Audit & Governance

MOG

Il MOG (Modello Organizzativo Gestionale) è costituito da: Sistema organizzativo

Codice etico 

 Sistema delle procedure

Parte generale 

 Sistema di controllo di gestione

Parte speciale descrittiva (ad uso interno 

 Informazione e formazione del perso-

– opzionale)  nale

Mappatura del rischio (parte centrale

 del MOG) Sistema disciplinare



Sistema delle deleghe e delle procure



MAPPATURA DEL RISCHIO

Questa attività ha lo scopo di indicare le norme e i protocolli che i destinatari, nell’ambito della speci-

fica area interessata, sono chiamati ad osservare ai fini della corretta applicazione del Modello.

Inoltre ha lo scopo di delineare per ogni area a rischio reato, gli specifici oneri di controllo e supervi-

sione incombenti sull’OdV & fornisce all’organo gli strumenti operativi per esercitare le attività di con-

trollo, monitoraggio e verifiche necessarie.

Le schede di valutazione del rischio riportano per ogni tipologia di reato:

- Attività sensibile

- Unità operativa a rischio

- Ruolo aziendale a rischio

- Protocolli di prevenzione generali

- Protocolli di prevenzione specifici

- Flussi informativi verso l’OdV

- Valutazione rischiosità del reato 37

La formula del Rischio è data da:

R = G * (P – C) Rischio = Gravità * (probabilità – copertura)

INTERNAL AUDIT

L’internal audit è un’attività di consulenza e si occupa della verifica delle procedure etiche che la

struttura organizzativa si è data.

Il ruolo di Audit può essere ricoperto sia da personale interno che da personale esterno in qualità di

consulente.

Tanto più l’entità è complessa ed articolata, maggiora sarà la necessità di attivare la leva del con-

trollo, il quale è tanto più facile quanto la struttura è organizzata e i processi organizzative e le rela-

tive attività sono ben codificate.

COMPETENZE DI BASE RICHIESTE ALL’INTERNAL AUDIT

1- Competenze organizzative

a. Deve conoscere attentamente chi fa cosa (organigramma, mansionario e funzioni-

gramma)

b. Deve conoscere chi è autorizzato a fare cosa (poteri e sistema di deleghe)

c. Individuare chi esegue e chi controlla (i due soggetti devono essere differenti – chi ese-

gue non può essere anche chi controlla se stesso)

2- RISK ASSESSMENT (Mappatura dei rischi)

a. Ogni evento e ogni svelta aziendale comporta un rischio (non esiste operazioni a rischio

zero)

b. Il rischio deve essere ben identificato dai manager (con l’importare aiuto dell’Internal

Auditor), misurato e messo in correlazione ad altri rischi già esistenti o che potrebbero

scaturire 38

3- COMPETENZE ANTIFRODE

a. L’Internal Auditor deve assistere il management ad individuare i colpevoli di frode, og-

gettivando con prove la frode subita

b. Prevenire situazioni di potenziali frodi rivolte ai collaboratori interni (frodi interne)

c. Prevenire situazioni di potenziali frodi esterne per i processi esternalizzati ad outsource

d. Promuovere attività di investigation relativamente alla possibilità di verificarsi di frodi

e. Correlare informazioni private e pubbliche a sua disposizione

f. Mantenere massima e assoluta discrezionalità

4- COMPETENZE GIURIDICHE

a. L’Internal Auditor deve ben conoscere il quadro normativo civilistico, concorsuale, pe-

nale, fallimentare, …

b. Deve conoscere il quadro normativo specialistico

i. Sicurezza sul lavoro (D.lgs. 81/08 – Ex 626)

ii. Privacy (D.lgs. 196/03)

iii. Antiriciclaggio (D.lgs. 231/07)

iv. MOG 231 (responsabilità amministrativa e prevenzione alla corruzione)

c. Conoscenza del quadro di riferimento del business specifico

5- COMPETENZE COMPLIANCE

a. Identificare gli adempimenti normativi applicabili alla propria realtà aziendale

b. Identificare il modello sanzionatorio applicabile in caso di mancati adempimenti

c. Identificare le autorità di vigilanza (OdV)

6- COMPETENZE AMMINISTRATIVE

a. Comprensione degli impatti di ogni scelta aziendale sull’aspetto finanziario, economico

e patrimoniale

b. Conoscenza della PD e dei Bilancio (e loro lettura-interpretazione)

7- COMPETENZE GESTIONALI

a. Capacità di immedesimarsi nei vari ruoli aziendali coinvolti

b. Conoscenza del ruolo organizzativo che si appresta a intervistare (auditare)

8- COMPETENZE INFORMATICHE

a. Interagire con gli Amministratori di Sistema individuati dalla legge sulla privacy (D.lgs.

196/03)

b. Controllo che le videosorveglianze e le tracciabilità vengono effettuate ed utilizzati nei

limiti e nel rispetto della Privacy

Competenze di IT e TLC (informatica e telecomunicazione)

L’internal auditor NON deve avere riferimenti gerarchici da strutture operative.

Egli dipende solamente dal Presidente e/o dal CdA.

La figura di Internal Auditor gode della massima autonomia nella piramide aziendale. Agisce secondo

un piano di audit approvato dal CdA su base annuale, e su iniziativa personale qualora ne ravveda la

necessità di un intervento “extra piano di audit”.

Il piano di audit viene redatto dal CdA su base annua dopo interviste all’Alta Direzione, al Manage-

ment e al Middle Management; viene pubblicizzato a tutte le funzioni aziendali; si compone di 3 ma-

cro-aree:

1- operativa

2- compliance

3- 231 [opzionale] 39

La metodologia operativa è: Individuazione procedure aziendali

Individuazione owner processo

Individuazione quadro normativo

Verificare l'esistenza di Auditor Report precedenti

Interviste

Documentazione a supporto degli elementi raccolti

Individuazione scostamenti tra procedure e quadro normativo

Individuare aree di inefficienza

Individuazione raccomandazioni e rilievi

Redarre un Audit Report

Condividere il contenuto e indirizzare il Report agli Owner e all'Alta

Direzione

Follow uo Audit per verificare se le raccomandazione sono state applicate

La Compliance Audit non è suggerita dal management e non è obbligatoria, tuttavia la sua applica-

zione è indispensabile.

La legge sul trattamento dei dati personali (legge sulla privacy – D.lgs. 196/03) obbliga su base an-

nuale l’organo di controllo interno alla redazione di una relazione indirizzata al Titolare del tratta-

mento, nella quale l’internal Auditor da evidenza delle verifiche sul rispetto degli adempimenti previ-

sti in carico agli AdSistemi.

Per questa relazione occorre:

- Verificare con appositi test che l’azienda conservi per almeno 6 mesi i log tecnici relativi

all’operatività quotidiana

- Verificare le nomine e la loro formalizzazione

- Verificare come l’azienda ha comunicato ai propri collaboratori interni i nominativi degli AdS

- Verifica del sistema di reportistica preventiva indirizzato al Responsabile della funzione di In-

ternal Auditing 40

IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI (SCIR)

Esso è l’insieme delle regole, delle procedure e delle strutture organizzative volte ad una conduzione

corretta dell’impresa, coerentemente con gli obiettivi prefissati e a favore dell’assunzione di decisioni

consapevoli, con l’obiettivo di salvaguardare il patrimonio, la conformità legislativa, l’attendibilità

delle informazioni e l’efficienza ed efficacia delle operazioni aziendali.

Esso si attua attraverso l’identificazione, la misurazione, la gestione e il monitoraggio dei rischi azien-

dali.

La revisione del bilancio del gruppo

Il revisore legale dei conti della capogruppo (cd revisore del gruppo) è responsabile anche della revi-

sione di tutte le componenti, anche se effettuate da altri revisori.

Il revisore dunque nella sua relazione sul bilancio del gruppo NON può fare riferimento ai revisori

delle componenti e ai loro giudizi, in quanto lui è interamente responsabile.

Per questo motivo il revisore della capogruppo deve “controllare”, verificare e convincersi che coloro

che svolgono l’incarico di revisione delle componenti possiedano le necessarie competenze e capa-

cità.

Il revisore del gruppo deve:

1- Comunicare chiaramente con i revisori delle componenti in merito all’ampiezza e alle tempisti-

che del loro lavoro

2- Acquisire elementi provativi sufficienti ed appropriati sulle informazioni finanziarie delle com-

ponenti e sul processo di consolidamento, per esprimere un giudizio professionale sul bilancio

del gruppo

3- Conoscere e comprendere i revisori delle componenti

4- Individuare e comunicare i livelli di significatività delle componenti e il livello di significatività

del gruppo (una voce può essere rilevante nella componente ma non nel gruppo e viceversa)

5- Comunicare con la direzione (amministratori) e con i responsabili delle attività di governance

del gruppo

Vi deve essere comunicazione scritta tra il revisore del gruppo e i revisori delle componenti, se essi

sono differenti dal revisore del gruppo.

Le comunicazioni riguardano le richieste del revisore del gruppo formulate tempestivamente; l’indivi-

duazione del lavoro da svolgere, l’utilizzo che ne verrà fatto, la forma e il contenuto delle comunica-

zioni del revisore della componente; Ottenimento delle informazioni e degli elementi probativi dal

revisore della componente. 41

L’indipendenza del revisore

L’indipendenza del revisore è un requisito fondamentale per la fiducia del pubblico e per l’affidabilità

del suo operato.

L’indipendenza è uno strumento per il revisore per dare dimostrazione al pubblico e alle autorità di

controllo che egli svolge la sua funzione con rigore, on integrità ed obiettività.

L’indipendenza deve essere di due tipi contemporaneamente:

1- è l’atteggiamento mentale del revisore che lo spinge a prendere in

INDIPENDENZA MENTALE →

(independence in fact) considerazione tutti gli elementi rilevanti e nessun fattore estraneo

(esempio pressioni societarie)

2- è il giudizio che una persona ragionevole e informata ha riguardo

INDIPENDENZA FORMALE →

(independ. in appearance) l’obiettività del revisore esterno

Questa indipendenza prevedere il rispetto di principi etici.

La legge (D.Lgs 39/2010 art. 10) prevede che il revisore legale e la società di revisione che effettuano

la revisione legale dei conti di un società devono essere indipendenti da questa e non devono essere

in alcun modo coinvolti nel suo processo decisionale.

L’indipendenza del revisore deve essere non solo nei confronti dell’Audit (società revisionata),

Client

ma anche neu confronti della Related Entities.

Con il concetto di Related Entities si indica:<