L’internal auditing 1 L’internal auditing Le singole organizzazioni aziendali disegnano i propri assetti organizzativi in funzione della propria natura, dei propri obiettivi e della propria concezione della gerarchia e del controllo. La trattazione ha lo scopo di illustrare per macro aree funzionali il terreno d’intervento dell’Internal Auditing nella sua azione di censimento dei rischi aziendali, nel verificare il rispetto delle procedure e dei controlli di linea e di sistema e nel computare i deficit al sistema dei controlli. 2 L’internal auditing Le imprese, sviluppandosi, hanno la necessità di articolare i processi decisionali delegando alle strutture aziendali le facoltà per lo sviluppo programmato. Il sistema della delega, per sua natura, necessita di un sistema di controlli. Normalmente i processi di delega sono informali e solo al crescere delle dimensioni aziendali si trasformano i contenuti in incarichi scritti che connaturano e definiscono i ruoli che governano le funzioni aziendali. Molto meno spesso si articola in parallelo il necessario sistema dei controlli. 3 L’internal auditing Il controllo interno, da applicazione volontaria, con il TUF assume funzionalita’ con fondamenti giuridici propri e articolati in ragione del livello di garanzia agli interessi degli investitori e dei terzi in genere, e impegnativi per società quotate, banche, intermediari finanziari, compagnie di assicurazione. Il sistema dei controlli si articola in un complesso di norme, regole, disposizioni, procedure e strutture volte alla salvaguardia del valore. In sintesi il sistema dei controlli ha l’obiettivo di assicurare una sana e prudente gestione. 4 L’internal auditing Il sistema dei controlli si articola nel: • controllo di gestione, • controllo organizzativo, • controllo amministrativo contabile, • controllo di conformità alle norme e ai regolamenti compresi quelli etici . 5 L’internal auditing La specializzazione nei controlli (auditing) ovviamente sottende ad altrettanti rischi: • i rischi sui risultati aziendali in termini di efficienza, efficacia e salvaguardia del patrimonio tangibile aziendale (controllo di gestione); • i rischi di continuità dell’organizzazione, di generazione di valore nel tempo, di continuità di valore della propria organizzazione, i rischi di reputazione ed immagine (controllo organizzativo ed operativo); • i rischi di inattendibilità del sistema informativo sia per la gestione sia per la rendicontazione dei risultati finali (controllo contabile); • i rischi di mancata osservanza delle norme (controllo legale ed ispettivo). 6 L’internal auditing La finalita’ dell’auditing è: 1.identificare nuove aree di rischio aziendale e fornire le indicazioni e gli strumenti per il loro governo per neutralizzarne o minimizzarne gli effetti ; 2.verificare il rispetto delle procedure e il funzionamento del sistema dei controlli nella sua articolazione specialistica per funzioni; 3.assicurare che il sistema di reporting per l’Alta Direzione sia tempestivo ed idoneo. Le azioni d’esercizio di auditing sono le verifiche di quanto si muove in azienda in rapporto ai documenti programmatici e procedurali e al sistema dei controlli posto in atto. 7 I modelli di monitoraggio del rischio I sistemi di controllo del rischio si fondano sulla conoscenza dei comportamenti che devono essere tenuti per raggiungere l’obiettivo che ogni singola funzione deve raggiungere. La conoscenza e’ un fatto organizzativo, che tiene conto di una serie di elementi che denominiamo: - competenze; abilita’; risorse umane; risorse tecniche specifiche e generiche; natura delle fasi operative e che si esprime in un processo di lavoro e in una procedura di lavoro meglio se scritta. 8 I modelli di monitoraggio del rischio La procedura spesso non tiene conto del livello delle competenze necessarie per quel determinato processo pero’ arriva di norma a definire un intorno accettabile definendo lo skill necessario per gli addetti. Ben si comprende il fenomeno se si pensa ad un processo di lavoro che ha avuto una sua progettazione logica ed operativa e che poi trova sistemazione con una serie di micro interventi di razionalizzazione di efficienza attraverso le specialistiche esperienze del singolo o dei singoli che ne sono addetti e che ne seguono lo sviluppo. Spesso sono saperi o competenze non esplicite che vengono da osservazioni nel tempo che si esprimono in comportamenti per cui uno e’ il migliore rispetto ad altri possibili. 9 I modelli di monitoraggio del rischio Si tratta di quello che viene chiamato “sapere tacito” e che spesso nasconde il valore o la reale natura della prestazione di un addetto. L’auditing per assicurarsi che le prestazioni attese e le procedure assicurino il processo qualitativamente e quantitativamente atteso deve identificare dei punti di controllo che di norma si esprimono in verifiche quantitative o qualitative, misurazioni, parametri i cui scostamenti denunciano anomalia, ovviamente senza dimenticare le rilevazioni contabili di consuntivo ed extra contabili provenienti dalla contabilita’ industriale o dalla contabilita’ dei costi. 10 I modelli di monitoraggio del rischio Si puo’ pertanto affermare che tutta l’azione di controllo a prevenire il rischio e di monitoraggio a ridurne gli effetti e’ in buona parte ausiliata da indicatori di anomalia. In altri termini, una volta definito l’atteso considerato come normale, il suo scostamento denuncia livelli piu’ o meno elevati di anomalia che devono trovare strumenti o sistemi di tempestiva segnalazione. Spesso gli indicatori di anomalia sono gia’ presenti in azienda (controlli contabili, controlli di qualita’ con varie modalita’ di segnalazione di scostamento dalla norma, etc.). 11 I modelli di monitoraggio del rischio Come si comprende, gli indicatori prendono significato se è noto il rischio che segnalano per cui deve essere ben valutato il valore segnaletico dello scostamento. Tale valutazione viene direttamente dalla entità della perdita di valore a seconda del segmento del processo, è infatti attraverso le singole fasi del processo che l’attività oggetto prende valore. E’ essenziale peraltro che siano ben noti e chiari i processi e ben redatte le procedure che li descrivono. 12 I modelli di monitoraggio del rischio L’analisi non deve dimenticare i processi fondanti per cui è necessaria una ricognizione su tutte le attività mappando i processi. La mappatura come fotografia delle variabili e delle interdipendenze di un sistema costituito da processi principali e secondari. Il rigore metodologico della redazione delle procedure appare pertanto obbligato in quanto è anche l’unico modo con il quale si possono identificare i punti o momenti in cui si applicano le policy aziendali lì dove esiste variabilità di comportamenti nello sviluppo della procedura. 13 I modelli di monitoraggio del rischio La variabilità dalla applicazione della policy è spesso la situazione critica nel punto del processo in cui si applica e cioè il punto del processo da mettere sotto controllo con dispositivi segnaletici di suo rispetto che possono essere verificabili in loco o a distanza a seconda della tecnologia disponibile di rilevazione ed intervento. Precedentemente si sono identificate le attività da porre in atto per il rispetto dei dispositivi e norme ma l’azione di controllo e monitoraggio si esaurisce solo con la denuncia dell’evento anomalo ai decisori all’insorgere degli elementi di rischio che possono generare pregiudizio di valore. Va da sé che il valore deve essere chiaro ed esplicitato per qualificare la valenza dei rischio del suo pregiudizio e per definire la frequenza e intensità dei controlli. . 14 I modelli di monitoraggio del rischio In sintesi Si tratta di identificare i processi, redigerli, mapparli (collocare l’uno in relazione con l’altro) classificandoli in base a tassonomie che li identificano per singolo processo e definire per ciascuno di essi: - il rischio di pregiudizio di valore aziendale; - il valore economico di tale pregiudizio dal quale trarre elementi per scegliere di controllare identificando il punto e il momento di controllo; - la modalità di controllo; - l’incaricato del controllo. La valutazione dei rischi presuppone una mappatura dei rischi e come su osservato di una loro classificazione. 15 I modelli di monitoraggio del rischio L’analisi di rischiosità nei processi non è un’azione statica ma dinamica che presuppone una reazione in termini di azioni organizzative volte a rimuovere i punti che presentano aleatorietà o a contenerne le variabili in modo tale che vi sia un continuo affinamento del processo virtuoso verso un allineamento costante alle prestazioni e agli eventi attesi. I punti di criticità ovviamente finirebbero per essere classificati, per effetto di indicatori di anomalia e monitorati sulla base di controlli di linea che possono essere di tipo logico, o gerarchico od amministrativo. 16 I modelli di monitoraggio del rischio Si intende per controlli logici tutti quei controlli che l’IT può consentire di esercitare con ausili e supporti con valore bloccante se l’anomalia riscontrata ha risvolti di gravità o con segnalazioni con livelli diversi di gravità di danno. Si pensi agli ausili tecnologici per il controllo della produzione o help di una procedura amministrativa. Va da sé che la pubblicizzazione dei processi, l’addestramento e la formazione dei collaboratori è essenziale una volta che l’Alta Direzione li ha approvati e fatti propri disponendo, accanto alle policy aziendali e ai codici di autodisciplina, la loro applicazione. 17 I modelli di monitoraggio del rischio Un’ argomentazione a parte merita la classificazione: rischi generali rischi peculiari. Sono rischi generali quelli che fanno riferimento alla generalità delle aziende e attengono alle macro funzioni, Lo sono a titolo esemplificativo tutti quelli che riguardano i processi produttivi. 18 I modelli di monitoraggio del rischio Sono rischi peculiari quelli che attengono alla specificità delle attività aziendali. Sono rischi peculiari, a titolo esemplificativo: gli errori di fusione di una lega d’oro, la valutazione di solvibilità di un cliente per una banca, o acconsentire ad un’operazione rischiosa sul mercato mobiliare per chi ha un profilo di rischio avverso al rischio, gli errori di progettazione di una grù, etc. 19 I modelli di monitoraggio del rischio Un’ultima considerazione va fatta sul controllo del sistema dei controlli. La moderna visione dell’internal auditing ha spostato il fuoco della funzione dal controllo contabile, che non è affatto dismesso, ma ha trovato una propria collocazione professionale nelle due macro funzionalità di revisione contabile e di controllo di gestione a seconda della natura dell’indagine, al controllo operativo e funzionale a prevenzione dei rischi. 20 I modelli di monitoraggio del rischio Per paradosso le disfunzioni del controllo operativo alimentano gli scostamenti dal budget dei costi e dai planning aziendali. Si può quasi affermare che quanto più il sistema dei controlli operativi e funzionali funziona tanto meno esiste materia di contendere a valle in sede di analisi per varianza ed analisi dagli scostamenti di risultato. L’auditing si muove verso la prevenzione del danno e/o minimalizzazione se non evitabile. la sua Il sistema dei controlli diventa un naturale componente della politica gestionale che coinvolge l’Alta Direzione e si genera sin dalla governance aziendale. 21