internal-audit-organizzazione

L’internal audit come leva strategica per il miglioramento organizzativo. Il supporto all’analisi processuale

14 ottobre 2020

di Giuseppe NUCCI

L’identità dell’internal audit e la sua percezione. Le criticità

Mi occupo da molto tempo di tematiche organizzative e, tra queste, ho sempre attribuito un rilievo significativo all’internal audit, a cui vorrei dedicare alcune riflessioni.

Anticipo di considerare, allo stato attuale, questa funzione piuttosto lontana da quella fase di maturità che consente ad una pratica organizzativa di raggiungere l’autorevolezza necessaria per farne una delle leve strategiche per la governance e la gestione aziendale.

Questo giudizio draconiano – sicuramente provocatorio – si basa su diverse ragioni, alcune delle quali vorrei di seguito provare a spiegare.

La prima discende da una marcata separatezza tra l’internal audit ed il resto dell’organizzazione. La causa principale è attribuibile:

  1. da un lato, alla natura marcatamente autorefenziale dell’internal audit che produce delle vere e proprie barriere con le altre funzioni e,
  2. dall’altro, al tradizionale atteggiamento che assumono i “pubblici interni” nei confronti di chi svolge attività ispettive e di controllo in genere.

Risulterebbe, quindi, necessario armonizzare le attività di audit con quelle operative, spiegando i rispettivi apporti in termini di “produzione di valore”.

Da ciò consegue – e questo rappresenta il secondo motivo – che venga ben definita l’identità e la missione dell’internal audit: si tratta, cioè, di rispondere alla semplice domanda: «a cosa serve?».

Al riguardo, le risposte fornite sono le più varie, sia da parte di chi opera in un’organizzazione che – paradossalmente – da parte di chi opera… nell’internal audit!

In questo caso le ragioni sono riconducibili a un’inadeguata metabolizzazione di prassi e modelli “copiati” da altri Paesi – il prof. Massimo Balducci, autorevole autore di questa piattaforma, parlerebbe di “oltre le Alpi” – con tradizioni, esperienze e modelli distanti da quelli di casa nostra.

In effetti, le uniche fonti di riferimento sono:

  • gli standard internazionali dell’IIA – Institute of Internal Auditors (Standard internazionali per la pratica professionale dell’internal auditing aggiornato a ottobre 2016) e,
  • l’ISO 19011:2018 “Linee guida per audit di sistemi di gestione” (l’ultima versione è del luglio 2018).

Si tratta di disposizioni recepite attraverso la mera traduzione in italiano di norme concepite in contesti socio-economici-produttivi e, soprattutto, in relazione a modelli aziendali diversi dai nostri: la loro utilità è indubbia ma dovrebbero integrarsi con elementi legati concretamente alla nostra realtà e alle nostre specificità che purtroppo, allo stato, sono però quasi inesistenti.

Questa carenza, a mio avviso, viene celata sotto prospettive – che ricercano soprattutto visibilità attraverso studi ed articoli, spesso conditi da inglesismi di dubbia utilità – ben lontane dal rigore scientifico e dalla visione sistemica che, invece, risulterebbero necessari.

E qui possiamo individuare un’ulteriore ragione che è collegata alla preparazione professionale. La cosiddetta “cassetta degli attrezzi”, per l’auditor, si caratterizza per l’elevata quantità e qualità di competenze, conoscenze ed esperienze necessarie per esercitare correttamente il proprio ruolo (che chiaramente aumenta in relazione alla graduazione del livello di responsabilità).

Se è vero – come viene costantemente ribadito – che l’auditor è un metodologo e non un “tuttologo” è anche vero che le attività di audit presuppongono la capacità di cogliere costantemente le interazioni di qualsiasi fenomeno esaminato con il resto dell’organizzazione. Stiamo parlando di una visione integrata che costituisce una delle abilità maggiormente difficili da acquisire.

Nella realtà, invece, il personale selezionato per operare nell’internal audit ha spesso poca esperienza professionale ed aziendale e ciò, oltre alle conseguenze negative in termini operativi, determina una inadeguatezza di ruolo, dovuta all’assenza di quei requisiti esperienziali indispensabili per chi eserciti appunto ruoli “invasivi”, caratterizzati da un significativo “esercizio di potere”.

La definizione del ruolo dell’internal audit incontra anche una certa difficoltà a causa dell’approccio strategico con cui viene strutturata un’organizzazione.

Al di là della scelta dei modelli da adottare, infatti, è proprio l’approccio agli assetti organizzativi che è spesso mal posto nel senso che l’attenzione risulta incentrata quasi esclusivamente sul «chi fa, chi è competente per…», ignorando quasi completamente una seconda componente, da anteporre logicamente alla prima, e che è correlata alle domande del tipo:

  1. «qual è l’obiettivo?»,
  2. «in che modo posso conseguire l’obiettivo?»,
  3. «come valuto se e in che misura ho conseguito l’obiettivo?».

Questo limite concettuale investe tutte le strutture, compreso l’internal audit.

Una visione sistemica dell’organizzazione

Come abbiamo visto, la struttura organizzativa viene a torto considerata la leva principale per intervenire in un’organizzazione e ciò costituisce un errore logico e metodologico.

In effetti, appare più convincente un altro approccio che parte da un framework organizzativo in cui interagiscono tre elementi principali: la missione, i processi e la struttura organizzativa.

La missione, e cioè il motivo per cui “una certa organizzazione esiste”, per essere realizzata, viene declinata in linee strategiche in ciascuna delle quali vengono definiti degli obiettivi attraverso l’attribuzione di un peso, di indicatori per la misurazione e di un target, inteso come livello programmato di realizzazione dell’obiettivo.

I processi – il secondo elemento – costituiscono il modello di produzione e, attraverso gli output prodotti, si collegano agli obiettivi mediante gli outcome, che rappresentano l’impatto sull’obiettivo. Se, ad esempio, un processo realizza la qualità e la quantità di output programmati e l’obiettivo non è conseguito, significa che il processo è mal “disegnato”. Il concetto è schematizzato nella seguente figura.

Internal Audit

Il terzo elemento – la struttura organizzativa – è invece rappresentato da entità che governano i processi sulla base di regole di attribuzione, che indicano i perimetri di competenza di ciascuna entità, e di regole di funzionamento che definiscono il sistema di governance e di gestione. Su quest’ultima tipologia di regole ritengo utile soffermarmi per chiarire che possiamo distinguere:

  • regole di funzionamento di tipo ordinativo, incentrate su «chi ha l’autorità su cosa», che servono a “distribuire l’autorità”. Esse sono alla base di modelli caratterizzati dai seguenti elementi:

i) i processi e le procedure non sono adeguatamente formalizzati e si basano sul “precedente”;

ii) il responsabile controlla l’input in entrata e firma personalmente ogni documento, indipendentemente dalla sua rilevanza;

iii) l’organizzazione reagisce agli stimoli dell’ambiente anziché anticiparli. Il limite maggiore di queste regole è costituito dal fatto che il responsabile, poiché si occupa di tutto, diventa spesso un collo di bottiglia – e quindi rallenta i processi – oppure, a causa della mole di lavoro, firma una quantità elevata di documenti che non è in grado di controllare;

  • regole di funzionamento di tipo operazionale, sono quelle che definiscono «chi deve fare cosa e quando» e, quindi, si manifestano attraverso la formalizzazione dei processi e la redazione di procedure. I caratteri distintivi sono i seguenti:

i) per la maggior parte della casistica è già predefinito il modus operandi;

ii) il responsabile ricorre di norma alla delega e a controlli a campione, intervenendo solo sul limitato numero di casi atipici e non codificati;

iii) il responsabile si avvale regolarmente di cruscotti direzionali e di un sistema di alert collegato ai controlli automatizzati. In sostanza, il responsabile si interessa soprattutto degli aspetti organizzativi necessari per migliorare l’efficacia e l’efficienza della struttura e la conformità.

In definitiva le regole di funzionamento influenzano il modello organizzativo indirizzandolo verso quello burocratico, in cui il responsabile interviene direttamente su tutte le attività gestionali, controllandole costantemente, oppure verso quello manageriale, in cui il responsabile organizza, delega e supervisiona.

Il collegamento dei processi alla struttura organizzativa avviene attraverso queste regole che definiscono, appunto, le entità – e le relative modalità di azione – che governano i processi.

La mappatura dei processi

Sinteticamente descritta l’estrema rilevanza dei processi nell’ambito del framework organizzativo, può essere utile qualche ulteriore precisazione sulla mappatura dei processi.

Innanzitutto il rilievo dei processi è costantemente sottolineato in letteratura: ad esempio, secondo Karl E. Weick, uno dei più influenti studiosi in campo organizzativo, le organizzazioni vanno intese come un insieme di processi e non come strutture.

Tra le infinite definizioni di processo, una delle più note è quella di Bartezzaghi per il quale il processo può essere definito come «un insieme organizzato di attività e di decisioni, finalizzato alla creazione di un output effettivamente domandato dal cliente, e al quale questi attribuisce un valore ben definito»(1).

Sotto un profilo strutturale, in ogni processo, sono presenti:

  • un input, che dà l’avvio al processo, costituito da un insieme di elementi che comprende risorse umane, strumentali e finanziarie nonché fattori condizionanti – vincoli e di opportunità – tra i quali assumono particolare rilievo le normative, i tempi e le “specifiche” stabilite per l’output;
  • un output, e cioè il prodotto/ risultato delle attività di un determinato processo, che può essere “finale” se è rivolto ad un cliente esterno oppure “intermedio” se, invece, è destinato ad un soggetto interno all’organizzazione (in quest’ultimo caso l’output rappresenta l’input di un ulteriore processo);
  • le attività, che devono essere individuate e coordinate in modo tale da assicurare la massima efficacia, efficienza ed economicità e, nel contempo, il rispetto di tutti i vincoli cogenti (compliance), tenendo sotto controllo i parametri critici (i costi, i tempi di esecuzione, la qualità dell’output, ecc.).

Alla distinzione tra output finali e intermedi è correlata quella tra processi primari e secondari, di cui è nota la teorizzazione di Porter attraverso il concetto di “catena del valore”.

La strutturazione del processo – e quindi l’analisi delle attività che lo compongono – richiede un’operazione tanto importante quanto trascurata: quella della “definizione degli attributi”.

Questa espressione si riferisce alla necessità di individuare tutti quegli attributi che occorre tenere presente per soddisfare esigenze finanziarie, produttive, di compliance, ecc.

Ad esempio, nella mappatura, per ogni processo occorre rilevare:

  1. quali siano le informazioni di cui necessita;
  2. se sia o meno previsto il trattamento di dati personali, in modo da realizzare un modello adeguato di data protection;
  3. il numero di giornate/persone ad esso dedicate, per poter comparare un indice di produzione teorico predeterminato con quello effettivo (e quindi per poter utilizzare un criterio oggettivo per fissare la consistenza degli organici del personale, la produttività, i costi, e così via).

Tutto ciò è indispensabile anche per stabilire cosa vada automatizzato e, quindi, per poter procedere all’informatizzazione attraverso applicativi gestionali e cruscotti direzionali.

Una volta che viene strutturato il processo, occorre individuare il suo responsabile (il process owner) e, infine, definire un sistema di misurazione indispensabile per valutare i parametri ritenuti significativi (fondamentalmente l’efficienza e la conformità).

L’ultima operazione è quella di mappare tutti i processi primari e secondari dell’organizzazione realizzando una tassonomia (e cioè di un elenco che li comprenda tutti) e, quindi, “disegnare” ciascuno di essi con le relative interazioni.

Sotto il profilo delle responsabilità, risulta centrale l’individuazione del process owner che, in particolare, risulta indispensabile per risolvere uno dei problemi principali degli assetti organizzativi in quanto, nelle organizzazioni “per funzioni”, ogni responsabile di struttura, spesso, ha solo una visione parziale del processo e, cioè, la “quota parte” di sua competenza e, conseguentemente, si concentra solamente sul quel “pezzo”, in genere senza coordinarsi con i suoi omologhi e, nel caso in cui l’output sia inadeguato, si preoccupa solo di dare evidenza del fatto che “quello che gli competeva, l’aveva fatto correttamente” e che se il risultato è cattivo “la colpa non è sua”.

Deve anche sottolinearsi il fatto che il process owner, anche quando viene individuato, spesso non ha un vero e proprio potere in quanto la gerarchia funzionale generalmente prevale.

In definitiva è frequente il caso di uno scollegamento tra le varie fasi del processo per cui può accadere che accanto a fasi processuali di eccellenza vi siano fasi carenti oppure che si verifichino tempi morti (i cosiddetti colli di bottiglia) con la conseguenza che il risultato complessivo del processo, l’output, sia inadeguato ma non ci sia chi ne risponde o, addirittura, sia premiato il responsabile di fasi virtuose nell’ambito di processi scadenti, scollegando il destino delle fasi da quello del risultato finale per conseguire il quale le fasi stesse sono state progettate!

Collegare il modello di produzione (e cioè la mappa dei processi) ad un’adeguata struttura organizzativa è quindi molto difficile in quanto richiede l’individuazione di un delicato punto di equilibrio tra due concezioni antitetiche: il consolidato modello funzionale e quello per processi, che talvolta viene affrontato con la soluzione mediana del modello a matrice, che però non sempre è in grado di risolvere l’ambiguità di fondo che lo caratterizza e che, in ogni caso, richiede notevole dispendio di energie per le attività di coordinamento.

Compito dell’assetto organizzativo, quindi, è quello di associare il “modo di lavorare” – e cioè i processi – alle responsabilità gestionali, attraverso regole organizzative in grado di affrontare i problemi descritti: da queste regole, poi, discenderanno i modelli da adottare, compresi quelli più evoluti quali la lean organization, i modelli adhocratici, ecc.

to be continued 1/2

 

LEGGI QUI l’articolo successivo  2/2,   Un nuovo ruolo per l’internal audit

 

Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)  Cfr. Emilio Bartezzaghi, L’organizzazione dell’impresa. Processi, progetti, conoscenza, persone, Rizzoli Etas, 2010, pag. 60.

 

Related Items

AziendaLa Compliance nelle procedure aziendali
Continua a leggere
PMI-StartupsPMI: come coniugare le 3 linee di difesa con il contenimento dei costi
Continua a leggere
PA Internal AuditsRafforzamento delle PA attraverso l’istituzione dell'Internal Audit
Continua a leggere

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *