate con il management saranno tenute agli atti in modo da poter essere verificare successivamente a cura dell’Organismo di Vigilanza mediante i “follow-up” programmati.
Annualmente l’Organismo di Vigilanza relazionerà gli organi di controllo in merito alle attività che ha svolto, ivi comprese le attività di audit, e ne condividerà l’eventuale piano di azione o miglioramento.
Le competenze tecniche trasversali dei consulenti Alavie sulle materie inserite nel D.Lgs.231/01 e l’esperienza sviluppata grazie a molteplici progetti su differenti realtà, ci rende il partner ideale per le attività di auditing sui modelli. Contattaci per informazioni > Modello organizzativo 231/01
Consulenza e formazione per affiancare le aziende nella realizzazione di Modelli Organizzativi 231/01 e di un’efficace sistema di controllo interno. “SCOPRI DI PIÙ”
