Internal Audit Galleria Borghese

Un nuovo ruolo per l’internal audit

23 October 2020

di Giuseppe NUCCI

La realizzazione di una mappatura dei processi risulta molto difficilecome abbiamo visto nell’articolo precedente(1).

Tra i principali motivi evidenziamo:

  • il permanere – per inadeguatezza professionale e culturale – del modello funzionale quale standard privilegiato dalle organizzazioni che, come abbiamo sottolineato, mal si adatta alla logica per processi;
  • un’inadeguata visione, specie nelle amministrazioni pubbliche, che non riesce a focalizzarsi sulle performance e su effettivi criteri di efficienza ed efficacia;
  • la resistenza al cambiamento dovuta al fatto che la mappatura dei processi – ed il suo costante aggiornamento – va ad incidere su equilibri consolidati in quanto determina vere e proprie riprogettazioni che coinvolgono tutte le componenti dell’organizzazione.

Nei casi in cui, invece, si proceda ad una rivisitazione in chiave processuale dell’organizzazione, le esperienze pongono in evidenza il rischio di commettere errori tra i più frequenti dei quali ricordiamo quelli di:

  • considerare la mappatura come un mero adempimento formale;
  • realizzare mappature dei processi per motivi contingenti e difficilmente riutilizzabili;
  • duplicare la mappatura dei processi nel senso che diverse funzioni aziendali, ciascuna per proprio conto, procedono autonomamente a compiere una propria mappatura;
  • modellizzare i processi in maniera approssimativa, talvolta addirittura trascurando le convenzioni di rappresentazione, e con livelli di dettaglio inadeguati (o troppo ampi e cioè con viste che non consentono di cogliere alcun aspetto distintivo oppure troppo particolareggiati impedendo una visione sistemica dell’organizzazione);
  • l’assenza di un set d’indicatori idoneo per l’analisi dell’andamento del processo in termini di costi, tempi e qualità; in particolare gli indicatori devono essere in grado di far emergere, dalla grande mole di dati relativi alle attività dell’organizzazione, le eventuali criticità verificatesi nello svolgimento di tutte le fasi dei processi: colli di bottiglia, ridondanze e così via.

A livello di architettura organizzativa, il limite maggiore è rappresentato dal fatto che la funzione “organizzazione” – che dovrebbe occuparsi di processi e di strutture – viene spesso posta “acriticamente” nell’area delle risorse umane, il cui compito dovrebbe essere circoscritto al reperimento, alla gestione e allo sviluppo delle persone: quest’area dovrebbe, in sostanza, essere considerata di una sorta di fornitore dell’asset maggiormente importante in ogni organizzazione, chiamato non a caso capitale umano.

Allora cosa fare? Di seguito esporrò delle riflessioni sul possibile coinvolgimento dell’internal audit nelle attività relative alla mappatura dei processi.

Secondo gli standard internazionali, l’internal audit ha il compito di valutare l’adeguatezza dei controlli interni di un’organizzazione finalizzati alla corretta gestione dei rischi aziendali (c.d. funzione di assurance) e di fornire consulenze su tematiche specifiche.

L’interpretazione prevalente di questa funzione, invece, è circoscritta all’esercizio di compiti ispettivi in modo tale che essa viene considerata come una sorta di poliziotto aziendale, focalizzato sulla ricerca del responsabile “di ciò che non va”, rispetto al perché si sia verificato un certo inconveniente.

Questa prospettiva è anche legata alle numerose prescrizioni riferite all’anticorruzione e alla prevenzione di fattispecie di rilevanza penale – ad esempio, si pensi per gli enti privati al modello previsto dal d. lgs. n. 231/2001 mentre per le amministrazioni pubbliche alle regole dettate dalla legge 190/2012) – che portano a considerare la struttura di internal audit come un modo per soddisfare gli obblighi normativi posti a carico delle organizzazioni, anziché concepirlo come uno strumento di miglioramento organizzativo.

Secondo una diversa visione che condivido, l’internal audit, invece, dovrebbe tendere a migliorare i processi, assicurando nel contempo che le attività svolte siano conformi alle regole.

La conformità, quindi, deve essere considerata come un vincolo – al pari di quello finanziario, degli organici, della qualità del capitale umano che si ha a disposizione, della cultura organizzativa ecc. – e non, secondo una visione ancora molto radicata, come l’output di un processo, secondo la logica della «pratica a posto». È vero che i due ambiti sono talvolta sovrapposti, poiché la violazione delle norme è spesso causa di cattiva organizzazione – e in particolare di processi carenti – ma deve essere chiaro che “trovare il colpevole” di un evento negativo, in questa ottica, non può costituire il riferimento per l’azione dell’internal audit.

Peraltro, anche nella ricerca della conformità, la mappatura dei processi – e in particolare il loro disegno – ha una rilevanza fondamentale per le correlazioni che sussistono tra il grado di adeguatezza del processo ed il suo grado di “rischiosità”, così come rappresentato nella seguente figura.

IA_1

L’ipotesi di coinvolgere l’internal audit poggia su due ragioni fondamentali.

La prima è che il corretto svolgimento delle attività correlate all’analisi del rischio, compito centrale dell’internal audit, presuppone competenze e conoscenze trasversali che risultano indispensabili anche in tutte le attività legate all’analisi dei processi, al loro disegno ed alla loro mappatura per le quali – e questa è la seconda ragione – risulta particolarmente idonea la metodologia prevista dalla norma internazionale ISO 19011:2018Linee guida per audit di sistemi di gestione”, su cui si basa il modus operandi dell’internal audit e a cui ora faremo brevemente cenno.

L’audit, secondo la norma 19011:2018, è un “processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle con obiettività, al fine di determinare in quale misura i criteri dell’audit sono soddisfatti”.

In sostanza, traslato nell’ambito di nostro interesse, ciò significa che:

  • i «criteri dell’audit» si traducono in un modello teorico (il disegno dei processi) attraverso il quale perseguire gli obiettivi che discendono dalle linee strategiche attraverso le quali la missione è stata declinata;
  • il «processo sistematico, indipendente e documentato per ottenere evidenze oggettive e valutarle con obiettività» consiste nel processo con cui 1) rilevare quale sia la situazione reale e 2) verificare quanto la situazione reale si discosti quantitativamente e qualitativamente dal modello teorico precedentemente definito.

Sono due operazioni che richiedono know how specialistico che deve essere posseduto in una certa misura dagli auditor ed integrato da esperti della materia per mettere a confronto ciò che viene definito, in termini manageriali, come l’AS IS (situazione reale) e il TO BE (situazione a tendere).

Una volta definito lo scostamento con il modello a tendere, viene programmato un piano di azione per annullare/ridurre tale scostamento.

L’attività complessiva relativa alla mappatura dei processi – attraverso la rielaborazione dello schema riportata nella norma ISO(2) – può essere sintetizzata nella seguente figura.

IA_2

D’altronde la stessa norma ISO precisa(3):

  • a proposito dell’approccio per processi, che si conseguono «risultati coerenti e prevedibili, in modo più efficace ed efficiente, quando le attività sono comprese e gestite come processi correlati che agiscono come un sistema coerente»;
  • in relazione all’analisi strategica e alla pianificazione, che gli «auditor dovrebbero confermare che sono stati sviluppati processi adeguati allo scopo e che essi sono utilizzati in modo efficace, cosicché i loro risultati offrano una base affidabile», presupponendo che «gli auditor dovrebbero possedere una conoscenza specifica del settore e dovrebbero comprendere gli strumenti di gestione che le organizzazioni possono utilizzare per giudicare l’efficacia dei processi utilizzati».

In conclusione la sinergia tra la funzione organizzazione e la funzione “internal audit – in cui la prima continuerebbe ovviamente a ricoprire il ruolo di owner – potrebbe garantire un approccio più evoluto alla problematica riferita alla dimensione processuale delle organizzazioni, tenendo però conto della necessità di una significativa trasformazione dei tradizionali ruoli di alcune funzioni aziendali.

 2/2

 

LEGGI QUI l’articolo precedente 1/2,   L’internal audit come leva strategica per il miglioramento organizzativo. Il supporto all’analisi processuale

 


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1)   Cfr. G. Nucci (2020), “L’internal audit come leva strategica per il miglioramento organizzativo. Il supporto all’analisi processuale”; www.riskcompliance.it

(2)   Cfr. la figura 1 a pagina 9 della ISO 19011.

(3)   Cfr. punto A.2 “Approccio per processi” a pag. 36 e punto A8 “Audit di contesto” a pag. 39.



Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *