L’organismo di vigilanza deve vigilare sul modello di organizzazione e gestione e verificare la coerenza dei comportamenti individuati dal modello stesso.
Tra le attività che l’Organismo di Vigilanza è chiamato ad assolvere, anche sulla base delle indicazioni contenute negli articoli 6 e 7 del Decreto 231, vi è la vigilanza sull’effettività del modello di organizzazione e gestione cioè sulla coerenza tra i comportamenti concreti e il modello istituito.
In altri termini quindi l’OdV deve vigilare sulla concreta ed effettiva applicazione delle misure di prevenzione e controllo definite dal modello di organizzazione e gestione e facenti parte del sistema dei controlli interno.
L’importanza di questa attività di natura strettamente operativa è evidenziata dalla richiesta di professionalità specifiche in materia come necessario requisito dell’OdV:
“Come chiarito dalla giurisprudenza, è essenziale che la scelta dei membri dell’Organismo di Vigilanza avvenga verificando il possesso di specifiche competenze professionali […] Il modello deve esigere che i membri dell’OdV abbiano competenze in “attività ispettiva, consulenziale, ovvero la conoscenza di tecniche specifiche, idonee a garantire l’efficacia dei poteri di controllo e del potere propositivo ad esso demandati” (così Trib. Napoli, 26 giugno 2007). Quanto all’attività ispettiva e di analisi del sistema di controllo, la giurisprudenza ha fatto riferimento – a titolo esemplificativo – al campionamento statistico; alle tecniche di analisi, valutazione e contenimento dei rischi […] (Trib. Milano, 20 settembre 2004)”.
Lo strumento per verificare la corretta applicazione delle regole definite dall’azienda e che il Modello nel suo complesso sia idoneo ai profili di rischio evidenziati è l’attività di audit.
L’audit consiste in una serie di interviste il cui scopo è acquisire evidenze oggettive circa la corretta applicazione dei sistemi di controllo previsti dal modello di organizzazione e gestione (ad esempio: esercizio del potere autorizzativo da parte di soggetto autorizzato, espletamento di una attività di controllo, segnalazione di anomalia, archiviazione a garanzia della tracciabilità ecc.).
Una domanda ricorrente che viene posta è se l’OdV debba eseguire personalmente e/o direttamente gli audit.
La domanda è mal posta. L’OdV ha l’obbligo di verificare l’effettiva applicazione delle misure di prevenzione e controllo ed ha il potere di effettuare verifiche direttamente o tramite professionisti esterni o funzioni interne preposte. Ciò dipenderà anche dalla complessità organizzativa, dalla numerosità dei processi e attività sensibili, dalla complessità e tecnicità delle verifiche o dal profilo di rischio evidenziato.
Indipendentemente dall’esecutore della verifica una attività di audit efficace deve tener conto di questi elementi:
- indipendenza dell’esecutore: l’auditor deve essere indipendente dall’attività/processo oggetto di audit, nonché libero da pregiudizi o conflitti di interesse;
- professionalità: il possesso delle competenze necessarie affinché l’attività svolta abbia risultati significativi;
- approccio basato sull’evidenza: è lo strumento che consente di ottenere risultati affidabili e riproducibili;
- periodicità: la periodicità delle verifiche dipende dalla criticità del processo e delle singole attività sensibili;
- programmazione: il programma delle verifiche potrà tener conto anche delle verifiche interne e/o esterne condotte su altri sistemi di gestione o in una logica di SGI e prevedendo anche verifiche spot o a sorpresa;
- campionatura: il numero di attività da esaminare deve essere determinato in base alla criticità del processo e alla durata dell’audit, secondo logiche alternative di campionamento, 100% dei casi avvenuti nel periodo di riferimento, o analisi di un numero fisso di casi.
L’attività di audit permetterà, attraverso la raccolta di evidenze oggettive, di attestare il rispetto del sistema dei controlli interni previsti dal Modello (il «requisito» di cui l’auditor deve verificare il rispetto). L’evidenza di un disallineamento da quanto prescritto costituisce una anomalia.
La valutazione delle anomalie assegnerà pesi, azioni e conseguenze diverse: potranno risultare violazioni dei sistemi di controllo più o meno gravi ma potrà anche essere valutata inadeguata la singola misura di controllo e quindi necessario apportarvi correttivi o adeguamenti. In ogni caso a seguito della valutazione si dovrà richiedere una azione per eliminare il rilievo la cui verifica dell’efficacia deve dimostrare la capacità dell’azienda di saper imparare dai propri errori.
In tema di Odv e Organo di vigilanza Portale 231 e i suoi autori collaborano attivamente con Probitas nell’erogare alta formazione.
Se siete interessati è possibile iscriversi compilando il form a questo link.