L’internal auditing
1
L’internal auditing
Le singole organizzazioni aziendali disegnano i propri assetti
organizzativi in funzione della propria natura, dei propri
obiettivi e della propria concezione della gerarchia e del
controllo.
La trattazione ha lo scopo di illustrare per macro aree
funzionali il terreno d’intervento dell’Internal Auditing nella
sua azione di censimento dei rischi aziendali, nel verificare il
rispetto delle procedure e dei controlli di linea e di sistema e
nel computare i deficit al sistema dei controlli.
2
L’internal auditing
Le imprese, sviluppandosi, hanno la necessità di articolare i
processi decisionali delegando alle strutture aziendali le
facoltà per lo sviluppo programmato.
Il sistema della delega, per sua natura, necessita di un
sistema di controlli.
Normalmente i processi di delega sono informali e solo al
crescere delle dimensioni aziendali si trasformano i contenuti
in incarichi scritti che connaturano e definiscono i ruoli che
governano le funzioni aziendali.
Molto meno spesso si articola in parallelo il necessario
sistema dei controlli.
3
L’internal auditing
Il controllo interno, da applicazione volontaria, con il TUF
assume funzionalita’ con fondamenti giuridici propri e
articolati in ragione del livello di garanzia agli interessi degli
investitori e dei terzi in genere, e impegnativi per società
quotate, banche, intermediari finanziari, compagnie di
assicurazione.
Il sistema dei controlli si articola in un complesso di norme,
regole, disposizioni, procedure e strutture volte alla
salvaguardia del valore.
In sintesi il sistema dei controlli ha l’obiettivo di assicurare
una sana e prudente gestione.
4
L’internal auditing
Il sistema dei controlli si articola nel:
• controllo di gestione,
• controllo organizzativo,
• controllo amministrativo contabile,
• controllo di conformità alle norme e ai regolamenti compresi
quelli etici .
5
L’internal auditing
La specializzazione nei controlli (auditing) ovviamente
sottende ad altrettanti rischi:
• i rischi sui risultati aziendali in termini di efficienza, efficacia e
salvaguardia del patrimonio tangibile aziendale (controllo di
gestione);
• i rischi di continuità dell’organizzazione, di generazione di
valore nel tempo, di continuità di valore della propria
organizzazione, i rischi di reputazione ed immagine (controllo
organizzativo ed operativo);
• i rischi di inattendibilità del sistema informativo sia per la
gestione sia per la rendicontazione dei risultati finali (controllo
contabile);
• i rischi di mancata osservanza delle norme (controllo legale
ed ispettivo).
6
L’internal auditing
La finalita’ dell’auditing è:
1.identificare nuove aree di rischio aziendale e fornire le
indicazioni e gli strumenti per il loro governo per neutralizzarne
o minimizzarne gli effetti ;
2.verificare il rispetto delle procedure e il funzionamento del
sistema dei controlli nella sua articolazione specialistica per
funzioni;
3.assicurare che il sistema di reporting per l’Alta Direzione sia
tempestivo ed idoneo.
Le azioni d’esercizio di auditing sono le verifiche di quanto si
muove in azienda in rapporto ai documenti programmatici e
procedurali e al sistema dei controlli posto in atto.
7
I modelli di monitoraggio del rischio
I sistemi di controllo del rischio si fondano sulla conoscenza dei
comportamenti che devono essere tenuti per raggiungere
l’obiettivo che ogni singola funzione deve raggiungere.
La conoscenza e’ un fatto organizzativo, che tiene conto di una
serie di elementi che denominiamo:
-
competenze;
abilita’;
risorse umane;
risorse tecniche specifiche e generiche;
natura delle fasi operative
e che si esprime in un processo di lavoro e in una procedura
di lavoro meglio se scritta.
8
I modelli di monitoraggio del rischio
La procedura spesso non tiene conto del livello delle competenze
necessarie per quel determinato processo pero’ arriva di norma a
definire un intorno accettabile definendo lo skill necessario per gli
addetti.
Ben si comprende il fenomeno se si pensa ad un processo di lavoro
che ha avuto una sua progettazione logica ed operativa e che poi
trova sistemazione con una serie di micro interventi di
razionalizzazione di efficienza attraverso le specialistiche
esperienze del singolo o dei singoli che ne sono addetti e che ne
seguono lo sviluppo.
Spesso sono saperi o competenze non esplicite che vengono da
osservazioni nel tempo che si esprimono in comportamenti per
cui uno e’ il migliore rispetto ad altri possibili.
9
I modelli di monitoraggio del rischio
Si tratta di quello che viene chiamato “sapere tacito” e che
spesso nasconde il valore o la reale natura della
prestazione di un addetto.
L’auditing per assicurarsi che le prestazioni attese e le
procedure assicurino il processo qualitativamente e
quantitativamente atteso deve identificare dei punti di
controllo che di norma si esprimono in verifiche
quantitative o qualitative, misurazioni, parametri i cui
scostamenti denunciano anomalia, ovviamente senza
dimenticare le rilevazioni contabili di consuntivo ed extra
contabili provenienti dalla contabilita’ industriale o dalla
contabilita’ dei costi.
10
I modelli di monitoraggio del rischio
Si puo’ pertanto affermare che tutta l’azione di controllo a
prevenire il rischio e di monitoraggio a ridurne gli effetti e’
in buona parte ausiliata da indicatori di anomalia.
In altri termini, una volta definito l’atteso considerato come
normale, il suo scostamento denuncia livelli piu’ o meno
elevati di anomalia che devono trovare strumenti o sistemi
di tempestiva segnalazione.
Spesso gli indicatori di anomalia sono gia’ presenti in azienda
(controlli contabili, controlli di qualita’ con varie modalita’
di segnalazione di scostamento dalla norma, etc.).
11
I modelli di monitoraggio del rischio
Come si comprende, gli indicatori prendono significato se è
noto il rischio che segnalano per cui deve essere ben
valutato il valore segnaletico dello scostamento.
Tale valutazione viene direttamente dalla entità della perdita di
valore a seconda del segmento del processo, è infatti
attraverso le singole fasi del processo che l’attività oggetto
prende valore.
E’ essenziale peraltro che siano ben noti e chiari i processi e
ben redatte le procedure che li descrivono.
12
I modelli di monitoraggio del rischio
L’analisi non deve dimenticare i processi fondanti per cui è
necessaria una ricognizione su tutte le attività mappando i
processi.
La mappatura come fotografia delle variabili e delle
interdipendenze di un sistema costituito da processi
principali e secondari.
Il rigore metodologico della redazione delle procedure appare
pertanto obbligato in quanto è anche l’unico modo con il
quale si possono identificare i punti o momenti in cui si
applicano le policy aziendali lì dove esiste variabilità di
comportamenti nello sviluppo della procedura.
13
I modelli di monitoraggio del rischio
La variabilità dalla applicazione della policy è spesso la situazione
critica nel punto del processo in cui si applica e cioè il punto del
processo da mettere sotto controllo con dispositivi segnaletici di
suo rispetto che possono essere verificabili in loco o a distanza a
seconda della tecnologia disponibile di rilevazione ed intervento.
Precedentemente si sono identificate le attività da porre in atto per il
rispetto dei dispositivi e norme ma l’azione di controllo e
monitoraggio si esaurisce solo con la denuncia dell’evento
anomalo ai decisori all’insorgere degli elementi di rischio che
possono generare pregiudizio di valore. Va da sé che il valore
deve essere chiaro ed esplicitato per qualificare la valenza dei
rischio del suo pregiudizio e per definire la frequenza e intensità
dei controlli.
.
14
I modelli di monitoraggio del rischio
In sintesi
Si tratta di identificare i processi, redigerli, mapparli (collocare l’uno
in relazione con l’altro) classificandoli in base a tassonomie che li
identificano per singolo processo e definire per ciascuno di essi:
- il rischio di pregiudizio di valore aziendale;
- il valore economico di tale pregiudizio dal quale trarre elementi per
scegliere di controllare identificando il punto e il momento di
controllo;
- la modalità di controllo;
- l’incaricato del controllo.
La valutazione dei rischi presuppone una mappatura dei rischi e
come su osservato di una loro classificazione.
15
I modelli di monitoraggio del rischio
L’analisi di rischiosità nei processi non è un’azione statica ma
dinamica che presuppone una reazione in termini di azioni
organizzative volte a rimuovere i punti che presentano aleatorietà
o a contenerne le variabili in modo tale che vi sia un continuo
affinamento del processo virtuoso verso un allineamento costante
alle prestazioni e agli eventi attesi.
I punti di criticità ovviamente finirebbero per essere classificati, per
effetto di indicatori di anomalia e monitorati sulla base di controlli
di linea che possono essere di tipo logico, o gerarchico od
amministrativo.
16
I modelli di monitoraggio del rischio
Si intende per controlli logici tutti quei controlli che l’IT può
consentire di esercitare con ausili e supporti con valore bloccante
se l’anomalia riscontrata ha risvolti di gravità o con segnalazioni
con livelli diversi di gravità di danno. Si pensi agli ausili
tecnologici per il controllo della produzione o help di una
procedura amministrativa.
Va da sé che la pubblicizzazione dei processi, l’addestramento e la
formazione dei collaboratori è essenziale una volta che l’Alta
Direzione li ha approvati e fatti propri disponendo, accanto alle
policy aziendali e ai codici di autodisciplina, la loro applicazione.
17
I modelli di monitoraggio del rischio
Un’ argomentazione a parte merita la classificazione:
rischi generali
rischi peculiari.
Sono rischi generali quelli che fanno riferimento alla generalità delle
aziende e attengono alle macro funzioni,
Lo sono a titolo esemplificativo tutti quelli che riguardano i processi
produttivi.
18
I modelli di monitoraggio del rischio
Sono rischi peculiari quelli che attengono alla specificità delle attività
aziendali.
Sono rischi peculiari, a titolo esemplificativo: gli errori di fusione di
una lega d’oro, la valutazione di solvibilità di un cliente per una
banca, o acconsentire ad un’operazione rischiosa sul mercato
mobiliare per chi ha un profilo di rischio avverso al rischio, gli
errori di progettazione di una grù, etc.
19
I modelli di monitoraggio del rischio
Un’ultima considerazione va fatta sul controllo del sistema dei
controlli.
La moderna visione dell’internal auditing ha spostato il fuoco della
funzione
dal controllo contabile, che non è affatto dismesso, ma ha trovato
una propria collocazione professionale nelle due macro
funzionalità di revisione contabile e di controllo di gestione a
seconda della natura dell’indagine,
al controllo operativo e funzionale a prevenzione dei rischi.
20
I modelli di monitoraggio del rischio
Per paradosso le disfunzioni del controllo operativo alimentano gli
scostamenti dal budget dei costi e dai planning aziendali. Si può
quasi affermare che quanto più il sistema dei controlli operativi e
funzionali funziona tanto meno esiste materia di contendere a
valle in sede di analisi per varianza ed analisi dagli scostamenti di
risultato.
L’auditing si muove verso la prevenzione del danno e/o
minimalizzazione se non evitabile.
la sua
Il sistema dei controlli diventa un naturale componente della politica
gestionale che coinvolge l’Alta Direzione e si genera sin dalla
governance aziendale.
21