I proprietari di piccole imprese in alcuni settori come l’assistenza sanitaria, la produzione e la tecnologia dell’informazione hanno spesso lo stesso livello di responsabilità per il rispetto delle normative federali e statali delle aziende più grandi. Ad esempio, il Sarbanes-Oxley Act del 2002, l’Health Insurance Portability and Accountability Act del 1996, il Can Spam Act del 2003 e l’Occupational Safety and Health Act richiedono alle aziende che rientrano nella loro giurisdizione di rispettare le normative obbligatorie indipendentemente dall’attività ‘ taglia. In questi casi, l’audit periodico per determinare quanto bene o se l’azienda sta operando in conformità con le linee guida e le specifiche stabilite è una componente obbligatoria nel protocollo di conformità dell’azienda.
Valutazione dell’efficacia
Uno degli obiettivi principali della conduzione di un audit di conformità interno o esterno è valutare l’efficacia complessiva delle pratiche e dei protocolli di conformità di un’azienda. Durante l’esame dei processi e delle transazioni, un revisore della conformità deve determinare se l’elemento in esame è conforme agli standard stabiliti. Il rapporto tra processi e transazioni conformi e non conformi diventa la base per determinare una percentuale di non conformità, che viene quindi utilizzata per determinare l’esito finale dell’audit, ovvero una valutazione dell’efficacia o meno del programma di conformità aziendale.
Identificazione delle carenze
Un audit di conformità scopre anche debolezze o carenze intenzionali o non intenzionali in un programma di conformità. I numerosi standard e normative in continua evoluzione a cui l’azienda deve conformarsi possono talvolta causare la debolezza o la mancanza involontaria dei programmi di conformità. Gli imprenditori meno etici, tuttavia, possono semplicemente scegliere di non conformarsi, optando invece di sperare che l’audit non colga la carenza. Il processo di audit include in genere una revisione delle politiche e delle pratiche di conformità, il campionamento casuale delle transazioni e l’osservazione diretta, ed è altamente efficace nell’identificare punti deboli e carenze e determinare l’intento dell’azienda.
Verifica in corso
Ai programmi di conformità riscontrati mancanti possono essere assegnate azioni correttive per correggere le carenze o le carenze. Quando ciò accade, la verifica diventa un obiettivo in un audit di follow-up o nel successivo audit di conformità annuale. I revisori possono fissare un lasso di tempo, il più delle volte circa 90 giorni, per correggere una grave carenza e condurre un controllo di follow-up specifico per determinare se l’azienda ha apportato le correzioni richieste. Per carenze meno gravi o quando a un’azienda sono state semplicemente fornite raccomandazioni per migliorare il programma di conformità, i revisori possono scegliere di verificare se sono stati apportati miglioramenti durante il successivo audit regolarmente programmato.
Raccomandazioni per il miglioramento del programma
Un rapporto di audit finale presentato al proprietario dell’azienda rivela un ulteriore obiettivo di un audit di conformità. Oltre a una valutazione scritta dell’efficacia, un rapporto finale spesso include suggerimenti e raccomandazioni su come l’imprenditore può migliorare il programma. Per assistere l’imprenditore nell’effettuare modifiche al programma, i revisori molto spesso descrivono completamente ogni debolezza o carenza, comprese le possibili ragioni del suo verificarsi e le potenziali conseguenze o ramificazioni oltre alle raccomandazioni per il miglioramento del programma.