Gli attributi dei protocolli di controllo e il compliance audit: il concetto di verificabilità del funzionamento e dell’osservanza del Modello
L'Organismo di Vigilanza svolge, tra i suoi compiti istituzionali, alcune attività simili a quelle di Internal Auditing, in particolare l'attività cd. di assurance, ovvero “un oggettivo esame delle evidenze, allo scopo di ottenere una valutazione indipendente dei processi di gestione del rischio, di controllo o di governance dell'organizzazione”.
L' utilizzo della funzione di Internal Auditing ad affiancamento dell'Organismo di Vigilanza è ben supportato dall'obbligatorietà del Codice Etico dell'Institute of Internal Auditors. Gli internal auditor, infatti, devono rispettare e sostenere i principi di integrità, obiettività, riservatezza e competenza. Questi principi si articolano e si concretizzano poi in specifiche Regole di Condotta, che “descrivono le norme comportamentali che gli internal auditor sono tenuti ad osservare”. Finalità, autorità e responsabilità dell'attività di Internal Auditing devono essere definite in un formale Mandato, coerente con gli Standard ed approvato dal consiglio di amministrazione dell'organizzazione.
Giova precisare che requisiti essenziali dell'Organismo di Vigilanza di autonomia, di indipendenza, di professionalità e di continuità d'azione non sono in alcun modo contraddetti o inficiati dall'utilizzo della funzione di Internal Auditing a supporto delle attività operative di vigilanza. Si ritiene, anzi, che la professionalità ne venga a giovare, proprio per le importanti competenze possedute dagli auditors.
Nella lettura del sistema di controllo interno, è senza dubbio corretto, come sostiene il Position Paper dell'Associazione Italiana Internal Auditors, che bisogna considerare “l'importanza basilare attribuita ai fattori che definiscono l'ambiente di controllo, con il giusto peso assegnato agli aspetti culturali ed ai flussi di informazione e comunicazione, a bilanciare la preponderante importanza che si potrebbe, erroneamente, tendere ad attribuire, altrimenti, alle direttive e procedure, limitandosi a rivolgere la propria attenzione soltanto ad aspetti formali ed a minuti adempimenti burocratici, con la preoccupazione preminente di precostituire elementi a futura difesa”. E' altrettanto vero, d'altra parte, che fare periodiche verifiche di Internal Auditing sulle componenti cosiddette soft (in particolare, l'ambiente di controllo, l'informazione e la comunicazione) è necessariamente più complesso di quanto sia invece fare tradizionale attività di auditing sul controllo di linea (lo specifico protocollo di controllo).
Il giudizio sull'osservanza e sul funzionamento del Modello da parte dell'Organismo di Vigilanza è, pertanto, un giudizio sull'efficacia del sistema di controllo interno o, almeno, un giudizio su quella parte interconnessa del sistema di controllo interno che è a presidio e prevenzione dei reati previsti dal decreto.
di Vittorio Gennaro
[visualizza l'articolo completo]
ANNO 2023
