Il tema degli audit eseguiti congiuntamente dal DPO e dall’OdV, all’interno dell’azienda, rappresenta un territorio inesplorato nel panorama della conformità normativa in generale e della protezione dei dati in particolare.
Eppure, la crescente complessità delle normative che condizionano lo sviluppo dei processi aziendali postula proprio la necessità di un approccio integrato, da realizzare attraverso una sistematica collaborazione tra DPO ed OdV che, in prima battuta, sembrerebbe potersi configurare come una strategia promettente.
Esploreremo, quindi, le sinergie tra i compiti e gli skills del DPO e dell’ODV, cercando di capire se la pianificazione e l’esecuzione di audit congiunti possa concretamente elevare il livello di compliance dei processi aziendali e conseguentemente quali siano i rischi ed i vantaggi di tale attività.
Oltre la compliance: il coordinamento sinergico DPO-OdV per potenziare l’efficienza organizzativa
DPO e OdV: gli audit congiunti
La UNI EN ISO 19011:2018, “Linee guida per gli audit sui sistemi di gestione” (definizione 3.3), definisce l’audit congiunto come “Audit eseguito presso un’unica organizzazione oggetto dell’audit da due o più organizzazioni che svolgono attività di audit”.
Piano di gestione degli incidenti Cyber: come strutturarlo e aggiornarlo
Tale definizione può essere attagliata alle nostre esigenze di analisi considerando che le organizzazioni possono essere rappresentate dal DPO e dall’ODV.
Si consideri comunque che, ferma restando la chiara sfera di conoscenze ed abilità del DPO, nelle argomentazioni che seguono quando si fa riferimento all’OdV non si vuole intendere l’intero organo di controllo ma il membro dello stesso OdV con la maggiore competenza in relazione al tema trattato.
I criteri di audit da utilizzare sono quelli riconducibili ai temi in comune tra i due enti che non si limitano ai soli processi che riguardano i reati informatici.
Come anticipato in premessa, ci si pone la questione della opportunità o meno di tali audit, se e quali siano i vantaggi, le implicazioni e le modalità operative.
Come per tutte le attività operative in azienda, la chiave per il buon esito degli audit congiunti risiede certamente in una pianificazione efficace.
I possibili vantaggi degli audit congiunti
Gli audit congiunti presentano i seguenti vantaggi:
- vantaggi generali: riduzione della durata (sia di programmazione che di esecuzione); degli impegni e dei tempi richiesti ai reparti auditati; maggiore efficacia; visibilità delle interconnessioni tra i processi; razionalizzazione di procedure, moduli e registrazioni; riduzione delle sovrapposizioni;
- vantaggi per i membri del team di auditor: ampliamento della visione d’insieme del processo e delle sue variabili; evidenziazione delle ridondanze; miglior focalizzazione sul valore aggiunto dalle singole attività che costituiscono il processo oggetto dell’audit;
- miglioramento della produttività e competitività aziendale: quando i lavoratori dipendenti ricevono analoghe richieste da due organi diversi, con il rischio che tali organi diano agli stessi lavoratori indicazioni diverse e talvolta contraddittorie si può creare uno stress organizzativo pesante. Vi è anche il rischio di impattare sulla motivazione del singolo lavoratore che deve realizzare gli obiettivi di business. La motivazione è il “motus ad actionem” ovvero ciò che “ti muove a fare le cose e farle bene”. L’audit congiunto riduce questi rischi, poiché evita lo stress organizzativo, evita duplicazioni e contribuisce così a ridurre il carico di lavoro complessivo, migliorando la produttività e la competitività aziendale.
I possibili svantaggi degli audit congiunti
Tuttavia, è fondamentale anche considerare attentamente i teorici svantaggi potenziali legati all’implementazione degli audit congiunti. La coordinazione tra il DPO e l’OdV va gestita con attenzione e potrebbe richiedere un periodo di adattamento e un impegno costante nella promozione di una stretta collaborazione.
Sussiste, infatti, la possibilità di conflitti o sovrapposizioni indesiderate tra i compiti e le responsabilità dei due organi di controllo. Tali situazioni critiche richiedono un costante sforzo di comunicazione e una chiarezza nei ruoli.
In aggiunta, durante gli audit congiunti, la condivisione di informazioni sensibili tra DPO e OdV – che, ricordiamolo, riveste il ruolo di autorizzato al trattamento – potrebbe aumentare il rischio di violazioni della privacy e di gestione inappropriata delle informazioni. Questo potrebbe richiedere la messa in atto di misure di sicurezza supplementari, aggiungendo un livello di complessità alla gestione di queste pratiche condivise.
Un altro elemento di criticità è rappresentato dai criteri di classificazione dei rilievi che dovrà essere omogeneo e condiviso; in alternativa potrebbero essere definiti criteri diversi rispettivamente per il DPO e l’OdV. Ancora, l’identificazione del responsabile del team di audit dovrebbe essere necessariamente individuato tra i soggetti partecipanti secondo dei criteri concordati.
Quindi sebbene gli audit congiunti offrano notevoli vantaggi, è fondamentale riconoscere che l’implementazione di questa pratica non è priva di sfide significative che, in alcuni casi, potrebbero raggiungere dimensioni tali da sconsigliarla.
La diluizione della responsabilità, la difficoltà nell’allineare le metodologie di lavoro e la gestione delle informazioni sensibili emergono come possibili ostacoli da superare, che richiedono una pianificazione e una gestione attente, per garantire il successo e la sostenibilità di questa innovativa strategia di controllo aziendale.
Aspetti operativi degli audit congiunti DPO e ODV
Per mitigare, in parte gli elementi di criticità evidenziati e sfruttare i vantaggi dell’audit congiunto è opportuno attenersi ad alcune indicazioni che si vanno a sommare a quelle mutuate e comunemente condivise dalla UNI EN ISO 19011:2018 “Linee guida per audit di sistemi di gestione”.
Le premesse all’audit congiunto
Per poter effettuare la pianificazione degli audit congiunti è necessario che, in via preliminare OdV e DPO dovrebbero:
- identificare chiaramente gli obiettivi;
- definire le aree in cui ciascuno è chiamato a focalizzare la propria attenzione esplorativa;
- stabilire, nel contempo, gli aspetti chiave dei processi aziendali da esaminare.
Questa fase richiede, comunque:
- una conoscenza e una comprensione dettagliata delle normative applicabili e delle esigenze specifiche dell’organizzazione;
- una reciproca comprensione dei ruoli distintivi di DPO ed ODV, cioè dei compiti a loro attribuiti e della loro specifica professionalità;
- una condivisione delle competenze. DPO ed ODV devono, cioè, portare al “tavolo del confronto” le proprie prospettive uniche che, filtrate alla luce delle rispettive competenze, consentiranno di eseguire una valutazione completa.
Si suggerisce di definire, in anticipo, una procedura, che sarà affinata nel tempo, per la pianificazione ed esecuzione del processo. Tale procedura dovrà necessariamente riferirsi a quella già vigente nell’organizzazione per non rendere inutilmente complesso il tema trattato.
Inoltre, i soggetti incaricati dell’attività di audit devono essere formati per l’esecuzione degli stessi, ma consideriamo questo aspetto già acquisito per ricoprire lo specifico ruolo.
La pianificazione degli audit congiunti
Nell’ambito del piano annuale di audit una parte di questi potranno essere effettuati in modo congiunto da due organismi, fermo restando che gli stessi perseguiranno autonomamente la propria pianificazione.
È opportuno, pertanto, testare la procedura con un numero limitato di audit, almeno per il primo periodo per saggiare il modello ed andare ad affinarlo.
L’esecuzione degli audit
L’esecuzione dell’audit non presenta particolari criticità, ovviamente la funzione auditata sarà informata della modalità sulla base della quale sarà condotto l’audit, dei criteri utilizzati e del ruolo dei membri del team di audit.
È quindi opportuno che in fase di riunione iniziale tutti questi aspetti siano chiaramente compresi e condivisi.
La chiusura dell’audit
A conclusione dell’audit ed una volta che la documentazione è stata archiviata è consigliabile rivedere la procedura per valutare l’opportunità di modifiche o integrazioni e soprattutto se lo strumento dell’audit congiunto si è rilevato utile o un’inutile complessità.
Gestione dei rischi e delle contingenze
Programmare ed eseguire audit congiunti è un processo complesso che richiede al gestore del Programma una capacità di coordinamento non comune.
Durante la pianificazione degli audit congiunti, è essenziale includere una valutazione approfondita dei rischi potenziali e la definizione di strategie di contingenza. Questa fase contribuirà a garantire la flessibilità del processo di audit, consentendo risposte adeguate a eventuali imprevisti.
Tra i rischi potenziali, per questa tipologia di audit, sono sicuramente da considerare quelli relativi:
- alle difficoltà di pianificazione, che sono sicuramente maggiori rispetto agli audit più tradizionali poiché coinvolgono due soggetti;
- alla necessità di disporre di auditor competenti su più criteri e norme;
- ai criteri di classificazione dei rilievi di audit, se non precedentemente armonizzati.
Per ridurre l’impatto dei rischi identificati, e di altri che si potrebbero verificare in contesti specifici, è necessario che ODV e DPO mettano a punto una procedura mirata per la gestione di tali audit.
Tale documento non può, ovviamente, essere concepita come la “somma algebrica” delle procedure di audit in capo rispettivamente ai due organismi, ma deve essere definita valutando – fase per fase del processo di audit – come devono essere gestite le varie fasi.
Gli auditi congiunti e il sistema whistleblowing
Il whistleblowing, i.e. il sistema che consente di effettuare segnalazioni di condotte illecite ai sensi del D.lgs. 24/2023 può costituire un ostacolo alla realizzazione di audit congiunti.
Infatti, uno o più membri dell’OdV, qualora fossero incaricati della gestione del canale interno per le segnalazioni, non potrebbero effettuare audit sulla gestione del processo di whistleblowing poiché in questo caso l’indipendenza dell’OdV potrebbe essere evidentemente compromessa. Di fatto gli stessi membri responsabili della vigilanza sarebbero chiamati a valutare la gestione delle segnalazioni in cui sono direttamente coinvolti.
Tali audit sarebbero in capo al DPO o ad altre funzioni identificate dalla Direzione; essendo in ogni caso rilevante, in tale processo, la componente della protezione dei dati personali. Per tale motivo la figura del DPO o di un suo delegato risulta particolarmente adatta a prendere in carico l’attività.
Infatti come evidenziato in un precedente articolo, il DPO, in virtù del suo ruolo centrato sulla protezione dei dati personali, emerge come figura chiave nella gestione dei processi di whistleblowing.
La componente del trattamento dei dati personali è un elemento essenziale in questo contesto e rende la figura del DPO particolarmente adatta a sorvegliare e auditare l’intero processo.
Conclusione
In conclusione, siamo ben consapevoli di aver trattato un tema “di frontiera” secondo prospettive audaci. Pertanto, non usciamo da queste riflessioni con delle certezze. Non sappiamo se valga davvero la pena eseguire audit congiunti tra DPO e OdV. Però, nel seguire il nostro percorso esplorativo dei rapporti tra DPO e OdV, certamente non potevamo trascurare un tema così rilevante.
Così abbiamo voluto evidenziare che l’introduzione degli audit congiunti può comunque rappresentare un passo avanti nella gestione della complessità normativa, anche se – considerata l’incertezza circa l’opportunità di adottarli – la loro efficacia deve essere testata e valutata progressivamente all’interno delle pianificazioni.
Restiamo comunque convinti che l’inserimento graduale degli audit congiunti possa offrire un’opportunità unica per bilanciare i benefici e affrontare le sfide.
È quindi auspicabile un approccio graduale che consenta di identificare vantaggi e svantaggi degli audit congiunti DPO-OdV, ponendo le basi per una pratica che potrebbe rivoluzionare positivamente il modo in cui le imprese affrontano la compliance normativa.
NOTE BIBLIOGRAFICHE
Per ulteriori approfondimenti sulla tematica degli audit si veda anche “Privacy & Audit. Tipologia, pianificazione e processo. Comunicazione e valutazione. Audit e situazioni particolari” di Emegian F. e Perego M., IPSOA-Wolters Kluwer, Milano 2019.
Gestione documentale e firma digitale: abilita un processo full digital sicuro
@RIPRODUZIONE RISERVATA