di Nicola ALLOCCA
Il Sistema di controllo interno e gestione dei rischi tradizionale non funziona più; è obsoleto, inadeguato al nuovo contesto e scenario economico, insufficiente a garantire il raggiungimento degli obiettivi aziendali nel rispetto di leggi, regolamenti ed integrità dei dati.
Occorre mettere in discussione certezze consolidate su organizzazione (Revisori Interni ed Esterni, Risk Manager, Comitati di Controllo) e logiche di gestione (massimizzazione del profitto, risultati riconosciuti, etc.) integrando gli indici economici classici (EBIT, Cash Flow, ROI, etc.) con nuovi standard di Governance.
Dalla nascita dell’industria moderna, la Governance aziendale è evoluta aggiungendo nuove figure nella gestione delle imprese…
…nel ‘900 in azienda comandava “chi sapeva fare”. I bisogni della produzione erano anteposti alle preferenze dei clienti. H. Ford diceva: <<ogni cliente può ottenere una Ford T colorata di qualunque colore desideri, purché sia nero>>; il colore nero si asciugava prima degli altri e quindi velocizzava la produzione…
…ma bisognava pur vendere, quindi entrava nel governo aziendale la funzione Marketing/Vendite. Da questo, la frase simbolo <<La pubblicità è l’anima del commercio>>…
…poi la crisi finanziaria ha evidenziato l’importanza del Chief Financial Officer; “Cash is king” è tuttora il mantra negli MBA program delle Business School di tutto il mondo.
Ma questo non è più sufficiente, oggi le aziende falliscono, non solo per margini negativi o mancanza di liquidità, ma per carenze nel Sistema di Controllo Interno e Gestione dei Rischi (SCI).
QUINDI, COSA BISOGNA FARE?
In un contesto caratterizzato da Volatilità, Incertezza, Complessità ed Ambiguità, è necessario avviare una rivoluzione nella Governance che determini un’evoluzione culturale, nuove funzioni aziendali, diversi equilibri gestionali (performance vs. compliance) ed ulteriori target di risultato.
In questo ambito, è necessario considerare chi governa i rischi aziendali ed agire su 3 principali aree.
1. Vision
In risposta a fallimenti eclatanti e crolli finanziari dovuti alla inefficacia del SCI (Enron, Parmalat, Lehman Brothers, etc.), ci sono stati forti interventi regolatori e normative ad hoc(1).
Questo ha burocratizzato il concetto di gestione dei rischi, con il risultato che le aziende si sono adeguate in modo passivo, con il minimo sforzo e convinzione, ai requisiti richiesti dagli standard multipli e ridondanti.
Bisogna abbandonare le logiche di massimizzazione a tutti i costi e rifondare la filosofia d’impresa sull’ottimizzazione del profitto.
Il profitto deve essere garantito da un Sistema di Controllo Interno adeguato, operativo ed efficace e circoscritto entro principi etici e di sostenibilità.
Non esiste alcun trade off tra performance e controllo, risultati e regole, business e valori.
In altri termini, l’espressione Sistema di controllo Interno e Gestione dei Rischi deve essere presente stabilmente nell’Agenda del Top Management e deve essere fondamento della cultura Aziendale al pari dell’attitudine a generare profitto.
2. Organizzazione
Occorre individuare il Direttore del Sistema di Controllo Interno (posizionato al pari di CFO, Direttore Generale, Direttore Vendite, etc.) a cui attribuire la responsabilità della gestione integrata e organica dei rischi e delle tematiche di controllo.
Il Direttore SCI deve agire da «pivot» e da facilitatore tra gli attori del sistema di controllo, eliminando le ridondanze in termini di ruoli, responsabilità ed attività.
Tale ruolo, per svolgere il proprio compito al meglio, deve essere fortemente sostenuto e far parte dei massimi livelli dell’organizzazione, e deve avere:
- a) La responsabilità del disegno dei processi aziendali, in modo da garantire la corretta allocazione di ruoli e responsabilità (accountability) ed omogeneizzare il linguaggio tra i differenti stakeholders;
- b) Le leve per abilitare le sinergie operative tra i process owner in modo da gestire, in maniera integrata, sia le osservazioni ed i relativi action plan rilevati dai diversi attori del SCI (Revisori Interni ed Esterni, etc.), che gli standard da ottemperare per legge.
3. Practices
I process owner non sono più i soli responsabili dei rischi delle proprie aree di competenza.
La responsabilità della gestione dei rischi è condivisa con la nuova funzione SCI, che ha competenze specifiche per poter stabilire i controlli.
La funzione SCI ed i process owner devono definire insieme le strategie di risposta al fine di assicurare gli obiettivi aziendali ed ottemperare simultaneamente ai requisiti normativi, adottando un approccio multicompliance (Risk Management Integrato).
I controlli devono diventare “intelligenti e selettivi”; devono essere in grado di sfruttare le tecnologie abilitanti (Industry4.0) per garantire un monitoraggio continuo, in luogo delle approvazioni “ex ante”.
I metodi tradizionali basati sulle logiche di materialità e campione rappresentativo devono essere abbandonati, in favore di analisi sul 100% dei dati.
In altri termini, il SCI deve:
- a) identificare in modo tempestivo le minacce, al fine di preservare il valore e garantire il raggiungimento degli obiettivi;
- b) individuare le opportunità, al fine di creare valore e migliorare le performance aziendali.
QUESTO È L’UNICO FUTURO POSSIBILE
La “massimizzazione del profitto” ha dei limiti di etica, compliance e buon senso che devono essere riconosciuti e integrati pragmaticamente nella filosofia di impresa.
I profitti al di fuori di questi limiti non devono essere riconosciuti come tali.
Le aziende sane del 2018 devono ottimizzare il profitto ponendo in essere:
- piani industriali resilienti, sostenibili, “integri” ed inclusivi;
- piani di investimento allineati ai top risk aziendali.
Oggi non investire sul Sistema di Controllo Interno è come fermare l’orologio per risparmiare il tempo. Non si può.
Intervento di Nicola ALLOCCA, Governance Director & Business Continuity Officer di Acciai Speciali Terni – Thyssenkrupp e Membro Task Force Anti-corruzione BIAC @ OECD
(1) Nazionali ed internazionali quali, a titolo esemplificativo, il D.lgs. 231/2001 (Responsabilità amministrativa degli Enti), la Legge 262/05 (Tutela del risparmio), il Sarbanes Oxley Act (SOX 404) e sono state sviluppate best practice quali il CoSo report, il Cobit, le Linee Guida di Confindustria per la costruzione dei modelli di organizzazione, gestione e controllo ai sensi del D.Lgs. 231/2001.
