Embed Size (px)
Citation preview
A.A. 2014/2015
Laureanda: Relatore: Lucrezia Di Florio Prof. Dott. Carlo Regoliosi
Correlatore: Prof.ssa Simona Arduini
Università degli Studi Roma Tre
Facoltà di Economia Federico Caffè
Tesi di Laurea Magistrale in Economia Aziendale
LA FIGURA DELL’INTERNAL
AUDITOR
NELL’ORGANIGRAMMA
AZIENDALE ITALIANO: IL TEMA
DELL’INDIPENDENZA
1
2
INDICE
Abstract
INTRODUZIONE…………………………………………………………………………pag. 6
1 L’OGGETTO DELL’ATTIVITA’ DI AUDIT ............................................ 10
1.1 IL CONCETTO DI RISCHIO e MEZZI PER LA TUTELA ................... 10
1.2 IL SISTEMA DI CONTROLLO INTERNO …………………………………….15
1.2.1 COSO Report I ..................................................................... 17
1.2.2 ENTERPRISE RISK MANAGEMENT o COSO Report II….………20
1.3 I TRE LIVELLI DI CONTROLLO.…………………………………………………25
2 LA FIGURA DELL’INTERNAL AUDITOR ............................................ 28
2.1 IL QUADRO NORMATIVO DI RIFERIMENTO .............................. 29
2.2 REGOLE PER L’INTERNAL AUDITING ......................................... 34
2.3 L’AUDITOR: CARATTERI FONDAMENTALI………………….……………42
2.4 TIPOLOGIE DI AUDITING INTERNO…………………………….…………..48
2.5 L’INCARICO DI AUDIT …………………………………………………………….51
3 L’INDIPENDENZA DELL’AUDITOR…….…………………………………………57
3.1 INDIPENDENZA SOSTANZIALE E FORMALE…………………………….59
3.2 INDIPENDENZA ORGANIZZATIVA …………………………………………..61
3.3 I FATTORI CHE INFLUENZANO L’INDIPENDENZA………………….…66
3.4 IL RUOLO DEL RESPONSABILE DELL’INTERNAL AUDITING……...72
3
3.5 L’OUTSOURCING…………………………………………………………...……..75
4 L’INTERPRETAZIONE ITALIANA DEI REQUISITI DI
INDIPENDENZA..............................................................................79
CONCLUSIONI.…………………………………………………………………….……….102
BIBLIOGRAFIA....……………………………….………………………………………….105
Ringraziamenti
4
5
ABSTRACT
Il presente lavoro si pone l’obiettivo di indagare le dinamiche interne
di una funzione, quella di Internal Audit, che mostra peculiarità tali
per cui potrebbe risultare difficile la compatibilità con i rapporti di
forza che naturalmente si instaurano all’interno del sistema azienda.
A parere di chi scrive il teorico posizionamento della Funzione
potrebbe infatti collidere con quella che è nella realtà la posizione
dell’auditor interno: pretendere di mantenere indipendenza totale
dall’organizzazione di cui è, a tutti gli effetti, un dipendente,
svolgendo il proprio lavoro nei locali dell’azienda, con un riporto
gerarchico ai vertici aziendali e una retribuzione erogata dall’azienda
stessa, alla stregua di ciascun’altra funzione interna.
Il problema non è superato nemmeno nel caso di attribuzione
dell’attività in outsourcing, quindi ad un’organizzazione specializzata
nella prestazione di servizi di assurance e consulenza per la gestione
dei rischi e la messa a punto del sistema dei controlli interni.
Proprio l’attività di consulenza si pone in assoluto in una posizione di
confine dal momento che implica una partecipazione attiva
dell’auditor al lavoro dei soggetti auditee, quindi una collaborazione
per il realizzo degli schemi di controllo che saranno poi oggetto di
valutazione dell’auditor stesso.
Vedremo come l’Institute of Internal Auditor e tutta la letteratura
legata alla diffusione di questo genere di servizi affrontano il
problema fissando principi volti ad impedire che venga compromessa
l’affidabilità dell’intero sistema e rifletteremo sull’effettiva efficacia
degli stessi.
6
INTRODUZIONE
Dagli anni Novanta dello scorso secolo è andata diffondendosi nel
mondo imprenditoriale italiano, e ancora prima mondiale,
specialmente trai Paesi anglosassoni, la cultura del controllo. Il
modificarsi dell’ambiente esterno in cui l’azienda è chiamata ad
operare ha reso necessario che anche l’interno dell’impresa si
adattasse divenendo sempre più sofisticato. Indubbiamente
l’evoluzione più importante riguarda l’atteggiamento imprenditoriale
e il modo di concepire l’attività aziendale da parte dei vertici: da un
concetto di produzione per creare reddito ci si è affinati, andando a
ritrovare nella gestione dei rischi che minacciano quotidianamente
l’organizzazione un’importante opportunità per la creazione di
valore. L’emergere di infiniti vincoli ha reso necessario il riordino
degli assetti aziendali. L’efficientamento delle attività, a tutti i livelli, e
la gestione dell’evento negativo che potrebbe impattare sul sistema
consentono di ridurre al minimo gli sprechi di risorse, fisiche e di
capitale umano; il che già di per sé costituisce un guadagno. In questo
contesto si è andata sviluppando negli ultimi anni una nuova figura
nell’organigramma aziendale: L’Internal Auditor.
La funzione di Revisione Interna è senza dubbio una funzione sui
generis. L’Internal Auditor ricopre nell’azienda la peculiare posizione
di indipendente dipendente dell’organizzazione con responsabilità di
controllo e monitoraggio delle decisioni del management, ma anche
di consulente degli stessi vertici aziendali sull’adeguatezza e
l’efficienza dei sistemi di controllo.
Comprensibilmente questo è un argomento in grado di richiamare
forte interesse, a livello teorico come nella pratica, tanto che negli
anni si sono avvicendati diversi studi e in molti hanno provato a dare
il proprio contributo alla definizione dei contorni della figura.
7
Nel 1999 The Institute of Internal Auditors Board of Directors1 (IIA)
ha approvato all’unanimità la definizione di Internal Auditing, che,
dato il prestigio dell’ente, risulta essere universalmente riconosciuta
come definizione ufficiale.
“L’internal auditing è un’attività indipendente ed obiettiva di
assurance e consulenza, finalizzata al miglioramento dell’efficacia e
dell’efficienza dell’organizzazione. Assiste l’organizzazione nel
perseguimento dei propri obiettivi tramite un approccio professionale
sistematico, che genera valore aggiunto in quanto finalizzato a
valutare e migliorare i processi di controllo, di gestione dei rischi e di
corporate governance.”
Sebbene in un primo momento la definizione sembri non lasciare
spazio a malintesi, a parere di chi scrive, è opportuno porre
l’attenzione su alcuni temi chiave per comprendere meglio il lavoro
dell’Internal auditor.
I concetti di indipendenza e obiettività costituiscono il fulcro della
definizione e nel tempo sono anche quelli che maggiormente hanno
creato confusione intorno alla figura del revisore. Procedendo, per
ora, per sommi capi possiamo definire l’indipendenza come della
capacità del soggetto di esercitare la propria attività scevro da
qualsiasi interferenza del management o dall’ambiente esterno;
condizione questa che senza dubbio eleva la figura del revisore ma
1 Institute of Internal Auditors (IIA) fondata nel 1941 a New York, è una
associazione professionale internazionale, leader mondiale per gli standard, la certificazione e la formazione per la professione di Internal Auditor. Costituisce il principale ente di riferimento non legato ad autorità di vigilanza contando oltre 180 000 membri, tutti professionisti nel campo del risk management, internal auditing, governance, controllo interno, information technology, sicurezza, ecc. In Italia, il riferimento associativo per i professionisti dell’Internal Auditing è l’Associazione Italiana Internal Auditors (AIIA), nata a Milano nel 1972 e riconosciuta come affiliazione dell’ IIA.
8
che comprensibilmente si scontra in maniera inesorabile con la realtà
umana e aziendalista dell’impresa. Legata concettualmente
all’indipendenza v’è la nozione di obiettività, intesa come totale
imparzialità, assenza di preconcetti e di conflitti di interesse che
possono sorgere in qualsiasi momento durante lo svolgimento
dell’incarico. Lavorare con obiettività vuol dire lavorare in completa
autonomia, senza sottomettere il proprio giudizio professionale a
condizionamenti esterni e senza cedere a costanti compromessi.
Le scelte valutative dell’Internal auditor devono essere super partes,
almeno a livello teorico.
L’attività concretamente svolta dalla funzione di audit si divide in due
componenti fondamentali, diverse ma che spesso si influenzano a
vicenda: l’assurance e la consulenza. I servizi di assurance riguardano
la rilevazione e la conferma indipendente dei fatti aziendali, nonché
la valutazione obiettiva degli stessi, fino ad esprimere giudizi di
conformità e adeguatezza riguardo ai processi, alle informazioni e sul
sistema dei controlli interni. L’attività di consulenza è piuttosto
un’attività di supporto propositivo per il miglioramento dei processi e
delle procedure all’interno del sistema aziendale, per questo l’input
viene generalmente dal management, dal soggetto auditato2.
Entrambe le attività creano un valore aggiunto all’interno del sistema
aziendale attraverso l’analisi dei rischi e la valutazione del relativo
sistema di controllo interno con l’emersione di proposte di
miglioramento.
La finalità primaria dell’auditing interno consiste nel miglioramento
dell’efficacia e dell’efficienza dell’organizzazione.
L’efficacia è intesa come la capacità del sistema azienda di
raggiungere gli obiettivi prefissati; l’efficienza riguarda piuttosto il
rapporto tra il grado di raggiungimento degli obiettivi e la quantità di
risorse impiegate, in un’ottica quindi di valutazione costi/benefici per
un’ottimale allocazione di risorse che, per definizione, sono scarse e
2 Dittmeier C., Internal Auditing Chiave per la Corporate Governance, EGEA 2007.
9
per evitare inutili ingessature nei processi aziendali. L’efficienza
pertanto si configura più tipicamente come l’obiettivo delle attività di
consulenza.
L’Internal Auditor ha una sola strada da seguire per raggiungere
questi scopi, quella di un approccio professionale sistematico in
grado di garantire nel tempo:
I. La definizione di adeguati standard e strumenti metodologici
II. L’applicazione di criteri omogenei e coerenti
III. La progressiva copertura dell’universo di audit, mediante
l’applicazione periodica e strutturata di adeguate procedure
di Risk Assessment nell’ambito della pianificazione
dell’auditing.3
Una trattazione più approfondita di questi che sono temi cruciali si
rinvia ai capitoli a seguire; per ora ci interessa indagare come una
funzione, che l’uomo della strada definirebbe “improduttiva” abbia
raggiunto una posizione anche apicale nell’organigramma aziendale.
3 Dittmeier, op. cit., pag. 15.
10
CAPITOLO I : L’OGGETTO DELL’ATTIVITA’ DI AUDIT
1.1 IL CONCETTO DI RISCHIO e MEZZI PER LA TUTELA
L’azienda esiste dal momento in cui è in grado di creare valore per i
propri stakeholder; il perseguimento di quest’obiettivo può essere
ostacolato dagli eventi a cui è costantemente esposta.
L’ambiente che circonda e in cui si trova ad operare qualsiasi tipo di
sistema aziendale si caratterizza per una molteplicità di interazioni
socio economiche, che generano inevitabilmente entropia4;
quest’entropia dev’essere però dominata per non compromettere il
raggiungimento del suo fine e consentire quindi la sopravvivenza
dell’organizzazione: ciò può attuarsi attraverso il controllo. Per
quanto detto finora l’azienda può essere definita come un sistema
teleologico aperto5 , che si relaziona quindi costantemente col
mondo esterno, e questo la espone all’incertezza degli eventi che
possono colpirla: eventi che possono esercitare un impatto positivo,
4 Troina G., Le revisioni aziendali, Franco Angeli, 2005.
5 Troina G., Lezioni di Economia Aziendale, CISU, 2006.
Zanda G., Lineamenti di Economia Aziendale, Kappa, 2006.
11
e quindi generare opportunità, ma anche negativo, costituendo una
minaccia al conseguimento degli obiettivi.
Il rischio è appunto definito come la possibilità che si verifichi un
evento in grado di esercitare un impatto negativo sul sistema
aziendale6.
Per un’analisi completa, tuttavia, va considerato che i rischi a cui
l’azienda è esposta non provengono solo dall’esterno, dal tipo di
business o dal mercato in cui l’azienda opera, anzi spesso si
materializzano anche all’interno del sistema aziendale come
incapacità del personale, errori umani, inadeguatezze nel disegno dei
processi, inefficienze del flusso informativo, errori e carenze
direzionali (comunicazioni sporadiche, troppo sintetiche, poco chiare,
ecc.).
Il rischio nasce dall’incertezza, che si configura come impossibilità di
determinare con precisione se e quando un evento si avrà a
verificarsi. Il livello di incertezza può e dev’essere mitigato attraverso
una sana attività di controllo, in grado di migliorare le capacità
previsionali e di gestione dei rischi all’interno dell’organizzazione.
Alla base del controllo, affinché questo risulti efficace ed efficiente,
c’è l’identificazione dei rischi, quindi la ricognizione di tutti gli eventi
e le variabili che necessitano di monitoraggio; rilevano in questo
momento solo i fattori che determinano la variabilità dei risultati
aziendali.
L’incertezza nell’accadimento di eventi potenzialmente negativi è
oggetto di analisi da parte del management che raccoglie ogni
possibile evento che potrebbe verificarsi nell’impresa, di qualsiasi
natura esso sia, e lo valuta in termini di probabilità e impatto,
monetario ma anche non monetario: eventi con scarsa probabilità di
verificarsi e basso impatto non necessitano di ulteriore
6 Dittmeier, op. cit.
12
considerazione, viceversa eventi, anche di scarsa probabilità ma con
forte impatto necessitano di misure volte a minimizzare l’esposizione
dell’organizzazione; è anche così che si lavora per preservare il valore
dell’azienda, evitando che il capitale economico venga eroso, e
questa è una responsabilità propria dei vertici aziendali.
Tutti i rischi materialmente riscontrabili in azienda possono essere
ricondotti, per un’ottimale valutazione, a due categorie
fondamentali: rischio inerente e rischio residuo. Il rischio inerente è il
rischio puro, che grava sull’organizzazione in assenza di qualsiasi
azione da parte del management; rappresenta la peggiore delle
ipotesi in termini di perdita a seguito del verificarsi dell’ evento
negativo. Il rischio residuo invece è quello che rimane dopo che il
management ha implementato sistemi per mitigare l’impatto dei
rischi inerenti. Il processo di Risk Assessment dunque si focalizza
prima di tutto sui rischi inerenti e successivamente, dopo che siano
state messe a punto procedure di Risk Management, sul rischio
residuo.
Una corretta identificazione dei fattori di rischio contribuisce
all’allestimento di un’idonea risposta da parte del management. A tal
proposito si rilevano una serie di principi generali7 a cui è bene far
riferimento per improntare un efficace sistema di controlli:
La definizione dei poteri. La fonte dei poteri è rintracciabile nel
management, da cui legalmente deriva la volontà del soggetto
economico. Una chiara attribuzione dei poteri a ciascuna
funzione aziendale aiuta a mettere ordine e tracciare il
processo gestorio.
Segregazione dei compiti e delle responsabilità. Che si
concretizza, ad esempio nella separazione delle attività di
7 Troina G., Le Revisioni Aziendali, Franco Angeli, 2005.
13
custodia beni da quelle di contabilizzazione, delle
responsabilità operative da quelle di contabilizzazione e delle
attività di autorizzazione da quelle di custodia.
Rotazione dei compiti. La prolungata permanenza di una
persona in una determinata posizione organizzativa può
originare situazioni di eccessiva autorità nei confronti dei
propri subalterni; concentrazione di conoscenze specifiche in
capo ad un soggetto, rendendolo di fatto indispensabile,
oppure possono instaurarsi rapporti interpersonali troppo
stretti e difficilmente sostituibili.
Corretta autorizzazione per tutte le operazioni.
Adeguata documentazione e registrazione delle operazioni.
Rende possibile ricostruire il processo decisionale per risalire
ai soggetti effettivamente responsabili.
Controllo fisico sui beni e sulle registrazioni. Può essere
realizzato mediante, ad esempio, inventari fisici, elenchi delle
persone autorizzate a disporre dei valori, servizi di vigilanza,
limitazioni all’accesso e adozione di particolari accorgimenti di
protezione.
Controlli indipendenti sulle prestazioni effettuate. Hanno la
funzione di mantenere la stabilità del sistema di controllo
interno, attraverso una opportuna “pressione” sugli operatori
aziendali. L’indipendenza del controllo può essere ottenuta
tipicamente attraverso la suddivisione delle mansioni, il
coinvolgimento di soggetti esterni (società di revisione o
auditor professionisti), oppure il ricorso a controlli interni
automatizzati nei sistemi computerizzati.
14
Appare chiaro, dalla trattazione svolta finora, che l’identificazione
e la gestione del rischio sono materie d’interesse del
management che se ne occuperà prima di tutto definendo il
livello di propensione al rischio dell’azienda, il cosiddetto Risk
Appetite; in base a questo verrà ideato e implementato il sistema
dei controlli avendo a mente il trade-off che l’attività di controllo
implicitamente comporta, tra costi di attuazione e benefici
ottenibili. [Si veda a tal proposito la figura che segue]
-[Fig.1] Nella parte destra del grafico i costi superano la perdita economica che si
avrebbe qualora l’evento negativo si verificasse; costerebbe di più coprirsi dal
rischio che sostenerne l’eventuale perdita. In questo caso è conveniente farsi carico
dell’alea rinunciando a mitigarne gli effetti.-
Il management massimizza il valore dell’azienda quando formula
strategie ed obiettivi finalizzati a raggiungere un equilibrio ottimale
tra target di crescita e di redditività e rischi conseguenti, e quando
15
impiega in modo efficiente ed efficace le risorse nel perseguire gli
obiettivi aziendali. La direzione aziendale ha il ruolo fondamentale di
provvedere a verificare le coerenza degli obiettivi proposti con il
rischio accettabile prefissato.
1.2 IL SISTEMA DEI CONTROLLI INTERNI
Il SCI è un insieme di regole, procedure e strutture organizzative volte
a consentire, attraverso un adeguato processo di identificazione,
misurazione, gestione e monitoraggio dei principali rischi, una
conduzione dell’impresa sana, corretta e coerente con gli obiettivi
prefissati. L’incarico di messa a punto di questo processo aziendale è
affidato sostanzialmente al management : Consiglio di
Amministrazione, Dirigenti e altri soggetti della struttura aziendale,
ed è finalizzato a fornire una ragionevole sicurezza sul
conseguimento degli obiettivi rientranti nelle seguenti categorie8:
- efficacia ed efficienza delle attività operative (operating);
- attendibilità delle informazioni di bilancio (reporting);
- conformità alle leggi e ai regolamenti (compliance).
8 Committee of Sponsoring Organizations of the Treadway Commission (COSO),
Internal Control Integrated Framework, AICPA, 1992 – www.coso.org – tradotto e integrato in PreceWaterhouseCoopers, Il Sistema di controllo interno. Progetto di Corporate Governance per l’Italia, Milano, IlSole24Ore, 2002.
16
Si tratta quindi di un sistema che permette di9:
fronteggiare tempestivamente ogni trasformazione
dell’ambiente economico;
procedere in tempo utile agli adattamenti necessari per far
fronte ai continui cambiamenti;
garantire efficienza;
tutelare il patrimonio aziendale dalle possibili perdite;
garantire l’attendibilità dei bilanci e la conformità alle leggi e
ai regolamenti.
L’attività di Risk Management è diventata negli anni una componente
fondamentale della Corporate Governance in ogni azienda, ormai
anche nelle minori; il legame tra Corporate Governance e gestione
dei rischi è divenuto sempre più stretto e si configura non tanto come
una tecnica di gestione operativa quanto, piuttosto, come una
componente essenziale del governo d’impresa10: avere una buona
gestione dell’attività aziendale è sinonimo di avere un efficace ed
efficiente sistema di gestione dei rischi11. Data la frenetica mutabilità
degli scenari economici di riferimento dell’impresa, si è reso
necessario, ad opera del management, diffondere una cultura
aziendale nuova, migliorata, fortemente imperniata sulle tematiche
del controllo, volta alla sensibilizzazione del personale a percepire
come naturale l’utile sussistenza e la reale importanza dei controlli
interni12. La cultura del controllo deve consentire la percezione del
controllo come di uno strumento strategico per il conseguimento
delle più alte finalità dell’impresa, in linea con le politiche decise dai
vertici aziendali, alla stregua degli strumenti operativi.
9 Nobolo A. Il Sistema di Controllo Interno, 2010.
10 B. Hunt, The Timid Corporation: Why business is terrified of Taking Risk, Londra,
Wiley, 2003 [ in Dittmeier C. op.cit.]. 11
M. Power, The Risk Management of Everything, Demos, Londra, 2004 [in Dittmeier C. op.cit.]. 12
A. Capiello, Regolamentazione e Risk Management nelle imprese assicurative. Profili evolutivi, Franco Angeli, Milano, 2008.
17
A facilitare il lavoro del management nell’implementazione dei
controlli nelle procedure aziendali è intervenuto il Committee of
Sponsoring Organizations of Treadway Commission13 , che nel 1992
ha elaborato un Framework di riferimento per la messa a punto di un
Sistema di Controllo Interno (SCI), l’“Internal Control Integrated
Framework” o COSO Report I; e poi nel 2004 ha diffuso il modello
ERM “Enterprise Risk Management- Integrated Framework” o COSO
Report II. Data la coincidenza dell’argomento e lo stacco temporale si
potrebbe pensare che uno sia l’evoluzione dell’altro, in realtà l’ERM
occorrerà all’azienda per identificare e gestire i rischi che la
circondano, invece il modello COSO Report I per comprendere e
gestire controlli interni quale parte integrante dell’operatività
aziendale.
Il vantaggio maggiore dall’elaborazione di questi due modelli di
riferimento è quello di ricondurre ad un unico linguaggio e ad un
unico approccio tutta la tematica riguardante la cosiddetta
Risk&Control Governance, che altrimenti risultava estremamente
frammentata in una moltitudine di schemi di lavoro costruiti ad hoc,
uno per ogni azienda, difficilmente apprezzabili e comparabili.
1.2.1 “Internal Control Integrated Framework” : COSO
Report I
Il COSO Report I assume la celeberrima configurazione a cubo (come
rappresentato in Fig.2), al cui interno è perfettamente riassunta la
pervasività e la sistematicità dei controlli interni.
13
Comitato costituito nel 1985 all’interno della Treadway Commission, che si occupa di fornire leadership di pensiero attraverso lo sviluppo di quadri completi e linee guida sulla gestione del rischio di impresa , il controllo interno e di deterrenza frode.
18
[Fig.2]
Gli obiettivi di operating, reporting e compliance sono comuni a
ciascuna area aziendale e per ciascuna di queste il controllo si articola
in cinque componenti:
I. Ambiente di controllo
II. Valutazione dei rischi
III. Attività di controllo
IV. Informazioni e comunicazione
V. Monitoraggio.
Questi cinque elementi permeano ogni singola funzione aziendale,
ogni singolo processo rendendo il mantenimento, la definizione e il
funzionamento del SCI, una responsabilità di tutti i membri
dell’organizzazione per ciascuna area di propria attività.
19
1. AMBIENTE DI CONTROLLO
Costituisce l’ambiente entro cui si innesta il sistema dei controlli: i
valori etici, la competenza e la motivazione del personale, lo stile e la
filosofia del management, l’integrità, formalizzazione di ruoli, compiti
e responsabilità, sistema di comunicazione interna (timing delle
informazioni necessarie e tempistiche di produzione di flussi e report,
tempestività delle informazioni direttive, sensibilità e ricettività da
parte delle strutture operative), l’impegno del consiglio di
amministrazione e la sua capacità di indicare chiaramente gli
obiettivi. In generale tutto quanto determina il grado di sensibilità del
personale alle esigenze di controllo.
2. VALUTAZIONE DEI RISCHI (RISK ASSESSMENT)
Riguarda tutto quanto concerne l’attività di identificazione, la
valutazione e il monitoraggio di quei fattori endogeni ed esogeni che
possono concretamente pregiudicare il raggiungimento degli obiettivi
prestabiliti.
3. ATTIVITA’ DI CONTROLLO
Rappresenta l’applicazione delle politiche e delle procedure che
garantiscono al management la possibilità di mitigare i rischi e
fronteggiarli. In questa categoria rientrano tutti i controlli sui
software di sistema, gli accessi fisici e logici e le varie applicazioni
sviluppate per l’azienda.
4. INFORMAZIONE E COMUNICAZIONE
Fondamentale per l’attività di controllo è la qualità delle informazioni
che si apprezza in termini di contenuti, tempestività, aggiornamento ,
20
accuratezza e accessibilità. Anche i sistemi informativi devono essere
periodicamente sottoposti a controllo.
La circolazione delle informazioni crea flussi comunicativi sia verso
l’interno, indirizzati alle altre funzioni aziendali; che verso l’esterno, al
mercato e agli stakeholder in generale, in questo caso il messaggio
deve essere pertinente, aggiornato, chiaro e conforme alle richieste
regolamentari in modo che dall’esterno ci si possa rapidamente
rendere conto delle situazioni e dei rischi che l’azienda affronta.
5. MONITORAGGIO
Obiettivo del monitoraggio è di mantenere efficiente e, laddove
possibile, migliorare il sistema di controllo interno. Si realizza
mediante l’osservazione continua e valutazioni specifiche in quegli
ambiti che perché di recente introduzione o in base agli andamenti
storici, risultano essere maggiormente vulnerabili.
1.2.2 Enterprise Risk Management - Integrated
Framework” o COSO Report II
L’ERM è un modello di riferimento per la gestione dei rischi aziendali
in grado di aiutare l’azienda nella creazione di valore e vantaggio
competitivo mediante l’assunzione consapevole di rischi e la
mitigazione dei relativi effetti; è un processo iterativo e
multidimensionale in cui ogni componente può influire sull’altra. Si
sviluppa nelle tre dimensioni degli obiettivi, dei componenti del
sistema e delle articolazioni aziendali, come si può vedere dalla Fig.3,
e questo rende bene l’idea di estrema flessibilità del modello.
21
La definizione fornita nel 2004 dal COSO è stata: “processo posto in
essere dal Consiglio di Amministrazione, dal management e da altri
operatori della struttura aziendale, utilizzato per la formulazione delle
strategie che interessino tutta l’organizzazione. Esso è progettato per
individuare eventi potenziali che possano influire sull’attività
aziendale, per gestire il rischio entro i limiti del rischio accettabile e
per fornire una ragionevole sicurezza sul conseguimento degli
obiettivi aziendali”.
Si identifica in questo modo un processo che coinvolge tutta
l’organizzazione in una sequenza di attività, svolto da persone che
occupano posizioni a tutti i livelli della struttura aziendale.
Questo processo occorre principalmente al management che,
mirando a massimizzare il valore dell’organizzazione, definisce gli
obiettivi strategici, sceglie la strategia, fissa gli obiettivi specifici,
coerenti con la strategia, e li assegna ai vari livelli della struttura
organizzativa.
Gli obiettivi si possono ricondurre a quattro categorie14:
I. Strategici; di competenza dei livelli più alti del management,
allineati e a supporto della missione aziendale;
II. Operativi; riguardano l’impiego efficace ed efficiente delle
risorse a disposizione.
III. Di reporting; per quanto concerne l’affidabilità delle
informazioni fornite dal reporting;
IV. Di conformità; compliance a leggi e regolamenti.
14
IIA, Price Waterhouse Coopers (a cura di), La Gestione del rischio aziendale, ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, IlSole24Ore, Milano, 2006.
22
Negli ultimi tempi si sta diffondendo in qualche azienda anche un
quinto obiettivo, quello di “salvaguardia delle risorse”, per ora ancora
in fase di sviluppo, che si riferisce agli interventi effettuati per
prevenire possibili perdite di risorse o di attività patrimoniali che
potrebbero derivare da una cattiva gestione15.
Quello che ci interessa far presente è che gli obiettivi sono si
raggruppati in quattro categorie ma questa è una classificazione solo
teorica, nella realtà aziendale queste risultano strettamente
connesse e sovrapponibili, un determinato obiettivo può rientrare in
più categorie ed essere di competenza di più manager.
Quando il modello di gestione del rischio adottato dalla singola
azienda è giudicato efficace per ciascuna categoria di obiettivi, il
Consiglio di Amministrazione e il management hanno una
ragionevole sicurezza di venire a conoscenza di come e in che misura
gli obiettivi strategici e operativi si stanno conseguendo, che i report
sono affidabili e che si sta operando nel pieno rispetto delle leggi e
dei regolamenti in materia.
L’ERM consente al management di affrontare efficacemente le
incertezze e i conseguenti rischi e opportunità, accrescendo così le
capacità dell’azienda di generare valore16.
Le caratteristiche fondamentali sono17:
L’allineamento della strategia al risk appetite.
Il miglioramento della risposta al rischio individuato. Tra le
risposte al rischio si sceglie quella più adeguata (evitarlo,
ridurlo, condividerlo o accettarlo).
15
IIA, PWC (a cura di), op. cit. pag. 21. 16
IIA, PWC, La Gestione del Rischio Aziendale, ERM: un modello di riferimento e alcune tecniche applicative, IlSole24Ore, Milano, 2006. 17
Committee of Sponsoring Organizations of Tredway Commission (COSO), Enterprise Risk Management. Integrated Framework, settembre 2004; ed. It. A cura di AIIA e PriceWaterhouseCoopers, La Gestione Del Rischio Aziendale, Milano, IlSole24Ore, 2006.
23
La riduzione degli imprevisti e delle perdite conseguenti. In
questo modo le aziende riducono la frequenza degli
imprevisti, dei costi e delle relative perdite.
L’identificazione e la gestione dei rischi correlati e multipli.
L’identificazione delle opportunità.
Il miglioramento dell’impiego di capitale. Avere a disposizione
informazioni affidabili sui rischi consente al management di
valutare efficacemente il fabbisogno finanziario e di
migliorare l’allocazione di capitale.
L’ERM quindi aiuta il management a conseguire i propri obiettivi di
performance e di redditività e ad evitare perdite di risorse.
-Figura 3; rappresentazione grafica ERM (fonte www.ukessays.com) -
24
Le componenti da tenere in considerazione sono otto:
I. AMBIENTE INTERNO è costituito dalle persone che
compongono l’organizzazione, la loro integrità e
professionalità, i valori etici, lo stile manageriale e la filosofia
aziendale.
II. DEFINIZIONE DEGLI OBIETTIVI (objective setting) assicura che
l’organizzazione abbia stabilito obiettivi di business e di
governo coerenti con la mission aziendale e con il risk
appetite stabiliti.
III. IDENTIFICAZIONE DEGLI EVENTI riguarda l’identificazione degli
eventi esogeni ed endogeni in grado di compromettere il
raggiungimento degli obiettivi stabiliti.
IV. RISK ASSESSMENT concerne la valutazione dei rischi in termini
di probabilità e impatto e di inerenza e di residualità.
V. RISPOSTA AL RISCHIO; il management valuta come trattare il
rischio (evitarlo, accettarlo, ridurlo o cederlo a terzi -nel caso
delle assicurazioni ad esempio-) per riportarlo ad allinearsi ai
livelli tollerati.
VI. ATTIVITA’ DI CONTROLLO, ovvero tutte le attività poste in
essere per contrastare il rischio.
VII. SISTEMI DI INFORMAZIONE E COMUNICAZIONE, si devono
attivare comunicazioni diffuse nella forma e nei tempi utili ai
riceventi, in modo che queste fluiscano attraverso l’intera
struttura organizzativa: verso il basso, verso l’alto e
trasversalmente.
VIII. MONITORAGGIO, l’intero processo di ERM deve essere
monitorato e modificato dove necessario.
Chiaramente le modalità di applicazione del modello saranno sempre
parametrate alla realtà aziendale di riferimento, alle sue peculiarità
interne o dettate dal contesto esterno; in aziende medio-piccole, ad
esempio, potrebbe essere meno formale e meno strutturato, senza,
in ogni caso, sacrificarne l’efficacia.
25
Già da una prima analisi risulta evidente come la logica che sottende
il modello sia completamente ribaltata rispetto al COSO Report I,
prestando maggiore attenzione al rischio piuttosto che al controllo:
un’organizzazione utilizzerà l’ERM per identificare e gestire i rischi
che la minacciano, mentre userà il modello COSO Report I per
comprendere e gestire i controlli interni18 nell’ambito dell’operatività
aziendale.
1.3 I TRE LIVELLI DI CONTROLLO
La fase di monitoraggio nella gestione dei rischi, che compete
propriamente all’Internal Auditor, si concretizza in interventi continui
integrati nella normale attività operativa aziendale o in valutazioni
separate, oppure in una combinazione dei due metodi19; in ogni caso
è bene sottolineare che tutto il sistema dei controlli non si esaurisce
solo in questa attività ma è molto più pervasiva e capillare nella
realtà aziendale a tutti i livelli.
Nel mondo bancario le Istruzioni di vigilanza20 emanate dalla Banca
d’Italia, attuative dei rinvii espressi nel TUB21 hanno, per la prima
volta in ambito nazionale, esplicitato la natura del sistema dei
controlli, evidenziandone tre livelli:
1. CONTROLLI DI LINEA volti ad assicurare il corretto
svolgimento delle operazioni; essi sono generalmente svolti dalle
18
Dittmeier C., Internal Auditing Chiave per la Corporate Governance, EGEA, Milano, 2007. 19
IIA, PWC (a cura di), La gestione del rischio aziendale, IlSolo24Ore, Milano, 2006. 20
Banca d’Italia, circolare 229/1999, Istruzioni di vigilanza per le Banche. 21
Testo Unico Bancario, d.lgs. 1º settembre 1993, n. 385, in vigore dal 1º gennaio 1994.
26
stesse strutture produttive, sono incorporati nelle procedure che
vengono portate a termine da ciascun operatore.
2. CONTROLLI SULLA GESTIONE DEI RISCHI sono affidati a
soggetti diversi dalle strutture operative perché concorrono alla
misurazione del rischio e controllano la coerenza dell’operatività di
ciascuna area operativa con gli obiettivi di rischio-rendimento
assegnati.
3. ATTIVITA’ DI REVISIONE INTERNA volta ad individuare
andamenti anomali o il mancato rispetto delle procedure definite e
dei regolamenti (REVISIONE DI CONFORMITA’), oltre alla valutazione
del complessivo andamento del sistema dei controlli interni
(CONTROLLI DI ADEGUATEZZA). Proprio i controlli di adeguatezza
caratterizzano la figura dell’auditor e il suo ruolo, richiedendo un
giudizio professionale e di entrare nel merito dei controlli; in queste
circostanze è importante che il soggetto sia capace di interpretare al
meglio gli obiettivi di conoscenza del management e sia in grado di
apprezzare l’economicità e l’efficacia del disegno dei controlli
aziendali.
Naturalmente le tematiche legate ai controlli estesi fino alla base
della piramide gerarchica organizzativa sono fortemente sentite in
ogni tipo di impresa, non solo nel settore bancario e questo schema è
facilmente replicabile in ciascuna azienda, a maggior ragione oggi che
il Codice di Autodisciplina e la recente Riforma del Codice Civile
hanno palesato l’esigenza di spostare il momento dei controlli
sempre più verso una fase di prevenzione dal rischio piuttosto che di
risposta all’evento negativo, portando la figura dell’auditor sempre
più vicina al management e con un ruolo di prestigio e importanza
crescenti. Tutti all’interno dell’organizzazione possono e devono
partecipare all’identificazione dei rischi e al loro contrasto affinché il
27
sistema dei controlli interni non rimanga solo uno schema polveroso
di procedure d’intralcio all’attività, ma possa costituire un momento
di partecipazione dinamica all’azienda nel lavoro di ciascuno.
28
CAPITOLO II: LA FIGURA DELL’INTERNAL AUDITOR
Appare chiaro a questo punto della trattazione che negli ultimi anni si
è assistito ad un vero e proprio stravolgimento del concetto di
Corporate Governance all’interno del sistema aziendale.
L’evolversi dell’ambiente in cui le aziende si trovano ad operare ha
comportato inevitabilmente la necessità di rivederne la struttura
organizzativa: in un mondo fin troppo volatile, in cui non sono più
ben delineati i confini, non si sa più dove si produce, per chi, a chi si
vende, chi sono i competitor e qual è l’effettiva domanda del
mercato, si rende necessario rafforzare l’interno dell’azienda,
renderla coesa, più forte e resistente attraverso il miglioramento dei
profili di trasparenza, di comunicazione e del controllo interno.
Si produce valore anche e prima di tutto tutelando la ricchezza già
esistente in azienda, proteggendola dagli eventi che potrebbero
intaccarla, e poi rafforzandone l’immagine sul mercato. Soprattutto
alla luce dei recenti scandali finanziari che si sono susseguiti sulla
scena economica mondiale, è importante creare un clima di fiducia
per creare sviluppo. E’ da questi presupposti che muove tutta la
29
moderna trattazione relativa ai controlli interni e la costruzione del
nuovo organigramma aziendale.
2.1 IL QUADRO NORMATIVO DI RIFERIMENTO
Per quanto riguarda la normativa di riferimento sullo scenario
internazionale, l’attenzione sui controlli interni e la Corporate
Governance è viva già da diversi anni; l’Italia ha introdotto questi
temi solo dagli anni novanta mentre nei Paesi anglosassoni i riflettori
sono accesi già dal ventennio precedente.
Il primo input è arrivato dagli Stati Uniti con il Foreign Corrupt
Practices Act (FCPA), pubblicato nel 1977 per la prima volta, e poi
rivisitato nel 1988 e successivamente nel 1998. Questo atto
legislativo è stato introdotto nell’ordinamento statunitense col
mirato scopo di contrastare la corruzione dei funzionari stranieri da
parte delle società americane al fine di ottenere o mantenere affari.
Al suo interno tuttavia sono contenute anche disposizioni in materia
di contabilità e controllo interno nella convinzione che un buon
modello organizzativo di controllo interno dovrebbe costituire un
efficace deterrente contro i pagamenti illeciti.
Nel 1985, sempre negli Stati Uniti, è stata creata la National
Commission Fraudolent Finantial Reporting, meglio nota come
Treadway Commission, col dichiarato intento di individuare le cause
del falso in bilancio e formulare raccomandazioni per contrastarlo.
Nel 1987 la Commissione ha pubblicato una relazione in cui si
caldeggiava la creazione di un Comitato all’interno del Consiglio di
Amministrazione delle imprese, cosiddetto Audit Committee,
30
composto interamente da consiglieri indipendenti, che si ponesse
come controllore del management in merito alle capacità di
monitorare l’osservanza del codice etico adottato all’interno
dell’azienda di ciascun componente.
La diffusione di questo regolamento costituisce una pietra miliare
nella regolamentazione di tutto il mondo, quindi anche in Italia,
fornendo ispirazione per il D.Lgs. 231/2001 e la relativa istituzione di
modelli organizzativi e di organismi di vigilanza.
Nei primi anni del 2000, a seguito degli scandali finanziari di Enron e
Worldcom principalmente, che hanno fatto emergere tutti i limiti
della Corporate Governance così com’era intesa al tempo, fu
approvato il Sarbanes-Oxley Act. Il principale obiettivo dell’atto
legislativo approvato nel luglio 2002 era quello di riconquistare la
fiducia degli investitori, ormai gravemente compromessa. La strada
che si decise di intraprendere per questo cammino di riabilitazione
aziendale fu quella di rendere l’amministrazione più efficiente22 . A
questo proposito la normativa stabilisce la responsabilità personale
di tutti i funzionari aziendali per le eventuali false dichiarazioni.
Gli elementi fondamentali23 della SOX possono essere riassunti in:
1. Indipendenza delle società di revisione contabile e vigilanza
sul loro operato;
2. Maggiore attendibilità delle informazioni finanziarie e dei
processi di controllo interno contabile;
22
Le norme del Sarbanes-Oxley Act, o SOX, riguardano tutte le aziende i cui titoli azionari sono registrati presso la Securities and Exchange Commission (SEC) americana, e la cui capitalizzazione di borsa supera i settantacinque milioni di dollari. 23
Dittmeier C., Internal Auditing- Chiave per la Corporate Governance, EGEA, Milano 2007; ulteriori approfondimenti sull’ambito normativo del SOX-Act sono contenuti nel Position Paper dell’AIIA “Legge sulla tutela del risparmio”, maggio 2006.
31
3. Accresciuti poteri di regolamentazione e vigilanza riconosciuti
alla SEC24 , soprattutto riguardo alla supervisione dell’organo
di vigilanza pubblico delle società di revisione ed emanando
regolamenti di dettaglio per assicurare la perfetta
trasparenza e aderenza alla realtà economico-finanziaria
dell’informativa data al mercato, a prescindere dalle
previsioni normative in tema di bilancio.
La Commissione Europea, traendo spunto dal SOX-Act americano, ha
lavorato ad un piano d’azione per la modernizzazione dell’impianto
normativo riguardante le società e il rafforzamento della Corporate
Governance. L’attività si è focalizzata sulla partecipazione degli
azionisti alla vita della società e quindi sul miglioramento
dell’informazione e della trasparenza, conferendo inoltre, a questi,
maggiori diritti.
Per quanto riguarda la legge interna, fino a poco tempo fa la
normativa riguardava esclusivamente i settori regolamentati,
seguendo quindi precise logiche dettate dalle Autority solo per quei
settori ritenuti più delicati, ad esempio banche, SGR e imprese di
intermediazione creditizia; dal 2003, a seguito della riforma del
diritto societario con i nuovi dettami del Codice Civile25, si sono
perfezionati i sistemi di amministrazione e controllo in tutte le
società di capitali. I cardini di questa riforma riguardano soprattutto:
1. La creazione di una netta divisione tra gestori e controllori
all’interno del Consiglio di Amministrazione, mediante la precisa
individuazione dei ruoli e delle funzioni di ciascuna figura coinvolta
nella governance aziendale;
24
Securities and Exchange Commission (Commissione per i Titoli e gli Scambi) è l'ente federale statunitense preposto alla vigilanza della borsa valori; l’equivalente americano dell’italiana Consob. 25
Decreto Legislativo 17 gennaio 2003, n.6, denominata anche Riforma Vietti, dal nome del suo promotore.
32
2. Maggiore enfasi sull’autoregolamentazione. Alle società è
attribuita la massima autonomia statutaria nella scelta del modello di
governance che più le favorisce allo scopo di incentivare la
competitività tra le imprese.
Il decreto legislativo 231/2001 aveva già modificato, prima della
riforma del diritto societario, lo scenario in cui le imprese si
trovavano ad operare, introducendo un concetto al tempo
rivoluzionario: la responsabilità amministrativa di tipo parapenale in
capo alla persona giuridica all’interno della quale il soggetto che
ricopre una “funzione di rappresentanza, di amministrazione o di
direzione dell’ente o di una sua unità organizzativa dotata di
autonomia finanziaria e funzionale” commetta un reato nell’interesse
o a vantaggio dell’ente stesso.
Al fine di eliminare questo genere di rischio la società può dotarsi di
un idoneo modello organizzativo, in grado di procurare un legittimo
affidamento che determinate fattispecie di reato previste nel decreto
stesso non possano integrarsi. Questa costituisce esimiente alla
responsabilità dell’ente, insieme alla nomina di un Organismo di
Vigilanza (OdV) che si occupi di vigilanza e controllo sui principali
rischi26, dell’aggiornamento del modello e che curi il flusso
informativo interno all’azienda oltre ad assicurarsi un ottimale
diffusione del modello e della cultura del controllo.
Questo decreto legislativo ha avuto un forte impatto sullo sviluppo
dell’Internal Auditing in Italia poiché nell’Organismo di Vigilanza sono
ravvisabili elementi propri del revisore interno, nonostante non sia
necessaria la confusione delle due figure sullo stesso soggetto; infatti
l’Internal Auditor assume un ruolo di “cerniera” tra l'OdV medesimo
e le funzioni operative dell'azienda sino a giungere al Consiglio di
26
Nel 69,2% delle società analizzate nell’ambito dello studio portato avanti dall’Università degli studi di Parma con Deloitte e AIIA (Maggio 2015) l’Internal Auditor è anche membro dell’OdV.
33
Amministrazione. Quello che è importante scongiurare è il rischio di
duplicazione delle attività di verifica che ha come conseguenza solo
un evidente stress organizzativo ed operativo sulla società.
A onor del vero è giusto ricordare che già nel Testo Unico della
Finanza27 (TUF) e cioè nel D.Lgs. 58 del 1998, c’era stato un primo
accenno ai controlli interni, per la prima volta in un testo normativo
tra l’altro, anche se il riferimento era prettamente alle imprese di
intermediazione finanziaria, per la tutela degli investitori e il buon
funzionamento del mercato attraverso il rispetto dei principi di
trasparenza e correttezza dei comportamenti.
La risposta italiana al SOX-Act è stata introdotta nell’ordinamento
con la legge 28 dicembre 2005, n.262 sulla tutela del risparmio e la
Corporate Governance, che è a sua volta entrata nel TUF con
l’articolo 154bis.
Con questa legge si presenta sulla scena aziendale italiana il
cosiddetto “dirigente preposto”, una nuova figura deputata alla
redazione di documenti contabili , che si occupa di istituire adeguate
procedure amministrative e contabili per la redazione del bilancio
d’esercizio e consolidato, e di ogni altra comunicazione di carattere
finanziario e se ne assume personalmente la responsabilità, sia
all’interno dell’azienda che verso il mercato. Nel dettato normativo è
inoltre introdotta una puntuale disciplina della revisione contabile,
con particolare attenzione al conflitto d’interesse e all’indipendenza
dei revisori.
27
Decreto legislativo entrato in vigore come legge ricettizia della legge comunitaria 6 febbraio 1996 n. 52, che agli articoli 8 e 21 delegava il governo ad emanare, entro due anni, un testo unico di coordinamento della normativa in materia di intermediazione finanziaria.
34
2.2 REGOLE PER L’INTERNAL AUDITING
Per quanto riguarda la regolamentazione dell’attività propria della
funzione di Internal Auditing è necessario far riferimento all’
Institute of Internal Auditors (IIA) che, in qualità di autorità
accreditata della professione ha sviluppato e promosso la diffusione
di un modello di riferimento per la pratica professionale, il
Professional Practices Framework [Fig.4], pubblicato nel 1999. Sono
così raccolti i pilastri fondamentali dell’Internal Auditing: la
definizione, il Codice Etico, gli Standard internazionali e le Guide
Interpretative.
Fig.4 - Fonte: IIA
35
Il framework è costruito tutto sulla Mission dell’Internal Auditing, che
nella sua ultima stesura ha vissuto una profonda rivisitazione, è stato
infatti introdotto un concetto mai usato prima con riferimento alla
funzione Audit, quello di protezione; si legge infatti: “Proteggere ed
accrescere il valore dell’organizzazione, fornendo assurance obiettiva
e risk based, consulenza e competenza”28. L’attività di revisione
interna compie un salto di qualità assumendo connotati del tutto
nuovi, ponendosi ai massimi vertici aziendali, come partner del
management, con cui si condivide l’obiettivo ultimo dell’azienda, la
creazione di valore. In quest’ottica la protezione dal rischio e la
prevenzione sono riconosciute come armi fondamentali per la
sopravvivenza dell’organizzazione e la sua buona salute, alla stregua
delle decisioni strategiche.
Come si evince chiaramente dalla Fig.3, l’IPPF è organizzato
operativamente su due componenti: la Mandatory Guidance,
vincolante e la Strongly Recommended Guidance, raccomandata. La
prima raccoglie al suo interno:
- Principi Fondamentali per la pratica professionale di Internal
Auditing
- Definizione di Internal Auditing
- Codice Etico
- Standard Internazionali;
mentre la seconda comprende:
- Guide Attuative/Interpretative
- Guide Supplementari29.
La conformità alle previsioni raccolte nei principi vincolanti è
essenziale per lo svolgimento della pratica professionale di Internal
Auditing e si prevedono specifiche forme di pubblicità, mentre le
linee guida raccomandate, approvate anch’esse dall’IIA, descrivono
28
AIIA, 2015. 29
www.aiiaweb.it
36
pratiche professionali finalizzate all'effettiva implementazione del
Codice Etico e degli Standard Internazionali, rappresentano quindi la
best practice; ciò nonostante non è previsto alcun vincolo di
obbligatorietà.
I Principi fondamentali per la pratica professionale dell’Internal
Auditing assicurano l’efficienza della funzione e ne tracciano i
caratteri salienti. Per completezza sono di seguito ricordati:
1. Agire con manifesta integrità.
2. Dimostrare competenza e diligenza professionale.
3. Mantenere obiettività ed indipendenza di giudizio (libera da
indebiti condizionamenti).
4. Operare in coerenza con le strategie, gli obiettivi e i rischi
dell'organizzazione.
5. Avere un appropriato posizionamento organizzativo e risorse
adeguate al ruolo.
6. Dimostrare elevati standard qualitativi ed essere orientati al
miglioramento continuo.
7. Comunicare con efficacia.
8. Fornire una risk based assurance.
9. Operare con un approccio propositivo, proattivo e
lungimirante.
10. Favorire il miglioramento dell'organizzazione30.
Si può notare già dai principi fondamentali l’evidente orientamento
della funzione ad affiancare il management nella gestione aziendale,
piuttosto che a servirla.
Il Codice Etico ha il compito di promuovere la cultura etica all’interno
dell’azienda attraverso un sistema di principi morali e di regole a cui
la condotta dell’auditor deve conformarsi31 affinché si diffonda un
clima di fiducia in tutti gli stakeholder che le attività vengano svolte
con indipendenza e obiettività: è possibile, infatti, che nello
30
AIIA, www.aiiaweb.it 31
Dittmeier C., Internal Auditing , EGEA, Milano 2007.
37
svolgimento dell’incarico il revisore sia tentato di portare avanti
pratiche in conflitto di interessi, essendo egli stesso direttamente
impiegato all’interno dell’azienda che è chiamato a valutare. Per far
fronte a questo problema sono state messe a punto negli anni una
serie di strategie di protezione volte ad arginare il fenomeno, una di
queste è appunto la definizione di un decalogo di requisiti
professionali cui uniformarsi. Il pericolo che si corre, tuttavia, con
questo atteggiamento, è quello di creare troppe barriere all’ingresso
nella professione; rendendo marcatamente elitario questo mestiere
si potrebbe arrivare a non avere risorse sufficienti per un adeguato
turn-over o per consentire una libera e sana concorrenza tra gli
operatori, anche nella determinazione del prezzo da applicare per la
prestazione32. Viceversa, lasciando la figura professionale priva di
caratterizzazioni, il rischio di incappare in soggetti che non siano
effettivamente in grado di svolgere l’incarico è alto. La soluzione
migliore a tutti questi problemi sembrerebbe essere dunque quella di
attenersi appunto ad un Codice di comportamento completo e
puntuale. In questo caso saranno portate avanti due valutazioni in
termini di costi/benefici: la prima riguarda l’organizzazione, che deve
trovare il professionista adatto al costo accettabile; la seconda
riguarda il professionista stesso, che ha tutto l’interesse a sviluppare
le proprie competenze rendendole commercialmente appetibili.
Il mancato rispetto del Codice Etico da parte dei membri dell'Institute
sarà valutato e sanzionato secondo le norme previste nello Statuto33
e nelle “Administrative Directives” IIA.
Dal punto di vista pratico, il Codice etico, si compone di due parti34:
1) I Principi, che costituiscono i fondamentali della professione
32
Hassal. T., Dunlop A. & Lewis S., Internal Audit Education: Exploring professional competence, Managing Auditing Journal 11/05, 1996. 33
Lo Statuto AIIA in vigore è stato approvato dall'Assemblea Straordinaria dei Soci il 18 aprile 2012. 34
AIIA, www.aiiaweb.it .
38
2) Le Regole di Condotta, che descrivono le norme
comportamentali che gli internal auditor sono tenuti a
osservare e offrono un supporto per l’applicazione pratica dei
Principi.
Attraverso la definizione di Principi e Regole si delineano gli obblighi
fondamentali dell’auditor:
INTEGRITA’, che permette lo stabilirsi di un rapporto
fiduciario e quindi costituisce il fondamento dell’affidabilità
del suo giudizio professionale.
OBIETTIVITA’, che consiste nella capacità di analizzare i fatti e
le evidenze rilevanti senza subire influenze da altre persone o
da interessi personali.
RISERVATEZZA, quindi l’auditor è tenuto a non divulgare le
informazioni di cui è a conoscenza, se non nei casi in cui lo
imponga la legge.
COMPETENZA, e cioè l’utilizzo, nell’esercizio dei servizi
professionali, del bagaglio più appropriato di conoscenze,
competenze ed esperienze.
Gli Standard Professionali IIA forniscono i principi base per lo
svolgimento dell’attività attraverso la definizione di parametri per la
valutazione delle prestazioni e la ricerca del miglioramento continuo
dei processi all’interno dell’organizzazione35. Questi costituiscono un
importante punto di riferimento per lo svolgimento della professione
oltre ad offrire una garanzia di affidabilità sul corretto ed efficiente
svolgimento dell’incarico per stakeholder, management e tutti gli
organi societari, soprattutto quando l’attività è svolta in contesti
giuridici e culturali diversi, all’interno di organizzazioni che variano
per finalità, dimensioni, complessità e struttura.
35
Dittmeier C., Internal Auditing, EGEA, Milano, 2007.
39
L’osservanza di questi Standard è obbligatoria per l’adempimento
delle responsabilità36, tuttavia è ammesso l’utilizzo congiunto con
altre disposizioni pubblicate da altri organismi professionali
riconosciuti37. In questi casi gli internal auditor possono e devono
comunicarne l’uso nello svolgimento delle proprie attività. Qualora
esistessero differenze tra gli Standard IIA e altri eventualmente
adottati, resta in ogni caso riconosciuta universalmente la prevalenza
degli standard pubblicati dal l’Associazione degli Internal Auditor e si
può far riferimento ad altri standard solo se questi sono più
restrittivi.
Gli Standard hanno lo scopo38 di:
1. delineare i principi base che prescrivono come deve essere
svolta l’attività di internal audit;
2. fornire un quadro di riferimento per lo sviluppo e
l’effettuazione di una vasta gamma di attività di internal audit
a valore aggiunto;
3. definire i parametri per la valutazione delle prestazioni
dell’internal audit;
4. promuovere il miglioramento dei processi organizzativi e
operativi.
La tipica classificazione39 prevede:
Standard di connotazione
Standard di prestazione
Standard applicativi
36
The institute of Internal Auditors, 2012. 37
Dittmeier C., op. cit. 38
IIA, 2012. 39
IIA, www.theiia.org
40
Gli Standard di Connotazione stabiliscono quali siano le
caratteristiche necessarie ad organizzazioni e individui per lo
svolgimento delle attività, ne definiscono i “connotati”
riconducendoli a quattro macroaree:
i. Finalità, autorità e responsabilità 40, sono caratteri definiti
all’interno del Mandato di Audit, in questo modo si cerca di
assicurare l’indipendenza, l’autonomia e il libero accesso alle
informazioni.
ii. Indipendenza e obiettività41.
iii. Competenza e diligenza professionale42 , stabiliscono che chi
volesse accingersi allo svolgimento dell’attività professionale
deve prima procurarsi tutte le conoscenze, le competenze e le
capacità necessarie.
iv. Programma di assicurazione e miglioramento qualità43 , è
cura del RIA sviluppare e gestire tale programma per garantire
che l’attività sia svolta secondo i requisiti di qualità ed
eccellenza.
Gli Standard di prestazione delineano la natura dell’attività e
forniscono i criteri qualitativi di apprezzamento delle prestazioni;
sono anch’essi suddivisi in sette gruppi:
a. Gestione dell’attività di Internal auditing44;
b. Natura dell’attività45;
40
Standard IIA 1000, 1000 A.1, 1000 C.1. 41
Standard IIA 1100, 1110, 1110 A.1,1120, 1130, 1130 A.1, 1130 A.2, 1130 C.1, 1130 C.2. 42
Standard IIA1200, 1210, 1210 A.1, 1210 A.2, 1210 A.3, 1210 C.1, 1220, 1220 A.1, 1220 A.2, 1220 A.3, 1220 C.1, 1230. 43
Standard IIA 1300, 1310, 1311, 1312, 1320, 1330, 1340. 44
Standard IIA 2000, 2010, 2010 A.1, 2010 C.1, 2020, 2030, 2040, 2050, 2060. 45
Standard IIA 2100,2110, 2110 A.1, 2110 A.2, 2110 C.1, 2110 C.2, 2120, 2120 A.1, 2120 A.2, 2120 A.3, 2120 A.4, 2120 C.1, 2120 C.2, 2130, 2130 A.1, 2130 C.1.
41
c. Pianificazione dell’incarico46;
d. Svolgimento dell’incarico47;
e. Comunicazione dei risultati48;
f. Processo di monitoraggio49;
g. Risoluzione dei contrasti in merito all’accettazione del rischio
da parte del management50.
Per quanto riguarda gli Standard applicativi, questi prevedono
caratteri personalizzati per specifiche tipologie di attività, ne esistono
perciò diversi gruppi, differenti per incarichi, ad esempio, di
assurance, control & risk self assessment, fraud audit, ecc.
In conclusione di questo breve excursus possiamo dire che gli
Standard IIA identificano tre ordini di obiettivi per l’internal auditor, il
primo è offrire un ragionevole affidamento al management che le
informazioni finanziarie siano accurate ed affidabili, focalizzando
l’attenzione sul sistema dei controlli interni, come già analizzato nel
capitolo precedente. In secondo luogo il lavoro di audit si sostanzia
nell’analisi sulla accuratezza e affidabilità dell’informazione
finanziaria e operativa e sui mezzi utilizzati per identificare, misurare
e riportare queste informazioni, in modo da accertarsi che queste
informazioni siano affidabili, tempestive, complete e utili. Il terzo
obiettivo della funzione è quello di assicurare l’osservanza di leggi,
regole, politiche, piani e procedure.
46
Standard IIA 2200, 2201, 2201 A.1, 2201 C.1, 2210, 2210 A.1, 2210 A.2, 2210 C.1, 2220, 2220 A.1, 2220 A.2, 2220 C.1, 2230, 2240, 2240 A.1, 2240 C.1, 2300. 47
Standard IIA 2300, 2310, 2320, 2330, 2330 A.1, 2330 A.2, 2330 C.1. 48
Standard IIA 2400, 2410, 2410 A.1, 2410 A.2, 2410 A.3, 2410 C.1, 2420, 2421, 2430, 2440, 2440 A.1, 2440 A.2, 2440 C.1, 2440 C.2. 49
Standard IIA 2500, 2500 A.1, 2500 C.1. 50
Standard IIA 2600.
42
2.3 L’ AUDITOR: CARATTERI FONDAMENTALI
L’internal auditor contribuisce all’organizzazione aiutando il
management nel miglioramento de processi, creando valore; è un
consulente organizzativo multidisciplinare51 che modifica la propria
operatività in funzione dei diversi obiettivi di business e di governo
aziendale. Per questo motivo tracciare il profilo del perfetto internal
auditor, è affare piuttosto complesso, soprattutto alla luce del
percorso evolutivo che la funzione ha compiuto negli ultimi anni.
Coerentemente con la Tassonomia di Bloom52 le capacità del revisore
interno possono ricondursi a sei livelli cognitivi:
1) Memoria: capacità di ricordare informazioni, metodi, processi
e strutture, il livello più basso di astrazione ma il fondamento
dei quelli superiori;
2) Comprensione
3) Applicazione: la capacità di utilizzare le informazioni
immagazzinate e le idee per risolvere problemi;
4) Analisi: per far emergere le caratteristiche e gli elementi di un
problema, i principi e le tecniche utilizzate;
5) Sintesi: la ricostruzione dei pezzi anche per formulare ipotesi
e astrarre dai fatti;
6) Valutazione: un giudizio dato in base al metodo e ai mezzi per
raggiungere l’obiettivo prefissato.
51
Dittmeier C. con riferimento a L.B. Sawyer, M.A. Dittenhofer, Internal Auditing. The Practice of Modern Internal Auditing, 1996. 52
La tassonomia di Bloom è uno dei modi di formalizzare le fasi di acquisizione e familiarizzazione con set di informazioni o teorie. Bloom B. S., Taxonomy of Educational Objectives, D. McKey, New York, 1956 [in Managerial Auditing Journal Vol.11 n.5 1996].
43
Il livello più alto del processo cognitivo è l’abilità di valutazione ed è
proprio parte integrante del lavoro dell’auditor interno, costituisce
ciò che gli consente di apportare valore aggiunto in azienda.
Gli Standard internazionali di connotazione precisano, come già
detto, la caratteristiche necessarie per marcare la figura
professionale del revisore interno. Oltre all’obiettività e
all’Indipendenza, di cui si è parlato nella parte introduttiva e si
tornerà a parlare approfonditamente nel proseguo, lo Standard 1210
richiama l’attenzione sul tema della competenza:
Gli internal auditor devono possedere le conoscenze, capacità e altre
competenze necessarie all’adempimento delle loro responsabilità
individuali. L’attività di internal audit nel suo insieme deve possedere
o dotarsi delle conoscenze, capacità e altre competenze necessarie
all’esercizio delle proprie responsabilità.
Le conoscenze, capacità e altre competenze cui si a riferimento nello
Standard includono53:
- competenza nell’applicazione di standard, procedure e
tecniche di internal audit nello svolgimento degli incarichi.
Competenza significa la capacità di gestire problematiche di
normale entità in modo appropriato, senza prevalente ricorso
al supporto e all’assistenza specialistica;
- competenza in materia di principi e tecniche contabili, se gli
internal auditor sono sistematicamente impegnati nella
verifica di scritture e rendiconti finanziari;
- esperienza per identificare gli indicatori di frode;
- conoscenze dei principali rischi e controlli in materia di
tecnologie informatiche e degli strumenti informatici di audit
disponibili;
53
Guida Interpretativa IIA 1210-1.
44
- conoscenza dei principi di management per poter riconoscere
l’esistenza e valutare l’entità e la significatività di deviazioni
dalle regole della sana gestione. Conoscenza significa la
capacità di utilizzare, in specifiche situazioni reali, il proprio
bagaglio professionale per identificare deviazioni significative
ed effettuare le necessarie ricerche al fine di pervenire a
soluzioni accettabili;
- cognizioni di base su materie aziendali quali contabilità,
economia, diritto commerciale, legislazione fiscale, finanza,
analisi quantitative, tecnologie informatiche, gestione dei
rischi e frodi. Cognizione di base significa la capacità di
percepire la presenza, anche solo potenziale, di problemi e di
valutare la necessità di ulteriori approfondimenti o
l’assistenza da richiedere;
- capacità nelle relazioni interpersonali e nel mantenere buoni
rapporti con le controparti;
- capacità di esposizione sia in forma scritta che orale, allo
scopo di comunicare chiaramente ed efficacemente obiettivi,
valutazioni, conclusioni e raccomandazioni.
Per svolgere l’incarico in maniera adeguata, a ben vedere, la
competenza da sola non basta, dev’essere necessariamente
affiancata alla diligenza professionale54, che riguarda la conformità
con il Codice Etico e il Codice di condotta dell’organizzazione o quelli
relativi ad titoli professionali che l’auditor potrebbe possedere, e
dev’essere adeguata alla complessità dell’incarico55, alla probabilità
di errori o frodi e all’adeguatezza dei processi di governance e di
gestione del rischio. L’esercizio della diligenza professionale implica
che i revisori devono prestare attenzione sia alla possibilità che
esistano frodi, comportamenti dolosi, errori e omissioni, inefficienze,
sprechi e conflitti di interesse, sia alle situazioni e alle attività in cui è
più probabile il manifestarsi di irregolarità per essere certi di svolgere
54
Standard IIA 1200. 55
Guida interpretativa IIA 1220-1.
45
l’incarico in maniera ragionevolmente prudente56, sempre tenendo a
mente però che la diligenza professionale non implica infallibilità: si
richiede al soggetto che conduca analisi e verifiche con ragionevole
profondità, ma ovviamente non è possibile fornire garanzia assoluta
dell’inesistenza di deviazioni o irregolarità. Come professionista,
l’internal auditor deve essere certamente in grado, tuttavia, di fornire
giudizi ben argomentati e basati su giustificazioni forti nello
svolgimento del proprio incarico per assicurare il successo
dell’attività.
La professionalità del soggetto abita nelle sue conoscenze, nelle
abilità e negli atteggiamenti grazie ai quali questo risulta essere in
grado di trovare soluzioni ai problemi in un determinato contesto.
Molto dipende dalle caratteristiche personali del revisore, la
professionalità può essere pensata come un “vestito” che va a
modellare le personalità dell’individuo nel suo contesto lavorativo.
Tralasciando per un attimo i dettami normativi in tema, il revisore
interno, per essere qualificato come professionista nel suo settore,
deve necessariamente vantare certe qualità, quali ad esempio57:
Capacità di problem solving;
Capacità di ragionamento deduttivo e induttivo;
Capacità di generare e organizzare le idee;
Capacità di disegnare piani d’azione sistematici;
Capacità di costruire e valutare argomentazioni;
Capacità di esplorare i problemi da diverse prospettive;
Capacità di applicare le conoscenze a situazioni diverse e
sempre nuove;
Capacità di valutare con pensiero critico la logica e la validità
delle informazioni;
56
Standard IIA 1220. 57
Chaffee J., Teaching Critical thinking Across the Curriculum, New Directions in Community Colleges, Vol.20; riportato in Lydia L.F. Schleifer & M. B. Greenawalt, The Internal Auditor and the Critical Thinking Process, Managerial Auditing Journal 11/5, 1996.
46
Capacità di sviluppare prove a supporto delle idee;
Capacità di analisi accurata delle situazioni;
Capacità di discutere di argomenti in modo organizzato.
Ovviamente con questo breve elenco non si esaurisce il novero delle
molteplici abilità necessarie per lo svolgimento dell’ attività di
auditing, che variano peraltro anche in relazione agli obiettivi
aziendali e ai settori di appartenenza delle diverse imprese.
Nel corso degli anni la letteratura si è soffermata più volte su un altro
carattere giudicato significativo della figura dell’auditor, l’abilità di
critica. Il critical thinking si definisce formalmente come la
propensione e la capacità di approcciarsi all’attività con un riflessivo
scetticismo58, e quindi non accettare superficialmente le cose ma
scavare a fondo per ottenerne un’ esaustiva disamina. Affinché il
revisore interno giunga ad una valutazione professionale della
situazione aziendale è quindi necessario che analizzi i vari problemi
nelle loro diverse sfaccettature per arrivare ad un giudizio ben
ponderato e inattaccabile dal punto di vista delle motivazioni; per far
questo è fondamentale conoscere bene i processi in esame e,
successivamente, riflettere con salutare scetticismo, analizzando il
problema da diversi punti di vista. Il critical thinking è la risposta
razionale a domande a cui non può essere data una risposta univoca
e per cui non si hanno informazioni a sufficienza59. Ovviamente
questa abilità non sostituisce la conoscenza sul campo, tenta
piuttosto di sopperirne le lacune. Un abile critico pensatore deve,
dunque, essere capace di applicare le proprie conoscenze a nuove
situazioni e modificare il suo giudizio se necessario, quando
sopraggiungano ulteriori informazioni.
58
McPeck J.E., Critical Thinking and Education, St. Martin’s Press, New York, 1981 [in Managerial Auditing Journal Vool.12 n.2 1997] . 59
Kurfiss J.C., “Critical Thinking: theory, research, practice and possibilities, ASHERIC Higher Education Report, Washington, 1988 [in Managerial Auditing Journal 11/5 1996].
47
E’ evidente che anche le capacità e la propensione al critical thinking
sono attributi vitali per svolgere al meglio l’audit.
L’elenco delle caratteristiche del perfetto Internal Auditor potrebbe
essere evidentemente infinito, la scelta definitiva dei soggetti
candidati a ricoprire questo ruolo all’interno dell’azienda dunque
spetta alla fine sempre al RIA, che individuerà il giusto mix di
conoscenze competenze e abilità in grado di assicurare alla funzione
una dotazione di risorse umane adeguata a soddisfare le esigenze
aziendali.
La possibilità di ottenere certificazioni in questo ambito costituisce
senza dubbio un’opportunità di diventare professionisti con
competenze e capacità riconosciute a livello internazionale, l’IIA ha
per l’appunto introdotto la qualifica CIA “Certified Internal Auditor”,
che rappresenta il marchio di qualità del revisore interno. In seguito
sono state introdotte alcune specializzazioni della Certificazione,
come ad esempio CCSA, certificazione in control self-assessment;
oppure CFSA Certified Finantial Services Auditor, per gli operatori nel
settore bancario principalmente, o ancora CRMA, certificazione in
Risk Management Assurance60,la più recente, introdotta nel 2011 per
attestare la competenza nel fornire consulenza e garanzie sul Risk
Management ai comitati di audit e all'Executive Management.
Gli ultimi dati AIIA61 indicano che su circa 2800 revisori interni iscritti
all’Associazione, circa 1400 sono in possesso di una certificazione CIA,
CCSA, CFSA oppure CRMA.
60
AIIA, www.aiiaweb.it 61
AIIA, Università di Parma, Deloitte, Connotazione e Prestazioni della funzione di Internal Audit, 27 maggio 2015.
48
2.4 TIPOLOGIE DI AUDITING INTERNO
La nuova definizione di Internal Audit diffusa dall’IIA eleva la figura
del revisore interno ad un partner del management; il controllo
deputato a questa figura è, infatti, un controllo manageriale, con
compiti di monitoraggio e valutazione degli altri controlli.
Come già detto all’inizio del lavoro, i controlli che riguardano l’attività
aziendale sono distribuiti su tre livelli: controlli di linea; controlli sulla
gestione dei rischi e attività di revisione interna.
La revisione interna è tale proprio perché viene svolta per fini interni,
di informare e documentare in maniera sistematica il vertice
aziendale sullo stato e l’operatività del sistema dei controlli, costruito
per fronteggiare i rischi specifici dell’impresa e abbassare la
probabilità di manifestazione di quello ontologico62.
Proprio quest’attività di revisione interna può essere declinata
secondo cinque tipi di attività:
MANAGEMENT AUDIT
OPERATION AUDIT
COMPLIANCE AUDIT
FINANCIAL AUDIT
FRAUD AUDIT
Ovviamente non esiste una perfetta segregazione delle mansioni in
questa ripartizione, è probabile che ci siano delle sovrapposizioni che
nascono dall’attività dell’auditor, dalla sua sensibilità e dalla sua
esperienza.
Il management audit si occupa di investigare, dal vertice aziendale
fino al livello più basso dell’impresa, l’adeguatezza del sistema dei
62
Troina G., Lezioni di Economia Aziendale, CISU, 2006.
49
controlli interni in termini di efficienza e di rispetto dei principi di
economicità; il parametro di riferimento è costituito dall’insieme
degli obiettivi aziendali prefissati, dal contesto ambientale e dalle
risorse dedicate. Effettua controlli sui processi e sui risultati ma, cosa
più importante, ha la facoltà di entrare nel merito delle decisioni
della direzione per verificare l’efficacia e la tempestività di questi
controlli.
L’operational audit si prefigge come scopo quello di pervenire al
miglioramento dei sistemi di controllo a livello operativo.
Mentre la funzione di Controllo di Gestione si occupa di verificare
l’economicità delle scelte operative e supporta i manager nelle scelte
per il miglioramento dei controlli sull’efficienza, il revisore interno ha
il compito di controllare l’esistenza e la funzionalità di tali controlli.
Viene condotta un’analisi a livello trasversale rispetto alle funzioni
aziendali, rilevando tipicamente problematiche di integrazione ed
efficienza. Per questo è la tipologia di audit a maggior contenuto
consulenziale e non è raro che da un’attività di operational audit
possa scaturire una reingegnerizzazione dei processi. Il punto di
partenza per questo tipo di attività è nell’identificazione di tutti i
processi aziendali, mediante il flowcharting, successivamente si
procede con l’analisi delle diverse fasi nel processo, e poi con la
verifica. All’interno dell’operational audit si estendo i controlli sul
sistema informativo; l’audit sul processo operativo implica
necessariamente un’occhiata al sistema informativo. L’ IT audit,
nell’impresa moderna, va appunto ad a fornire un audit circa la
sicurezza e l’inviolabilità dei sistemi informativi.
Nel compliance audit il revisore interno si occupa di verificare il
rispetto, nei sistemi aziendali, della normativa vigente: normativa
esterna ed interna, e quindi leggi, regolamenti ma anche principi e
politiche aziendali, procedure e disposizioni operative. In questo
senso è svolta un’attività di prevenzione, in quanto l’azienda risulta
tutelata da una serie di effetti negativi legati alla mancata osservanza
50
delle disposizioni normative: sanzioni amministrative, penali e
interdittive63, ma anche effetti negativi in termini di immagine e
reputazione.
Il financial audit estende la sua attività nell’area contabile
dell’impresa, in questo caso si trova ad avere punti di contatto con
l’attività del revisore esterno; è importante per questo definire bene i
ruoli: il revisore esterno ha il compito di verificare l’attendibilità dei
dati contabili e la corrispondenza di questi alle attività realmente
svolte all’interno dell’azienda, l’internal auditor si occupa piuttosto di
analizzare se al livello contabile è stato attivato un sistema dei
controlli a garanzia di detta attendibilità e rispondenza, e se questo è
effettivamente adeguato alla realtà aziendale in oggetto.
Questo tipo di audit, come l’IT audit64 permeano tutte le attività
aziendali, andando a controllare una funzione all’interno dell’impresa
è inevitabile prestare attenzione anche a questi aspetti.
Il fraud audit è una tipologia di audit sui generis che si occupa di
tutelare l’azienda dalla possibilità che un’azione fraudolenta
perpetrata da un membro dell’organizzazione possa attentare
all’integrità del patrimonio aziendale. L’attività primaria dell’auditor
in questo caso è quella di prevenire la frode attraverso una
valutazione dell’efficacia e dell’efficienza del sistema di controllo
interno, e si articola in tre tipologie di attività: un auditing preventivo
per il rafforzamento del sistema di controllo; un auditing ispettivo al
fine di individuare eventuali atti sospetti e l’investigazione di gravi
sospetti di illecito65. Nel caso venga rilevata una frode tutta la
documentazione dev’essere inoltrata alla Procura della Repubblica.
Questo particolare ambito di auditing presenta sinergie con il
compliance auditing e con l’operational auditing, ma le modalità di
avvio dell’attività sono diverse: la funzione oggetto di fraud audit non
63
Dittmeier C., Internal Auditing, EGEA, 2007 (Op.cit.). 64
Standard IIA 1210-A3. 65
Dittmeier C. Internal Auditing, EGEA, 2007 (op. cit.).
51
è informata preventivamente dell’avvio di un’indagine a proprio
carico.
L’attività di internal auditing nel suo insieme deve possedere e
dotarsi delle conoscenze, capacità e altre competenze necessarie
nell’esercizio delle proprie responsabilità (Standard IIA 1210); le
competenze proprie dell’operational audit sono quelle
maggiormente richieste all’interno della funzione, seguite dal
compliance audit e dal financial audit66. Purtroppo, nonostante il
crescente ruolo ricoperto dai sistemi informatici nelle aziende
moderne, l’IT audit ha ancora un posto marginale nella funzione.
Secondo Cbok67 2010 le attività principalmente svolte, e quindi con
maggior peso nel Piano di Audit, nelle imprese intervistate a livello
internazionale sono, in ordine: l’Operational Audit per l’89%, il
Compliance Audit (75%), il Financial Risk Auditing (72%) e, il Fraud
Audit per il 71%, con l’aspettativa di incrementare entro il 2015 le
attività di Risk Management.
2.5 L’INCARICO DI AUDIT
Per conciliare le risorse disponibili con le esigenze di verifica
dell’organizzazione nel suo complesso è necessario che venga redatto
un piano di Audit68, piano dell’attività predisposto dal Responsabile
della funzione di Internal Audit (RIA), basato sull’analisi dei rischi, allo
66
Risultanze dello studio condotto dall’Università di Parma con Deloitte e AIIA “Connotazione e prestazioni della funzione di internal audit”. 67
Il Cbok (Common Body of Knowledge) è un progetto di studio promosso da IIA a livello mondiale che coinvolge 13.500 auditors in 107 Paesi avviato nel 2006, con una seconda edizione nel 2010 e un’ultima nel febbraio 2015. L’obiettivo è quello di approfondire gli aspetti più importanti della professione, analizzarne i fattori di maggior interesse quali le skill richieste, i tool impiegati, il grado di compliance rispetto agli Standard internazionali e la tipologia delle attività svolte. 68
Standard IIA 2200 e 2230.
52
scopo di determinare le priorità d’intervento. Il piano di Audit, una
volta costruito, dev’essere condiviso e approvato dal top
management, dal Comitato per il Controllo e Rischi o dal Consiglio di
Amministrazione, in base a quanto stabilito dal Mandato con cui è
stato affidato l’incarico. Lo stesso Mandato, o Audit Charter viene
approvato dal vertice aziendale e stabilisce:
- Obiettivi strategici e mission della funzione
- Autorità e responsabilità
- Tipologia di servizi richiesti e ampiezza dell’incarico,
oltre a contenere indicazioni in merito a remunerazione, rapporti con
il management e con gli altri organi sociali. Costituisce la prima tutela
all’indipendenza della funzione e ricorda le indicazioni fondamentali
dell’IIA.
Per l’appunto lo Standard 1010 recita:
Il carattere vincolante della Definizione di Internal Auditing, del
Codice etico e degli Standard deve essere rispecchiato nel Mandato di
internal audit. Il responsabile Internal Auditing dovrebbe discutere la
Definizione di Internal Auditing, il Codice Etico e gli Standard con il
senior management e il board.
All’interno del Piano di Audit sono identificate le aree da analizzare, i
tempi e le risorse da destinare a ciascuna attività, ripartendo le
giornate di lavoro di ciascun membro dello staff. Generalmente il
Piano copre un intero anno di attività e lascia pochi spazi liberi in
un’ottica di massimo efficientamento, è norma comune tuttavia
prevedere un impegno di risorse da destinare all’attività di
consulenza o comunque ad attività non pianificabili o derivanti da
urgenze.
Una volta pianificate le attività si avviano gli interventi nelle aree
individuate [si veda Figura 5]. Prima cosa da fare è comunicare
all’area oggetto di audit, nella figura del process owner, l’avvio
53
dell’attività mediante una Lettera di Cortesia o di Notifica, in cui il RIA
identifica gli organi dello staff che si occuperanno dell’audit e chiede
la collaborazione e la disponibilità di risorse e informazioni per
portare avanti il lavoro. Viene così avviata una fase di analisi
preliminare che serve allo staff per familiarizzare con l’area
d’intervento, è un’analisi prettamente documentale, cui segue un
primo incontro tra staff auditor e personale dell’area auditee,
denominato Kick-off Meeting. Questo incontro preliminare è
fondamentale per chiarire lo scopo e l’ambito di coperture dell’audit,
illustrare le metodologie e ottenere la collaborazione attiva dell’area
aziendale in oggetto. Dopo la mappatura del processo si stila un
Programma di Audit che scandisca l’attività giorno per giorno sul
campo in base alle considerazioni emerse nell’analisi preliminare.
Esso stabilisce le attività di analisi e di verifica, nonché le metodologie
e le tecniche per esaminare e documentare lo svolgimento del
lavoro. Si avvia l’attività di verifica vera e propria che porterà
all’emersione delle cosiddette “evidenze di audit”, che esprimano la
situazione di fatto, costituiscono indizi su cui l’auditor potrà poi
formulare i rilievi. La cosa importante è che queste evidenze, raccolte
mediante interviste, ispezioni, calcoli, campionamenti statistici o
richieste di conferma, siano sufficienti, affidabili, rilevanti e utili.
Qualsiasi altro auditor informato deve essere in grado di giungere alle
stesse conclusioni69.
L’emergere di carenze nel sistema dei controlli interni sarà
documentato nelle “schede di rilievo di audit”, insieme alle
valutazioni dell’auditor e ai suggerimenti di integrazione del sistema
dei controlli, che saranno poi oggetto di discussione con il
management per identificare eventuali manovre correttive per
colmare le lacune.
Al termine dell’attività di audit è importante la fase di Reporting70, in
cui tutte le risultanze, positive e negative, sono oggetto di
comunicazione al responsabile di processo in maniera informale nel
69
Standard IIA 2330. 70
Standard IIA 2400, 2410, 2410.A1, 2410.A2.
54
l’Exit Meeting. Questa forma di comunicazione è più fluida e meno
formale, e consente di focalizzare l’attenzione sui contenuti più che
sulla forma, dando la possibilità di correggere piccole inefficienze
senza metterle nero su bianco e senza che vengano allertati i vertici
aziendali. Il management dell’area oggetto di audit è tipicamente
motivato da obiettivi contrastanti: da una parte è consapevole che il
proprio benessere è strettamente legato al successo complessivo
dell’azienda, tuttavia i premi ad esso destinati sono correlati al livello
di performance percepito dai propri superiori; per queste ragioni è
spesso disponibile ad accogliere favorevolmente interventi di audit
volti a supportare il generale raggiungimento degli obiettivi
aziendali, ma preferisce che gli stessi si realizzassero in una forma di
consulenza personale, in modo da non compromettere la propria
immagine agli occhi del top management, anzi migliorarla. In questo
caso l’internal auditor agisce in veste di consulente. Dev’essere
inoltre tenuto in considerazione che non è detto che tutti i risultati
negativi d’analisi siano rilievi da far emergere: i risultati ottenuti
possono essere spiegato o interpretati dal management; può esserci
una spiegazione plausibile a certe anomalie.
A seguito dell’Exit Meeting lo staff di internal audit si occupa di
redigere un documento formale che riassuma tutta l’attività svolta,
relazioni sui rilievi emersi e riporti le proprie raccomandazioni. Per
dovere di cronaca è giusto che vengano riportati nell’informativa
anche eventuali punti di merito riscontrati nell’analisi del sistema dei
controlli, così da rendere un quadro chiaro della situazione all’interno
della funzione oggetto di audit e costruire un rapporto proficuo col
management responsabile.
Tutto il processo seguito dall’auditor deve essere ben ricostruito nel
documento, in quanto questo costituisce prova del carattere
professionale del lavoro svolto e deve consentire l’apprezzamento
delle medesime considerazioni da parte di un qualsiasi altro soggetto
terzo competente in materia.
Destinatari dell’informativa in oggetto sono il responsabile di
processo, il management aziendale e l’Audit Committee, quindi tutti
55
soggetti interni all’azienda; l’attività svolta dal revisore interno è
destinata insomma ad essere apprezzata principalmente all’interno
dell’azienda.
Come accennato in precedenza l’attività dell’auditor può essere
differenziata in assurance e consulenza. La prima, è ormai chiaro,
consiste in una revisione di conformità, che raffronta la realtà
aziendale con i sistemi di controllo disegnati dal management, e in
una revisione di adeguatezza per valutare se questi sistemi siano
efficaci ed efficienti, ed evidenziarne le lacune; accanto a questi
servizi ci sono poi quelli di consulenza. Proprio lo sviluppo di questo
genere di attività ha elevato la figura dell’auditor verso un ruolo
strategico più importante all’interno dell’azienda. Il revisore così
inteso partecipa attivamente all’attività di reingenierizzazione dei
processi e dei sistemi, e quindi offre un notevole apporto per la
risoluzione dei problemi all’interno dell’organizzazione. Molti studi
hanno evidenziato per l’appunto come la funzione di Internal Audit
dia un contributo positivo nello sviluppo degli obiettivi strategici.
Tuttavia non dev’essere trascurata la possibilità che l’interessamento
dell’auditor alle dinamiche del management aziendale comporti un
indebolimento dell’obiettività propria della figura. Una ricerca
condotta nei primi anni duemila da Schneider71 sui revisori interni
delle aziende statunitensi suggerisce infatti come diretto risultato
del coinvolgimento nella consulenza manageriale la partecipazione
allo schema di remunerazione proprio del management, ovvero
basato sugli incentivi, principalmente stock-option e bonus sui
risultati, aprendo evidentemente alle possibilità di un compromesso
circa l’imparzialità. D’altra parte molto spesso proprio la figura
dell’auditor, con le sue conoscenze e competenze e con le
informazioni che riesce ad avere a disposizione mediante l’attività di
assurance, è il soggetto ideale per tracciare le linee guida da seguire
71
Schneider, A. (2003), An examination of whether incentive compensation and stock ownership affect internal auditor objectivity, Journal of Management Issues, Vol. 15; [ in Stewart J. & Subpramanian N. , Internal audit independence and objectivity: emerging research opportunities, Managerial Auditing Journal Vol.25, 2010].
56
per il management, per aiutarlo nella stesura di piani efficaci ed
efficienti, su misura per l’organizzazione. Si rende pertanto
necessario rafforzare i parametri di determinazione di indipendenza e
obiettività della figura, riducendo così al minimo il rischio di
distorsioni.
Figura 5 - IL PROCESSO DI AUDITING.
57
CAPITOLO III: L’INDIPENDENZA DELL’AUDITOR
Raccogliendo il rinvio fatto nei capitoli precedenti si affronta ora uno
dei temi più sentiti nel mondo aziendale e della revisione:
l’indipendenza.
L’indipendenza dell’auditor è intesa come la capacità di questo di
esprimere il proprio giudizio con onestà e imparzialità72, e
rappresenta la liberà da condizionamenti che minaccino il soggetto
nella sua attitudine ad adempiere senza pregiudizio alle proprie
responsabilità73. Senza dubbio costituisce uno dei requisiti di maggior
peso per lo svolgimento dell’incarico, basti guardare l’importanza che
assume negli Standard internazionali IIA, che si sono occupati da
sempre e a più riprese di assicurare che l’auditor potesse operare
scevro da ogni condizionamento e nella massima obiettività allo
72
Definizione resa dall’American Accounting Association, Committee on Basic Auditing Concepts nel 1973, riportata nell’ International Journal of Business and Management Vol.4/12 “Auditor Indipendence: Malaysian Accounts’ Perceptions” Dicembre 2009. 73
Interpretazione Standard IIA 1100.
58
scopo di tutelare il legittimo affidamento che il management, gli
investitori e il governo fanno sulle dichiarazioni di quest’ultimi.
Fiducia che inevitabilmente influisce sull’immagine dell’azienda sul
mercato.
Si è parlato più volte nel corso della trattazione del ruolo importante
che la funzione di Internal Audit si è ritagliata nel ridisegno degli
assetti di Corporate Governance, andando ad affiancare con la
propria attività il management nel perseguimento dell’obiettivo
comune di creazione di valore in azienda; ciò induce l’intero staff che
compone la funzione a correre costantemente in bilico tra le
aspettative del management e il proprio compito di assurance; è un
partner del board, ma anche il suo controllore.
Questa ambivalenza è particolarmente sentita in relazione all’attività
di Risk Assessment, al miglioramento e all’implementazione di nuovi
sistemi di controllo e in generale in relazione all’attività di consulenza
che inevitabilmente comporta uno stravolgimento del proprio status
di indipendenza determinando un alone di scetticismo intorno alla
funzione74 che non considera però che la prestazione di questo
genere di servizi accresce nell’auditor la conoscenza dell’impresa
auditee creando le condizioni per una continua tensione al
miglioramento.
Riguardo a questi temi il management, com’è già accennato nei
capitoli precedenti, vive un vero e proprio dualismo interno: da una
parte riconosce il valore aggiunto che la funzione è in grado di
apportare, è ben consapevole di avere bisogno delle sue conoscenze
e competenze, ed ha tutto l’interesse a che questa sia professionale,
obiettiva e imparziale nei giudizi, ne va dell’affidabilità che loro per
primi fanno sul lavoro del revisore e del ritorno d’immagine che
l’azienda di cui sono responsabili ha rispetto all’informativa fornita
all’esterno. La stessa gestione aziendale, tuttavia, ha tutto l’interesse
ad apparire candida agli occhi del mercato e dell’Assemblea dei Soci,
74
Si vedano in proposito le evidenze degli studi condotti da Gul & Teoh nel 1984 [International Journal of Business and Management Vol.4 No.12 dicembre 2009].
59
la loro fiducia nelle proprie capacità gestorie infatti è all’origine del
rapporto di lavoro; per questo motivo lo stesso management
preferirebbe sempre che eventuali macchie nella gestione non
venissero evidenziate nei report.
La soluzione migliore all’ambiguità costruita intorno alla funzione di
Auditing sembra quindi quella di applicare il principio del cosiddetto
“arm’s lenght”75 e cioè un posizionamento dell’auditor,
letteralmente, “a un braccio di distanza” dal management,
restandone quindi registi indipendenti ma liberi da ogni relazione che
possa interferire con il proprio giudizio in modo da preservarne
l’indipendenza.
Nel tentativo di barcamenarsi tra i numerosi interessi contrastanti
emersi finora si fa quindi appello alla moralità della figura dell’auditor
e a tutta una serie di strumenti, come il Codice Etico, gli Standard IIA
e l’IPPF già analizzati in precedenza, elaborati per guidarne l’attività.
3.1 INDIPENDENZA SOSTANZIALE E FORMALE
Procedendo per ordine al fine di cogliere tutti gli aspetti rilevanti del
tema, il requisito di indipendenza del revisore può essere apprezzato
approcciandolo secondo due punti di vista76 :
1. INDIPENDENZA SOSTANZIALE, e quindi indipendenza come
atteggiamento mentale, che induce l’auditor a prendere in
75
Principio mutuato dal commercio internazionale richiamato da G.Vinten in “Audit independence in the UK- the state of the art” Managerial Auditing Journal Vol.14 No.8 del 1999. 76
Parallelamente a quanto accade nella revisione legale. Si veda a tal proposito la Raccomandazione della Commissione Europea 590 “L’indipendenza dei revisori legali dei conti nell’UE: un insieme di principi fondamentali” 16 maggio 2002.
60
considerazione tutti gli elementi per l’esercizio del suo
compito, ma nessun fattore estraneo e potenzialmente
condizionante. Questa caratteristica deve perciò essere
rintracciata nelle capacità professionali del soggetto: è la
bontà professionale di questo che garantisce la bontà dei
risultati. L’indipendenza è, in altre parole, una forma mentis 77che permette a colui che opera l’intervento un significativo
livello di libertà rispetto all’oggetto dell’attività stessa .
2. INDIPENDENZA FORMALE, percepita quindi agli occhi dei terzi.
Vale a dire che il revisore “evita di essere associato a fatti e
circostanze che siano tali da indurre un terzo ragionevole e
informato a mettere in dubbio la propria capacità di svolgere
il suo compito in modo obiettivo”78. Per assicurare liberà in
questo senso sono stati messi a punto una serie di strumenti a
tutela dell’operato del revisore.
La funzione di Internal Auditing è tra gli attori principali
dell’organigramma aziendale e un centro nevralgico per i flussi
informativi all’interno dell’organizzazione. Gli assetti di governance e
le procedure di riporto della funzione devono perciò garantirne in via
continuativa l’indipendenza79 e a questo scopo è favorito il libero
scambio di informazioni con il senior management e col board
mediante una duplice linea di riporto, oltre alla predisposizione di
una serie di strumenti volti a favorire il libero accesso alle
informazioni e la tutela del soggetto nello svolgimento dell’incarico.
77
Troina G., Le Revisioni Aziendali, Franco Angeli, Milano 2005. 78
Raccomandazione Commissione Europea 2002/590/CE 16 maggio 2002. 79
Dittmeier C., Internal Auditing, EGEA, Milano, 2007.
61
3.2 INDIPENDENZA ORGANIZZATIVA
A livello formale si cerca di assicurare all’ auditor interno un certo
grado di libertà evitando che subisca qualsiasi genere di soggezione
da parte dell’organizzazione; in tal senso si prevede che il
Responsabile Internal Auditing riporti ad un livello che gli consenta il
pieno adempimento delle proprie responsabilità80. L’adeguata
collocazione della funzione all’interno dell’organigramma aziendale
rileva sia in relazione al conseguimento dell’indipendenza,
dell’obiettività e del peso organizzativo necessari all’efficace
svolgimento dell’attività di audit, sia nell’assicurare un adeguato
flusso informativo verso i vertici, quindi una adeguata considerazione
alle relazioni e un’appropriata risposta alle raccomandazioni
emesse81. Il riporto funzionale del RIA al board e quello
amministrativo al senior management facilitano pertanto
l’indipendenza organizzativa oltre a fornire un aiuto indispensabile
per ottenere la collaborazione delle funzioni soggette ad audit ed
evitare interferenze.
Come detto quindi, funzionalmente l’Internal Auditing dipende dal
vertice manageriale dell’organizzazione, questo tipicamente implica
che il board:
approvi il Mandato complessivo dell’attività di internal audit;
approvi l’internal audit risk assessment ed il relativo piano di
audit;
riceva dal responsabile internal auditing comunicazioni sui
risultati dell’attività di internal audit o su altre materie che
questi consideri di rilievo. In tali comunicazioni sono inclusi,
80
Standard IIA 1110. 81
Guida Interpretativa 1110-1: indipendenza organizzativa, AIIA.
62
sia i colloqui riservati con il responsabile internal auditing, sia
la conferma annuale circa lo stato di indipendenza
organizzativa dell’attività;
approvi tutte le decisioni relative alla valutazione delle
prestazioni, alla designazione o alla rimozione dall’incarico del
responsabile internal auditing;
approvi la retribuzione annuale del responsabile internal
auditing e i relativi adeguamenti;
richieda gli opportuni approfondimenti al management e al
RIA, allo scopo di sincerarsi se sussistano limitazioni di budget
o di copertura che possano impedire all’attività di internal
audit di adempiere alle proprie funzioni82.
Nella gran parte dei casi, specialmente nelle società quotate, il
riporto è, più propriamente, al Comitato Controllo e Rischi, che
costituisce una cerniera tra la funzione Auditing e il Consiglio
d’Amministrazione al fine di garantire maggiore trasparenza
informativa e chiarezza sulle problematiche riscontrate dal RIA.
A garanzia dell’imparzialità dell’operato del Comitato il Codice di
Autodisciplina di Borsa Italiana S.p.a. regola attentamente la
composizione di questo prescrivendo, tra le altre cose, che vi
partecipino amministratori non esecutivi in maggioranza
indipendenti83. Ovviamente resta ferma la responsabilità in capo al
CdA interamente considerato per quanto riguarda la definizione della
natura e del profilo di rischio compatibile con gli obiettivi strategici
dell’emittente, e la valutazione del generale andamento della
gestione, tenute in considerazione, in particolare, le informazioni
82
Guida interpretativa IIA 1110-1. 83
Cod. Autodisciplina Art.7 P.4. Per le società controllate da una quotata oppure soggette ad attività di direzione e coordinamento il Comitato per il Controllo Interno ( o Comitato Controllo e Rischi) è composto esclusivamente da amministratori indipendenti.
63
ricevute dagli organi delegati84 coerentemente con il proprio ruolo di
organo di supervisione strategica. E’ ribadita anche in questo caso
quindi che la definizione e l’implementazione del sistema dei controlli
interni è responsabilità unica del management. Per l’appunto il
Codice prevede che il Responsabile della funzione di Internal Auditing
riferisca al Comitato, al Collegio Sindacale al Consiglio di
Amministrazione e, se previsto, all’amministratore esecutivo, in
merito alla propria valutazione sull’idoneità del sistema di controllo
interno a conseguire un accettabile profilo di rischio complessivo85.
Nello scenario così delineato assume particolare importanza il
Mandato, o Audit Charter che definisce formalmente le finalità, i
poteri e le responsabilità86 dell’attività di revisione interna. Questo è
il primo documento formale redatto in azienda e stabilisce la
posizione della funzione nell’organizzazione, precisando la natura del
riporto funzionale del RIA al board, autorizza l’accesso ai dati, alle
persone e ai beni aziendali necessari allo svolgimento dell’incarico e
definisce l’ambito di copertura delle attività87 delineandone quindi
l’ampiezza.
L’approvazione del Mandato di Auditing spetta, in ossequio alle
disposizioni del Codice di Autodisciplina, al Consiglio di
Amministrazione previo parere favorevole del Comitato Controllo e
Rischi e sentito il Collegio Sindacale, che si occuperà inoltre di:
a) assicurare che la funzione sia dotata delle risorse adeguate
all’espletamento delle proprie responsabilità e
b) definirne la remunerazione coerentemente con le politiche
aziendali,
sempre allo scopo di evitare la subordinazione al management
operativo.
84
Codice di Autodisciplina 1.C.1 punti b) ed e), 2015. 85
Cod. Autodisciplina Art.7 C.5. 86
Standard IIA 1000. 87
Guida Interpretativa IIA 1000.
64
Il Mandato chiarisce, qualora ce ne fosse ulteriore bisogno, che
l’attività di auditing interno è tesa alla realizzazione di valore
aggiunto e al miglioramento dei processi aziendali e può facilitare la
diffusione di un clima positivo nei confronti dell’attività stessa,
incentivando la collaborazione e superando il clima ispettivo diffuso
intorno alla figura.
La dipendenza amministrativa del RIA nei confronti del senior
management, dell’ amministratore delegato o del comitato esecutivo
costituisce all’interno dell’organizzazione una facilitazione
dell’operatività quotidiana dell’intera funzione, a patto però che
questi non godano di autorità esclusiva sull’ambito di copertura o
sulla comunicazione dei risultati dell’attività. Ogni limitazione in
questo senso deve essere segnalata al Comitato per il Controllo
Interno88. L’amministratore delegato, nel supporto alla funzione
audit, si occuperà quindi di89:
processi di budget e contabilità analitica;
gestione delle risorse umane, compresi gli aspetti di
valutazione delle prestazioni e di remunerazione del
personale;
flussi informativi e comunicazioni interne;
gestione delle policy e delle procedure dell’attività di internal
audit.
Il RIA da parte sua, sempre allo scopo di favorire l’operatività
quotidiana della funzione, si occupa di definire direttive e procedure
per lo svolgimento dell’attività andando a redigere il cosiddetto
Manuale di Internal Auditing, essenziale per portare a termine
l’annuale piano di audit.
88
Dittmeier C., Internal Auditing, EGEA, Milano 2007. 89
Guida Interpretativa IIA 1110-1.
65
Questo documento deve riportare esaurientemente:
i. la raccolta delle procedure generali di funzionamento della
funzione;
ii. la descrizione dei riferimenti normativi e regolamentari;
iii. l’illustrazione dei principi di deontologia professionale a cui
devono ispirarsi gli auditor;
iv. le metodologie di lavoro da seguire durante lo svolgimento
dell’incarico;
v. la presentazione ai membri dello staff degli strumenti di
lavoro a disposizione90.
Sebbene gli Standard Internazionali suggeriscano un’organizzazione
delle linee i riporto così com’è stata formalizzata finora, nella realtà
queste possono essere influenzate da diversi fattori che impediscono
l’uso di modelli standard validi per tutti, tra cui, ad esempio, la natura
tipica dell’organizzazione, e quindi la dimensione o l’appartenenza al
settore pubblico piuttosto che al privato; oppure il grado di
complessità, la struttura, il contesto culturale ed economico in cui si
trova ad operare. A ben vedere infatti l’IIA, nel definire i propri
Standard, si mantiene volutamente vago in relazione alle linee di
riporto dal momento che questi sono stati formulati per essere
applicati a qualsiasi organizzazione, a prescindere da fattori
dimensionali o ambientali. Per le unità aziendali più piccole insomma,
si può applicare un modello di gestione e controllo meno
formalizzato, tramite costante supervisione e tramite memorandum
scritti che definiscono le direttive e le procedure da seguire91.
90
Dittmeier C., Internal auditing, EGEA, Milano, 2007. 91
Guida Interpretativa IIA 2040-1.
66
3.3 I FATTORI CHE INFLUENZANO L’INDIPENDENZA
Il mantenimento dell’indipendenza costituisce per l’auditor una vera
e propria sfida quotidiana. Come già detto, la libertà risiede prima di
tutto nella mente del soggetto chiamato allo svolgimento
dell’incarico, ma è possibile che questo sia disorientato dalle
contingenze che potrebbe trovarsi a vivere in azienda. Il primo
fattore ritenuto in grado di condizionare il suo giudizio è da ricercare
nelle peculiarità dello stesso ruolo che ricopre, di sorveglianza al
management e al tempo stesso di consulenza; si crea inevitabilmente
un’ambiguità di ruolo capace di suscitare non poche perplessità. E’ il
caso della cosiddetta autoverifica.
Il problema dell’autoverifica costituisce il primo neo
sull’indipendenza della funzione di Internal Auditing. Il self-review si
ha nel caso in cui l’auditor sia chiamato a svolgere un’attività di
verifica sul proprio lavoro, e quindi un audit sul sistema dei controlli o
su un determinato processo che lui stesso ha contribuito a disegnare
e implementare nell’ambito di una consulenza al management,
determinando in questo modo un rischio di parzialità e arbitrarietà di
giudizio. Esistono perciò una serie di accorgimenti in grado di creare
un legittimo affidamento anche nei terzi sulla bontà delle valutazioni
espresse.
E’ bene ricordare tuttavia che non tutti gli autori92 sono concordi su
queste posizioni, la minaccia all’obiettività per alcuni non risiede nella
prestazione di servizi non-audit quanto piuttosto nel corrispettivo
che da questa si genera, in grado di creare una vera e propria
“dipendenza economica” del soggetto.
92
Si veda in proposito Gul F. and Teoh “The effects of combined audit and management services on public perception of auditor independence in developing countries: the Malaysian case” (1984) *in Managerial Auditing Journal Vol.20.n.8 2005].
67
L’ambiguità del ruolo affidato al revisore interno può essere mitigata,
ad esempio93:
1. prevedendo LINEE GUIDA BEN DEFINITE per lo svolgimento
dell’incarico, che circoscrivano i doveri e i poteri dell’auditor
incaricato;
2. prevedendo una chiara DEFINIZIONE DEI COMPITI, affinché il
soggetto abbia ben chiaro cosa deve fare in fase di
assessment o qualora dovesse riscontrare delle anomalie;
3. dotando la funzione della necessaria AUTORITA’, che la
protegga dalle pressioni del management;
4. chiarendo quali sono le RESPONSABILITA’ dello staff nello
svolgimento del lavoro;
5. tracciando dei punti di riferimento, i principi base, mediante
gli STANDARD INTERNAZIONALI;
6. pianificando una ripartizione del TEMPO a disposizione tra
attività di assurance e consulenza, idonea alle necessità
dell’azienda.
Questi requisiti, insieme ad un atteggiamento imparziale e senza
pregiudizi tentano di assicurare che l’auditor lavori in un clima di
obiettività, eseguendo il proprio incarico con l’onesto convincimento
della validità dei risultati ottenuti e senza significativi compromessi.
Ovviamente è escluso che alcun membro della funzione di audit
ricopra ruoli esecutivi.
I fattori che possono condizionare l’indipendenza organizzativa e
l’obiettività individuale dell’auditor all’interno dell’organizzazione
possono essere ricondotti ad alcune fattispecie ricorrenti:
a) CONFLITTI D’INTERESSE;
b) LIMITAZIONI NEL CAMPO D’AZIONE;
93
Riferimenti dall’opera di J.R. Rizzo “Role Conflict and ambiguity in complex organizations” del 1970 [in Managerial Auditing Journal Vol.24 n.9 2009].
68
c) RESTRIZIONI ALL’ACCESSO AI DATI, AI DOCUMENTI, A
PERSONE O BENI rilevanti ai fini dell’incarico;
d) VINCOLI DI RISORSE, specialmente quelle finanziarie.
Il conflitto d’interessi riguarda una molteplicità di circostanze in cui il
revisore interno, che gode di una posizione di fiducia, si trova ad
avere un interesse personale o professionale contrario agli interessi
dell’azienda; questo può accadere, ad esempio quando tra
l’organizzazione e l’auditor, o un membro della sua famiglia,
intercorrano interessi economici, oppure nel caso si siano costituiti
rapporti di parentela con un membro del management94. Non è
deontologicamente corretto per il revisore, inoltre, accettare denaro
o regali da parte di dipendenti, clienti, fornitori o partner, che
potrebbero dare adito a dubbi circa la propria obiettività95.
Anche l’eccessiva familiarità con la funzione oggetto di revisione
potrebbe risultare forviante nelle valutazioni.
Per comprendere meglio questo aspetto è necessario precisare che il
Responsabile Internal Audit, nel comporre l’organico del suo staff, ha
a disposizione due alternative:
1) Recruiting esterno; e
2) Recruiting interno.
Nel primo caso i soggetti chiamati a far parte dell’organico della
funzione sono individuati sul mercato e quindi tra i candidati che
abbiano conseguito una laurea in economia, in giurisprudenza, ma
anche in scienze statistiche oppure in ingegneria informatica o anche
ingegneria gestionale, specialmente nel caso si rendessero necessarie
queste specializzazioni per lo svolgimento dell’audit in particolari tipi
di imprese.
94
Si veda a tal proposito Vanasco R. “auditor independence: an international perspective” Managerial Auditing Journal Vol.11 No.9 1996. 95
Guida Interpretativa IIA 1130-1.
69
Si presenta frequentemente il caso, però, in cui lo staff o parte di
questo provenga da altre funzioni aziendali, quindi che sia già stato
impiegato precedentemente in azienda con altre mansioni.
Gli Standard professionali e il buon senso raccomandano agli internal
auditor di non effettuare attività di Audit in ambiti in cui ricoprivano
una precedente responsabilità, si presume infatti che queste
circostanze siano pregiudizievoli all’obiettività e di ciò dovrebbe
pertanto essere tenuto conto in fase di supervisione dell’incarico e di
comunicazione dei risultati. In tal senso è preferibile un’exemption
almeno un anno96.
Spesso nel Mandato di Internal auditing sono regolamentate queste
situazioni, tuttavia, nel caso non fossero tratti questi argomenti, il
RIA, nel valutare l’impatto su indipendenza e obiettività, deve
comunque considerare almeno i seguenti fattori97:
i requisiti stabiliti nel Codice Etico e negli Standard;
le attese degli stakeholder, tra cui gli azionisti, il consiglio di
amministrazione, il comitato per il controllo interno, il
management, gli enti legislativi, gli organismi pubblici, l’ente
regolatore e i gruppi di pubblico interesse;
l’ampiezza di poteri e/o le restrizioni contenute nel Mandato
dell’internal audit;
i requisiti di trasparenza stabiliti dagli Standard;
la copertura di audit da fornire alle attività o responsabilità
assunte dall’auditor;
la significatività di ciascuna funzione operativa per
l’organizzazione (in termini di fatturato, costi, immagine e
rilevanza);
la durata dell’incarico e l’ampiezza delle responsabilità
assegnate;
l’adeguatezza della separazione dei compiti;
96
Guida Interpretativa IIA 1130.A1-1. 97
Guida Interpretativa IIA 1130.A2-1.
70
se esistono precedenti nel passato o evidenze sul fatto che
l’obiettività del soggetto possa essere a rischio.
Già da una prima considerazione emerge chiaramente che
l’esperienza consolidata in ruoli operativi può rappresentare più un
limite che un vantaggio per il candidato in quanto potrebbe generare
valutazioni pregiudiziali, senza considerare poi il fatto che all’interno
di quelle funzioni possono essersi ragionevolmente instaurate delle
relazioni, tanto positive quanto negative. Nel caso di relazioni
positive risulterà difficile per il RIA, che spesso è all’oscuro di tutto,
valutare il grado di indipendenza del soggetto, con ovvie ripercussioni
sull’efficacia del lavoro e a livello di immagine della funzione. D’altro
canto è possibile anche che l’aspirante auditor abbia lasciato la
precedente mansione in un clima di conflittualità che sicuramente
avrà le sue conseguenze nel nuovo rapporto di lavoro generando
certamente un’eccessiva indipendenza nello svolgere l’incarico e un
generale clima di sfiducia che dal soggetto interessato si estenderà a
tutta la funzione98.
Un clima armonioso all’interno dell’azienda è indispensabile perché
l’auditor riesca ad avere accesso alle informazioni, con mezzi formali,
ma anche in maniera confidenziale. La diffusione della cultura del
controllo, insieme alle abilità comunicative del revisore, consentono
a quest’ultimo di accedere a informazioni, considerazioni e pareri
degli organi operativi, utili a chiarire il quadro della situazione sotto i
suoi occhi. Il fenomeno del whistleblowing, con la creazione di canali
confidenziali di segnalazione da parte dei dipendenti rigorosamente
nell’anonimato, permette di identificare eventuali fonti di rischio che
non erano state trattate con la dovuta attenzione, irregolarità o
violazioni della normativa applicabile e delle procedure interne,
corregge il sistema dei controlli e contribuisce al successo dell’attività
di audit.
98
Dittmeier C., Internal Auditing, EGEA, Milano, 2007.
71
Alla luce di tutte queste considerazioni, appare evidente che il
recruiting interno dei membri dello staff della funzione di Internal
Auditing rappresenta un’ipotesi poco raccomandata per il RIA anche
se gli standard internazionali non ne fanno esplicito divieto.
Una volta che l’azienda si sia dotata di una funzione assortita, nello
staff, secondo le proprie esigenze, è importante che questa si
mantenga efficace ed efficiente. Il mezzo migliore per assicurarsi
l’aggiornamento professionale continuo (Standard IIA 1230) è
predisporre un Piano di Formazione per la Crescita Professionale
delle risorse.
Limitazioni alla libertà dell’auditor possono provenire anche
direttamente dagli uffici operativi sottoposti a revisione o dallo
stesso management; è possibile che il process owner di turno tenti di
ostacolare l’attività limitandone il campo d’azione o interferendo con
la raccolta di informazioni, sia occultando documenti e dati sia
rifiutando la collaborazione con lo staff incaricato. E’ altrettanto
frequente che siano i vertici amministrativi, specialmente nelle
aziende dotate di un management affermato che occupa una
posizione dirigenziale da lungo tempo e quindi abituato a godere di
estrema autorità, a vincolare il lavoro di revisione con un
atteggiamento intimidatorio o materialmente, vincolando le risorse a
disposizione, specialmente quelle finanziarie, e lasciando l’Internal
Auditing sprovvisto dei mezzi necessari per lo svolgimento
dell’incarico.
Gli Standard internazionali, a tutela dell’operatività dell’auditor,
raccomandano esplicitamente che, nel caso l’indipendenza e
l’obiettività risultasse compromessa, anche solo potenzialmente, i
fatti che determinano i condizionamenti devono essere riferiti a un
livello appropriato99 che generalmente si ravvisa nel board.
99
Standard IIA 1130.
72
3.4 IL RUOLO DEL RESPONSABILE DELL’INTERNAL
AUDITING
Il Responsabile della funzione di Internal Auditing riveste una
posizione centrale di coordinamento nell’organizzazione, a lui i vertici
aziendali affidano il compito di salvaguardare l’attività economica dai
rischi e di proteggerne e accrescerne il valore; è per questo motivo
che tendenzialmente l’incarico è affidato per anzianità nel settore.
L’esperienza del RIA offre maggiori garanzie sull’efficace gestione
della funzione, in conformità al Mandato, al Codice Etico e agli
Standard internazionali e infatti in Italia il 44% dei RIA ha maturato
un’esperienza di oltre quindici anni, più dell’80% di questi si occupa
di controlli da più di 6 anni 100.
Nei fatti il RIA si occupa di selezionare i membri che comporranno lo
staff in base alle risorse che il management gli mette a disposizione,
valuta i candidati scegliendoli conformemente alle necessità
dell’azienda, applicando metodi più o meno sofisticati, e si pone
come garante del loro operato.
Gli Standard internazionali impongono che riporti ad un soggetto,
interno all’azienda, dotato dell’autorità necessaria a garantirne
l’indipendenza e che ne assicuri un ampio ambito di copertura, che gli
consenta di raggiungere i massimi obiettivi della funzione, e che sia
dotato dei poteri necessari a dar seguito alle raccomandazioni
emesse, in un clima di produttiva collaborazione. All’interno
dell’organizzazione, a questa descrizione corrisponde nella generalità
dei casi, il board. Con questo si instaura una comunicazione diretta e
un rapporto di fiducia tale per cui il RIA partecipa attivamente alle
100
Dato riferito al campione di aziende, quotate e non quotate, in studio dall’Università di Parma con Deloitte e AIIA “Connotati e prestazioni della funzione di internal audit” , maggio 2015.
73
riunioni, in modo da restare sempre correntemente informato sulle
attività strategiche e gli sviluppi operativi e prendere parte, come
consulente, al processo di revisione dei sistemi di controllo interno o
alle proposte di implementazione di nuove procedure. Durante gli
incontri, inoltre, la funzione auditing ha l’opportunità di proporre la
riflessione su alcune criticità emerse durante lo svolgimento
dell’incarico, sulle procedure in corso e sui pericoli rilevati, in modo
da iniziare tempestivamente un’attività di contrasto, coerentemente
con l’approccio preventivo ai rischi e prima che questi compaiano sul
report. Le Guide Interpretative IIA raccomandano, oltre ai vari ed
eventuali incontri informali, una riunione separata col board da
tenersi almeno una volta l’anno101 e la certificazione dello stato di
indipendenza della funzione. In questo senso il RIA costituisce un
“ponte” tra la funzione e il resto dell’organizzazione, che consente di
lavorare con imparzialità ma sempre al servizio degli interessi
aziendali.
Come già detto, ciascun membro della funzione di revisione interna
deve svolgere l’attività con la massima obiettività, il RIA ha l’obbligo
di controllare il rispetto di questa condizione supervisionando l’intero
lavoro prima di emettere il rapporto e assicurandosi che questi non
subiscano reali o anche solo potenziali condizionamenti. Ogni interal
auditor dovrebbe riferire al Responsabile l’emersione di conflitti di
interesse o ciascun altra circostanza idonea a comprometterne
l’indipendenza102 ma, per assicurarsi la massima tutela della funzione,
è lui stesso a richiedere periodicamente ai propri collaboratori
un’informativa in merito, in base alla quale valuterà la possibilità di
modificare l’assegnazione degli incarichi.
A ciascun Responsabile della funzione di Internal Auditing (RIA) o
Chief Audit Executive (CAE) è richiesto di sviluppare e implementare
un Programma di assurance e miglioramento della qualità (Quality
Assurance and Improvement Program -QAIP- ) che consenta di
101
Guida Interpretativa IIA 1111-1. 102
Guida Interpretativa 1130-1.
74
verificare se la funzione, così com’è costruita in azienda, sia conforme
alla definizione data dall’IIA e se l’incarico sia stato portato a termine
in osservanza degli Standard e del Codice Etico. Il programma inoltre
è teso a valutare l’efficacia e l’efficienza dell’attività svolta e ad
identificare le possibili opportunità di miglioramento mediante
valutazioni sia interne che esterne. Le valutazioni interne nascono dal
monitoraggio continuo della prestazione, che è incorporato
naturalmente nelle procedure utilizzate per svolgere l’incarico, cui
sono affiancate periodiche auto-valutazioni o valutazioni di soggetti
interni all’organizzazione che abbiano dimostrato di conoscere l’IPPF
e le metodologie di revisione, di solito il RIA o il CAE o comunque un
auditor certificato, anche in occasione della revisione annuale
dell’audit plan.
Al contrario, le valutazioni esterne devono essere effettuate con
cadenza quinquennale da parte di un valutatore o di un team di
valutatori estranei all’organizzazione, oppure, eccezionalmente può
essere un’auto-valutazione con validazione esterna. Le valutazioni si
concentrano sull’osservanza delle Mandatory Guidance
dell’International Professional Practice Framework. Nonostante la
disposizione degli Standard IIA (Standard 1300) in Italia solo il
39,52%103 delle società dichiara di essersi dotata di un Programma di
Assurance e Miglioramento della Qualità dell’internal auditing. La
maggiore sensibilità al tema è espressa sicuramente dalle società
quotate, soprattutto nel settore dei servizi (50%) e nel settore
finanziario (43,18%). Le modalità, la frequenza e l’individuazione di
soggetti qualificati per la valutazione è oggetto di discussione tra il
responsabile della funzione e il board.
103
Dato relativo al campione di aziende selezionato nell’ambito dello studio “Connotati e prestazioni della funzione di internal audit” già citata, maggio 2015.
75
3.5 L’OUTSOURCING
Accade qualche volta che lo svolgimento delle mansioni dell’Internal
Auditing venga affidato a società specializzate nella gestione del
rischio e nello sviluppo dei sistemi di controllo, portando in questo
modo la funzione completamente all’esterno dell’azienda. La scelta
dell’outsourcing generalmente è dettata da politiche di
contenimento dei costi; molte organizzazioni non sono abbastanza
grandi e non muovono volumi finanziari tali da sopportare l’onere di
uno staff impiegato full-time nell’auditing, in questi casi il RIA, che
resta comunque interno all’organizzazione, svolge l’importante ruolo
di cerniera tra l’azienda e il suo provider. Altre aziende invece
scelgono il co-sourcing, e quindi di affiancare ad un organo interno di
dimensioni minime, uno staff preso in outsourcing per le attività più
impegnative con l’obiettivo di ottenere la maggiore flessibilità
possibile sulle spese. L’importante è che il soggetto esterno sia
dotato dei medesimi requisiti di professionalità e indipendenza104.
Spesso la scelta di affidarsi a un’azienda specializzata, con anni di
esperienza nel settore, assicura una qualità del servizio maggiore
rispetto a quello offerto internamente, in special modo riguardo
all’auditing in aree aziendali che richiedono conoscenze specifiche, ad
esempio per i sistemi IT.
Se da una parte la scelta di collocare la funzione all’esterno dei
confini aziendali potrebbe apparire la soluzione perfetta all’annosa
questione dei dipendenti indipendenti, con tutte le perplessità che,
come visto, questo comporta; a ben vedere vengono a crearsi nuovi
ordini di problemi intorno alla valutazione dell’imparzialità della
funzione. Cambiano i rapporti di forza, e spesso è una questione di
cifre. Se per un dipendente può essere difficile mantenere
104
Codice di Autodisciplina art.7 C.6.
76
l’indipendenza dal proprio datore di lavoro, sicuramente quando le
parti sono due aziende corre l’obbligo di alcune considerazioni105:
1) la grandezza dell’azienda di audit; certamente quanto più la
società affidataria dell’outsourcing sarà grande, tanto
maggiore sarà la sua capacità di resistere alle pressioni del
management auditee; al contrario le caratteristiche proprie
delle piccole realtà ledono l’indipendenza in quanto
favoriscono una maggiore personalizzazione del lavoro e un
rapporto più stretto col cliente.
2) La concorrenza sul mercato delle altre aziende del settore; le
società che operano in un mercato con alti livelli di
competitività troveranno maggiori difficoltà a restare
imparziali e obiettive dal momento che il cliente troverà
facilmente un rimpiazzo in grado di offrirgli il servizio che
cerca. Si innesca in questo modo il fenomeno dell’opinion
shopping.
3) L’entità della fee corrisposta alla società di revisione; un
trasferimento ingente di denaro potrebbe nascondere
tutt’altro genere di interessi.
4) La prestazione di servizi di consulenza al management
(Management Advisory Services); l’occupazione in attività
non-audit espone l’azienda all’intensificarsi dei rapporti di
lavoro col cliente, che incide negativamente sulla percezione
di indipendenza all’esterno.
5) L’esistenza del Comitato Controllo e Rischi o Audit committee;
il Comitato si occupa, tra le altre cose, di aiutare l’auditor a
restare indipendente nei confronti del management e questo
è percepito positivamente sul mercato, fornisce un’ulteriore
garanzia e aumenta l’affidamento che anche investitori e
creditori hanno nell’azienda.
105
Bakar & Ahmad “Auditor Independence: Malaysian Accounts’ Perceptions” 2009.
77
Il fenomeno dell’opinion shopping, e cioè della ricerca dell’auditor
disposto ad avallare il trattamento proposto dall’azienda stessa per
aiutarla a raggiungere i propri obiettivi di reporting, anche se ciò
comporta la totale inaffidabilità delle valutazioni emesse; così come
quello del lowballing, e quindi della prestazione di servizi remunerati
sottocosto, che la SEC equipara al mancato pagamento della fee,
possono compromettere gravemente l’indipendenza dell’auditor e di
conseguenza la qualità dei report emessi, qualità che, specialmente
nel caso di outsourcing e nelle aziende con alti costi d’agenzia,
ricopre un ruolo di primaria importanza per la fiducia del mercato.
Tutte queste valutazioni sono opportune e debite considerando che
proprio sul lavoro svolto dai provider esterni il RIA potrebbe fondare
le proprie decisioni; l’eventuale fallimento dell’attività di audit resta
comunque di responsabilità esclusiva del team leader.
Ragionevolmente l’esternalizzazione dell’attività di audit interno
potrebbe comportare la confusione di questa con la revisione
esterna, attività espressamente affidata a soggetti estranei
all’organizzazione, che però svolge un controllo circoscritto alle
materie del bilancio, finalizzato a certificare ai terzi che l’informativa
emessa dall’azienda sia veritiera e corretta, e quindi rivolta ad un
pubblico diverso e con finalità differenti rispetto alla gestione del
rischio e la tutela del patrimonio aziendale.
Corre l’obbligo riportare, a questo punto, la posizione dell’IIA che è
decisamente contraria alla scelta dell’outsourcing in quanto
considerata in aperto contrasto con le previsioni del Committee of
Sponsoring Organizations (COSO) che prescrive che il controllo
interno sia effettuato da soggetti interni all’organizzazione, che
l’Internal Auditing è parte integrante del sistema dei controlli interni
e una responsabilità del management e che gli auditor esterni non
fanno parte dello stesso. La distruzione delle differenze nei ruoli della
78
revisione interna ed esterna ha, per l’ente, un impatto certamente
negativo sull’ambiente di controllo all’interno dell’azienda106.
A margine di tutte queste considerazioni, e probabilmente sotto
l’influenza di queste, gli studi condotti a livello mondiale107 negli
ultimi anni hanno confermato che la maggioranza delle imprese non
utilizza l’outsourcing o il co-sourcing per l’attività di audit.
106
Bishop, presidente IIA nel 1995 [ in Managerial Auditing Journal Vol.11. n.9 1996]. 107
Allegrini e D’Onza, 2003; riportato nell’ambito dello studio condotto dall’Università di Parma con AIIA e Deloitte nel Maggio 2015.
79
CAPITOLO IV: L’INTERPRETAZIONE ITALIANA DEI
REQUISITI DI INDIPENDENZA
Dopo un’attenta disamina delle caratteristiche della funzione di
Internal Auditing e dei requisiti che si vogliono necessari affinché
l’auditor possa portare a termine il proprio scopo con successo,
sembra doveroso confrontare lo schema teorico con la realtà
aziendale vissuta nel quotidiano.
Il modo migliore per farlo è, probabilmente, quello di chiedere aiuto
direttamente a chi si occupa di queste attività, che vive da
protagonista le pressioni e i rapporti che naturalmente si instaurano
sul posto di lavoro.
Coinvolgendo i Responsabili della Funzione Audit delle più importanti
società italiane s’intende tracciare un quadro chiaro della realtà in
azienda così da poterne evidenziare punti di forza, ma anche di
debolezza, mettendo in luce le possibili differenze tra la teoria e la
pratica, finanche a tentare una stima di quale sia il grado massimo di
indipendenza realmente raggiungibile dalla funzione, in base alle
nozioni e alle informazioni acquisite.
80
Con questi obiettivi, grazie al supporto dell’Associazione Italiana
Internal Auditor, è stata lanciata una Survey indirizzata ai tutti i soci
(634 unità) e ai registrati al sito AIIA (318 unità). Si è ritenuto
opportuno interpellare solo i Responsabili di Internal Audit (in tutto
756 persone) e i Chief Audit Executive (296) per un totale di 1052
destinatari.
Riflettendo sulle peculiarità del tessuto imprenditoriale italiano,
composto in gran parte da società di piccole o piccolissime
dimensioni, che quindi, con ogni probabilità, si affidano a metodi di
individuazione e gestione del rischio meno formalizzati, affiancate dai
colossi dell’imprenditoria in cui la funzione esiste ed è ben sviluppata,
sembra un’eccessiva semplificazione sacrificare le une o le altre,
rischiando di ottenere una visione solo parziale del fenomeno. Per
questo motivo sono considerate sia società quotate che società non
quotate e non sono state operate differenziazioni nemmeno per
industry, mirando ad ottenere uno spaccato realistico della realtà
italiana nel suo complesso.
Com’è stato più volte evidenziato, nonostante la regolamentazione
IIA sia investita di estrema autorità nell’universo aziendalistico
internazionale, e quindi anche italiano, non assume forza di legge; è
necessario perciò distinguere gli enti vigilati, che invece accolgono
gran parte delle regole organizzative in specifiche norme. Se
l’osservanza dei precetti IIA nelle aziende è ritenuta essenziale per il
migliore svolgimento dell’incarico, la non conformità alle regole
stabilite per gli enti sottoposti ad Autority è da considerarsi
fuorilegge; è per questo motivo che, nell’analisi dei dati raccolti, ove
opportuno, sono stati separate le informazioni riferite agli enti vigilati
e non.
Per comprendere pienamente la portata del fenomeno italiano, la
prima cosa da fare è individuare le dimensioni della funzione
all’interno dell’organigramma aziendale. La Survey ha prodotto 47
risultati in tutto; il campione di aziende non vigilate (37 elementi) ha
evidenziato la tendenza a dotarsi di una funzione di Internal Auditing
81
composta da quattro persone [si veda la Figura 6 a)], sebbene sia
frequente il caso di attività affidate unicamente ad un soggetto che
ricopre il ruolo di Responsabile dell’Internal Auditing o di Chief Audit
Executive.
[Figura 6 a)]
Per completezza corre l’obbligo di rilevare che esistono aziende sul
panorama nazionale in cui il personale impiegato full-time per
l’attività arriva o supera le 10 unità, con punte di oltre 100 FTE (full-
time equivalent) in relazione ai più elevati volumi d’affari in ambito
internazionale. Nelle banche o nelle imprese di assicurazione
(campione composto da dieci unità) ciò costituisce una scelta
frequente, evidentemente legata al più elevato profilo di rischio
connaturato nell’attività. Ovviamente il dato assoluto da solo non
10%
30%
20%
40%
enti vigilati
2 componenti
3-4 componenti
5-6 componenti
10 o piùcomponenti
Da quanti soggetti è composta la funzione I.A. nella Sua azienda?
25%
10%
3%
27%
10%
9%
10% 6%
un solo componente
2 componenti
3 componenti
4-5 componenti
6-7 componenti
8-10 componenti
11-20 componenti
più di venti
82
basta a raccontare la composizione dell’impresa italiana proprio per
le differenze dimensionali sopraindicate; affinché il dato risulti
rappresentativo del fenomeno, perciò, dev’essere rapportato
all’entità dell’impresa. Per questo motivo è stato chiesto agli auditor
di fornire informazioni sul fatturato annuo e il numero di dipendenti
all’ultimo bilancio approvato, in base a queste informazioni è
possibile relativizzare il dato: mediamente nelle imprese non vigilate
si dedica all’attività di internal audit lo 0,20% delle risorse umane,
vale a dire che 2 persone ogni mille dipendenti svolgono attività di
revisione del Sistema dei Controlli Interni. Nelle aziende vigilate,
coerentemente con i dati relativi già analizzati, si profila una realtà
più sensibile all’attività di controllo, ogni 1000 dipendenti nove sono
auditor interni (0,91%) [Figura 6 b)].
Il fatturato aziendale non è coinvolto in alcun modo nella
determinazione delle dimensioni della funzione all’interno
dell’organigramma: sono molto frequenti, per la verità, i casi di
aziende con fatturato che supera il miliardo di euro in cui il
monitoraggio e la revisione del SCI è affidato a due/cinque auditor
anche se il personale supera le 10.000 unità; allo stesso modo ci sono
aziende che non arrivano a mille dipendenti, con fatturati di pochi
milioni di euro e con una funzione ugualmente o anche
maggiormente nutrita. Ragionevolmente se ne può dedurre la
perfetta estraneità delle vicende finanziarie e gestionali dell’azienda
con l’allocazione delle risorse nell’organigramma. Il dato è comune
alle aziende vigilate e non.
[Figura 6 b)]
società vigilate
società non vigilate
0,91%
0,20%
83
L’ipotesi di co-sourcing, quindi di personale esterno affiancato al RIA
per la gestione dell’attività, sembra essere poco favorita; è stato
riscontrato un solo caso nell’intera popolazione presa in esame nello
studio. Il dato è perfettamente in linea con la scarsa propensione
dell’impresa italiana ad affidarsi a terzi nella gestione di questo
genere di servizi al management.
Dall’indagine è emerso, inoltre, che è preferito, indistintamente in
tutti i settori, scegliere i soggetti chiamati all’auditing tra le persone
già precedentemente impiegate in azienda. Si predilige insomma il
recruiting interno a quello esterno [Figura 7 a) e b)].
[Figura 7 a) e b)]
0% 20% 40% 60%
recruiting interno
recruiting esterno
recruiting interno recruiting esterno
Serie1 57% 43%
RECRUITING ENTERNO vs RECRUITING INTERNO enti vigilati
0% 20% 40% 60% 80%
recruiting interno
recruiting esterno
recruiting interno recruiting esterno
Serie1 68% 32%
enti non vigilati
84
Il rischio di possibili condizionamenti nello svolgimento dell’incarico
sembra avere minor peso rispetto ai vantaggi che l’impiego di
persone che già conoscono l’azienda e il suo funzionamento può
offrire. Certamente il recruiting interno consente di semplificare le
fasi iniziali di auditing legate alla familiarizzazione con i processi, e
assicura una maggiore sensibilità nel rintracciare gli effettivi centri di
rischio, attribuendogli il giusto peso. Sono favorite, in questo modo,
l’efficacia e l’efficienza nello svolgimento dell’incarico. Di converso,
l’eccessiva confidenza con i processi operativi auditati, potrebbe
costituire un ostacolo all’indipendenza e all’obiettività del revisore,
generando possibili conflitti di interesse.
Gli Standard internazionali, con riferimento a questi temi, sono
piuttosto espliciti nel suggerire come principale mezzo per evitare
condizionamenti, che gli internal auditor si astengano dall’effettuare
attività di audit in ambiti in cui ricoprivano una precedente
responsabilità (Standard 1130.A1). Malgrado la conformità a questi
principi sia ritenuta essenziale per la pratica professionale108, dallo
studio emerge chiaramente la tendenza diffusa tra le imprese che
operano liberamente sul mercato a sottovalutare il problema [Figura
8]. Nemmeno la metà delle società intervistate (46%) riconosce
l’eccessiva familiarità dell’auditor con le funzioni operative auditee
come un rischio e cerca mezzi di contrasto.
Dal momento che non è stata riscontrata alcuna correlazione tra la
dotazione patrimoniale della funzione e questo genere di valutazione
(si veda in seguito, è stato chiesto di giudicare l’apprezzamento
economico della funzione), le ragioni del fenomeno sono da ricercare
nella sensibilità del top management a certe questioni più che ad un
effettivo impedimento per vincoli di budget.
108
Standards & Guidance — International Professional Practices Framework (IPPF) www.theiia.org.
85
[Figura 8]
Per fronteggiare il problema, evidentemente più importante per l’IIA
di quanto non lo sia per le aziende non vigilate italiane, la
raccomandazione dell’Institute of Internal Auditors, contenuta nelle
Guide Attuative (1130.A1-1), è quella di evitare che le persone
trasferite alla funzione auditing vengano impiegate per effettuare
audit su attività da loro svolte anteriormente o su cui ricoprivano una
precedente responsabilità, se non sia trascorso un ragionevole
periodo di tempo, indicativamente quantificato in almeno un anno.
Nonostante la scarsa attitudine a prestare la necessaria attenzione
alla salvaguardia dell’indipendenza degli auditor incaricati mediante
recruiting interno, nelle aziende che invece riconoscono il problema,
la prudenza comporta, in molti casi, l’exemption per 24 mesi, ed è,
anzi, frequente la scelta di interdire il soggetto dallo svolgimento
dell’incarico in maniera definitiva *Figura 9].
Per quanto riguarda gli enti vigilati si riscontra invece una maggiore
aderenza ai dettami nell’adozione di misure di salvaguardia (60%
degli intervistati), rimanendo però, perlopiù vicini ai requisiti minimi
[Figura 10].
Sebbene sia universalmente riconosciuto che la fonte principale di
indipendenza dell’auditor sia legata alla professionalità del soggetto;
a tutela del legittimo affidamento che si fa sulla sua imparzialità, l’IIA
42% 44% 46% 48% 50% 52% 54%
NO
SI
54%
46%
Con riguardo ai soggetti provenienti da altre funzioni interne all'azienda, sono state prese misure a tutela
dell'indipendenza?
86
raccomanda, e questo vale per tutti gli auditor, che questi riferiscano
al responsabile della funzione qualsiasi situazione in cui un
condizionamento reale o potenziale dell’indipendenza e
dell’obiettività possa presumibilmente verificarsi, ovvero situazioni in
cui ci siano dubbi che possano costituire condizionamenti (Guida
Interpretativa 1130-1).
[Figura 9]
[Figura 10]
0% 10% 20% 30%
esclusione totale
riporto gerarchico…
grace period 6 mesi
12 mesi
2 anni
3 anni
esclusionetotale
riportogerarchico
al CdA
graceperiod 6
mesi12 mesi 2 anni 3 anni
Serie1 27% 19% 9% 9% 27% 9%
Quali misure sono adottate in azienda per salvaguardare l'indipendenza della funzione?
0% 20% 40% 60%
SI
esclusione totale
grace period 12 mesi
24 mesi
SI esclusione totalegrace period 12
mesi24 mesi
Serie1 60% 17% 50% 33%
enti vigilati MISURE A TUTELA DELL'INDIPENDENZA
87
Vige, inoltre, un dovere di vigilanza da parte del RIA sull’operato dei
suoi collaboratori, e un obbligo di informativa al board su eventuali
irregolarità; per questo motivo è raccomandabile che il Responsabile
della funzione approfondisca questi temi nella scelta dei membri che
comporranno il suo staff, essendo poi, ogni loro dichiarazione,
sottoposta alla sua responsabilità.
Le modalità di indagine in questo senso possono essere le più
disparate, legate, ancora una volta, alla sensibilità dell’azienda e del
RIA alle problematiche circa l’indipendenza, oltre ad un’opportuna
valutazione dei costi/benefici che un’indagine troppo approfondita
comporta.
Una domanda su questi aspetti è stata rivolta anche ai RIA/CAE presi
a riferimento nella Survey [Figura 11 a) e b)]. Dalle risposte è emerso
che nella maggior parte dei casi l’apprezzamento dell’imparzialità è
lasciato a metodi informali, con il minimo impiego di tempo e risorse.
Nei casi di maggiore attenzione si ricorre a check-list dei requisiti
minimi o a schede di valutazione opportunamente allestiti per una
facile compilazione. Non sono presi in considerazione metodi troppo
invasivi e dispendiosi, come la predisposizione di test attitudinali;
piuttosto si preferisce evitare totalmente il problema (6%).
Ormai è chiaro che la figura del Responsabile dell’Internal Auditing
ricopre un ruolo centrale nel coordinamento della funzione con il
resto dell’organizzazione e si pone a garanzia della qualità del servizio
reso in azienda; per queste ragioni è evidente che il potere di nomina
del soggetto più adatto, unito alla leva economica a questi legata,
quindi la determinazione della remunerazione corrisposta e del
budget a disposizione per lo svolgimento dell’incarico, costituisce il
campo su cui si gioca la partita dell’indipendenza: dev’essere affidato
ad un livello gerarchico appropriato all’interno dell’organizzazione.
Un equo capitale a disposizione assicura i mezzi per la copertura dal
rischio siano proporzionati alle esigenze del sistema aziendale e che
non si nascondano al suo interno tentativi di addomesticare la
88
funzione, specialmente quando si parla di retribuzione corrisposta al
RIA.
[Figura 11 a)]
[Figura 11 b)]
0%
10%
20%
30%
40%
50%
60%
23% 20%
0%
51%
6%
Valutazione dei requisiti di indipendenza
0%
100%
metodiinformali
schede divalutazione
check list otest
attitudinali
80% 20% 0%
Valutazione dei requisiti di indipendenza negli enti vigilati
89
Il Codice di Autodisciplina attribuisce questa responsabilità, insieme
all’approvazione del Piano di Audit, al Consiglio di Amministrazione,
quale massima carica aziendale, ma non senza l’avallo del Comitato
per il Controllo e Rischi e del Collegio Sindacale, come a voler creare
un’ennesima barriera per l’indipendenza.
Mentre per le società di intermediazione finanziaria c’è perfetta
aderenza alle disposizioni in esame (100% delle risposte), la realtà
aziendale emersa dalla ricerca, per gli enti non vigilati, delinea
contorni più sfumati [Figura 12]. Nonostante la maggioranza (57%)
degli aderenti abbia dichiarato di operare conformemente ai dettami
del Codice, esistono altre opzioni di gestione del potere; è possibile
che venga addirittura affidato all’amministratore delegato o al
comitato esecutivo.
Neanche la definizione del budget a disposizione della funzione è
sempre affidata al CdA interamente considerato, come sostenuto nel
Codice di Autodisciplina, anzi è forte l’interferenza degli
amministratori esecutivi, in primis l’amministratore delegato *Figura
13] soprattutto nelle società non vigilate, nonostante con questi sia
stabilita una linea di riporto amministrativo più che funzionale e
dovrebbero pertanto offrire un supporto operativo e non strategico.
Un’altra fetta importante dei rispondenti (22%) indica come
responsabile di queste decisioni il Direttore Generale o il Direttore
Finanziario della società.
Gli enti vigilati, generalmente, si attengono in maniera più attenta
alle disposizioni: quando non è il Consiglio di Amministrazione a
operare queste scelte, l’onere è affidato al Direttore Generale.
Al di là delle differenti strutturazioni aziendali oggettivamente
riscontrabili nello specifico, ciò che rileva è il peso effettivamente
dato a questo potere: se per banche e imprese di assicurazione non
v’è alcun dubbio sul valore strategico di questa attribuzione, per le
imprese non vigilate è possibile l’interferenza dei livelli
gerarchicamente più bassi dell’organizzazione.
90
[Figura 12]
[Figura 13]
0%
10%
20%
30%
40%
50%
60%
CCR/Audit
Committee
AmministratoreDelegat
o
CdA Presidente CdA
Direttore
generale
Presidente
Serie1 16% 14% 57% 2% 8% 3%
NOMINA, REVOCA e VALUTAZIONE del RIA
0% 50% 100%
CdA
AD
Amm. es.…
CCR
Dir. Generale…
90%
10%
enti vigilati
Quale organo stabilisce il budget della funzione I.A.?
0% 50%
CdA
AmministratoreDelegato
ComitatoControllo e…
Altro…
22%
37%
19%
22%
91
Per approfondire meglio le questioni legate alla determinazione della
dotazione finanziaria all’Internal Auditing è stato chiesto ai RIA/CAE
di esprimere un giudizio personale, tenendo conto della complessiva
situazione aziendale, sul budget a loro disposizione [Figura 14].
Nella gran parte dei casi la valutazione è stata positiva, definendo la
dotazione finanziaria “adeguata” agli oneri che l’incarico comporta,
probabilmente indice del fatto che la determinazione di questo,
anche quando lasciata al management esecutivo, non è avvertita,
all’interno dell’azienda, come una penalizzazione, seppur di fronte ad
un evidente stravolgimento delle best practice suggerite nel Codice.
Inoltre non è stata rilevata alcuna attinenza tra il giudizio espresso sul
budget della funzione e il soggetto che lo stabilisce: i Responsabili che
hanno dichiarato di essere sottoposti alle valutazioni del senior
management per quanto riguarda il budget assegnato, lo hanno
giudicato comunque Adeguato nel 40% dei casi, Insufficiente nel 20%
e Inesistente per la restante parte. Uno studio recente in proposito
indica che le risorse finanziarie a disposizione per l’auditing si
attestano, nella maggioranza dei casi, sui cinquantamila euro;
un’altra fetta importante della popolazione presa a riferimento
dichiara invece budget che superano i centocinquantamila euro109,
verosimilmente in corrispondenza dei funzioni più numerose.
Quando è definita la dotazione economica della funzione, in base a
questa, si può procedere con il planning dell’attività e l’attribuzione
dei ruoli ai vari membri dello staff. La decisione, in questo senso, è
rimessa al RIA [Figura 15] che in veste di coordinatore e responsabile
della funzione è la persona meglio qualificata, anche alla luce delle
informazioni raccolte sull’azienda in fase preliminare, ad individuare
le aree in cui si rende necessario stressare di più il sistema e dove
invece procedere in maniera più spedita per portare a termine
l’incarico nel migliore dei modi.
109
Si fa riferimento allo studio condotto dall’Università degli Studi di Parma con AIIA e Deloitte nel maggio 2015 dal titolo “Connotazione e prestazioni della funzione di Internal Audit”.
92
Esistono casi, in realtà esigui, in cui la decisione è rimessa ad altri
componenti della funzione, creando una scala gerarchica interna.
Quest’ipotesi si realizza quando gli organi contano oltre dieci unità
FTE.
Stabilito che una componente importante della tutela
all’indipendenza e all’obiettività dell’auditor è data dalla duplice linea
di riporto: funzionale e amministrativo, e che poi nella realtà molto è
lasciato all’attenzione delle persone che partecipano all’azienda,
affinché possano dipanarsi gli effetti di un efficace ed efficiente
Sistema dei Controlli è importante che siano assicurati canali di
comunicazione snelli e pervasivi, trasversalmente in tutta
l’organizzazione.
Il principale interlocutore della funzione di I.A. è il board, nello
specifico il Comitato per il Controllo e Rischi costituito al suo interno.
Tutta la disciplina sul tema, dagli Standard IIA al Codice di
Autodisciplina, enfatizza il momento della comunicazione con
quest’organo, stabilendo un incontro obbligatorio con cadenza
annuale per analizzare le risultanze di audit, oltre alla predisposizione
di valutazioni periodiche sullo stato del Sistema dei Controlli Interni e
alla conferma sullo stato di indipendenza organizzativa dell’attività.
Per un efficace monitoraggio della situazione aziendale e, quindi, per
il successo dell’auditing interno, tuttavia, è raccomandabile che i
punti di contatto tra il RIA e l’organo amministrativo siano più
frequenti [Figura 16 a) e b)].
Nella gran parte dei casi, le aziende pianificano quattro o cinque
incontri formali in un anno, corredati, qualche volta da una serie di
contatti in via confidenziale. Generalmente questo tipo di
comunicazione passa attraverso i colloqui ma spesso anche in
maniera istantanea, via e-mail o per telefono [Figura 17 a) e b)].
93
[Figura 14]
[Figura 15]
50%
30%
10% 10%
enti vigilati
89%
11%
RIA Audit manager
Reputa che il budget assegnato alla Sua funzione sia…?
57%
21%
3%
19%
70%
20%
10%
enti vigilati
RIA
Audit Manager
Audit Team leader
Qual è l’organo deputato all’assegnazione degli incarichi ai vari
membri dello staff?
94
[Figura 16 a)]
[Figura 16 b)]
una volta l'anno
più di una volta l'anno
27%
73%
RIPORTO FORMALE AL CCR/CdA per gli enti non vigilati
0% 10% 20% 30% 40% 50%
semestralmente
3 volte l'anno
4-5 volte l'anno
6-8 volte l'anno
10 o più volte l'anno
a conclusione della…
semestralmente
3 voltel'anno
4-5 voltel'anno
6-8 voltel'anno
10 o piùvolte l'anno
aconclusione
dellasingola
atttività diverifica
Serie1 13% 4% 48% 18% 13% 4%
FREQUENZA dei contatti formali
95
[Figura 17 a)] [Figura 17 b)]
Nelle aziende sottoposte a vigilanza non è assolutamente presa in
considerazione la possibilità che gli incontri formali si limitino a uno
all’anno, nella gran parte dei casi il CCR si ritrova con il RIA almeno
trimestralmente [Figura 18].
[Figura 18]
Anche qui, accanto all’informativa ufficiale sono attivati tutta una
serie di canali ufficiosi per la diffusione delle notizie rilevanti ai fini
0%10%20%30%40%50%60%70%80%
71%
35%
Quali?
0% 10% 20% 30% 40% 50% 60%
mensilmente
semestralmente
almeno 4 volte l'anno
enti vigilati RIPORTO FORMALE AL CCR
NO SI
52%
48%
Sono previsti canali di riporto informali?
96
dell’efficace ed efficiente gestione del Sistema dei Controlli Interni
[Figura 19 e 20].
[Figura 19]
[Figura 20]
Si è detto più volte che, nell’ambito delle sue attribuzioni di
supervisione strategica dell’impresa, spetta al Consiglio di
Amministrazione conferire il Mandato di audit e approvare il Piano di
lavoro predisposto dal RIA, ciò dovrebbe proteggere la funzione da
pressioni interne da parte del management operativo. Nella
pianificazione del lavoro, il RIA è chiamato alla raccolta del maggior
numero di informazioni inerenti il Risk Assessment; il Piano di Audit
deve basarsi su una documentata valutazione del rischio, effettuata
NO
SI
40%
60%
enti vigilati Esistono canali informali di comunicazione con il
CCR?
0%10%20%30%40%50%60%70%
colloqui a margine diincontri del
CCR/CdA
telefono/ e-mail
Serie1 68% 16% 16%
Metodi informali di comunicazione
97
almeno una volta l’anno. Le indicazioni del senior management e del
board devono essere tenute in debita considerazione nella sua
formulazione (Standard IIA 2010.A1).
[Figura 21]
0%
10%
20%
30%
40%
50%
60%
70%
80%
in manierapreminente
imprime unindirizzomarcato
alle sceltedel RIA
fornisce, serichiesti,pareri inmerito
all'individuazione dellepriorità di
intervento,ferma
restando lacompleta
autonomiadella
funzione
altro…
Serie1 0% 16% 79% 5%
Quanto pesa il management nella predisposizione del Piano di Audit?
98
La debita considerazione di cui si parla negli Standard, però, si offre a
interpretazioni soggettive che qualche volta lasciano spazio a vere e
proprie interferenze. I Responsabili della funzione di Internal Audit,
chiamati a esprimere una libera opinione in merito [Figura 21],
concordano nel dichiarare che il management “fornisce, se richiesti,
pareri in merito all’individuazione delle priorità d’intervento, ferma
restando la completa autonomia della funzione”. Questa è la
versione unanime dei RIA/CAE delle aziende che operano nei mercati
regolamentati, ed è anche la più gettonata tra le società non vigilate
prese in esame. In qualche caso (16%) è denunciato il peso forte della
volontà del management nella pianificazione del lavoro e il 5% dei
rispondenti riconosce l’importanza del contributo del management
nel Risk Assessment delle principali minacce e nell’indirizzo
strategico, dichiarando però che resta comunque in mano al RIA
l’ultima parola.
Per approfondire la questione è stato poi chiesto ai Responsabili
dell’Internal Auditing di definire il rapporto col management
scegliendo tra tre alternative [Figura 22 a) e b)].
[Figura 22 a)]
86%
8% 6%
RAPPORTO TRA I.A. e MANAGEMENT
Rapporto di collaborazione tra partner
Tempo perso, la funzione è considerata inutile e fastidiosa
La funzione è avvertita come faro di riferimento per orientarel'attività del management
99
La risposta più frequente è stata “Rapporto di collaborazione tra
partner” indistintamente per tutti gli elementi del campione.
Sorprende la quantità di auditor che avverte, all’interno della propria
azienda, di svolgere un lavoro che non è valutato con la giusta
importanza, ma anzi è considerato inutile e fastidioso. Probabilmente
una parte delle risposte, tralasciando possibili malumori, costituisce il
retaggio di una scarsa cultura del controllo all’interno dell’azienda, di
un management troppo tradizionalista e poco aperto al dialogo con
un organo che con lui condivide obiettivi e interessi. Da rilevare che
tutti i soggetti che hanno dato questo genere di risposta hanno
preferito mantenere l’anonimato.
[Figura 22 b)]
A conclusione del questionario è stato chiesto, proprio in virtù
dell’estrema fiducia riposta nella sensibilità delle persone che si
occupano di Auditing in azienda, di esprimere un giudizio personale
sull’indipendenza della funzione, se questa sia sufficientemente al
riparo da potenziali condizionamenti.
90%
10%
enti vigilati RAPPORTI TRA I.A. e MANAGEMENT
Rapporto dicollaborazione trapartner
Tempo perso, lafunzione è consideratainutile e fastidiosa
La funzione è avvertitacome faro di riferimento
100
Per semplicità è stata creata una scala d’intensità, da 1
(indipendenza massima) a 5 (scarso grado di indipendenza) [Figura 23
a) e b)].
[Figura 23 a)]
[Figura 23 b)]
Nelle società non sottoposte a vigilanza si è optato, nella maggior
parte dei casi, per una valutazione di grado 2, alta ma non estrema; le
imprese di intermediazione finanziaria invece, probabilmente a causa
dei maggiori controlli e del clima di rigore più largamente diffuso,
hanno valutato l’indipendenza della funzione al grado massimo.
0% 10% 20% 30% 40%
1-indipendenza massima
grado 2
grado 3
grado 4
5- scarso grado di indipendenza
21%
38%
21%
14%
6%
PERCEZIONE DI INDIPENDENZA
0% 10% 20% 30% 40%
1-indipendenza massima
grado 2
grado 3
grado 4
5- scarso grado di indipendenza
40%
30%
10%
10%
10%
enti vigilati
101
Analizzando attentamente i dati raccolti, si possono individuare due
categorie di aziende: alcune in cui la funzione è avvertita come un
ostacolo al normale svolgimento delle attività, un ritardo sul lavoro,
una perdita di tempo ma a cui, nonostante tutto, è attribuita la
dignità che merita, soprattutto in termini economici (budget
assegnato). Questi sono spesso i casi in cui il management imprime
un indirizzo marcato alle scelte del RIA, sottolineando ancora la
scarsa importanza della funzione, che però sussiste, evidentemente
come forma di adeguamento alle best practice internazionali. La
figura dell’Internal Auditor è stata introdotta, nel nostro Paese, in
tempi relativamente recenti e da allora ha sempre faticato a
ritagliarsi uno spazio considerevole nell’organigramma aziendale.
Non possono essere ignorate le rigidità operative legate
all’introduzione di un cambiamento all’interno dei meccanismi
aziendali consolidati: è possibile che un manager affermato, abituato
a godere di una certa autorità in azienda, faccia fatica ad accettare
l’intromissione di un soggetto che controlli il suo operato.
In altre aziende invece è accolto molto meglio il rinnovamento, e
infatti è riconosciuta la produttività della funzione auditing sia
nell’attività di assurance che nella consulenza. Il massimo
apprezzamento del lavoro dell’auditor in azienda si accompagna
sempre ad un budget adeguato e ad una valutazione del clima
d’indipendenza molto alta. In questi casi, dalle risposte, è tracciato il
ritratto della funzione perfetta, in perfetto equilibrio col
management, indipendente ed obiettiva e soprattutto efficiente.
102
CONCLUSIONI
Tutta la trattazione fin qui svolta nasce dalla presa di coscienza del
forte rinnovamento che ha coinvolto l’assetto organizzativo delle
imprese in Italia, e in generale nel mondo occidentale. L’evolversi
dell’ambiente di riferimento ha portato inevitabilmente la necessità
di un rafforzamento interno della struttura aziendale, realizzata
mediante il controllo, a tutti i livelli. Sono stati implementati sistemi
di individuazione e gestione del rischio e si è avvertita l’esigenza di
identificare qualcuno, all’interno delle pareti aziendali, che si
occupasse di questo, ovviamente assieme alle strutture. Accanto al
Consiglio di Amministrazione sono stati creati nuovi organi, come il
Comitato per il Controllo e Rischi, e nuove funzioni, quale l’Internal
Auditing. L’audit interno rappresenta in effetti una “ventata di
freschezza”, un nuovo slancio all’interno di una realtà economica
evidentemente bisognosa di sperimentazione organizzativa e
gestionale.
A questo proposito l’Institute of Internal Auditors e Borsa italiana
S.p.a. hanno diffuso una serie di regole, mediante Standard
internazionali, Codice Etico e codice di Autodisciplina, per delineare
proprio i contorni di una così complessa figura aziendale ed indicarne
i caratteri fondamentali.
Il complesso ruolo dell’auditor, di assurance e consulenza votati alla
creazione di valore per l’azienda, ha richiesto una serie di qualità
necessarie per lo svolgimento dell’incarico, da accompagnarsi ad un
adeguato set di strumenti, messi a disposizione dall’impresa, per
portarlo a termine. Uno dei requisiti più apprezzati per un revisore è
sicuramente l’indipendenza, che di per sé però non è in grado di
apportare alcun valore aggiunto se non accompagnata da adeguate
conoscenze e competenze. L’azienda, dal canto suo, deve perciò
dotare la funzione dei poteri necessari per svolgere le verifiche ed
offrirle, organizzativamente, l’adeguata protezione dai possibili
condizionamenti a cui è esposta. Da qui nasce la curiosità di vedere
103
come i requisiti teorizzati a livello nazionale ed internazionale hanno
trovato applicazione nelle imprese italiane.
Le evidenze raccolte nell’ambito della Survey descrivono una
funzione ben sviluppata, affidata prevalentemente a soggetti già
precedentemente impiegati in azienda, ed anche le linee di riporto,
studiate ad hoc per garantire l’indipendenza, qualche volta vengono
stravolte. La scelta degli auditor è subordinata alla verifica delle
conoscenze e delle competenze adatte all’attività, oltre che
all’apprezzamento del requisito di indipendenza.
La realtà che viene tratteggiata dai risultati della ricerca mostrano,
nel complesso, che le aziende italiane hanno ben risposto agli input di
rinnovamento provenienti dal mondo imprenditoriale internazionale,
anche se, di fronte a questo, non tutte le strutture aziendali si sono
dimostrate ugualmente pronte a tale sforzo innovativo.
Purtroppo, in alcuni casi è necessario fare i conti con le rigidità delle
strutture diffuse, specialmente in Italia: non sempre le aziende, o
meglio il management, si è dimostrato disponibile a mettere in
discussione la propria autorità accogliendo una nuova funzione come
partner indipendente, riconoscendone il valore strategico, e
sottoponendosi, ove necessario, alla sua critica.
Nonostante l’indipendenza rappresenti una componente importante
della funzione di cui l’azienda deve necessariamente tener conto,
dall’indagine è emerso come, di fronte alle necessità di efficienza ed
efficacia che governano tutta la vita dell’impresa, la scelta di come
costruire la funzione è ampiamente lasciata alla sensibilità dei vertici
aziendali e del RIA. Per l’azienda è più importante che la funzione sia
utile piuttosto che perfetta a livello formale ma vuota di contenuti; è
per questo che si dimostra aperta alla possibilità di operare scelte che
in qualche modo sovvertano le regole per assicurarsi la migliore
qualità del lavoro svolto dal revisore, in un clima armonioso e di
collaborazione. L’osservanza dei requisiti formali e organizzativi passa
in secondo piano di fronte all’utilità concreta del lavoro dell’auditor.
104
Il realizzarsi dell’assoluta indipendenza riveste dunque, per le
considerazioni fatte sino ad ora, un ruolo marginale
nell’individuazione degli obiettivi e delle attese intorno alla funzione;
è molto più importante promuovere, tramite un’adeguata cultura del
controllo, la responsabilizzazione del revisore interno e favorire la
presa di coscienza dell’importanza della funzione, lasciando che le
figure aziendali guadagnino la fiducia dell’intero sistema contando
sulla propria professionalità, scavalcando stringenti regole che
potrebbero risultare d’intralcio al raggiungimento dello scopo.
105
BIBLIOGRAFIA
AIIA, Cbok, Caratteristiche dell’attività di Internal Auditing, Milano,
2010.
Allegrini M., D’Onza G., Internal Auditing and Risk Assessment in
Large Italian Companies: an Empirical Survey, in “International
Journal of Auditing, n.7, 2003.
American Accounting Association, Committee on Basic Auditing
Concepts. Studies in Accounting Research, A statement of basic
auditing concepts. Vol.6, n.1, 1973.
Azzali S. (Università degli studi di Parma), AIIA, Deloitte, Genesi,
Obiettivi del progetto e risultati della survey: Connotazione e
Prestazioni della Funzione di Internal Audit, Milano, 27 maggio 2015.
Bakar N.B. Abu, Ahmad M., Auditor Independence: Malaysian
Accountants’ Perceptions, International journal of Business and
Management, Vol.4, n.12, 2009.
Bakar N.B. Abu, Rahman A. Rahim A., Rashid H.M.A, Factors
influencing auditor independence: Malaysian loan officers’
perceptions, Managerial Auditing Journal, Vol.20, n.8, 2005.
Banca d’Italia, Circolare 229/1999, Istruzioni di vigilanza per le
banche.
Bishop W.G. III, Bishop shares IIA’s view on auditor independence
with new SEC chief accountant, IIA Today, dicembre 1995.
106
Bloom B. S., Taxonomy of Educational Objectives, D. McKey, New
York, 1956.
Capiello A., Regolamentazione e Risk Management nelle imprese
assicurative. Profili evolutivi, Franco Angeli, Milano, 2008.
Chaffee J., Teaching critical thinking across the curriculum, New
Directions in Community Colleges, Vol.20, n.1.
Codice di Autodisciplina, Borsa Italiana S.p.a. , luglio 2015.
COSO, Enterprise Risk Management. Integrated Framework,
settembre 2004; edizione italiana a cura di AIIA e Price Waterhouse
Coopers, La Gestione del Rischio Aziendale, ERM- Enterprise Risk
Management: un modello di riferimento e alcune tecniche
applicative, IlSole24Ore, Milano, 2006.
COSO, Internal Control Integrated Framework, AICPA, 1992 –
tradotto e integrato in Price Waterhouse Coopers, Il Sistema di
Controllo Interno. Progetti di Corporate Governance per l’Italia,
IlSole24Ore, Milano, 2002.
Dittmeier Carolyn, Internal Auditing Chiave per la corporate
governance , EGEA, Milano, 2007.
Fadzil F.H., Haron H., Jantan M., Internal Auditing practices and
Internal Control System, Managerial Auditing Journal, Vol.20, n.8,
2005.
Gray K., The Benefits of Outsourcing Internal Auditing,
LowersRiskGroup, 30 settembre 2014.
Greenawalt M.B., The Internal Auditor and the Critical Thinking
process: a closer look, Managerial Auditing Journal, Vol.12, n.2 1997.
Gul F. & Teoh H.P., The effects of combined audit and management
services on public perception of auditor independence in developing
countries: The Malaysian case. International Journal of Accounting
Education and Research, Fall, 1984.
107
Hassal T., Dunlop A., Lewis S., Internal Audit Education: Exploring
Professional Competence, Managerial Auditing Journal, Vol.11, n.5
1996.
Hunt B., The Timid Corporation: Why Business is Terrified of Taking
Risk, Londra, Wiley, 2003.
Kurfiss J.G., Critical thinking: theory, research, practice and
possibilities, ASHEERIC Higher Education Report #2, Association for
the Study of Higher Education, Washington, DC, 1988.
McPerk J.E., Critical Thinking and Education, St. Martin’s Press, New
York, 1981.
Nobolo A., Il Sistema di Controllo Interno, Università degli studi di
Milano Bicocca, a.a.2010.
Power M., The Risk Management of Everything, Domos, Londra,
2004.
Raccomandazione della Commissione Europea 16 maggio 2002
(2002/590/CE) “L’indipendenza dei revisori legali dei conti nell’UE: un
insieme di principi fondamentali”.
Rizzo J.R., Role conflict and ambiguity in complex organizations, 1970.
Schleifer Lydia L.F. & Greenawalt M.B., The Internal Auditor and the
Critical Thinking Process, Managerial Auditing Journal, Vol.11, n.5,
1996.
Schneider A., An examination of whether incentive compensation and
stock ownership affect internal auditor objectivity, Journal of
Management Issues, Vol. 15, 2003.
Stewart J., Subramaniam N., Internal audit independence and
objectivity: emerging research opportunities, Managerial Auditing
Journal, Vol.25, n.4 2010.
The Institute of Internal Auditors- AIIA, Codice Etico, gennaio 2014.
108
The Institute of Internal Auditors- AIIA, Guide Attuative, 2015.
The Institute of Internal Auditors- AIIA, Standard Internazionali, 2012.
Troina Gaetano, Le Revisioni Aziendali, Franco Angeli, Milano, 2005.
Troina Gaetano, Lezioni di Economia Aziendale, CISU, 2006.
Vanasco R. Rocco, Auditor independence: an international
perspective, Managerial Auditing Journal, Vol.11, n.9 1996.
Vanasco Rocco R, Skousen Clifford R., Santagato L. Roger, Auditing
Independence: an international perspective, Managerial Auditing
Journal, Vol.12, n.9 1997.
Vinten Gerald, Audit independence in the UK- the state of art,
Managerial Auditing Journal, Vol.14, n.8 1999.
Zaini A., Taylor D., Commitment to independence by internal auditors:
the effects of role ambiguity and role conflict, Managerial Auditing
Journal, Vol.24, n.9 2009.
Zanda G., Lineamenti di Economia Aziendale, Kappa, 2006.
109
Nella ricerca sono stati visitati i seguenti siti internet:
www.aiiaweb.it
www.theiia.org
www.lowersriskgroup.com
www.ukessays.com
www.borsaitaliana.it
www.coso.org
![Global Policy - Mandato dell’Internal Audit di Gruppo · Global Policy Mandato dell’Internal Audit di Gruppo Ordine di Servizio Global 538 1 [UniCredit Group -Public] ANAGRAFICA](https://img.pdfslide.net/doc/110x75/5e067d8d58e36a74315b6a70/global-policy-mandato-dellainternal-audit-di-gruppo-global-policy-mandato-dellainternal.jpg)
