03 January, 2024

DPO, OdV e collegio sindacale: una sinergia vincente per garantire compliance e governance aziendale

Gli amministratori di imprese medio-grandi che operino in forma societaria o collettiva, hanno il dovere di istituire un assetto organizzativo, amministrativo e contabile che consenta di rilevare tempestivamente e di gestire situazioni di crisi e di insolvenza nonché la perdita della continuità aziendale. Alla realizzazione di questa finalità concorrono organi interni preposti al controllo delle organizzazioni in ambito privato. La loro azione sinergica costituisce un elemento chiave per garantire una compliance effettiva e una governance aziendale solida.

Organi preposti al controllo per gestire i diversi rischi

La gestione di tali rischi è affidata a diversi organi interni preposti al controllo delle organizzazioni in ambito privato. Nella tabella seguente sono riportati quelli di maggior rilievo che assumono un ruolo proattivo nella prevenzione dei rischi.

Il tipo, la natura e la composizione di tali Organi dipendono da molteplici elementi. Per tutti sono previsti livelli di indipendenza più o meno marcati e sono strettamente disciplinate le modalità di riporto al vertice aziendale.

Relazione tra organi di controllo: utilità di una regolamentazione

Non risulta, invece, disciplinato il livello di relazione tra gli stessi Organi. [...] tali soggetti, attraverso l’identificazione delle minacce, mirano a prevenire che i relativi eventi dannosi si verifichino. In concreto, operano sviluppando autonomi processi di gestione dei rischi con output differenti, costituiti dalla mitigazione dei rischi, rispettivamente:

-per i diritti e le libertà fondamentali;

-finanziari;

-di commissione dei reati.

Detti output, quantunque differenti, convergono verso un unico outcome ben riassunto dal secondo comma dell’art. 2086 del codice civile secondo il quale “L’imprenditore, che operi in forma societaria o collettiva, ha il dovere di istituire un assetto organizzativo, amministrativo e contabile adeguato alla natura e alle dimensioni dell’impresa, anche in funzione della rilevazione tempestiva della crisi dell’impresa e della perdita della continuità aziendale, nonché di attivarsi senza indugio per l’adozione e l’attuazione di uno degli strumenti previsti dall’ordinamento per il superamento della crisi e il recupero della continuità aziendale”.

Quali informazioni dovrebbero essere condivise

[...] Gli ambiti nei quali è opportuno condividere informazioni possono riguardare:

-la mappatura dei processi aziendali;

-lo stato della presa in carico delle misure pianificate per la riduzione dei rischi che sono comuni a questi Organi e che costituiscono quindi aree operative sovrapposte. Si pensi, ad esempio, alle misure poste in essere per garantire la trasparenza delle informazioni, o ancora alle misure per prevenire reati informatici nel contesto del d.lgs. n. 231/2001 o i reati afferenti all’area dei copyright, della gestione dei rifiuti elettronici ecc.;

-la pianificazione di attività di audit sui processi che rientrano nel campo di applicazione degli organismi nonché i risultati degli stessi audit eseguiti sia in modo congiunto che singolarmente dai vari Organi di controllo;

-variazioni di processi, contesto, ambito di attività, introduzione di nuove tecnologie (ad esempio applicazioni aventi una componente di AI) ed altri aspetti che toccano ambiti in comune tra i soggetti preposti al controllo;

-variazioni normative;

-i risultati di attività di audit/ispezione condotte sia internamente che da soggetti terzi;

-eventi che hanno minato o avrebbero potuto minare la sicurezza delle informazioni.

Ulteriori ambiti potrebbero essere individuati in relazione alle specificità dell’organizzazione ed al settore in cui opera. Naturalmente, lo scambio di informazioni dovrebbe essere pianificato almeno con frequenza annuale, ferma restando la necessità che tali soggetti siano sempre pronti a organizzare in modo rapido la condivisione di informazioni qualora si verificassero situazioni critiche.

[...]

News ripresa da CYBERSECURITY360