Guida Interpretativa 2330.A1-2: Autorizzazione all’accesso alla documentazione dell’incarico

Avvertenza: Per le questioni che hanno implicazioni legali, gli internal auditor sono invitati a consultare l’ufficio legale, in quanto i requisiti possono variare notevolmente nelle diverse giurisdizioni. Gli orientamenti contenuti nella presente guida interpretativa si basano essenzialmente sui sistemi giuridici che tutelano le informazioni e il lavoro svolto per un legale di fiducia od oggetto di comunicazione a quest’ultimo (cioè, in presenza di un privilegio professionale forense), come nel caso del sistema giuridico degli Stati Uniti d’America. La guida interpretativa PA 2400-1 esamina gli aspetti relativi al privilegio professionale per gli avvocati.

1. La documentazione di un incarico di internal auditing comprende relazioni, documentazione d’appoggio, note di revisione, corrispondenza, su qualsivoglia supporto. In genere, la documentazione dell’incarico viene generata con il presupposto che il suo contenuto abbia carattere riservato; essa può contenere una combinazione di fatti e di pareri. Tuttavia, chi non conosca a fondo l’organizzazione o il suo processo di internal auditing potrebbe interpretare in maniera errata tali fatti e pareri. Dall’esterno possono pervenire richieste di accesso alla documentazione di un incarico nel quadro di vari tipi di procedimenti, per esempio in caso di azioni penali, contenziosi civili, verifiche fiscali, ispezioni normative, ispezioni di commesse pubbliche e ispezioni da parte di organismi di autodisciplina. Nel quadro di un’azione penale, è possibile accedere alla maggior parte dei documenti di un’organizzazione che non risultano protetti dal privilegio professionale forense. Nel quadro di un’azione non penale, la questione dell’accesso è meno chiara e può variare in funzione della giurisdizione dell’organizzazione.

2. Pratiche esplicite dell’attività di internal auditing possono incrementare il livello di controllo sull’accesso alla documentazione dell’incarico.

3. L’attività di internal auditing può esaminare l’accesso alla documentazione dell’internal audit e il controllo della stessa, a prescindere dal supporto su cui essa è conservata.

4. Le politiche che disciplinano l’attività di internal auditing devono precisare che cosa si può includere nella documentazione di un incarico e specificare il contenuto e il formato di tale documentazione; inoltre devono indicare le modalità di gestione delle review note risolte da parte degli internal auditor. Dette politiche devono anche specificare per quanto tempo deve essere conservata la documentazione degli incarichi di internal auditing. Nel fissare il tempo per cui si deve conservare la documentazione degli incarichi, è opportuno che il Responsabile Internal Auditing (RIA) tenga in considerazione le necessità dell’organizzazione e i requisiti legali.

5. Le politiche dell’attività di internal auditing possono precisare chi, all’interno dell’organizzazione, è responsabile del controllo e della sicurezza delle carte dell’internal auditing, chi può essere autorizzato ad accedere alla documentazione degli incarichi e come devono essere gestite le richieste di accesso a tale documentazione. Queste politiche dipendono dalle prassi adottate nel comparto dell’organizzazione o dalla giurisdizione in cui essa opera. Il RIA deve essere aggiornato sulle prassi vigenti nel comparto e sulle modifiche giuridiche introdotte. Nell’elaborare le politiche, il RIA deve prendere in considerazione chi potrebbe richiedere di accedere alle carte dell’internal auditing.

6. La politica che regola l’accesso alla documentazione degli incarichi può contemplare anche i processi riguardanti:

  • la risoluzione delle problematiche inerenti all’accesso;
  • l’istruzione degli internal auditor circa i rischi e le problematiche inerenti all’accesso ai prodotti del loro lavoro;
  • la determinazione dei soggetti che potrebbero chiedere di accedere ai prodotti del loro lavoro in futuro.

7. Inoltre il RIA può istruire il senior management e il board circa i rischi legati all’accesso alla documentazione degli incarichi. Il board può esaminare le politiche riguardanti i soggetti che possono essere autorizzati ad accedere alla documentazione degli incarichi e le modalità di gestione delle relative richieste. Le politiche specifiche variano in funzione della natura dell’organizzazione e dei privilegi di accesso contemplati dalla legge.

8. In genere, trasmettendo la documentazione di un incarico, il RIA:

  • fornisce solo i documenti specifici, in base a quanto stabilito dall’ufficio legale o dalle politiche aziendali. In genere, ciò esclude i documenti coperti da privilegio professionale forense. Di norma, i documenti che rivelano i processi di pensiero o le strategie dei legali sono coperti da segreto professionale e non possono essere oggetto di un obbligo di trasmissione;
  • rilascia i documenti su un supporto che ne impedisca la modifica (per esempio, in formato immagine anziché su file modificabile). Nel caso di documenti cartacei, il RIA ne rilascia copia e trattiene gli originali;
  • contrassegna il documento con la dicitura “riservato” e inserisce una nota in cui specifica che ne è vietata la distribuzione ad altri senza la dovuta autorizzazione.

 

***

maggio 2010

Standard 2330.A1-Documentazione delle Informazioni