di Gianni CARBONE
LE LINEE DI CONTROLLO: GLI ATTORI DEL FRAMEWORK
In base al Modello ERM COSO, le linee di difesa sono ascrivibili a tre “livelli integrati”.
- Prima linea: Il management e il personale sono considerati il primo livello di controllo in quanto responsabili di mantenere un efficace SCIGR (Sistema di Controllo Interno e Gestione dei rischi) nell’operatività quotidiana (ad esempio operation manager, treasury manager, procurement manager, HR manager)
- Seconda linea: Le funzioni di supporto al business, come ad esempio, quelle che si occupano di valutazione dei rischi, controllo di gestione, gestione affari legali, Compliance, Health Safety & Environmnet, Information Security, IT Security, rappresentano il secondo livello di controllo, in quanto chiariscono i requisiti di controllo interno e valutano la conformità agli standard definiti.
- Terza linea: l’Internal Audit è il terzo livello di controllo che valuta e riferisce sul SCIGR formulando raccomandazioni al management su azioni correttive o miglioramenti da considerare ed implementare.
Tuttavia, le diverse normative italiane prima richiamate, che si sono sviluppate negli anni hanno introdotto nuovi organi di controllo come l’Organismo di Vigilanza, Organismo Indipendente di Valutazione, il Responsabile Antiriciclaggio (Resp. AML), il Data Protection Officer, il Responsabile del Servizio di Prevenzione e Protezione, il Responsabile della Prevenzione della Corruzione e Trasparenza. Questi organi sono a parere di chi scrive annoverabili alcuni tra le funzioni di controllo di secondo livello (Responsabile AML, DPO, RSPP) altri assimilabili al terzo livello (OdV, OiV, RPCT).
Passiamo velocemente in disamina questi organismi di controllo/prevenzione cercando di focalizzarsi sugli aspetti di nomina, posizione organizzativa, mission e attitudine.
* secondo l’ANAC i compiti dell’OIV (attestazione degli obblighi di pubblicazione, ricezione delle segnalazioni da parte del RPCT in caso di mancato adempimento degli obblighi di pubblicazione) possono essere attribuiti all’OdV
** nel settore Pubblico
Come quarta linea di difesa vi è poi il Collegio Sindacale che valuta l’adeguatezza degli assetti organizzativi, amministrativi, e contabili anche ai fini del d.lgs 231/2001(1) e del Codice della crisi d’impresa e dell’insolvenza(2), secondo un approccio preventivo e dunque di risk management.
CONCLUSIONI
Escludendo da tale trattazione i settori pubblico, bancario ed assicurativo (questi ultimi due già regolati anche nell’ambito del sistema di controllo interno con la previsione di adottare framework di controllo e gestione dei rischi coerenti con le dimensioni organizzative e quindi già prevedendo possibili integrazioni e/o outsourcing), riprendendo l’interrogativo di apertura di come coniugare per le PMI la necessità di controllo per uno sviluppo economico sostenibile ed etico ed il contenimento dei costi del controllo, appare a parere di chi scrive che il paradigma delle linee di controllo deve essere letto in chiave di INTEGRAZIONE con un ruolo chiave svolto dalla funzione dell’Internal Audit. Quest’ultima, per le sue caratteristiche intrinseche di autonomia, indipendenza, analisi dei dati, comprensione del business, mappatura dei rischi (rilevazione, misurazione e supporto nell’individuazione dei piani di gestione del rischio), forte senso dell’etica, capacità di fraud prevention, oltre ad avere un rapporto diretto con gli organi di gestione/amministrativi e con i Comitati endoconsiliari di controllo interno e gestione dei rischi, può rappresentare per una PMI una sintesi dei ruoli di controllo interno, risk management, compliance, componente interno dell’Organismo di Vigilanza, DPO (o struttura a supporto del DPO).
Lo scoglio da superare è culturale. L’imprenditore, spesso fondatore dell’azienda, deve conoscere la figura, la mission, il contributo ed il valore aggiunto di avere un Internal Auditor. Oggi, in aziende più “managerializzate”, il Management si riferisce sempre più all’Audit come consulente strategico per il business, per ottenere indicazioni utili ad orientare il processo decisionale aziendale. Sempre più spesso infatti, la Funzione di Internal Audit viene coinvolta per identificare i rischi, non solo correnti ma anche prospettici, e fornire supporto anche all’assunzione di decisioni strategiche, dalle operazioni straordinarie di M&A alle implementazioni dei sistemi IT.
Una visione chiara dell’azienda e del contesto in cui opera, la comprensione del business, degli emerging and future risk e delle opportunità e la capacità di adattamento, nonché l’integerrimo Comportamento “HUMAN-ETHIC”, sono alcuni dei requisiti che l’Internal Audit deve possedere per poter mettere in campo risposte adeguate, credibili ed efficaci rispetto ai nuovi scenari economici e societari. Questa chiave di interpretazione potrebbe consentire all’imprenditore della PMI di leggere con valore la presenza in azienda, anche in modalità “fractional”, di un internal auditor.
L’Internal Auditor non dovrà più essere solo un«pompiere che va a spegnere un incendio», ma un analista obiettivo e indipendente per la valutazione dell’esposizione al rischio (operativo, strategico, compliance, finanziario, legale) e della sostenibilità di un’azienda.
Probabilmente un unico interlocutore dell’imprenditore, come l’Internal Auditor, aiuterebbe a costruire una “control and risk governance” delle PMI che di fronte alla necessità di assicurare la propria sopravvivenza dovrà necessariamente farsi affiancare da un esperto di “ascolto empatico interno”.
E laddove vi sia la possibilità, in realtà aziendali più strutturate, di mantenere una “adeguata e flessibile” separazione delle funzioni di controllo, impostare a cura della funzione di Internal Audit i fattori d’integrazione tra le Funzioni Aziendali di Controllo (FAC) e del correlato processo di gestione dei rischi e del Sistema dei Controlli Interni (SCI), che possono essere suddivisi come segue:
- linguaggio comune nella gestione dei rischi,
- metodi e strumenti di rilevazione e valutazione,
- momenti di coordinamento ai fini della pianificazione delle attività,
- modelli di reportistica,
- flussi informativi su base continuativa,
- condivisione nell’individuazione delle azioni di rimedio,
per sfociare nell’ istituzione di un Comitato di Coordinamento tra FAC che ha come obiettivo quello di favorire la “Combined Assurance Map” dei rischi, vale a dire un documento che chiarisca, per i Top Risk, quali sono le funzioni responsabili dei tre livelli di controllo.
Ad esempio, per i rischi di sicurezza sul lavoro:
- il primo livello potrebbe essere identificato nei responsabili della sicurezza dei singoli impianti,
- il secondo livello nei responsabili centrali della sicurezza (o nelle funzioni di HSE) ed,
- il terzo livello nell’Internal Audit e negli enti verificatori indipendenti.
Grazie alla “Combined Assurance” l’efficacia del SCIGR è valutata secondo un approccio olistico, con una copertura totale. L’effort è integrato e garantisce maggior coerenza, trasparenza ed efficienza.
Il nuovo punto di partenza è favorire “culturalmente” l’innesto nelle PMI di figure manageriali che inizialmente, in una “sintesi di ruoli di Governance, Risk and Compliance” con le competenze di chi “lavora operativamente” in azienda, costruiscano un sistema di sostenibilità “risk-driven”, etico e conforme, al fine di favorire la creazione di valore mediante il raggiungimento degli obiettivi (economici, finanziari, sociali). L’Internal Auditor agile, resiliente, business partner, analitico, curioso, integro, HUMAN-ETHIC in questo nuovo paradigma di gestione dei rischi e controllo, potrebbe rappresentare uno strategico fattore di successo.
Intervento del Dott. Gianni CARBONE – Esperto in Auditing, Ethics, Compliance, Risk Management
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
(1) D. Lgs. 12 gennaio 2019, n. 14
(2) D. Lgs. 8 giugno 2001, n. 231
