la figura dell`internal auditor nell`organigramma aziendale
Transcript
la figura dell`internal auditor nell`organigramma aziendale
Università degli Studi Roma Tre Facoltà di Economia Federico Caffè Tesi di Laurea Magistrale in Economia Aziendale LA FIGURA DELL’INTERNAL AUDITOR NELL’ORGANIGRAMMA AZIENDALE ITALIANO: IL TEMA DELL’INDIPENDENZA Laureanda: Lucrezia Di Florio Relatore: Prof. Dott. Carlo Regoliosi Correlatore: Prof.ssa Simona Arduini A.A. 2014/2015 1 INDICE Abstract INTRODUZIONE…………………………………………………………………………pag. 6 1 L’OGGETTO DELL’ATTIVITA’ DI AUDIT ............................................ 10 1.1 IL CONCETTO DI RISCHIO e MEZZI PER LA TUTELA ................... 10 1.2 IL SISTEMA DI CONTROLLO INTERNO …………………………………….15 1.2.1 COSO Report I ..................................................................... 17 1.2.2 ENTERPRISE RISK MANAGEMENT o COSO Report II….………20 1.3 I TRE LIVELLI DI CONTROLLO.…………………………………………………25 2 LA FIGURA DELL’INTERNAL AUDITOR ............................................ 28 2.1 IL QUADRO NORMATIVO DI RIFERIMENTO .............................. 29 2.2 REGOLE PER L’INTERNAL AUDITING ......................................... 34 2.3 L’AUDITOR: CARATTERI FONDAMENTALI………………….……………42 2.4 TIPOLOGIE DI AUDITING INTERNO…………………………….…………..48 2.5 L’INCARICO DI AUDIT …………………………………………………………….51 3 L’INDIPENDENZA DELL’AUDITOR…….…………………………………………57 3.1 INDIPENDENZA SOSTANZIALE E FORMALE…………………………….59 3.2 INDIPENDENZA ORGANIZZATIVA …………………………………………..61 3.3 I FATTORI CHE INFLUENZANO L’INDIPENDENZA………………….…66 3.4 IL RUOLO DEL RESPONSABILE DELL’INTERNAL AUDITING……...72 2 3.5 L’OUTSOURCING…………………………………………………………...……..75 4 L’INTERPRETAZIONE ITALIANA DEI REQUISITI DI INDIPENDENZA..............................................................................79 CONCLUSIONI.…………………………………………………………………….……….102 BIBLIOGRAFIA....……………………………….………………………………………….105 Ringraziamenti 3 4 ABSTRACT Il presente lavoro si pone l’obiettivo di indagare le dinamiche interne di una funzione, quella di Internal Audit, che mostra peculiarità tali per cui potrebbe risultare difficile la compatibilità con i rapporti di forza che naturalmente si instaurano all’interno del sistema azienda. A parere di chi scrive il teorico posizionamento della Funzione potrebbe infatti collidere con quella che è nella realtà la posizione dell’auditor interno: pretendere di mantenere indipendenza totale dall’organizzazione di cui è, a tutti gli effetti, un dipendente, svolgendo il proprio lavoro nei locali dell’azienda, con un riporto gerarchico ai vertici aziendali e una retribuzione erogata dall’azienda stessa, alla stregua di ciascun’altra funzione interna. Il problema non è superato nemmeno nel caso di attribuzione dell’attività in outsourcing, quindi ad un’organizzazione specializzata nella prestazione di servizi di assurance e consulenza per la gestione dei rischi e la messa a punto del sistema dei controlli interni. Proprio l’attività di consulenza si pone in assoluto in una posizione di confine dal momento che implica una partecipazione attiva dell’auditor al lavoro dei soggetti auditee, quindi una collaborazione per il realizzo degli schemi di controllo che saranno poi oggetto di valutazione dell’auditor stesso. Vedremo come l’Institute of Internal Auditor e tutta la letteratura legata alla diffusione di questo genere di servizi affrontano il problema fissando principi volti ad impedire che venga compromessa l’affidabilità dell’intero sistema e rifletteremo sull’effettiva efficacia degli stessi. 5 INTRODUZIONE Dagli anni Novanta dello scorso secolo è andata diffondendosi nel mondo imprenditoriale italiano, e ancora prima mondiale, specialmente trai Paesi anglosassoni, la cultura del controllo. Il modificarsi dell’ambiente esterno in cui l’azienda è chiamata ad operare ha reso necessario che anche l’interno dell’impresa si adattasse divenendo sempre più sofisticato. Indubbiamente l’evoluzione più importante riguarda l’atteggiamento imprenditoriale e il modo di concepire l’attività aziendale da parte dei vertici: da un concetto di produzione per creare reddito ci si è affinati, andando a ritrovare nella gestione dei rischi che minacciano quotidianamente l’organizzazione un’importante opportunità per la creazione di valore. L’emergere di infiniti vincoli ha reso necessario il riordino degli assetti aziendali. L’efficientamento delle attività, a tutti i livelli, e la gestione dell’evento negativo che potrebbe impattare sul sistema consentono di ridurre al minimo gli sprechi di risorse, fisiche e di capitale umano; il che già di per sé costituisce un guadagno. In questo contesto si è andata sviluppando negli ultimi anni una nuova figura nell’organigramma aziendale: L’Internal Auditor. La funzione di Revisione Interna è senza dubbio una funzione sui generis. L’Internal Auditor ricopre nell’azienda la peculiare posizione di indipendente dipendente dell’organizzazione con responsabilità di controllo e monitoraggio delle decisioni del management, ma anche di consulente degli stessi vertici aziendali sull’adeguatezza e l’efficienza dei sistemi di controllo. Comprensibilmente questo è un argomento in grado di richiamare forte interesse, a livello teorico come nella pratica, tanto che negli anni si sono avvicendati diversi studi e in molti hanno provato a dare il proprio contributo alla definizione dei contorni della figura. 6 Nel 1999 The Institute of Internal Auditors Board of Directors1 (IIA) ha approvato all’unanimità la definizione di Internal Auditing, che, dato il prestigio dell’ente, risulta essere universalmente riconosciuta come definizione ufficiale. “L’internal auditing è un’attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.” Sebbene in un primo momento la definizione sembri non lasciare spazio a malintesi, a parere di chi scrive, è opportuno porre l’attenzione su alcuni temi chiave per comprendere meglio il lavoro dell’Internal auditor. I concetti di indipendenza e obiettività costituiscono il fulcro della definizione e nel tempo sono anche quelli che maggiormente hanno creato confusione intorno alla figura del revisore. Procedendo, per ora, per sommi capi possiamo definire l’indipendenza come della capacità del soggetto di esercitare la propria attività scevro da qualsiasi interferenza del management o dall’ambiente esterno; condizione questa che senza dubbio eleva la figura del revisore ma 1 Institute of Internal Auditors (IIA) fondata nel 1941 a New York, è una associazione professionale internazionale, leader mondiale per gli standard, la certificazione e la formazione per la professione di Internal Auditor. Costituisce il principale ente di riferimento non legato ad autorità di vigilanza contando oltre 180 000 membri, tutti professionisti nel campo del risk management, internal auditing, governance, controllo interno, information technology, sicurezza, ecc. In Italia, il riferimento associativo per i professionisti dell’Internal Auditing è l’Associazione Italiana Internal Auditors (AIIA), nata a Milano nel 1972 e riconosciuta come affiliazione dell’ IIA. 7 che comprensibilmente si scontra in maniera inesorabile con la realtà umana e aziendalista dell’impresa. Legata concettualmente all’indipendenza v’è la nozione di obiettività, intesa come totale imparzialità, assenza di preconcetti e di conflitti di interesse che possono sorgere in qualsiasi momento durante lo svolgimento dell’incarico. Lavorare con obiettività vuol dire lavorare in completa autonomia, senza sottomettere il proprio giudizio professionale a condizionamenti esterni e senza cedere a costanti compromessi. Le scelte valutative dell’Internal auditor devono essere super partes, almeno a livello teorico. L’attività concretamente svolta dalla funzione di audit si divide in due componenti fondamentali, diverse ma che spesso si influenzano a vicenda: l’assurance e la consulenza. I servizi di assurance riguardano la rilevazione e la conferma indipendente dei fatti aziendali, nonché la valutazione obiettiva degli stessi, fino ad esprimere giudizi di conformità e adeguatezza riguardo ai processi, alle informazioni e sul sistema dei controlli interni. L’attività di consulenza è piuttosto un’attività di supporto propositivo per il miglioramento dei processi e delle procedure all’interno del sistema aziendale, per questo l’input viene generalmente dal management, dal soggetto auditato2. Entrambe le attività creano un valore aggiunto all’interno del sistema aziendale attraverso l’analisi dei rischi e la valutazione del relativo sistema di controllo interno con l’emersione di proposte di miglioramento. La finalità primaria dell’auditing interno consiste nel miglioramento dell’efficacia e dell’efficienza dell’organizzazione. L’efficacia è intesa come la capacità del sistema azienda di raggiungere gli obiettivi prefissati; l’efficienza riguarda piuttosto il rapporto tra il grado di raggiungimento degli obiettivi e la quantità di risorse impiegate, in un’ottica quindi di valutazione costi/benefici per un’ottimale allocazione di risorse che, per definizione, sono scarse e 2 Dittmeier C., Internal Auditing Chiave per la Corporate Governance, EGEA 2007. 8 per evitare inutili ingessature nei processi aziendali. L’efficienza pertanto si configura più tipicamente come l’obiettivo delle attività di consulenza. L’Internal Auditor ha una sola strada da seguire per raggiungere questi scopi, quella di un approccio professionale sistematico in grado di garantire nel tempo: I. II. III. La definizione di adeguati standard e strumenti metodologici L’applicazione di criteri omogenei e coerenti La progressiva copertura dell’universo di audit, mediante l’applicazione periodica e strutturata di adeguate procedure di Risk Assessment nell’ambito della pianificazione dell’auditing.3 Una trattazione più approfondita di questi che sono temi cruciali si rinvia ai capitoli a seguire; per ora ci interessa indagare come una funzione, che l’uomo della strada definirebbe “improduttiva” abbia raggiunto una posizione anche apicale nell’organigramma aziendale. 3 Dittmeier, op. cit., pag. 15. 9 CAPITOLO I : L’OGGETTO DELL’ATTIVITA’ DI AUDIT 1.1 IL CONCETTO DI RISCHIO e MEZZI PER LA TUTELA L’azienda esiste dal momento in cui è in grado di creare valore per i propri stakeholder; il perseguimento di quest’obiettivo può essere ostacolato dagli eventi a cui è costantemente esposta. L’ambiente che circonda e in cui si trova ad operare qualsiasi tipo di sistema aziendale si caratterizza per una molteplicità di interazioni socio economiche, che generano inevitabilmente entropia4; quest’entropia dev’essere però dominata per non compromettere il raggiungimento del suo fine e consentire quindi la sopravvivenza dell’organizzazione: ciò può attuarsi attraverso il controllo. Per quanto detto finora l’azienda può essere definita come un sistema teleologico aperto5 , che si relaziona quindi costantemente col mondo esterno, e questo la espone all’incertezza degli eventi che possono colpirla: eventi che possono esercitare un impatto positivo, 4 5 Troina G., Le revisioni aziendali, Franco Angeli, 2005. Troina G., Lezioni di Economia Aziendale, CISU, 2006. Zanda G., Lineamenti di Economia Aziendale, Kappa, 2006. 10 e quindi generare opportunità, ma anche negativo, costituendo una minaccia al conseguimento degli obiettivi. Il rischio è appunto definito come la possibilità che si verifichi un evento in grado di esercitare un impatto negativo sul sistema aziendale6. Per un’analisi completa, tuttavia, va considerato che i rischi a cui l’azienda è esposta non provengono solo dall’esterno, dal tipo di business o dal mercato in cui l’azienda opera, anzi spesso si materializzano anche all’interno del sistema aziendale come incapacità del personale, errori umani, inadeguatezze nel disegno dei processi, inefficienze del flusso informativo, errori e carenze direzionali (comunicazioni sporadiche, troppo sintetiche, poco chiare, ecc.). Il rischio nasce dall’incertezza, che si configura come impossibilità di determinare con precisione se e quando un evento si avrà a verificarsi. Il livello di incertezza può e dev’essere mitigato attraverso una sana attività di controllo, in grado di migliorare le capacità previsionali e di gestione dei rischi all’interno dell’organizzazione. Alla base del controllo, affinché questo risulti efficace ed efficiente, c’è l’identificazione dei rischi, quindi la ricognizione di tutti gli eventi e le variabili che necessitano di monitoraggio; rilevano in questo momento solo i fattori che determinano la variabilità dei risultati aziendali. L’incertezza nell’accadimento di eventi potenzialmente negativi è oggetto di analisi da parte del management che raccoglie ogni possibile evento che potrebbe verificarsi nell’impresa, di qualsiasi natura esso sia, e lo valuta in termini di probabilità e impatto, monetario ma anche non monetario: eventi con scarsa probabilità di verificarsi e basso impatto non necessitano di ulteriore 6 Dittmeier, op. cit. 11 considerazione, viceversa eventi, anche di scarsa probabilità ma con forte impatto necessitano di misure volte a minimizzare l’esposizione dell’organizzazione; è anche così che si lavora per preservare il valore dell’azienda, evitando che il capitale economico venga eroso, e questa è una responsabilità propria dei vertici aziendali. Tutti i rischi materialmente riscontrabili in azienda possono essere ricondotti, per un’ottimale valutazione, a due categorie fondamentali: rischio inerente e rischio residuo. Il rischio inerente è il rischio puro, che grava sull’organizzazione in assenza di qualsiasi azione da parte del management; rappresenta la peggiore delle ipotesi in termini di perdita a seguito del verificarsi dell’ evento negativo. Il rischio residuo invece è quello che rimane dopo che il management ha implementato sistemi per mitigare l’impatto dei rischi inerenti. Il processo di Risk Assessment dunque si focalizza prima di tutto sui rischi inerenti e successivamente, dopo che siano state messe a punto procedure di Risk Management, sul rischio residuo. Una corretta identificazione dei fattori di rischio contribuisce all’allestimento di un’idonea risposta da parte del management. A tal proposito si rilevano una serie di principi generali7 a cui è bene far riferimento per improntare un efficace sistema di controlli: 7 La definizione dei poteri. La fonte dei poteri è rintracciabile nel management, da cui legalmente deriva la volontà del soggetto economico. Una chiara attribuzione dei poteri a ciascuna funzione aziendale aiuta a mettere ordine e tracciare il processo gestorio. Segregazione dei compiti e delle responsabilità. Che si concretizza, ad esempio nella separazione delle attività di Troina G., Le Revisioni Aziendali, Franco Angeli, 2005. 12 custodia beni da quelle di contabilizzazione, delle responsabilità operative da quelle di contabilizzazione e delle attività di autorizzazione da quelle di custodia. Rotazione dei compiti. La prolungata permanenza di una persona in una determinata posizione organizzativa può originare situazioni di eccessiva autorità nei confronti dei propri subalterni; concentrazione di conoscenze specifiche in capo ad un soggetto, rendendolo di fatto indispensabile, oppure possono instaurarsi rapporti interpersonali troppo stretti e difficilmente sostituibili. Corretta autorizzazione per tutte le operazioni. Adeguata documentazione e registrazione delle operazioni. Rende possibile ricostruire il processo decisionale per risalire ai soggetti effettivamente responsabili. Controllo fisico sui beni e sulle registrazioni. Può essere realizzato mediante, ad esempio, inventari fisici, elenchi delle persone autorizzate a disporre dei valori, servizi di vigilanza, limitazioni all’accesso e adozione di particolari accorgimenti di protezione. Controlli indipendenti sulle prestazioni effettuate. Hanno la funzione di mantenere la stabilità del sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori aziendali. L’indipendenza del controllo può essere ottenuta tipicamente attraverso la suddivisione delle mansioni, il coinvolgimento di soggetti esterni (società di revisione o auditor professionisti), oppure il ricorso a controlli interni automatizzati nei sistemi computerizzati. 13 Appare chiaro, dalla trattazione svolta finora, che l’identificazione e la gestione del rischio sono materie d’interesse del management che se ne occuperà prima di tutto definendo il livello di propensione al rischio dell’azienda, il cosiddetto Risk Appetite; in base a questo verrà ideato e implementato il sistema dei controlli avendo a mente il trade-off che l’attività di controllo implicitamente comporta, tra costi di attuazione e benefici ottenibili. [Si veda a tal proposito la figura che segue] -[Fig.1] Nella parte destra del grafico i costi superano la perdita economica che si avrebbe qualora l’evento negativo si verificasse; costerebbe di più coprirsi dal rischio che sostenerne l’eventuale perdita. In questo caso è conveniente farsi carico dell’alea rinunciando a mitigarne gli effetti.- Il management massimizza il valore dell’azienda quando formula strategie ed obiettivi finalizzati a raggiungere un equilibrio ottimale tra target di crescita e di redditività e rischi conseguenti, e quando 14 impiega in modo efficiente ed efficace le risorse nel perseguire gli obiettivi aziendali. La direzione aziendale ha il ruolo fondamentale di provvedere a verificare le coerenza degli obiettivi proposti con il rischio accettabile prefissato. 1.2 IL SISTEMA DEI CONTROLLI INTERNI Il SCI è un insieme di regole, procedure e strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati. L’incarico di messa a punto di questo processo aziendale è affidato sostanzialmente al management : Consiglio di Amministrazione, Dirigenti e altri soggetti della struttura aziendale, ed è finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie8: - efficacia ed efficienza delle attività operative (operating); - attendibilità delle informazioni di bilancio (reporting); - conformità alle leggi e ai regolamenti (compliance). 8 Committee of Sponsoring Organizations of the Treadway Commission (COSO), Internal Control Integrated Framework, AICPA, 1992 – www.coso.org – tradotto e integrato in PreceWaterhouseCoopers, Il Sistema di controllo interno. Progetto di Corporate Governance per l’Italia, Milano, IlSole24Ore, 2002. 15 Si tratta quindi di un sistema che permette di9: fronteggiare tempestivamente ogni trasformazione dell’ambiente economico; procedere in tempo utile agli adattamenti necessari per far fronte ai continui cambiamenti; garantire efficienza; tutelare il patrimonio aziendale dalle possibili perdite; garantire l’attendibilità dei bilanci e la conformità alle leggi e ai regolamenti. L’attività di Risk Management è diventata negli anni una componente fondamentale della Corporate Governance in ogni azienda, ormai anche nelle minori; il legame tra Corporate Governance e gestione dei rischi è divenuto sempre più stretto e si configura non tanto come una tecnica di gestione operativa quanto, piuttosto, come una componente essenziale del governo d’impresa10: avere una buona gestione dell’attività aziendale è sinonimo di avere un efficace ed efficiente sistema di gestione dei rischi11. Data la frenetica mutabilità degli scenari economici di riferimento dell’impresa, si è reso necessario, ad opera del management, diffondere una cultura aziendale nuova, migliorata, fortemente imperniata sulle tematiche del controllo, volta alla sensibilizzazione del personale a percepire come naturale l’utile sussistenza e la reale importanza dei controlli interni12. La cultura del controllo deve consentire la percezione del controllo come di uno strumento strategico per il conseguimento delle più alte finalità dell’impresa, in linea con le politiche decise dai vertici aziendali, alla stregua degli strumenti operativi. 9 Nobolo A. Il Sistema di Controllo Interno, 2010. B. Hunt, The Timid Corporation: Why business is terrified of Taking Risk, Londra, Wiley, 2003 [ in Dittmeier C. op.cit.]. 11 M. Power, The Risk Management of Everything, Demos, Londra, 2004 [in Dittmeier C. op.cit.]. 12 A. Capiello, Regolamentazione e Risk Management nelle imprese assicurative. Profili evolutivi, Franco Angeli, Milano, 2008. 10 16 A facilitare il lavoro del management nell’implementazione dei controlli nelle procedure aziendali è intervenuto il Committee of Sponsoring Organizations of Treadway Commission13 , che nel 1992 ha elaborato un Framework di riferimento per la messa a punto di un Sistema di Controllo Interno (SCI), l’“Internal Control Integrated Framework” o COSO Report I; e poi nel 2004 ha diffuso il modello ERM “Enterprise Risk Management- Integrated Framework” o COSO Report II. Data la coincidenza dell’argomento e lo stacco temporale si potrebbe pensare che uno sia l’evoluzione dell’altro, in realtà l’ERM occorrerà all’azienda per identificare e gestire i rischi che la circondano, invece il modello COSO Report I per comprendere e gestire controlli interni quale parte integrante dell’operatività aziendale. Il vantaggio maggiore dall’elaborazione di questi due modelli di riferimento è quello di ricondurre ad un unico linguaggio e ad un unico approccio tutta la tematica riguardante la cosiddetta Risk&Control Governance, che altrimenti risultava estremamente frammentata in una moltitudine di schemi di lavoro costruiti ad hoc, uno per ogni azienda, difficilmente apprezzabili e comparabili. 1.2.1 “Internal Control Integrated Framework” : COSO Report I Il COSO Report I assume la celeberrima configurazione a cubo (come rappresentato in Fig.2), al cui interno è perfettamente riassunta la pervasività e la sistematicità dei controlli interni. 13 Comitato costituito nel 1985 all’interno della Treadway Commission, che si occupa di fornire leadership di pensiero attraverso lo sviluppo di quadri completi e linee guida sulla gestione del rischio di impresa , il controllo interno e di deterrenza frode. 17 [Fig.2] Gli obiettivi di operating, reporting e compliance sono comuni a ciascuna area aziendale e per ciascuna di queste il controllo si articola in cinque componenti: I. Ambiente di controllo II. Valutazione dei rischi III. Attività di controllo IV. Informazioni e comunicazione V. Monitoraggio. Questi cinque elementi permeano ogni singola funzione aziendale, ogni singolo processo rendendo il mantenimento, la definizione e il funzionamento del SCI, una responsabilità di tutti i membri dell’organizzazione per ciascuna area di propria attività. 18 1. AMBIENTE DI CONTROLLO Costituisce l’ambiente entro cui si innesta il sistema dei controlli: i valori etici, la competenza e la motivazione del personale, lo stile e la filosofia del management, l’integrità, formalizzazione di ruoli, compiti e responsabilità, sistema di comunicazione interna (timing delle informazioni necessarie e tempistiche di produzione di flussi e report, tempestività delle informazioni direttive, sensibilità e ricettività da parte delle strutture operative), l’impegno del consiglio di amministrazione e la sua capacità di indicare chiaramente gli obiettivi. In generale tutto quanto determina il grado di sensibilità del personale alle esigenze di controllo. 2. VALUTAZIONE DEI RISCHI (RISK ASSESSMENT) Riguarda tutto quanto concerne l’attività di identificazione, la valutazione e il monitoraggio di quei fattori endogeni ed esogeni che possono concretamente pregiudicare il raggiungimento degli obiettivi prestabiliti. 3. ATTIVITA’ DI CONTROLLO Rappresenta l’applicazione delle politiche e delle procedure che garantiscono al management la possibilità di mitigare i rischi e fronteggiarli. In questa categoria rientrano tutti i controlli sui software di sistema, gli accessi fisici e logici e le varie applicazioni sviluppate per l’azienda. 4. INFORMAZIONE E COMUNICAZIONE Fondamentale per l’attività di controllo è la qualità delle informazioni che si apprezza in termini di contenuti, tempestività, aggiornamento , 19 accuratezza e accessibilità. Anche i sistemi informativi devono essere periodicamente sottoposti a controllo. La circolazione delle informazioni crea flussi comunicativi sia verso l’interno, indirizzati alle altre funzioni aziendali; che verso l’esterno, al mercato e agli stakeholder in generale, in questo caso il messaggio deve essere pertinente, aggiornato, chiaro e conforme alle richieste regolamentari in modo che dall’esterno ci si possa rapidamente rendere conto delle situazioni e dei rischi che l’azienda affronta. 5. MONITORAGGIO Obiettivo del monitoraggio è di mantenere efficiente e, laddove possibile, migliorare il sistema di controllo interno. Si realizza mediante l’osservazione continua e valutazioni specifiche in quegli ambiti che perché di recente introduzione o in base agli andamenti storici, risultano essere maggiormente vulnerabili. 1.2.2 Enterprise Risk Management Framework” o COSO Report II - Integrated L’ERM è un modello di riferimento per la gestione dei rischi aziendali in grado di aiutare l’azienda nella creazione di valore e vantaggio competitivo mediante l’assunzione consapevole di rischi e la mitigazione dei relativi effetti; è un processo iterativo e multidimensionale in cui ogni componente può influire sull’altra. Si sviluppa nelle tre dimensioni degli obiettivi, dei componenti del sistema e delle articolazioni aziendali, come si può vedere dalla Fig.3, e questo rende bene l’idea di estrema flessibilità del modello. 20 La definizione fornita nel 2004 dal COSO è stata: “processo posto in essere dal Consiglio di Amministrazione, dal management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie che interessino tutta l’organizzazione. Esso è progettato per individuare eventi potenziali che possano influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”. Si identifica in questo modo un processo che coinvolge tutta l’organizzazione in una sequenza di attività, svolto da persone che occupano posizioni a tutti i livelli della struttura aziendale. Questo processo occorre principalmente al management che, mirando a massimizzare il valore dell’organizzazione, definisce gli obiettivi strategici, sceglie la strategia, fissa gli obiettivi specifici, coerenti con la strategia, e li assegna ai vari livelli della struttura organizzativa. Gli obiettivi si possono ricondurre a quattro categorie14: I. II. III. IV. Strategici; di competenza dei livelli più alti del management, allineati e a supporto della missione aziendale; Operativi; riguardano l’impiego efficace ed efficiente delle risorse a disposizione. Di reporting; per quanto concerne l’affidabilità delle informazioni fornite dal reporting; Di conformità; compliance a leggi e regolamenti. 14 IIA, Price Waterhouse Coopers (a cura di), La Gestione del rischio aziendale, ERMEnterprise Risk Management: un modello di riferimento e alcune tecniche applicative, IlSole24Ore, Milano, 2006. 21 Negli ultimi tempi si sta diffondendo in qualche azienda anche un quinto obiettivo, quello di “salvaguardia delle risorse”, per ora ancora in fase di sviluppo, che si riferisce agli interventi effettuati per prevenire possibili perdite di risorse o di attività patrimoniali che potrebbero derivare da una cattiva gestione15. Quello che ci interessa far presente è che gli obiettivi sono si raggruppati in quattro categorie ma questa è una classificazione solo teorica, nella realtà aziendale queste risultano strettamente connesse e sovrapponibili, un determinato obiettivo può rientrare in più categorie ed essere di competenza di più manager. Quando il modello di gestione del rischio adottato dalla singola azienda è giudicato efficace per ciascuna categoria di obiettivi, il Consiglio di Amministrazione e il management hanno una ragionevole sicurezza di venire a conoscenza di come e in che misura gli obiettivi strategici e operativi si stanno conseguendo, che i report sono affidabili e che si sta operando nel pieno rispetto delle leggi e dei regolamenti in materia. L’ERM consente al management di affrontare efficacemente le incertezze e i conseguenti rischi e opportunità, accrescendo così le capacità dell’azienda di generare valore16. Le caratteristiche fondamentali sono17: L’allineamento della strategia al risk appetite. Il miglioramento della risposta al rischio individuato. Tra le risposte al rischio si sceglie quella più adeguata (evitarlo, ridurlo, condividerlo o accettarlo). 15 IIA, PWC (a cura di), op. cit. pag. 21. IIA, PWC, La Gestione del Rischio Aziendale, ERM: un modello di riferimento e alcune tecniche applicative, IlSole24Ore, Milano, 2006. 17 Committee of Sponsoring Organizations of Tredway Commission (COSO), Enterprise Risk Management. Integrated Framework, settembre 2004; ed. It. A cura di AIIA e PriceWaterhouseCoopers, La Gestione Del Rischio Aziendale, Milano, IlSole24Ore, 2006. 16 22 La riduzione degli imprevisti e delle perdite conseguenti. In questo modo le aziende riducono la frequenza degli imprevisti, dei costi e delle relative perdite. L’identificazione e la gestione dei rischi correlati e multipli. L’identificazione delle opportunità. Il miglioramento dell’impiego di capitale. Avere a disposizione informazioni affidabili sui rischi consente al management di valutare efficacemente il fabbisogno finanziario e di migliorare l’allocazione di capitale. L’ERM quindi aiuta il management a conseguire i propri obiettivi di performance e di redditività e ad evitare perdite di risorse. -Figura 3; rappresentazione grafica ERM (fonte www.ukessays.com) - 23 Le componenti da tenere in considerazione sono otto: I. II. III. IV. V. VI. VII. VIII. AMBIENTE INTERNO è costituito dalle persone che compongono l’organizzazione, la loro integrità e professionalità, i valori etici, lo stile manageriale e la filosofia aziendale. DEFINIZIONE DEGLI OBIETTIVI (objective setting) assicura che l’organizzazione abbia stabilito obiettivi di business e di governo coerenti con la mission aziendale e con il risk appetite stabiliti. IDENTIFICAZIONE DEGLI EVENTI riguarda l’identificazione degli eventi esogeni ed endogeni in grado di compromettere il raggiungimento degli obiettivi stabiliti. RISK ASSESSMENT concerne la valutazione dei rischi in termini di probabilità e impatto e di inerenza e di residualità. RISPOSTA AL RISCHIO; il management valuta come trattare il rischio (evitarlo, accettarlo, ridurlo o cederlo a terzi -nel caso delle assicurazioni ad esempio-) per riportarlo ad allinearsi ai livelli tollerati. ATTIVITA’ DI CONTROLLO, ovvero tutte le attività poste in essere per contrastare il rischio. SISTEMI DI INFORMAZIONE E COMUNICAZIONE, si devono attivare comunicazioni diffuse nella forma e nei tempi utili ai riceventi, in modo che queste fluiscano attraverso l’intera struttura organizzativa: verso il basso, verso l’alto e trasversalmente. MONITORAGGIO, l’intero processo di ERM deve essere monitorato e modificato dove necessario. Chiaramente le modalità di applicazione del modello saranno sempre parametrate alla realtà aziendale di riferimento, alle sue peculiarità interne o dettate dal contesto esterno; in aziende medio-piccole, ad esempio, potrebbe essere meno formale e meno strutturato, senza, in ogni caso, sacrificarne l’efficacia. 24 Già da una prima analisi risulta evidente come la logica che sottende il modello sia completamente ribaltata rispetto al COSO Report I, prestando maggiore attenzione al rischio piuttosto che al controllo: un’organizzazione utilizzerà l’ERM per identificare e gestire i rischi che la minacciano, mentre userà il modello COSO Report I per comprendere e gestire i controlli interni18 nell’ambito dell’operatività aziendale. 1.3 I TRE LIVELLI DI CONTROLLO La fase di monitoraggio nella gestione dei rischi, che compete propriamente all’Internal Auditor, si concretizza in interventi continui integrati nella normale attività operativa aziendale o in valutazioni separate, oppure in una combinazione dei due metodi19; in ogni caso è bene sottolineare che tutto il sistema dei controlli non si esaurisce solo in questa attività ma è molto più pervasiva e capillare nella realtà aziendale a tutti i livelli. Nel mondo bancario le Istruzioni di vigilanza20 emanate dalla Banca d’Italia, attuative dei rinvii espressi nel TUB21 hanno, per la prima volta in ambito nazionale, esplicitato la natura del sistema dei controlli, evidenziandone tre livelli: 1. CONTROLLI DI LINEA volti ad assicurare il corretto svolgimento delle operazioni; essi sono generalmente svolti dalle 18 Dittmeier C., Internal Auditing Chiave per la Corporate Governance, EGEA, Milano, 2007. 19 IIA, PWC (a cura di), La gestione del rischio aziendale, IlSolo24Ore, Milano, 2006. 20 Banca d’Italia, circolare 229/1999, Istruzioni di vigilanza per le Banche. 21 Testo Unico Bancario, d.lgs. 1º settembre 1993, n. 385, in vigore dal 1º gennaio 1994. 25 stesse strutture produttive, sono incorporati nelle procedure che vengono portate a termine da ciascun operatore. 2. CONTROLLI SULLA GESTIONE DEI RISCHI sono affidati a soggetti diversi dalle strutture operative perché concorrono alla misurazione del rischio e controllano la coerenza dell’operatività di ciascuna area operativa con gli obiettivi di rischio-rendimento assegnati. 3. ATTIVITA’ DI REVISIONE INTERNA volta ad individuare andamenti anomali o il mancato rispetto delle procedure definite e dei regolamenti (REVISIONE DI CONFORMITA’), oltre alla valutazione del complessivo andamento del sistema dei controlli interni (CONTROLLI DI ADEGUATEZZA). Proprio i controlli di adeguatezza caratterizzano la figura dell’auditor e il suo ruolo, richiedendo un giudizio professionale e di entrare nel merito dei controlli; in queste circostanze è importante che il soggetto sia capace di interpretare al meglio gli obiettivi di conoscenza del management e sia in grado di apprezzare l’economicità e l’efficacia del disegno dei controlli aziendali. Naturalmente le tematiche legate ai controlli estesi fino alla base della piramide gerarchica organizzativa sono fortemente sentite in ogni tipo di impresa, non solo nel settore bancario e questo schema è facilmente replicabile in ciascuna azienda, a maggior ragione oggi che il Codice di Autodisciplina e la recente Riforma del Codice Civile hanno palesato l’esigenza di spostare il momento dei controlli sempre più verso una fase di prevenzione dal rischio piuttosto che di risposta all’evento negativo, portando la figura dell’auditor sempre più vicina al management e con un ruolo di prestigio e importanza crescenti. Tutti all’interno dell’organizzazione possono e devono partecipare all’identificazione dei rischi e al loro contrasto affinché il 26 sistema dei controlli interni non rimanga solo uno schema polveroso di procedure d’intralcio all’attività, ma possa costituire un momento di partecipazione dinamica all’azienda nel lavoro di ciascuno. 27 CAPITOLO II: LA FIGURA DELL’INTERNAL AUDITOR Appare chiaro a questo punto della trattazione che negli ultimi anni si è assistito ad un vero e proprio stravolgimento del concetto di Corporate Governance all’interno del sistema aziendale. L’evolversi dell’ambiente in cui le aziende si trovano ad operare ha comportato inevitabilmente la necessità di rivederne la struttura organizzativa: in un mondo fin troppo volatile, in cui non sono più ben delineati i confini, non si sa più dove si produce, per chi, a chi si vende, chi sono i competitor e qual è l’effettiva domanda del mercato, si rende necessario rafforzare l’interno dell’azienda, renderla coesa, più forte e resistente attraverso il miglioramento dei profili di trasparenza, di comunicazione e del controllo interno. Si produce valore anche e prima di tutto tutelando la ricchezza già esistente in azienda, proteggendola dagli eventi che potrebbero intaccarla, e poi rafforzandone l’immagine sul mercato. Soprattutto alla luce dei recenti scandali finanziari che si sono susseguiti sulla scena economica mondiale, è importante creare un clima di fiducia per creare sviluppo. E’ da questi presupposti che muove tutta la 28 moderna trattazione relativa ai controlli interni e la costruzione del nuovo organigramma aziendale. 2.1 IL QUADRO NORMATIVO DI RIFERIMENTO Per quanto riguarda la normativa di riferimento sullo scenario internazionale, l’attenzione sui controlli interni e la Corporate Governance è viva già da diversi anni; l’Italia ha introdotto questi temi solo dagli anni novanta mentre nei Paesi anglosassoni i riflettori sono accesi già dal ventennio precedente. Il primo input è arrivato dagli Stati Uniti con il Foreign Corrupt Practices Act (FCPA), pubblicato nel 1977 per la prima volta, e poi rivisitato nel 1988 e successivamente nel 1998. Questo atto legislativo è stato introdotto nell’ordinamento statunitense col mirato scopo di contrastare la corruzione dei funzionari stranieri da parte delle società americane al fine di ottenere o mantenere affari. Al suo interno tuttavia sono contenute anche disposizioni in materia di contabilità e controllo interno nella convinzione che un buon modello organizzativo di controllo interno dovrebbe costituire un efficace deterrente contro i pagamenti illeciti. Nel 1985, sempre negli Stati Uniti, è stata creata la National Commission Fraudolent Finantial Reporting, meglio nota come Treadway Commission, col dichiarato intento di individuare le cause del falso in bilancio e formulare raccomandazioni per contrastarlo. Nel 1987 la Commissione ha pubblicato una relazione in cui si caldeggiava la creazione di un Comitato all’interno del Consiglio di Amministrazione delle imprese, cosiddetto Audit Committee, 29 composto interamente da consiglieri indipendenti, che si ponesse come controllore del management in merito alle capacità di monitorare l’osservanza del codice etico adottato all’interno dell’azienda di ciascun componente. La diffusione di questo regolamento costituisce una pietra miliare nella regolamentazione di tutto il mondo, quindi anche in Italia, fornendo ispirazione per il D.Lgs. 231/2001 e la relativa istituzione di modelli organizzativi e di organismi di vigilanza. Nei primi anni del 2000, a seguito degli scandali finanziari di Enron e Worldcom principalmente, che hanno fatto emergere tutti i limiti della Corporate Governance così com’era intesa al tempo, fu approvato il Sarbanes-Oxley Act. Il principale obiettivo dell’atto legislativo approvato nel luglio 2002 era quello di riconquistare la fiducia degli investitori, ormai gravemente compromessa. La strada che si decise di intraprendere per questo cammino di riabilitazione aziendale fu quella di rendere l’amministrazione più efficiente22 . A questo proposito la normativa stabilisce la responsabilità personale di tutti i funzionari aziendali per le eventuali false dichiarazioni. Gli elementi fondamentali23 della SOX possono essere riassunti in: 1. Indipendenza delle società di revisione contabile e vigilanza sul loro operato; 2. Maggiore attendibilità delle informazioni finanziarie e dei processi di controllo interno contabile; 22 Le norme del Sarbanes-Oxley Act, o SOX, riguardano tutte le aziende i cui titoli azionari sono registrati presso la Securities and Exchange Commission (SEC) americana, e la cui capitalizzazione di borsa supera i settantacinque milioni di dollari. 23 Dittmeier C., Internal Auditing- Chiave per la Corporate Governance, EGEA, Milano 2007; ulteriori approfondimenti sull’ambito normativo del SOX-Act sono contenuti nel Position Paper dell’AIIA “Legge sulla tutela del risparmio”, maggio 2006. 30 3. Accresciuti poteri di regolamentazione e vigilanza riconosciuti alla SEC24 , soprattutto riguardo alla supervisione dell’organo di vigilanza pubblico delle società di revisione ed emanando regolamenti di dettaglio per assicurare la perfetta trasparenza e aderenza alla realtà economico-finanziaria dell’informativa data al mercato, a prescindere dalle previsioni normative in tema di bilancio. La Commissione Europea, traendo spunto dal SOX-Act americano, ha lavorato ad un piano d’azione per la modernizzazione dell’impianto normativo riguardante le società e il rafforzamento della Corporate Governance. L’attività si è focalizzata sulla partecipazione degli azionisti alla vita della società e quindi sul miglioramento dell’informazione e della trasparenza, conferendo inoltre, a questi, maggiori diritti. Per quanto riguarda la legge interna, fino a poco tempo fa la normativa riguardava esclusivamente i settori regolamentati, seguendo quindi precise logiche dettate dalle Autority solo per quei settori ritenuti più delicati, ad esempio banche, SGR e imprese di intermediazione creditizia; dal 2003, a seguito della riforma del diritto societario con i nuovi dettami del Codice Civile25, si sono perfezionati i sistemi di amministrazione e controllo in tutte le società di capitali. I cardini di questa riforma riguardano soprattutto: 1. La creazione di una netta divisione tra gestori e controllori all’interno del Consiglio di Amministrazione, mediante la precisa individuazione dei ruoli e delle funzioni di ciascuna figura coinvolta nella governance aziendale; 24 Securities and Exchange Commission (Commissione per i Titoli e gli Scambi) è l'ente federale statunitense preposto alla vigilanza della borsa valori; l’equivalente americano dell’italiana Consob. 25 Decreto Legislativo 17 gennaio 2003, n.6, denominata anche Riforma Vietti, dal nome del suo promotore. 31 2. Maggiore enfasi sull’autoregolamentazione. Alle società è attribuita la massima autonomia statutaria nella scelta del modello di governance che più le favorisce allo scopo di incentivare la competitività tra le imprese. Il decreto legislativo 231/2001 aveva già modificato, prima della riforma del diritto societario, lo scenario in cui le imprese si trovavano ad operare, introducendo un concetto al tempo rivoluzionario: la responsabilità amministrativa di tipo parapenale in capo alla persona giuridica all’interno della quale il soggetto che ricopre una “funzione di rappresentanza, di amministrazione o di direzione dell’ente o di una sua unità organizzativa dotata di autonomia finanziaria e funzionale” commetta un reato nell’interesse o a vantaggio dell’ente stesso. Al fine di eliminare questo genere di rischio la società può dotarsi di un idoneo modello organizzativo, in grado di procurare un legittimo affidamento che determinate fattispecie di reato previste nel decreto stesso non possano integrarsi. Questa costituisce esimiente alla responsabilità dell’ente, insieme alla nomina di un Organismo di Vigilanza (OdV) che si occupi di vigilanza e controllo sui principali rischi26, dell’aggiornamento del modello e che curi il flusso informativo interno all’azienda oltre ad assicurarsi un ottimale diffusione del modello e della cultura del controllo. Questo decreto legislativo ha avuto un forte impatto sullo sviluppo dell’Internal Auditing in Italia poiché nell’Organismo di Vigilanza sono ravvisabili elementi propri del revisore interno, nonostante non sia necessaria la confusione delle due figure sullo stesso soggetto; infatti l’Internal Auditor assume un ruolo di “cerniera” tra l'OdV medesimo e le funzioni operative dell'azienda sino a giungere al Consiglio di 26 Nel 69,2% delle società analizzate nell’ambito dello studio portato avanti dall’Università degli studi di Parma con Deloitte e AIIA (Maggio 2015) l’Internal Auditor è anche membro dell’OdV. 32 Amministrazione. Quello che è importante scongiurare è il rischio di duplicazione delle attività di verifica che ha come conseguenza solo un evidente stress organizzativo ed operativo sulla società. A onor del vero è giusto ricordare che già nel Testo Unico della Finanza27 (TUF) e cioè nel D.Lgs. 58 del 1998, c’era stato un primo accenno ai controlli interni, per la prima volta in un testo normativo tra l’altro, anche se il riferimento era prettamente alle imprese di intermediazione finanziaria, per la tutela degli investitori e il buon funzionamento del mercato attraverso il rispetto dei principi di trasparenza e correttezza dei comportamenti. La risposta italiana al SOX-Act è stata introdotta nell’ordinamento con la legge 28 dicembre 2005, n.262 sulla tutela del risparmio e la Corporate Governance, che è a sua volta entrata nel TUF con l’articolo 154bis. Con questa legge si presenta sulla scena aziendale italiana il cosiddetto “dirigente preposto”, una nuova figura deputata alla redazione di documenti contabili , che si occupa di istituire adeguate procedure amministrative e contabili per la redazione del bilancio d’esercizio e consolidato, e di ogni altra comunicazione di carattere finanziario e se ne assume personalmente la responsabilità, sia all’interno dell’azienda che verso il mercato. Nel dettato normativo è inoltre introdotta una puntuale disciplina della revisione contabile, con particolare attenzione al conflitto d’interesse e all’indipendenza dei revisori. 27 Decreto legislativo entrato in vigore come legge ricettizia della legge comunitaria 6 febbraio 1996 n. 52, che agli articoli 8 e 21 delegava il governo ad emanare, entro due anni, un testo unico di coordinamento della normativa in materia di intermediazione finanziaria. 33 2.2 REGOLE PER L’INTERNAL AUDITING Per quanto riguarda la regolamentazione dell’attività propria della funzione di Internal Auditing è necessario far riferimento all’ Institute of Internal Auditors (IIA) che, in qualità di autorità accreditata della professione ha sviluppato e promosso la diffusione di un modello di riferimento per la pratica professionale, il Professional Practices Framework [Fig.4], pubblicato nel 1999. Sono così raccolti i pilastri fondamentali dell’Internal Auditing: la definizione, il Codice Etico, gli Standard internazionali e le Guide Interpretative. Fig.4 - Fonte: IIA 34 Il framework è costruito tutto sulla Mission dell’Internal Auditing, che nella sua ultima stesura ha vissuto una profonda rivisitazione, è stato infatti introdotto un concetto mai usato prima con riferimento alla funzione Audit, quello di protezione; si legge infatti: “Proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e risk based, consulenza e competenza”28. L’attività di revisione interna compie un salto di qualità assumendo connotati del tutto nuovi, ponendosi ai massimi vertici aziendali, come partner del management, con cui si condivide l’obiettivo ultimo dell’azienda, la creazione di valore. In quest’ottica la protezione dal rischio e la prevenzione sono riconosciute come armi fondamentali per la sopravvivenza dell’organizzazione e la sua buona salute, alla stregua delle decisioni strategiche. Come si evince chiaramente dalla Fig.3, l’IPPF è organizzato operativamente su due componenti: la Mandatory Guidance, vincolante e la Strongly Recommended Guidance, raccomandata. La prima raccoglie al suo interno: - Principi Fondamentali per la pratica professionale di Internal Auditing Definizione di Internal Auditing Codice Etico Standard Internazionali; mentre la seconda comprende: - Guide Attuative/Interpretative Guide Supplementari29. La conformità alle previsioni raccolte nei principi vincolanti è essenziale per lo svolgimento della pratica professionale di Internal Auditing e si prevedono specifiche forme di pubblicità, mentre le linee guida raccomandate, approvate anch’esse dall’IIA, descrivono 28 29 AIIA, 2015. www.aiiaweb.it 35 pratiche professionali finalizzate all'effettiva implementazione del Codice Etico e degli Standard Internazionali, rappresentano quindi la best practice; ciò nonostante non è previsto alcun vincolo di obbligatorietà. I Principi fondamentali per la pratica professionale dell’Internal Auditing assicurano l’efficienza della funzione e ne tracciano i caratteri salienti. Per completezza sono di seguito ricordati: 1. Agire con manifesta integrità. 2. Dimostrare competenza e diligenza professionale. 3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti). 4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione. 5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo. 6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo. 7. Comunicare con efficacia. 8. Fornire una risk based assurance. 9. Operare con un approccio propositivo, proattivo e lungimirante. 10. Favorire il miglioramento dell'organizzazione30. Si può notare già dai principi fondamentali l’evidente orientamento della funzione ad affiancare il management nella gestione aziendale, piuttosto che a servirla. Il Codice Etico ha il compito di promuovere la cultura etica all’interno dell’azienda attraverso un sistema di principi morali e di regole a cui la condotta dell’auditor deve conformarsi31 affinché si diffonda un clima di fiducia in tutti gli stakeholder che le attività vengano svolte con indipendenza e obiettività: è possibile, infatti, che nello 30 31 AIIA, www.aiiaweb.it Dittmeier C., Internal Auditing , EGEA, Milano 2007. 36 svolgimento dell’incarico il revisore sia tentato di portare avanti pratiche in conflitto di interessi, essendo egli stesso direttamente impiegato all’interno dell’azienda che è chiamato a valutare. Per far fronte a questo problema sono state messe a punto negli anni una serie di strategie di protezione volte ad arginare il fenomeno, una di queste è appunto la definizione di un decalogo di requisiti professionali cui uniformarsi. Il pericolo che si corre, tuttavia, con questo atteggiamento, è quello di creare troppe barriere all’ingresso nella professione; rendendo marcatamente elitario questo mestiere si potrebbe arrivare a non avere risorse sufficienti per un adeguato turn-over o per consentire una libera e sana concorrenza tra gli operatori, anche nella determinazione del prezzo da applicare per la prestazione32. Viceversa, lasciando la figura professionale priva di caratterizzazioni, il rischio di incappare in soggetti che non siano effettivamente in grado di svolgere l’incarico è alto. La soluzione migliore a tutti questi problemi sembrerebbe essere dunque quella di attenersi appunto ad un Codice di comportamento completo e puntuale. In questo caso saranno portate avanti due valutazioni in termini di costi/benefici: la prima riguarda l’organizzazione, che deve trovare il professionista adatto al costo accettabile; la seconda riguarda il professionista stesso, che ha tutto l’interesse a sviluppare le proprie competenze rendendole commercialmente appetibili. Il mancato rispetto del Codice Etico da parte dei membri dell'Institute sarà valutato e sanzionato secondo le norme previste nello Statuto33 e nelle “Administrative Directives” IIA. Dal punto di vista pratico, il Codice etico, si compone di due parti34: 1) I Principi, che costituiscono i fondamentali della professione 32 Hassal. T., Dunlop A. & Lewis S., Internal Audit Education: Exploring professional competence, Managing Auditing Journal 11/05, 1996. 33 Lo Statuto AIIA in vigore è stato approvato dall'Assemblea Straordinaria dei Soci il 18 aprile 2012. 34 AIIA, www.aiiaweb.it . 37 2) Le Regole di Condotta, che descrivono le norme comportamentali che gli internal auditor sono tenuti a osservare e offrono un supporto per l’applicazione pratica dei Principi. Attraverso la definizione di Principi e Regole si delineano gli obblighi fondamentali dell’auditor: INTEGRITA’, che permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità del suo giudizio professionale. OBIETTIVITA’, che consiste nella capacità di analizzare i fatti e le evidenze rilevanti senza subire influenze da altre persone o da interessi personali. RISERVATEZZA, quindi l’auditor è tenuto a non divulgare le informazioni di cui è a conoscenza, se non nei casi in cui lo imponga la legge. COMPETENZA, e cioè l’utilizzo, nell’esercizio dei servizi professionali, del bagaglio più appropriato di conoscenze, competenze ed esperienze. Gli Standard Professionali IIA forniscono i principi base per lo svolgimento dell’attività attraverso la definizione di parametri per la valutazione delle prestazioni e la ricerca del miglioramento continuo dei processi all’interno dell’organizzazione35. Questi costituiscono un importante punto di riferimento per lo svolgimento della professione oltre ad offrire una garanzia di affidabilità sul corretto ed efficiente svolgimento dell’incarico per stakeholder, management e tutti gli organi societari, soprattutto quando l’attività è svolta in contesti giuridici e culturali diversi, all’interno di organizzazioni che variano per finalità, dimensioni, complessità e struttura. 35 Dittmeier C., Internal Auditing, EGEA, Milano, 2007. 38 L’osservanza di questi Standard è obbligatoria per l’adempimento delle responsabilità36, tuttavia è ammesso l’utilizzo congiunto con altre disposizioni pubblicate da altri organismi professionali riconosciuti37. In questi casi gli internal auditor possono e devono comunicarne l’uso nello svolgimento delle proprie attività. Qualora esistessero differenze tra gli Standard IIA e altri eventualmente adottati, resta in ogni caso riconosciuta universalmente la prevalenza degli standard pubblicati dal l’Associazione degli Internal Auditor e si può far riferimento ad altri standard solo se questi sono più restrittivi. Gli Standard hanno lo scopo38 di: 1. delineare i principi base che prescrivono come deve essere svolta l’attività di internal audit; 2. fornire un quadro di riferimento per lo sviluppo e l’effettuazione di una vasta gamma di attività di internal audit a valore aggiunto; 3. definire i parametri per la valutazione delle prestazioni dell’internal audit; 4. promuovere il miglioramento dei processi organizzativi e operativi. La tipica classificazione39 prevede: Standard di connotazione Standard di prestazione Standard applicativi 36 The institute of Internal Auditors, 2012. Dittmeier C., op. cit. 38 IIA, 2012. 39 IIA, www.theiia.org 37 39 Gli Standard di Connotazione stabiliscono quali siano le caratteristiche necessarie ad organizzazioni e individui per lo svolgimento delle attività, ne definiscono i “connotati” riconducendoli a quattro macroaree: i. ii. iii. iv. Finalità, autorità e responsabilità 40, sono caratteri definiti all’interno del Mandato di Audit, in questo modo si cerca di assicurare l’indipendenza, l’autonomia e il libero accesso alle informazioni. Indipendenza e obiettività41. Competenza e diligenza professionale42 , stabiliscono che chi volesse accingersi allo svolgimento dell’attività professionale deve prima procurarsi tutte le conoscenze, le competenze e le capacità necessarie. Programma di assicurazione e miglioramento qualità43 , è cura del RIA sviluppare e gestire tale programma per garantire che l’attività sia svolta secondo i requisiti di qualità ed eccellenza. Gli Standard di prestazione delineano la natura dell’attività e forniscono i criteri qualitativi di apprezzamento delle prestazioni; sono anch’essi suddivisi in sette gruppi: a. Gestione dell’attività di Internal auditing44; b. Natura dell’attività45; 40 Standard IIA 1000, 1000 A.1, 1000 C.1. Standard IIA 1100, 1110, 1110 A.1,1120, 1130, 1130 A.1, 1130 A.2, 1130 C.1, 1130 C.2. 42 Standard IIA1200, 1210, 1210 A.1, 1210 A.2, 1210 A.3, 1210 C.1, 1220, 1220 A.1, 1220 A.2, 1220 A.3, 1220 C.1, 1230. 43 Standard IIA 1300, 1310, 1311, 1312, 1320, 1330, 1340. 44 Standard IIA 2000, 2010, 2010 A.1, 2010 C.1, 2020, 2030, 2040, 2050, 2060. 45 Standard IIA 2100,2110, 2110 A.1, 2110 A.2, 2110 C.1, 2110 C.2, 2120, 2120 A.1, 2120 A.2, 2120 A.3, 2120 A.4, 2120 C.1, 2120 C.2, 2130, 2130 A.1, 2130 C.1. 41 40 c. d. e. f. g. Pianificazione dell’incarico46; Svolgimento dell’incarico47; Comunicazione dei risultati48; Processo di monitoraggio49; Risoluzione dei contrasti in merito all’accettazione del rischio da parte del management50. Per quanto riguarda gli Standard applicativi, questi prevedono caratteri personalizzati per specifiche tipologie di attività, ne esistono perciò diversi gruppi, differenti per incarichi, ad esempio, di assurance, control & risk self assessment, fraud audit, ecc. In conclusione di questo breve excursus possiamo dire che gli Standard IIA identificano tre ordini di obiettivi per l’internal auditor, il primo è offrire un ragionevole affidamento al management che le informazioni finanziarie siano accurate ed affidabili, focalizzando l’attenzione sul sistema dei controlli interni, come già analizzato nel capitolo precedente. In secondo luogo il lavoro di audit si sostanzia nell’analisi sulla accuratezza e affidabilità dell’informazione finanziaria e operativa e sui mezzi utilizzati per identificare, misurare e riportare queste informazioni, in modo da accertarsi che queste informazioni siano affidabili, tempestive, complete e utili. Il terzo obiettivo della funzione è quello di assicurare l’osservanza di leggi, regole, politiche, piani e procedure. 46 Standard IIA 2200, 2201, 2201 A.1, 2201 C.1, 2210, 2210 A.1, 2210 A.2, 2210 C.1, 2220, 2220 A.1, 2220 A.2, 2220 C.1, 2230, 2240, 2240 A.1, 2240 C.1, 2300. 47 Standard IIA 2300, 2310, 2320, 2330, 2330 A.1, 2330 A.2, 2330 C.1. 48 Standard IIA 2400, 2410, 2410 A.1, 2410 A.2, 2410 A.3, 2410 C.1, 2420, 2421, 2430, 2440, 2440 A.1, 2440 A.2, 2440 C.1, 2440 C.2. 49 Standard IIA 2500, 2500 A.1, 2500 C.1. 50 Standard IIA 2600. 41 2.3 L’ AUDITOR: CARATTERI FONDAMENTALI L’internal auditor contribuisce all’organizzazione aiutando il management nel miglioramento de processi, creando valore; è un consulente organizzativo multidisciplinare51 che modifica la propria operatività in funzione dei diversi obiettivi di business e di governo aziendale. Per questo motivo tracciare il profilo del perfetto internal auditor, è affare piuttosto complesso, soprattutto alla luce del percorso evolutivo che la funzione ha compiuto negli ultimi anni. Coerentemente con la Tassonomia di Bloom52 le capacità del revisore interno possono ricondursi a sei livelli cognitivi: 1) Memoria: capacità di ricordare informazioni, metodi, processi e strutture, il livello più basso di astrazione ma il fondamento dei quelli superiori; 2) Comprensione 3) Applicazione: la capacità di utilizzare le informazioni immagazzinate e le idee per risolvere problemi; 4) Analisi: per far emergere le caratteristiche e gli elementi di un problema, i principi e le tecniche utilizzate; 5) Sintesi: la ricostruzione dei pezzi anche per formulare ipotesi e astrarre dai fatti; 6) Valutazione: un giudizio dato in base al metodo e ai mezzi per raggiungere l’obiettivo prefissato. 51 Dittmeier C. con riferimento a L.B. Sawyer, M.A. Dittenhofer, Internal Auditing. The Practice of Modern Internal Auditing, 1996. 52 La tassonomia di Bloom è uno dei modi di formalizzare le fasi di acquisizione e familiarizzazione con set di informazioni o teorie. Bloom B. S., Taxonomy of Educational Objectives, D. McKey, New York, 1956 [in Managerial Auditing Journal Vol.11 n.5 1996]. 42 Il livello più alto del processo cognitivo è l’abilità di valutazione ed è proprio parte integrante del lavoro dell’auditor interno, costituisce ciò che gli consente di apportare valore aggiunto in azienda. Gli Standard internazionali di connotazione precisano, come già detto, la caratteristiche necessarie per marcare la figura professionale del revisore interno. Oltre all’obiettività e all’Indipendenza, di cui si è parlato nella parte introduttiva e si tornerà a parlare approfonditamente nel proseguo, lo Standard 1210 richiama l’attenzione sul tema della competenza: Gli internal auditor devono possedere le conoscenze, capacità e altre competenze necessarie all’adempimento delle loro responsabilità individuali. L’attività di internal audit nel suo insieme deve possedere o dotarsi delle conoscenze, capacità e altre competenze necessarie all’esercizio delle proprie responsabilità. Le conoscenze, capacità e altre competenze cui si a riferimento nello Standard includono53: - - - 53 competenza nell’applicazione di standard, procedure e tecniche di internal audit nello svolgimento degli incarichi. Competenza significa la capacità di gestire problematiche di normale entità in modo appropriato, senza prevalente ricorso al supporto e all’assistenza specialistica; competenza in materia di principi e tecniche contabili, se gli internal auditor sono sistematicamente impegnati nella verifica di scritture e rendiconti finanziari; esperienza per identificare gli indicatori di frode; conoscenze dei principali rischi e controlli in materia di tecnologie informatiche e degli strumenti informatici di audit disponibili; Guida Interpretativa IIA 1210-1. 43 - - - conoscenza dei principi di management per poter riconoscere l’esistenza e valutare l’entità e la significatività di deviazioni dalle regole della sana gestione. Conoscenza significa la capacità di utilizzare, in specifiche situazioni reali, il proprio bagaglio professionale per identificare deviazioni significative ed effettuare le necessarie ricerche al fine di pervenire a soluzioni accettabili; cognizioni di base su materie aziendali quali contabilità, economia, diritto commerciale, legislazione fiscale, finanza, analisi quantitative, tecnologie informatiche, gestione dei rischi e frodi. Cognizione di base significa la capacità di percepire la presenza, anche solo potenziale, di problemi e di valutare la necessità di ulteriori approfondimenti o l’assistenza da richiedere; capacità nelle relazioni interpersonali e nel mantenere buoni rapporti con le controparti; capacità di esposizione sia in forma scritta che orale, allo scopo di comunicare chiaramente ed efficacemente obiettivi, valutazioni, conclusioni e raccomandazioni. Per svolgere l’incarico in maniera adeguata, a ben vedere, la competenza da sola non basta, dev’essere necessariamente affiancata alla diligenza professionale54, che riguarda la conformità con il Codice Etico e il Codice di condotta dell’organizzazione o quelli relativi ad titoli professionali che l’auditor potrebbe possedere, e dev’essere adeguata alla complessità dell’incarico55, alla probabilità di errori o frodi e all’adeguatezza dei processi di governance e di gestione del rischio. L’esercizio della diligenza professionale implica che i revisori devono prestare attenzione sia alla possibilità che esistano frodi, comportamenti dolosi, errori e omissioni, inefficienze, sprechi e conflitti di interesse, sia alle situazioni e alle attività in cui è più probabile il manifestarsi di irregolarità per essere certi di svolgere 54 55 Standard IIA 1200. Guida interpretativa IIA 1220-1. 44 l’incarico in maniera ragionevolmente prudente56, sempre tenendo a mente però che la diligenza professionale non implica infallibilità: si richiede al soggetto che conduca analisi e verifiche con ragionevole profondità, ma ovviamente non è possibile fornire garanzia assoluta dell’inesistenza di deviazioni o irregolarità. Come professionista, l’internal auditor deve essere certamente in grado, tuttavia, di fornire giudizi ben argomentati e basati su giustificazioni forti nello svolgimento del proprio incarico per assicurare il successo dell’attività. La professionalità del soggetto abita nelle sue conoscenze, nelle abilità e negli atteggiamenti grazie ai quali questo risulta essere in grado di trovare soluzioni ai problemi in un determinato contesto. Molto dipende dalle caratteristiche personali del revisore, la professionalità può essere pensata come un “vestito” che va a modellare le personalità dell’individuo nel suo contesto lavorativo. Tralasciando per un attimo i dettami normativi in tema, il revisore interno, per essere qualificato come professionista nel suo settore, deve necessariamente vantare certe qualità, quali ad esempio57: Capacità di problem solving; Capacità di ragionamento deduttivo e induttivo; Capacità di generare e organizzare le idee; Capacità di disegnare piani d’azione sistematici; Capacità di costruire e valutare argomentazioni; Capacità di esplorare i problemi da diverse prospettive; Capacità di applicare le conoscenze a situazioni diverse e sempre nuove; Capacità di valutare con pensiero critico la logica e la validità delle informazioni; 56 Standard IIA 1220. Chaffee J., Teaching Critical thinking Across the Curriculum, New Directions in Community Colleges, Vol.20; riportato in Lydia L.F. Schleifer & M. B. Greenawalt, The Internal Auditor and the Critical Thinking Process, Managerial Auditing Journal 11/5, 1996. 57 45 Capacità di sviluppare prove a supporto delle idee; Capacità di analisi accurata delle situazioni; Capacità di discutere di argomenti in modo organizzato. Ovviamente con questo breve elenco non si esaurisce il novero delle molteplici abilità necessarie per lo svolgimento dell’ attività di auditing, che variano peraltro anche in relazione agli obiettivi aziendali e ai settori di appartenenza delle diverse imprese. Nel corso degli anni la letteratura si è soffermata più volte su un altro carattere giudicato significativo della figura dell’auditor, l’abilità di critica. Il critical thinking si definisce formalmente come la propensione e la capacità di approcciarsi all’attività con un riflessivo scetticismo58, e quindi non accettare superficialmente le cose ma scavare a fondo per ottenerne un’ esaustiva disamina. Affinché il revisore interno giunga ad una valutazione professionale della situazione aziendale è quindi necessario che analizzi i vari problemi nelle loro diverse sfaccettature per arrivare ad un giudizio ben ponderato e inattaccabile dal punto di vista delle motivazioni; per far questo è fondamentale conoscere bene i processi in esame e, successivamente, riflettere con salutare scetticismo, analizzando il problema da diversi punti di vista. Il critical thinking è la risposta razionale a domande a cui non può essere data una risposta univoca e per cui non si hanno informazioni a sufficienza59. Ovviamente questa abilità non sostituisce la conoscenza sul campo, tenta piuttosto di sopperirne le lacune. Un abile critico pensatore deve, dunque, essere capace di applicare le proprie conoscenze a nuove situazioni e modificare il suo giudizio se necessario, quando sopraggiungano ulteriori informazioni. 58 McPeck J.E., Critical Thinking and Education, St. Martin’s Press, New York, 1981 [in Managerial Auditing Journal Vool.12 n.2 1997] . 59 Kurfiss J.C., “Critical Thinking: theory, research, practice and possibilities, ASHERIC Higher Education Report, Washington, 1988 [in Managerial Auditing Journal 11/5 1996]. 46 E’ evidente che anche le capacità e la propensione al critical thinking sono attributi vitali per svolgere al meglio l’audit. L’elenco delle caratteristiche del perfetto Internal Auditor potrebbe essere evidentemente infinito, la scelta definitiva dei soggetti candidati a ricoprire questo ruolo all’interno dell’azienda dunque spetta alla fine sempre al RIA, che individuerà il giusto mix di conoscenze competenze e abilità in grado di assicurare alla funzione una dotazione di risorse umane adeguata a soddisfare le esigenze aziendali. La possibilità di ottenere certificazioni in questo ambito costituisce senza dubbio un’opportunità di diventare professionisti con competenze e capacità riconosciute a livello internazionale, l’IIA ha per l’appunto introdotto la qualifica CIA “Certified Internal Auditor”, che rappresenta il marchio di qualità del revisore interno. In seguito sono state introdotte alcune specializzazioni della Certificazione, come ad esempio CCSA, certificazione in control self-assessment; oppure CFSA Certified Finantial Services Auditor, per gli operatori nel settore bancario principalmente, o ancora CRMA, certificazione in Risk Management Assurance60,la più recente, introdotta nel 2011 per attestare la competenza nel fornire consulenza e garanzie sul Risk Management ai comitati di audit e all'Executive Management. Gli ultimi dati AIIA61 indicano che su circa 2800 revisori interni iscritti all’Associazione, circa 1400 sono in possesso di una certificazione CIA, CCSA, CFSA oppure CRMA. 60 AIIA, www.aiiaweb.it AIIA, Università di Parma, Deloitte, Connotazione e Prestazioni della funzione di Internal Audit, 27 maggio 2015. 61 47 2.4 TIPOLOGIE DI AUDITING INTERNO La nuova definizione di Internal Audit diffusa dall’IIA eleva la figura del revisore interno ad un partner del management; il controllo deputato a questa figura è, infatti, un controllo manageriale, con compiti di monitoraggio e valutazione degli altri controlli. Come già detto all’inizio del lavoro, i controlli che riguardano l’attività aziendale sono distribuiti su tre livelli: controlli di linea; controlli sulla gestione dei rischi e attività di revisione interna. La revisione interna è tale proprio perché viene svolta per fini interni, di informare e documentare in maniera sistematica il vertice aziendale sullo stato e l’operatività del sistema dei controlli, costruito per fronteggiare i rischi specifici dell’impresa e abbassare la probabilità di manifestazione di quello ontologico62. Proprio quest’attività di revisione interna può essere declinata secondo cinque tipi di attività: MANAGEMENT AUDIT OPERATION AUDIT COMPLIANCE AUDIT FINANCIAL AUDIT FRAUD AUDIT Ovviamente non esiste una perfetta segregazione delle mansioni in questa ripartizione, è probabile che ci siano delle sovrapposizioni che nascono dall’attività dell’auditor, dalla sua sensibilità e dalla sua esperienza. Il management audit si occupa di investigare, dal vertice aziendale fino al livello più basso dell’impresa, l’adeguatezza del sistema dei 62 Troina G., Lezioni di Economia Aziendale, CISU, 2006. 48 controlli interni in termini di efficienza e di rispetto dei principi di economicità; il parametro di riferimento è costituito dall’insieme degli obiettivi aziendali prefissati, dal contesto ambientale e dalle risorse dedicate. Effettua controlli sui processi e sui risultati ma, cosa più importante, ha la facoltà di entrare nel merito delle decisioni della direzione per verificare l’efficacia e la tempestività di questi controlli. L’operational audit si prefigge come scopo quello di pervenire al miglioramento dei sistemi di controllo a livello operativo. Mentre la funzione di Controllo di Gestione si occupa di verificare l’economicità delle scelte operative e supporta i manager nelle scelte per il miglioramento dei controlli sull’efficienza, il revisore interno ha il compito di controllare l’esistenza e la funzionalità di tali controlli. Viene condotta un’analisi a livello trasversale rispetto alle funzioni aziendali, rilevando tipicamente problematiche di integrazione ed efficienza. Per questo è la tipologia di audit a maggior contenuto consulenziale e non è raro che da un’attività di operational audit possa scaturire una reingegnerizzazione dei processi. Il punto di partenza per questo tipo di attività è nell’identificazione di tutti i processi aziendali, mediante il flowcharting, successivamente si procede con l’analisi delle diverse fasi nel processo, e poi con la verifica. All’interno dell’operational audit si estendo i controlli sul sistema informativo; l’audit sul processo operativo implica necessariamente un’occhiata al sistema informativo. L’ IT audit, nell’impresa moderna, va appunto ad a fornire un audit circa la sicurezza e l’inviolabilità dei sistemi informativi. Nel compliance audit il revisore interno si occupa di verificare il rispetto, nei sistemi aziendali, della normativa vigente: normativa esterna ed interna, e quindi leggi, regolamenti ma anche principi e politiche aziendali, procedure e disposizioni operative. In questo senso è svolta un’attività di prevenzione, in quanto l’azienda risulta tutelata da una serie di effetti negativi legati alla mancata osservanza 49 delle disposizioni normative: sanzioni amministrative, penali e interdittive63, ma anche effetti negativi in termini di immagine e reputazione. Il financial audit estende la sua attività nell’area contabile dell’impresa, in questo caso si trova ad avere punti di contatto con l’attività del revisore esterno; è importante per questo definire bene i ruoli: il revisore esterno ha il compito di verificare l’attendibilità dei dati contabili e la corrispondenza di questi alle attività realmente svolte all’interno dell’azienda, l’internal auditor si occupa piuttosto di analizzare se al livello contabile è stato attivato un sistema dei controlli a garanzia di detta attendibilità e rispondenza, e se questo è effettivamente adeguato alla realtà aziendale in oggetto. Questo tipo di audit, come l’IT audit64 permeano tutte le attività aziendali, andando a controllare una funzione all’interno dell’impresa è inevitabile prestare attenzione anche a questi aspetti. Il fraud audit è una tipologia di audit sui generis che si occupa di tutelare l’azienda dalla possibilità che un’azione fraudolenta perpetrata da un membro dell’organizzazione possa attentare all’integrità del patrimonio aziendale. L’attività primaria dell’auditor in questo caso è quella di prevenire la frode attraverso una valutazione dell’efficacia e dell’efficienza del sistema di controllo interno, e si articola in tre tipologie di attività: un auditing preventivo per il rafforzamento del sistema di controllo; un auditing ispettivo al fine di individuare eventuali atti sospetti e l’investigazione di gravi sospetti di illecito65. Nel caso venga rilevata una frode tutta la documentazione dev’essere inoltrata alla Procura della Repubblica. Questo particolare ambito di auditing presenta sinergie con il compliance auditing e con l’operational auditing, ma le modalità di avvio dell’attività sono diverse: la funzione oggetto di fraud audit non 63 Dittmeier C., Internal Auditing, EGEA, 2007 (Op.cit.). Standard IIA 1210-A3. 65 Dittmeier C. Internal Auditing, EGEA, 2007 (op. cit.). 64 50 è informata preventivamente dell’avvio di un’indagine a proprio carico. L’attività di internal auditing nel suo insieme deve possedere e dotarsi delle conoscenze, capacità e altre competenze necessarie nell’esercizio delle proprie responsabilità (Standard IIA 1210); le competenze proprie dell’operational audit sono quelle maggiormente richieste all’interno della funzione, seguite dal compliance audit e dal financial audit66. Purtroppo, nonostante il crescente ruolo ricoperto dai sistemi informatici nelle aziende moderne, l’IT audit ha ancora un posto marginale nella funzione. Secondo Cbok67 2010 le attività principalmente svolte, e quindi con maggior peso nel Piano di Audit, nelle imprese intervistate a livello internazionale sono, in ordine: l’Operational Audit per l’89%, il Compliance Audit (75%), il Financial Risk Auditing (72%) e, il Fraud Audit per il 71%, con l’aspettativa di incrementare entro il 2015 le attività di Risk Management. 2.5 L’INCARICO DI AUDIT Per conciliare le risorse disponibili con le esigenze di verifica dell’organizzazione nel suo complesso è necessario che venga redatto un piano di Audit68, piano dell’attività predisposto dal Responsabile della funzione di Internal Audit (RIA), basato sull’analisi dei rischi, allo 66 Risultanze dello studio condotto dall’Università di Parma con Deloitte e AIIA “Connotazione e prestazioni della funzione di internal audit”. 67 Il Cbok (Common Body of Knowledge) è un progetto di studio promosso da IIA a livello mondiale che coinvolge 13.500 auditors in 107 Paesi avviato nel 2006, con una seconda edizione nel 2010 e un’ultima nel febbraio 2015. L’obiettivo è quello di approfondire gli aspetti più importanti della professione, analizzarne i fattori di maggior interesse quali le skill richieste, i tool impiegati, il grado di compliance rispetto agli Standard internazionali e la tipologia delle attività svolte. 68 Standard IIA 2200 e 2230. 51 scopo di determinare le priorità d’intervento. Il piano di Audit, una volta costruito, dev’essere condiviso e approvato dal top management, dal Comitato per il Controllo e Rischi o dal Consiglio di Amministrazione, in base a quanto stabilito dal Mandato con cui è stato affidato l’incarico. Lo stesso Mandato, o Audit Charter viene approvato dal vertice aziendale e stabilisce: - Obiettivi strategici e mission della funzione Autorità e responsabilità Tipologia di servizi richiesti e ampiezza dell’incarico, oltre a contenere indicazioni in merito a remunerazione, rapporti con il management e con gli altri organi sociali. Costituisce la prima tutela all’indipendenza della funzione e ricorda le indicazioni fondamentali dell’IIA. Per l’appunto lo Standard 1010 recita: Il carattere vincolante della Definizione di Internal Auditing, del Codice etico e degli Standard deve essere rispecchiato nel Mandato di internal audit. Il responsabile Internal Auditing dovrebbe discutere la Definizione di Internal Auditing, il Codice Etico e gli Standard con il senior management e il board. All’interno del Piano di Audit sono identificate le aree da analizzare, i tempi e le risorse da destinare a ciascuna attività, ripartendo le giornate di lavoro di ciascun membro dello staff. Generalmente il Piano copre un intero anno di attività e lascia pochi spazi liberi in un’ottica di massimo efficientamento, è norma comune tuttavia prevedere un impegno di risorse da destinare all’attività di consulenza o comunque ad attività non pianificabili o derivanti da urgenze. Una volta pianificate le attività si avviano gli interventi nelle aree individuate [si veda Figura 5]. Prima cosa da fare è comunicare all’area oggetto di audit, nella figura del process owner, l’avvio 52 dell’attività mediante una Lettera di Cortesia o di Notifica, in cui il RIA identifica gli organi dello staff che si occuperanno dell’audit e chiede la collaborazione e la disponibilità di risorse e informazioni per portare avanti il lavoro. Viene così avviata una fase di analisi preliminare che serve allo staff per familiarizzare con l’area d’intervento, è un’analisi prettamente documentale, cui segue un primo incontro tra staff auditor e personale dell’area auditee, denominato Kick-off Meeting. Questo incontro preliminare è fondamentale per chiarire lo scopo e l’ambito di coperture dell’audit, illustrare le metodologie e ottenere la collaborazione attiva dell’area aziendale in oggetto. Dopo la mappatura del processo si stila un Programma di Audit che scandisca l’attività giorno per giorno sul campo in base alle considerazioni emerse nell’analisi preliminare. Esso stabilisce le attività di analisi e di verifica, nonché le metodologie e le tecniche per esaminare e documentare lo svolgimento del lavoro. Si avvia l’attività di verifica vera e propria che porterà all’emersione delle cosiddette “evidenze di audit”, che esprimano la situazione di fatto, costituiscono indizi su cui l’auditor potrà poi formulare i rilievi. La cosa importante è che queste evidenze, raccolte mediante interviste, ispezioni, calcoli, campionamenti statistici o richieste di conferma, siano sufficienti, affidabili, rilevanti e utili. Qualsiasi altro auditor informato deve essere in grado di giungere alle stesse conclusioni69. L’emergere di carenze nel sistema dei controlli interni sarà documentato nelle “schede di rilievo di audit”, insieme alle valutazioni dell’auditor e ai suggerimenti di integrazione del sistema dei controlli, che saranno poi oggetto di discussione con il management per identificare eventuali manovre correttive per colmare le lacune. Al termine dell’attività di audit è importante la fase di Reporting70, in cui tutte le risultanze, positive e negative, sono oggetto di comunicazione al responsabile di processo in maniera informale nel 69 70 Standard IIA 2330. Standard IIA 2400, 2410, 2410.A1, 2410.A2. 53 l’Exit Meeting. Questa forma di comunicazione è più fluida e meno formale, e consente di focalizzare l’attenzione sui contenuti più che sulla forma, dando la possibilità di correggere piccole inefficienze senza metterle nero su bianco e senza che vengano allertati i vertici aziendali. Il management dell’area oggetto di audit è tipicamente motivato da obiettivi contrastanti: da una parte è consapevole che il proprio benessere è strettamente legato al successo complessivo dell’azienda, tuttavia i premi ad esso destinati sono correlati al livello di performance percepito dai propri superiori; per queste ragioni è spesso disponibile ad accogliere favorevolmente interventi di audit volti a supportare il generale raggiungimento degli obiettivi aziendali, ma preferisce che gli stessi si realizzassero in una forma di consulenza personale, in modo da non compromettere la propria immagine agli occhi del top management, anzi migliorarla. In questo caso l’internal auditor agisce in veste di consulente. Dev’essere inoltre tenuto in considerazione che non è detto che tutti i risultati negativi d’analisi siano rilievi da far emergere: i risultati ottenuti possono essere spiegato o interpretati dal management; può esserci una spiegazione plausibile a certe anomalie. A seguito dell’Exit Meeting lo staff di internal audit si occupa di redigere un documento formale che riassuma tutta l’attività svolta, relazioni sui rilievi emersi e riporti le proprie raccomandazioni. Per dovere di cronaca è giusto che vengano riportati nell’informativa anche eventuali punti di merito riscontrati nell’analisi del sistema dei controlli, così da rendere un quadro chiaro della situazione all’interno della funzione oggetto di audit e costruire un rapporto proficuo col management responsabile. Tutto il processo seguito dall’auditor deve essere ben ricostruito nel documento, in quanto questo costituisce prova del carattere professionale del lavoro svolto e deve consentire l’apprezzamento delle medesime considerazioni da parte di un qualsiasi altro soggetto terzo competente in materia. Destinatari dell’informativa in oggetto sono il responsabile di processo, il management aziendale e l’Audit Committee, quindi tutti 54 soggetti interni all’azienda; l’attività svolta dal revisore interno è destinata insomma ad essere apprezzata principalmente all’interno dell’azienda. Come accennato in precedenza l’attività dell’auditor può essere differenziata in assurance e consulenza. La prima, è ormai chiaro, consiste in una revisione di conformità, che raffronta la realtà aziendale con i sistemi di controllo disegnati dal management, e in una revisione di adeguatezza per valutare se questi sistemi siano efficaci ed efficienti, ed evidenziarne le lacune; accanto a questi servizi ci sono poi quelli di consulenza. Proprio lo sviluppo di questo genere di attività ha elevato la figura dell’auditor verso un ruolo strategico più importante all’interno dell’azienda. Il revisore così inteso partecipa attivamente all’attività di reingenierizzazione dei processi e dei sistemi, e quindi offre un notevole apporto per la risoluzione dei problemi all’interno dell’organizzazione. Molti studi hanno evidenziato per l’appunto come la funzione di Internal Audit dia un contributo positivo nello sviluppo degli obiettivi strategici. Tuttavia non dev’essere trascurata la possibilità che l’interessamento dell’auditor alle dinamiche del management aziendale comporti un indebolimento dell’obiettività propria della figura. Una ricerca condotta nei primi anni duemila da Schneider71 sui revisori interni delle aziende statunitensi suggerisce infatti come diretto risultato del coinvolgimento nella consulenza manageriale la partecipazione allo schema di remunerazione proprio del management, ovvero basato sugli incentivi, principalmente stock-option e bonus sui risultati, aprendo evidentemente alle possibilità di un compromesso circa l’imparzialità. D’altra parte molto spesso proprio la figura dell’auditor, con le sue conoscenze e competenze e con le informazioni che riesce ad avere a disposizione mediante l’attività di assurance, è il soggetto ideale per tracciare le linee guida da seguire 71 Schneider, A. (2003), An examination of whether incentive compensation and stock ownership affect internal auditor objectivity, Journal of Management Issues, Vol. 15; [ in Stewart J. & Subpramanian N. , Internal audit independence and objectivity: emerging research opportunities, Managerial Auditing Journal Vol.25, 2010]. 55 per il management, per aiutarlo nella stesura di piani efficaci ed efficienti, su misura per l’organizzazione. Si rende pertanto necessario rafforzare i parametri di determinazione di indipendenza e obiettività della figura, riducendo così al minimo il rischio di distorsioni. Figura 5 - IL PROCESSO DI AUDITING. 56 CAPITOLO III: L’INDIPENDENZA DELL’AUDITOR Raccogliendo il rinvio fatto nei capitoli precedenti si affronta ora uno dei temi più sentiti nel mondo aziendale e della revisione: l’indipendenza. L’indipendenza dell’auditor è intesa come la capacità di questo di esprimere il proprio giudizio con onestà e imparzialità72, e rappresenta la liberà da condizionamenti che minaccino il soggetto nella sua attitudine ad adempiere senza pregiudizio alle proprie responsabilità73. Senza dubbio costituisce uno dei requisiti di maggior peso per lo svolgimento dell’incarico, basti guardare l’importanza che assume negli Standard internazionali IIA, che si sono occupati da sempre e a più riprese di assicurare che l’auditor potesse operare scevro da ogni condizionamento e nella massima obiettività allo 72 Definizione resa dall’American Accounting Association, Committee on Basic Auditing Concepts nel 1973, riportata nell’ International Journal of Business and Management Vol.4/12 “Auditor Indipendence: Malaysian Accounts’ Perceptions” Dicembre 2009. 73 Interpretazione Standard IIA 1100. 57 scopo di tutelare il legittimo affidamento che il management, gli investitori e il governo fanno sulle dichiarazioni di quest’ultimi. Fiducia che inevitabilmente influisce sull’immagine dell’azienda sul mercato. Si è parlato più volte nel corso della trattazione del ruolo importante che la funzione di Internal Audit si è ritagliata nel ridisegno degli assetti di Corporate Governance, andando ad affiancare con la propria attività il management nel perseguimento dell’obiettivo comune di creazione di valore in azienda; ciò induce l’intero staff che compone la funzione a correre costantemente in bilico tra le aspettative del management e il proprio compito di assurance; è un partner del board, ma anche il suo controllore. Questa ambivalenza è particolarmente sentita in relazione all’attività di Risk Assessment, al miglioramento e all’implementazione di nuovi sistemi di controllo e in generale in relazione all’attività di consulenza che inevitabilmente comporta uno stravolgimento del proprio status di indipendenza determinando un alone di scetticismo intorno alla funzione74 che non considera però che la prestazione di questo genere di servizi accresce nell’auditor la conoscenza dell’impresa auditee creando le condizioni per una continua tensione al miglioramento. Riguardo a questi temi il management, com’è già accennato nei capitoli precedenti, vive un vero e proprio dualismo interno: da una parte riconosce il valore aggiunto che la funzione è in grado di apportare, è ben consapevole di avere bisogno delle sue conoscenze e competenze, ed ha tutto l’interesse a che questa sia professionale, obiettiva e imparziale nei giudizi, ne va dell’affidabilità che loro per primi fanno sul lavoro del revisore e del ritorno d’immagine che l’azienda di cui sono responsabili ha rispetto all’informativa fornita all’esterno. La stessa gestione aziendale, tuttavia, ha tutto l’interesse ad apparire candida agli occhi del mercato e dell’Assemblea dei Soci, 74 Si vedano in proposito le evidenze degli studi condotti da Gul & Teoh nel 1984 [International Journal of Business and Management Vol.4 No.12 dicembre 2009]. 58 la loro fiducia nelle proprie capacità gestorie infatti è all’origine del rapporto di lavoro; per questo motivo lo stesso management preferirebbe sempre che eventuali macchie nella gestione non venissero evidenziate nei report. La soluzione migliore all’ambiguità costruita intorno alla funzione di Auditing sembra quindi quella di applicare il principio del cosiddetto “arm’s lenght”75 e cioè un posizionamento dell’auditor, letteralmente, “a un braccio di distanza” dal management, restandone quindi registi indipendenti ma liberi da ogni relazione che possa interferire con il proprio giudizio in modo da preservarne l’indipendenza. Nel tentativo di barcamenarsi tra i numerosi interessi contrastanti emersi finora si fa quindi appello alla moralità della figura dell’auditor e a tutta una serie di strumenti, come il Codice Etico, gli Standard IIA e l’IPPF già analizzati in precedenza, elaborati per guidarne l’attività. 3.1 INDIPENDENZA SOSTANZIALE E FORMALE Procedendo per ordine al fine di cogliere tutti gli aspetti rilevanti del tema, il requisito di indipendenza del revisore può essere apprezzato approcciandolo secondo due punti di vista76 : 1. INDIPENDENZA SOSTANZIALE, e quindi indipendenza come atteggiamento mentale, che induce l’auditor a prendere in 75 Principio mutuato dal commercio internazionale richiamato da G.Vinten in “Audit independence in the UK- the state of the art” Managerial Auditing Journal Vol.14 No.8 del 1999. 76 Parallelamente a quanto accade nella revisione legale. Si veda a tal proposito la Raccomandazione della Commissione Europea 590 “L’indipendenza dei revisori legali dei conti nell’UE: un insieme di principi fondamentali” 16 maggio 2002. 59 considerazione tutti gli elementi per l’esercizio del suo compito, ma nessun fattore estraneo e potenzialmente condizionante. Questa caratteristica deve perciò essere rintracciata nelle capacità professionali del soggetto: è la bontà professionale di questo che garantisce la bontà dei risultati. L’indipendenza è, in altre parole, una forma mentis 77 che permette a colui che opera l’intervento un significativo livello di libertà rispetto all’oggetto dell’attività stessa . 2. INDIPENDENZA FORMALE, percepita quindi agli occhi dei terzi. Vale a dire che il revisore “evita di essere associato a fatti e circostanze che siano tali da indurre un terzo ragionevole e informato a mettere in dubbio la propria capacità di svolgere il suo compito in modo obiettivo”78. Per assicurare liberà in questo senso sono stati messi a punto una serie di strumenti a tutela dell’operato del revisore. La funzione di Internal Auditing è tra gli attori principali dell’organigramma aziendale e un centro nevralgico per i flussi informativi all’interno dell’organizzazione. Gli assetti di governance e le procedure di riporto della funzione devono perciò garantirne in via continuativa l’indipendenza79 e a questo scopo è favorito il libero scambio di informazioni con il senior management e col board mediante una duplice linea di riporto, oltre alla predisposizione di una serie di strumenti volti a favorire il libero accesso alle informazioni e la tutela del soggetto nello svolgimento dell’incarico. 77 Troina G., Le Revisioni Aziendali, Franco Angeli, Milano 2005. Raccomandazione Commissione Europea 2002/590/CE 16 maggio 2002. 79 Dittmeier C., Internal Auditing, EGEA, Milano, 2007. 78 60 3.2 INDIPENDENZA ORGANIZZATIVA A livello formale si cerca di assicurare all’ auditor interno un certo grado di libertà evitando che subisca qualsiasi genere di soggezione da parte dell’organizzazione; in tal senso si prevede che il Responsabile Internal Auditing riporti ad un livello che gli consenta il pieno adempimento delle proprie responsabilità80. L’adeguata collocazione della funzione all’interno dell’organigramma aziendale rileva sia in relazione al conseguimento dell’indipendenza, dell’obiettività e del peso organizzativo necessari all’efficace svolgimento dell’attività di audit, sia nell’assicurare un adeguato flusso informativo verso i vertici, quindi una adeguata considerazione alle relazioni e un’appropriata risposta alle raccomandazioni emesse81. Il riporto funzionale del RIA al board e quello amministrativo al senior management facilitano pertanto l’indipendenza organizzativa oltre a fornire un aiuto indispensabile per ottenere la collaborazione delle funzioni soggette ad audit ed evitare interferenze. Come detto quindi, funzionalmente l’Internal Auditing dipende dal vertice manageriale dell’organizzazione, questo tipicamente implica che il board: approvi il Mandato complessivo dell’attività di internal audit; approvi l’internal audit risk assessment ed il relativo piano di audit; riceva dal responsabile internal auditing comunicazioni sui risultati dell’attività di internal audit o su altre materie che questi consideri di rilievo. In tali comunicazioni sono inclusi, 80 81 Standard IIA 1110. Guida Interpretativa 1110-1: indipendenza organizzativa, AIIA. 61 sia i colloqui riservati con il responsabile internal auditing, sia la conferma annuale circa lo stato di indipendenza organizzativa dell’attività; approvi tutte le decisioni relative alla valutazione delle prestazioni, alla designazione o alla rimozione dall’incarico del responsabile internal auditing; approvi la retribuzione annuale del responsabile internal auditing e i relativi adeguamenti; richieda gli opportuni approfondimenti al management e al RIA, allo scopo di sincerarsi se sussistano limitazioni di budget o di copertura che possano impedire all’attività di internal audit di adempiere alle proprie funzioni82. Nella gran parte dei casi, specialmente nelle società quotate, il riporto è, più propriamente, al Comitato Controllo e Rischi, che costituisce una cerniera tra la funzione Auditing e il Consiglio d’Amministrazione al fine di garantire maggiore trasparenza informativa e chiarezza sulle problematiche riscontrate dal RIA. A garanzia dell’imparzialità dell’operato del Comitato il Codice di Autodisciplina di Borsa Italiana S.p.a. regola attentamente la composizione di questo prescrivendo, tra le altre cose, che vi partecipino amministratori non esecutivi in maggioranza indipendenti83. Ovviamente resta ferma la responsabilità in capo al CdA interamente considerato per quanto riguarda la definizione della natura e del profilo di rischio compatibile con gli obiettivi strategici dell’emittente, e la valutazione del generale andamento della gestione, tenute in considerazione, in particolare, le informazioni 82 Guida interpretativa IIA 1110-1. Cod. Autodisciplina Art.7 P.4. Per le società controllate da una quotata oppure soggette ad attività di direzione e coordinamento il Comitato per il Controllo Interno ( o Comitato Controllo e Rischi) è composto esclusivamente da amministratori indipendenti. 83 62 ricevute dagli organi delegati84 coerentemente con il proprio ruolo di organo di supervisione strategica. E’ ribadita anche in questo caso quindi che la definizione e l’implementazione del sistema dei controlli interni è responsabilità unica del management. Per l’appunto il Codice prevede che il Responsabile della funzione di Internal Auditing riferisca al Comitato, al Collegio Sindacale al Consiglio di Amministrazione e, se previsto, all’amministratore esecutivo, in merito alla propria valutazione sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo85. Nello scenario così delineato assume particolare importanza il Mandato, o Audit Charter che definisce formalmente le finalità, i poteri e le responsabilità86 dell’attività di revisione interna. Questo è il primo documento formale redatto in azienda e stabilisce la posizione della funzione nell’organizzazione, precisando la natura del riporto funzionale del RIA al board, autorizza l’accesso ai dati, alle persone e ai beni aziendali necessari allo svolgimento dell’incarico e definisce l’ambito di copertura delle attività87 delineandone quindi l’ampiezza. L’approvazione del Mandato di Auditing spetta, in ossequio alle disposizioni del Codice di Autodisciplina, al Consiglio di Amministrazione previo parere favorevole del Comitato Controllo e Rischi e sentito il Collegio Sindacale, che si occuperà inoltre di: a) assicurare che la funzione sia dotata delle risorse adeguate all’espletamento delle proprie responsabilità e b) definirne la remunerazione coerentemente con le politiche aziendali, sempre allo scopo di evitare la subordinazione al management operativo. 84 Codice di Autodisciplina 1.C.1 punti b) ed e), 2015. Cod. Autodisciplina Art.7 C.5. 86 Standard IIA 1000. 87 Guida Interpretativa IIA 1000. 85 63 Il Mandato chiarisce, qualora ce ne fosse ulteriore bisogno, che l’attività di auditing interno è tesa alla realizzazione di valore aggiunto e al miglioramento dei processi aziendali e può facilitare la diffusione di un clima positivo nei confronti dell’attività stessa, incentivando la collaborazione e superando il clima ispettivo diffuso intorno alla figura. La dipendenza amministrativa del RIA nei confronti del senior management, dell’ amministratore delegato o del comitato esecutivo costituisce all’interno dell’organizzazione una facilitazione dell’operatività quotidiana dell’intera funzione, a patto però che questi non godano di autorità esclusiva sull’ambito di copertura o sulla comunicazione dei risultati dell’attività. Ogni limitazione in questo senso deve essere segnalata al Comitato per il Controllo Interno88. L’amministratore delegato, nel supporto alla funzione audit, si occuperà quindi di89: processi di budget e contabilità analitica; gestione delle risorse umane, compresi gli aspetti di valutazione delle prestazioni e di remunerazione del personale; flussi informativi e comunicazioni interne; gestione delle policy e delle procedure dell’attività di internal audit. Il RIA da parte sua, sempre allo scopo di favorire l’operatività quotidiana della funzione, si occupa di definire direttive e procedure per lo svolgimento dell’attività andando a redigere il cosiddetto Manuale di Internal Auditing, essenziale per portare a termine l’annuale piano di audit. 88 89 Dittmeier C., Internal Auditing, EGEA, Milano 2007. Guida Interpretativa IIA 1110-1. 64 Questo documento deve riportare esaurientemente: i. ii. iii. iv. v. la raccolta delle procedure generali di funzionamento della funzione; la descrizione dei riferimenti normativi e regolamentari; l’illustrazione dei principi di deontologia professionale a cui devono ispirarsi gli auditor; le metodologie di lavoro da seguire durante lo svolgimento dell’incarico; la presentazione ai membri dello staff degli strumenti di lavoro a disposizione90. Sebbene gli Standard Internazionali suggeriscano un’organizzazione delle linee i riporto così com’è stata formalizzata finora, nella realtà queste possono essere influenzate da diversi fattori che impediscono l’uso di modelli standard validi per tutti, tra cui, ad esempio, la natura tipica dell’organizzazione, e quindi la dimensione o l’appartenenza al settore pubblico piuttosto che al privato; oppure il grado di complessità, la struttura, il contesto culturale ed economico in cui si trova ad operare. A ben vedere infatti l’IIA, nel definire i propri Standard, si mantiene volutamente vago in relazione alle linee di riporto dal momento che questi sono stati formulati per essere applicati a qualsiasi organizzazione, a prescindere da fattori dimensionali o ambientali. Per le unità aziendali più piccole insomma, si può applicare un modello di gestione e controllo meno formalizzato, tramite costante supervisione e tramite memorandum scritti che definiscono le direttive e le procedure da seguire91. 90 91 Dittmeier C., Internal auditing, EGEA, Milano, 2007. Guida Interpretativa IIA 2040-1. 65 3.3 I FATTORI CHE INFLUENZANO L’INDIPENDENZA Il mantenimento dell’indipendenza costituisce per l’auditor una vera e propria sfida quotidiana. Come già detto, la libertà risiede prima di tutto nella mente del soggetto chiamato allo svolgimento dell’incarico, ma è possibile che questo sia disorientato dalle contingenze che potrebbe trovarsi a vivere in azienda. Il primo fattore ritenuto in grado di condizionare il suo giudizio è da ricercare nelle peculiarità dello stesso ruolo che ricopre, di sorveglianza al management e al tempo stesso di consulenza; si crea inevitabilmente un’ambiguità di ruolo capace di suscitare non poche perplessità. E’ il caso della cosiddetta autoverifica. Il problema dell’autoverifica costituisce il primo neo sull’indipendenza della funzione di Internal Auditing. Il self-review si ha nel caso in cui l’auditor sia chiamato a svolgere un’attività di verifica sul proprio lavoro, e quindi un audit sul sistema dei controlli o su un determinato processo che lui stesso ha contribuito a disegnare e implementare nell’ambito di una consulenza al management, determinando in questo modo un rischio di parzialità e arbitrarietà di giudizio. Esistono perciò una serie di accorgimenti in grado di creare un legittimo affidamento anche nei terzi sulla bontà delle valutazioni espresse. E’ bene ricordare tuttavia che non tutti gli autori92 sono concordi su queste posizioni, la minaccia all’obiettività per alcuni non risiede nella prestazione di servizi non-audit quanto piuttosto nel corrispettivo che da questa si genera, in grado di creare una vera e propria “dipendenza economica” del soggetto. 92 Si veda in proposito Gul F. and Teoh “The effects of combined audit and management services on public perception of auditor independence in developing countries: the Malaysian case” (1984) *in Managerial Auditing Journal Vol.20.n.8 2005]. 66 L’ambiguità del ruolo affidato al revisore interno può essere mitigata, ad esempio93: 1. prevedendo LINEE GUIDA BEN DEFINITE per lo svolgimento dell’incarico, che circoscrivano i doveri e i poteri dell’auditor incaricato; 2. prevedendo una chiara DEFINIZIONE DEI COMPITI, affinché il soggetto abbia ben chiaro cosa deve fare in fase di assessment o qualora dovesse riscontrare delle anomalie; 3. dotando la funzione della necessaria AUTORITA’, che la protegga dalle pressioni del management; 4. chiarendo quali sono le RESPONSABILITA’ dello staff nello svolgimento del lavoro; 5. tracciando dei punti di riferimento, i principi base, mediante gli STANDARD INTERNAZIONALI; 6. pianificando una ripartizione del TEMPO a disposizione tra attività di assurance e consulenza, idonea alle necessità dell’azienda. Questi requisiti, insieme ad un atteggiamento imparziale e senza pregiudizi tentano di assicurare che l’auditor lavori in un clima di obiettività, eseguendo il proprio incarico con l’onesto convincimento della validità dei risultati ottenuti e senza significativi compromessi. Ovviamente è escluso che alcun membro della funzione di audit ricopra ruoli esecutivi. I fattori che possono condizionare l’indipendenza organizzativa e l’obiettività individuale dell’auditor all’interno dell’organizzazione possono essere ricondotti ad alcune fattispecie ricorrenti: a) CONFLITTI D’INTERESSE; b) LIMITAZIONI NEL CAMPO D’AZIONE; 93 Riferimenti dall’opera di J.R. Rizzo “Role Conflict and ambiguity in complex organizations” del 1970 [in Managerial Auditing Journal Vol.24 n.9 2009]. 67 c) RESTRIZIONI ALL’ACCESSO AI DATI, AI DOCUMENTI, A PERSONE O BENI rilevanti ai fini dell’incarico; d) VINCOLI DI RISORSE, specialmente quelle finanziarie. Il conflitto d’interessi riguarda una molteplicità di circostanze in cui il revisore interno, che gode di una posizione di fiducia, si trova ad avere un interesse personale o professionale contrario agli interessi dell’azienda; questo può accadere, ad esempio quando tra l’organizzazione e l’auditor, o un membro della sua famiglia, intercorrano interessi economici, oppure nel caso si siano costituiti rapporti di parentela con un membro del management94. Non è deontologicamente corretto per il revisore, inoltre, accettare denaro o regali da parte di dipendenti, clienti, fornitori o partner, che potrebbero dare adito a dubbi circa la propria obiettività95. Anche l’eccessiva familiarità con la funzione oggetto di revisione potrebbe risultare forviante nelle valutazioni. Per comprendere meglio questo aspetto è necessario precisare che il Responsabile Internal Audit, nel comporre l’organico del suo staff, ha a disposizione due alternative: 1) Recruiting esterno; e 2) Recruiting interno. Nel primo caso i soggetti chiamati a far parte dell’organico della funzione sono individuati sul mercato e quindi tra i candidati che abbiano conseguito una laurea in economia, in giurisprudenza, ma anche in scienze statistiche oppure in ingegneria informatica o anche ingegneria gestionale, specialmente nel caso si rendessero necessarie queste specializzazioni per lo svolgimento dell’audit in particolari tipi di imprese. 94 Si veda a tal proposito Vanasco R. “auditor independence: an international perspective” Managerial Auditing Journal Vol.11 No.9 1996. 95 Guida Interpretativa IIA 1130-1. 68 Si presenta frequentemente il caso, però, in cui lo staff o parte di questo provenga da altre funzioni aziendali, quindi che sia già stato impiegato precedentemente in azienda con altre mansioni. Gli Standard professionali e il buon senso raccomandano agli internal auditor di non effettuare attività di Audit in ambiti in cui ricoprivano una precedente responsabilità, si presume infatti che queste circostanze siano pregiudizievoli all’obiettività e di ciò dovrebbe pertanto essere tenuto conto in fase di supervisione dell’incarico e di comunicazione dei risultati. In tal senso è preferibile un’exemption almeno un anno96. Spesso nel Mandato di Internal auditing sono regolamentate queste situazioni, tuttavia, nel caso non fossero tratti questi argomenti, il RIA, nel valutare l’impatto su indipendenza e obiettività, deve comunque considerare almeno i seguenti fattori97: i requisiti stabiliti nel Codice Etico e negli Standard; le attese degli stakeholder, tra cui gli azionisti, il consiglio di amministrazione, il comitato per il controllo interno, il management, gli enti legislativi, gli organismi pubblici, l’ente regolatore e i gruppi di pubblico interesse; l’ampiezza di poteri e/o le restrizioni contenute nel Mandato dell’internal audit; i requisiti di trasparenza stabiliti dagli Standard; la copertura di audit da fornire alle attività o responsabilità assunte dall’auditor; la significatività di ciascuna funzione operativa per l’organizzazione (in termini di fatturato, costi, immagine e rilevanza); la durata dell’incarico e l’ampiezza delle responsabilità assegnate; l’adeguatezza della separazione dei compiti; 96 97 Guida Interpretativa IIA 1130.A1-1. Guida Interpretativa IIA 1130.A2-1. 69 se esistono precedenti nel passato o evidenze sul fatto che l’obiettività del soggetto possa essere a rischio. Già da una prima considerazione emerge chiaramente che l’esperienza consolidata in ruoli operativi può rappresentare più un limite che un vantaggio per il candidato in quanto potrebbe generare valutazioni pregiudiziali, senza considerare poi il fatto che all’interno di quelle funzioni possono essersi ragionevolmente instaurate delle relazioni, tanto positive quanto negative. Nel caso di relazioni positive risulterà difficile per il RIA, che spesso è all’oscuro di tutto, valutare il grado di indipendenza del soggetto, con ovvie ripercussioni sull’efficacia del lavoro e a livello di immagine della funzione. D’altro canto è possibile anche che l’aspirante auditor abbia lasciato la precedente mansione in un clima di conflittualità che sicuramente avrà le sue conseguenze nel nuovo rapporto di lavoro generando certamente un’eccessiva indipendenza nello svolgere l’incarico e un generale clima di sfiducia che dal soggetto interessato si estenderà a tutta la funzione98. Un clima armonioso all’interno dell’azienda è indispensabile perché l’auditor riesca ad avere accesso alle informazioni, con mezzi formali, ma anche in maniera confidenziale. La diffusione della cultura del controllo, insieme alle abilità comunicative del revisore, consentono a quest’ultimo di accedere a informazioni, considerazioni e pareri degli organi operativi, utili a chiarire il quadro della situazione sotto i suoi occhi. Il fenomeno del whistleblowing, con la creazione di canali confidenziali di segnalazione da parte dei dipendenti rigorosamente nell’anonimato, permette di identificare eventuali fonti di rischio che non erano state trattate con la dovuta attenzione, irregolarità o violazioni della normativa applicabile e delle procedure interne, corregge il sistema dei controlli e contribuisce al successo dell’attività di audit. 98 Dittmeier C., Internal Auditing, EGEA, Milano, 2007. 70 Alla luce di tutte queste considerazioni, appare evidente che il recruiting interno dei membri dello staff della funzione di Internal Auditing rappresenta un’ipotesi poco raccomandata per il RIA anche se gli standard internazionali non ne fanno esplicito divieto. Una volta che l’azienda si sia dotata di una funzione assortita, nello staff, secondo le proprie esigenze, è importante che questa si mantenga efficace ed efficiente. Il mezzo migliore per assicurarsi l’aggiornamento professionale continuo (Standard IIA 1230) è predisporre un Piano di Formazione per la Crescita Professionale delle risorse. Limitazioni alla libertà dell’auditor possono provenire anche direttamente dagli uffici operativi sottoposti a revisione o dallo stesso management; è possibile che il process owner di turno tenti di ostacolare l’attività limitandone il campo d’azione o interferendo con la raccolta di informazioni, sia occultando documenti e dati sia rifiutando la collaborazione con lo staff incaricato. E’ altrettanto frequente che siano i vertici amministrativi, specialmente nelle aziende dotate di un management affermato che occupa una posizione dirigenziale da lungo tempo e quindi abituato a godere di estrema autorità, a vincolare il lavoro di revisione con un atteggiamento intimidatorio o materialmente, vincolando le risorse a disposizione, specialmente quelle finanziarie, e lasciando l’Internal Auditing sprovvisto dei mezzi necessari per lo svolgimento dell’incarico. Gli Standard internazionali, a tutela dell’operatività dell’auditor, raccomandano esplicitamente che, nel caso l’indipendenza e l’obiettività risultasse compromessa, anche solo potenzialmente, i fatti che determinano i condizionamenti devono essere riferiti a un livello appropriato99 che generalmente si ravvisa nel board. 99 Standard IIA 1130. 71 3.4 IL RUOLO AUDITING DEL RESPONSABILE DELL’INTERNAL Il Responsabile della funzione di Internal Auditing riveste una posizione centrale di coordinamento nell’organizzazione, a lui i vertici aziendali affidano il compito di salvaguardare l’attività economica dai rischi e di proteggerne e accrescerne il valore; è per questo motivo che tendenzialmente l’incarico è affidato per anzianità nel settore. L’esperienza del RIA offre maggiori garanzie sull’efficace gestione della funzione, in conformità al Mandato, al Codice Etico e agli Standard internazionali e infatti in Italia il 44% dei RIA ha maturato un’esperienza di oltre quindici anni, più dell’80% di questi si occupa di controlli da più di 6 anni 100. Nei fatti il RIA si occupa di selezionare i membri che comporranno lo staff in base alle risorse che il management gli mette a disposizione, valuta i candidati scegliendoli conformemente alle necessità dell’azienda, applicando metodi più o meno sofisticati, e si pone come garante del loro operato. Gli Standard internazionali impongono che riporti ad un soggetto, interno all’azienda, dotato dell’autorità necessaria a garantirne l’indipendenza e che ne assicuri un ampio ambito di copertura, che gli consenta di raggiungere i massimi obiettivi della funzione, e che sia dotato dei poteri necessari a dar seguito alle raccomandazioni emesse, in un clima di produttiva collaborazione. All’interno dell’organizzazione, a questa descrizione corrisponde nella generalità dei casi, il board. Con questo si instaura una comunicazione diretta e un rapporto di fiducia tale per cui il RIA partecipa attivamente alle 100 Dato riferito al campione di aziende, quotate e non quotate, in studio dall’Università di Parma con Deloitte e AIIA “Connotati e prestazioni della funzione di internal audit” , maggio 2015. 72 riunioni, in modo da restare sempre correntemente informato sulle attività strategiche e gli sviluppi operativi e prendere parte, come consulente, al processo di revisione dei sistemi di controllo interno o alle proposte di implementazione di nuove procedure. Durante gli incontri, inoltre, la funzione auditing ha l’opportunità di proporre la riflessione su alcune criticità emerse durante lo svolgimento dell’incarico, sulle procedure in corso e sui pericoli rilevati, in modo da iniziare tempestivamente un’attività di contrasto, coerentemente con l’approccio preventivo ai rischi e prima che questi compaiano sul report. Le Guide Interpretative IIA raccomandano, oltre ai vari ed eventuali incontri informali, una riunione separata col board da tenersi almeno una volta l’anno101 e la certificazione dello stato di indipendenza della funzione. In questo senso il RIA costituisce un “ponte” tra la funzione e il resto dell’organizzazione, che consente di lavorare con imparzialità ma sempre al servizio degli interessi aziendali. Come già detto, ciascun membro della funzione di revisione interna deve svolgere l’attività con la massima obiettività, il RIA ha l’obbligo di controllare il rispetto di questa condizione supervisionando l’intero lavoro prima di emettere il rapporto e assicurandosi che questi non subiscano reali o anche solo potenziali condizionamenti. Ogni interal auditor dovrebbe riferire al Responsabile l’emersione di conflitti di interesse o ciascun altra circostanza idonea a comprometterne l’indipendenza102 ma, per assicurarsi la massima tutela della funzione, è lui stesso a richiedere periodicamente ai propri collaboratori un’informativa in merito, in base alla quale valuterà la possibilità di modificare l’assegnazione degli incarichi. A ciascun Responsabile della funzione di Internal Auditing (RIA) o Chief Audit Executive (CAE) è richiesto di sviluppare e implementare un Programma di assurance e miglioramento della qualità (Quality Assurance and Improvement Program -QAIP- ) che consenta di 101 102 Guida Interpretativa IIA 1111-1. Guida Interpretativa 1130-1. 73 verificare se la funzione, così com’è costruita in azienda, sia conforme alla definizione data dall’IIA e se l’incarico sia stato portato a termine in osservanza degli Standard e del Codice Etico. Il programma inoltre è teso a valutare l’efficacia e l’efficienza dell’attività svolta e ad identificare le possibili opportunità di miglioramento mediante valutazioni sia interne che esterne. Le valutazioni interne nascono dal monitoraggio continuo della prestazione, che è incorporato naturalmente nelle procedure utilizzate per svolgere l’incarico, cui sono affiancate periodiche auto-valutazioni o valutazioni di soggetti interni all’organizzazione che abbiano dimostrato di conoscere l’IPPF e le metodologie di revisione, di solito il RIA o il CAE o comunque un auditor certificato, anche in occasione della revisione annuale dell’audit plan. Al contrario, le valutazioni esterne devono essere effettuate con cadenza quinquennale da parte di un valutatore o di un team di valutatori estranei all’organizzazione, oppure, eccezionalmente può essere un’auto-valutazione con validazione esterna. Le valutazioni si concentrano sull’osservanza delle Mandatory Guidance dell’International Professional Practice Framework. Nonostante la disposizione degli Standard IIA (Standard 1300) in Italia solo il 39,52%103 delle società dichiara di essersi dotata di un Programma di Assurance e Miglioramento della Qualità dell’internal auditing. La maggiore sensibilità al tema è espressa sicuramente dalle società quotate, soprattutto nel settore dei servizi (50%) e nel settore finanziario (43,18%). Le modalità, la frequenza e l’individuazione di soggetti qualificati per la valutazione è oggetto di discussione tra il responsabile della funzione e il board. 103 Dato relativo al campione di aziende selezionato nell’ambito dello studio “Connotati e prestazioni della funzione di internal audit” già citata, maggio 2015. 74 3.5 L’OUTSOURCING Accade qualche volta che lo svolgimento delle mansioni dell’Internal Auditing venga affidato a società specializzate nella gestione del rischio e nello sviluppo dei sistemi di controllo, portando in questo modo la funzione completamente all’esterno dell’azienda. La scelta dell’outsourcing generalmente è dettata da politiche di contenimento dei costi; molte organizzazioni non sono abbastanza grandi e non muovono volumi finanziari tali da sopportare l’onere di uno staff impiegato full-time nell’auditing, in questi casi il RIA, che resta comunque interno all’organizzazione, svolge l’importante ruolo di cerniera tra l’azienda e il suo provider. Altre aziende invece scelgono il co-sourcing, e quindi di affiancare ad un organo interno di dimensioni minime, uno staff preso in outsourcing per le attività più impegnative con l’obiettivo di ottenere la maggiore flessibilità possibile sulle spese. L’importante è che il soggetto esterno sia dotato dei medesimi requisiti di professionalità e indipendenza104. Spesso la scelta di affidarsi a un’azienda specializzata, con anni di esperienza nel settore, assicura una qualità del servizio maggiore rispetto a quello offerto internamente, in special modo riguardo all’auditing in aree aziendali che richiedono conoscenze specifiche, ad esempio per i sistemi IT. Se da una parte la scelta di collocare la funzione all’esterno dei confini aziendali potrebbe apparire la soluzione perfetta all’annosa questione dei dipendenti indipendenti, con tutte le perplessità che, come visto, questo comporta; a ben vedere vengono a crearsi nuovi ordini di problemi intorno alla valutazione dell’imparzialità della funzione. Cambiano i rapporti di forza, e spesso è una questione di cifre. Se per un dipendente può essere difficile mantenere 104 Codice di Autodisciplina art.7 C.6. 75 l’indipendenza dal proprio datore di lavoro, sicuramente quando le parti sono due aziende corre l’obbligo di alcune considerazioni105: 1) la grandezza dell’azienda di audit; certamente quanto più la società affidataria dell’outsourcing sarà grande, tanto maggiore sarà la sua capacità di resistere alle pressioni del management auditee; al contrario le caratteristiche proprie delle piccole realtà ledono l’indipendenza in quanto favoriscono una maggiore personalizzazione del lavoro e un rapporto più stretto col cliente. 2) La concorrenza sul mercato delle altre aziende del settore; le società che operano in un mercato con alti livelli di competitività troveranno maggiori difficoltà a restare imparziali e obiettive dal momento che il cliente troverà facilmente un rimpiazzo in grado di offrirgli il servizio che cerca. Si innesca in questo modo il fenomeno dell’opinion shopping. 3) L’entità della fee corrisposta alla società di revisione; un trasferimento ingente di denaro potrebbe nascondere tutt’altro genere di interessi. 4) La prestazione di servizi di consulenza al management (Management Advisory Services); l’occupazione in attività non-audit espone l’azienda all’intensificarsi dei rapporti di lavoro col cliente, che incide negativamente sulla percezione di indipendenza all’esterno. 5) L’esistenza del Comitato Controllo e Rischi o Audit committee; il Comitato si occupa, tra le altre cose, di aiutare l’auditor a restare indipendente nei confronti del management e questo è percepito positivamente sul mercato, fornisce un’ulteriore garanzia e aumenta l’affidamento che anche investitori e creditori hanno nell’azienda. 105 Bakar & Ahmad “Auditor Independence: Malaysian Accounts’ Perceptions” 2009. 76 Il fenomeno dell’opinion shopping, e cioè della ricerca dell’auditor disposto ad avallare il trattamento proposto dall’azienda stessa per aiutarla a raggiungere i propri obiettivi di reporting, anche se ciò comporta la totale inaffidabilità delle valutazioni emesse; così come quello del lowballing, e quindi della prestazione di servizi remunerati sottocosto, che la SEC equipara al mancato pagamento della fee, possono compromettere gravemente l’indipendenza dell’auditor e di conseguenza la qualità dei report emessi, qualità che, specialmente nel caso di outsourcing e nelle aziende con alti costi d’agenzia, ricopre un ruolo di primaria importanza per la fiducia del mercato. Tutte queste valutazioni sono opportune e debite considerando che proprio sul lavoro svolto dai provider esterni il RIA potrebbe fondare le proprie decisioni; l’eventuale fallimento dell’attività di audit resta comunque di responsabilità esclusiva del team leader. Ragionevolmente l’esternalizzazione dell’attività di audit interno potrebbe comportare la confusione di questa con la revisione esterna, attività espressamente affidata a soggetti estranei all’organizzazione, che però svolge un controllo circoscritto alle materie del bilancio, finalizzato a certificare ai terzi che l’informativa emessa dall’azienda sia veritiera e corretta, e quindi rivolta ad un pubblico diverso e con finalità differenti rispetto alla gestione del rischio e la tutela del patrimonio aziendale. Corre l’obbligo riportare, a questo punto, la posizione dell’IIA che è decisamente contraria alla scelta dell’outsourcing in quanto considerata in aperto contrasto con le previsioni del Committee of Sponsoring Organizations (COSO) che prescrive che il controllo interno sia effettuato da soggetti interni all’organizzazione, che l’Internal Auditing è parte integrante del sistema dei controlli interni e una responsabilità del management e che gli auditor esterni non fanno parte dello stesso. La distruzione delle differenze nei ruoli della 77 revisione interna ed esterna ha, per l’ente, un impatto certamente negativo sull’ambiente di controllo all’interno dell’azienda106. A margine di tutte queste considerazioni, e probabilmente sotto l’influenza di queste, gli studi condotti a livello mondiale107 negli ultimi anni hanno confermato che la maggioranza delle imprese non utilizza l’outsourcing o il co-sourcing per l’attività di audit. 106 Bishop, presidente IIA nel 1995 [ in Managerial Auditing Journal Vol.11. n.9 1996]. 107 Allegrini e D’Onza, 2003; riportato nell’ambito dello studio condotto dall’Università di Parma con AIIA e Deloitte nel Maggio 2015. 78 CAPITOLO IV: L’INTERPRETAZIONE ITALIANA DEI REQUISITI DI INDIPENDENZA Dopo un’attenta disamina delle caratteristiche della funzione di Internal Auditing e dei requisiti che si vogliono necessari affinché l’auditor possa portare a termine il proprio scopo con successo, sembra doveroso confrontare lo schema teorico con la realtà aziendale vissuta nel quotidiano. Il modo migliore per farlo è, probabilmente, quello di chiedere aiuto direttamente a chi si occupa di queste attività, che vive da protagonista le pressioni e i rapporti che naturalmente si instaurano sul posto di lavoro. Coinvolgendo i Responsabili della Funzione Audit delle più importanti società italiane s’intende tracciare un quadro chiaro della realtà in azienda così da poterne evidenziare punti di forza, ma anche di debolezza, mettendo in luce le possibili differenze tra la teoria e la pratica, finanche a tentare una stima di quale sia il grado massimo di indipendenza realmente raggiungibile dalla funzione, in base alle nozioni e alle informazioni acquisite. 79 Con questi obiettivi, grazie al supporto dell’Associazione Italiana Internal Auditor, è stata lanciata una Survey indirizzata ai tutti i soci (634 unità) e ai registrati al sito AIIA (318 unità). Si è ritenuto opportuno interpellare solo i Responsabili di Internal Audit (in tutto 756 persone) e i Chief Audit Executive (296) per un totale di 1052 destinatari. Riflettendo sulle peculiarità del tessuto imprenditoriale italiano, composto in gran parte da società di piccole o piccolissime dimensioni, che quindi, con ogni probabilità, si affidano a metodi di individuazione e gestione del rischio meno formalizzati, affiancate dai colossi dell’imprenditoria in cui la funzione esiste ed è ben sviluppata, sembra un’eccessiva semplificazione sacrificare le une o le altre, rischiando di ottenere una visione solo parziale del fenomeno. Per questo motivo sono considerate sia società quotate che società non quotate e non sono state operate differenziazioni nemmeno per industry, mirando ad ottenere uno spaccato realistico della realtà italiana nel suo complesso. Com’è stato più volte evidenziato, nonostante la regolamentazione IIA sia investita di estrema autorità nell’universo aziendalistico internazionale, e quindi anche italiano, non assume forza di legge; è necessario perciò distinguere gli enti vigilati, che invece accolgono gran parte delle regole organizzative in specifiche norme. Se l’osservanza dei precetti IIA nelle aziende è ritenuta essenziale per il migliore svolgimento dell’incarico, la non conformità alle regole stabilite per gli enti sottoposti ad Autority è da considerarsi fuorilegge; è per questo motivo che, nell’analisi dei dati raccolti, ove opportuno, sono stati separate le informazioni riferite agli enti vigilati e non. Per comprendere pienamente la portata del fenomeno italiano, la prima cosa da fare è individuare le dimensioni della funzione all’interno dell’organigramma aziendale. La Survey ha prodotto 47 risultati in tutto; il campione di aziende non vigilate (37 elementi) ha evidenziato la tendenza a dotarsi di una funzione di Internal Auditing 80 composta da quattro persone [si veda la Figura 6 a)], sebbene sia frequente il caso di attività affidate unicamente ad un soggetto che ricopre il ruolo di Responsabile dell’Internal Auditing o di Chief Audit Executive. Da quanti soggetti è composta la funzione I.A. nella Sua azienda? enti vigilati un solo componente 2 componenti 3 componenti 4-5 componenti 6-7 componenti 40% 10% 8-10 componenti 30% 11-20 componenti più di venti 20% 10% 6% 9% 2 componenti 25% 10% 10% 27% 3-4 componenti 5-6 componenti 3% 10 o più componenti [Figura 6 a)] Per completezza corre l’obbligo di rilevare che esistono aziende sul panorama nazionale in cui il personale impiegato full-time per l’attività arriva o supera le 10 unità, con punte di oltre 100 FTE (fulltime equivalent) in relazione ai più elevati volumi d’affari in ambito internazionale. Nelle banche o nelle imprese di assicurazione (campione composto da dieci unità) ciò costituisce una scelta frequente, evidentemente legata al più elevato profilo di rischio connaturato nell’attività. Ovviamente il dato assoluto da solo non 81 basta a raccontare la composizione dell’impresa italiana proprio per le differenze dimensionali sopraindicate; affinché il dato risulti rappresentativo del fenomeno, perciò, dev’essere rapportato all’entità dell’impresa. Per questo motivo è stato chiesto agli auditor di fornire informazioni sul fatturato annuo e il numero di dipendenti all’ultimo bilancio approvato, in base a queste informazioni è possibile relativizzare il dato: mediamente nelle imprese non vigilate si dedica all’attività di internal audit lo 0,20% delle risorse umane, vale a dire che 2 persone ogni mille dipendenti svolgono attività di revisione del Sistema dei Controlli Interni. Nelle aziende vigilate, coerentemente con i dati relativi già analizzati, si profila una realtà più sensibile all’attività di controllo, ogni 1000 dipendenti nove sono auditor interni (0,91%) [Figura 6 b)]. Il fatturato aziendale non è coinvolto in alcun modo nella determinazione delle dimensioni della funzione all’interno dell’organigramma: sono molto frequenti, per la verità, i casi di aziende con fatturato che supera il miliardo di euro in cui il monitoraggio e la revisione del SCI è affidato a due/cinque auditor anche se il personale supera le 10.000 unità; allo stesso modo ci sono aziende che non arrivano a mille dipendenti, con fatturati di pochi milioni di euro e con una funzione ugualmente o anche maggiormente nutrita. Ragionevolmente se ne può dedurre la perfetta estraneità delle vicende finanziarie e gestionali dell’azienda con l’allocazione delle risorse nell’organigramma. Il dato è comune alle aziende vigilate e non. società non vigilate società vigilate 0,20% 0,91% [Figura 6 b)] 82 L’ipotesi di co-sourcing, quindi di personale esterno affiancato al RIA per la gestione dell’attività, sembra essere poco favorita; è stato riscontrato un solo caso nell’intera popolazione presa in esame nello studio. Il dato è perfettamente in linea con la scarsa propensione dell’impresa italiana ad affidarsi a terzi nella gestione di questo genere di servizi al management. Dall’indagine è emerso, inoltre, che è preferito, indistintamente in tutti i settori, scegliere i soggetti chiamati all’auditing tra le persone già precedentemente impiegate in azienda. Si predilige insomma il recruiting interno a quello esterno [Figura 7 a) e b)]. RECRUITING ENTERNO vs RECRUITING INTERNO enti vigilati recruiting esterno recruiting interno 0% Serie1 20% 40% recruiting interno 57% 60% recruiting esterno 43% enti non vigilati recruiting esterno recruiting interno 0% Serie1 20% recruiting interno 68% 40% 60% 80% recruiting esterno 32% [Figura 7 a) e b)] 83 Il rischio di possibili condizionamenti nello svolgimento dell’incarico sembra avere minor peso rispetto ai vantaggi che l’impiego di persone che già conoscono l’azienda e il suo funzionamento può offrire. Certamente il recruiting interno consente di semplificare le fasi iniziali di auditing legate alla familiarizzazione con i processi, e assicura una maggiore sensibilità nel rintracciare gli effettivi centri di rischio, attribuendogli il giusto peso. Sono favorite, in questo modo, l’efficacia e l’efficienza nello svolgimento dell’incarico. Di converso, l’eccessiva confidenza con i processi operativi auditati, potrebbe costituire un ostacolo all’indipendenza e all’obiettività del revisore, generando possibili conflitti di interesse. Gli Standard internazionali, con riferimento a questi temi, sono piuttosto espliciti nel suggerire come principale mezzo per evitare condizionamenti, che gli internal auditor si astengano dall’effettuare attività di audit in ambiti in cui ricoprivano una precedente responsabilità (Standard 1130.A1). Malgrado la conformità a questi principi sia ritenuta essenziale per la pratica professionale108, dallo studio emerge chiaramente la tendenza diffusa tra le imprese che operano liberamente sul mercato a sottovalutare il problema [Figura 8]. Nemmeno la metà delle società intervistate (46%) riconosce l’eccessiva familiarità dell’auditor con le funzioni operative auditee come un rischio e cerca mezzi di contrasto. Dal momento che non è stata riscontrata alcuna correlazione tra la dotazione patrimoniale della funzione e questo genere di valutazione (si veda in seguito, è stato chiesto di giudicare l’apprezzamento economico della funzione), le ragioni del fenomeno sono da ricercare nella sensibilità del top management a certe questioni più che ad un effettivo impedimento per vincoli di budget. 108 Standards & Guidance — International Professional Practices Framework (IPPF) www.theiia.org. 84 Con riguardo ai soggetti provenienti da altre funzioni interne all'azienda, sono state prese misure a tutela dell'indipendenza? 46% SI 54% NO 42% 44% 46% 48% 50% 52% 54% [Figura 8] Per fronteggiare il problema, evidentemente più importante per l’IIA di quanto non lo sia per le aziende non vigilate italiane, la raccomandazione dell’Institute of Internal Auditors, contenuta nelle Guide Attuative (1130.A1-1), è quella di evitare che le persone trasferite alla funzione auditing vengano impiegate per effettuare audit su attività da loro svolte anteriormente o su cui ricoprivano una precedente responsabilità, se non sia trascorso un ragionevole periodo di tempo, indicativamente quantificato in almeno un anno. Nonostante la scarsa attitudine a prestare la necessaria attenzione alla salvaguardia dell’indipendenza degli auditor incaricati mediante recruiting interno, nelle aziende che invece riconoscono il problema, la prudenza comporta, in molti casi, l’exemption per 24 mesi, ed è, anzi, frequente la scelta di interdire il soggetto dallo svolgimento dell’incarico in maniera definitiva *Figura 9]. Per quanto riguarda gli enti vigilati si riscontra invece una maggiore aderenza ai dettami nell’adozione di misure di salvaguardia (60% degli intervistati), rimanendo però, perlopiù vicini ai requisiti minimi [Figura 10]. Sebbene sia universalmente riconosciuto che la fonte principale di indipendenza dell’auditor sia legata alla professionalità del soggetto; a tutela del legittimo affidamento che si fa sulla sua imparzialità, l’IIA 85 raccomanda, e questo vale per tutti gli auditor, che questi riferiscano al responsabile della funzione qualsiasi situazione in cui un condizionamento reale o potenziale dell’indipendenza e dell’obiettività possa presumibilmente verificarsi, ovvero situazioni in cui ci siano dubbi che possano costituire condizionamenti (Guida Interpretativa 1130-1). Quali misure sono adottate in azienda per salvaguardare l'indipendenza della funzione? 3 anni 2 anni 12 mesi grace period 6 mesi riporto gerarchico… esclusione totale 0% 10% riporto grace esclusione gerarchico period 6 totale al CdA mesi Serie1 27% 19% 9% 20% 30% 12 mesi 2 anni 3 anni 9% 27% 9% [Figura 9] enti vigilati MISURE A TUTELA DELL'INDIPENDENZA 24 mesi grace period 12 mesi esclusione totale SI 0% Serie1 20% SI esclusione totale 60% 17% 40% grace period 12 mesi 50% 60% 24 mesi 33% [Figura 10] 86 Vige, inoltre, un dovere di vigilanza da parte del RIA sull’operato dei suoi collaboratori, e un obbligo di informativa al board su eventuali irregolarità; per questo motivo è raccomandabile che il Responsabile della funzione approfondisca questi temi nella scelta dei membri che comporranno il suo staff, essendo poi, ogni loro dichiarazione, sottoposta alla sua responsabilità. Le modalità di indagine in questo senso possono essere le più disparate, legate, ancora una volta, alla sensibilità dell’azienda e del RIA alle problematiche circa l’indipendenza, oltre ad un’opportuna valutazione dei costi/benefici che un’indagine troppo approfondita comporta. Una domanda su questi aspetti è stata rivolta anche ai RIA/CAE presi a riferimento nella Survey [Figura 11 a) e b)]. Dalle risposte è emerso che nella maggior parte dei casi l’apprezzamento dell’imparzialità è lasciato a metodi informali, con il minimo impiego di tempo e risorse. Nei casi di maggiore attenzione si ricorre a check-list dei requisiti minimi o a schede di valutazione opportunamente allestiti per una facile compilazione. Non sono presi in considerazione metodi troppo invasivi e dispendiosi, come la predisposizione di test attitudinali; piuttosto si preferisce evitare totalmente il problema (6%). Ormai è chiaro che la figura del Responsabile dell’Internal Auditing ricopre un ruolo centrale nel coordinamento della funzione con il resto dell’organizzazione e si pone a garanzia della qualità del servizio reso in azienda; per queste ragioni è evidente che il potere di nomina del soggetto più adatto, unito alla leva economica a questi legata, quindi la determinazione della remunerazione corrisposta e del budget a disposizione per lo svolgimento dell’incarico, costituisce il campo su cui si gioca la partita dell’indipendenza: dev’essere affidato ad un livello gerarchico appropriato all’interno dell’organizzazione. Un equo capitale a disposizione assicura i mezzi per la copertura dal rischio siano proporzionati alle esigenze del sistema aziendale e che non si nascondano al suo interno tentativi di addomesticare la 87 funzione, specialmente quando si parla di retribuzione corrisposta al RIA. Valutazione dei requisiti di indipendenza 60% 50% 40% 30% 51% 20% 23% 10% 20% 6% 0% 0% [Figura 11 a)] Valutazione dei requisiti di indipendenza negli enti vigilati 100% 80% 0% metodi informali 20% schede di valutazione 0% check list o test attitudinali [Figura 11 b)] 88 Il Codice di Autodisciplina attribuisce questa responsabilità, insieme all’approvazione del Piano di Audit, al Consiglio di Amministrazione, quale massima carica aziendale, ma non senza l’avallo del Comitato per il Controllo e Rischi e del Collegio Sindacale, come a voler creare un’ennesima barriera per l’indipendenza. Mentre per le società di intermediazione finanziaria c’è perfetta aderenza alle disposizioni in esame (100% delle risposte), la realtà aziendale emersa dalla ricerca, per gli enti non vigilati, delinea contorni più sfumati [Figura 12]. Nonostante la maggioranza (57%) degli aderenti abbia dichiarato di operare conformemente ai dettami del Codice, esistono altre opzioni di gestione del potere; è possibile che venga addirittura affidato all’amministratore delegato o al comitato esecutivo. Neanche la definizione del budget a disposizione della funzione è sempre affidata al CdA interamente considerato, come sostenuto nel Codice di Autodisciplina, anzi è forte l’interferenza degli amministratori esecutivi, in primis l’amministratore delegato *Figura 13] soprattutto nelle società non vigilate, nonostante con questi sia stabilita una linea di riporto amministrativo più che funzionale e dovrebbero pertanto offrire un supporto operativo e non strategico. Un’altra fetta importante dei rispondenti (22%) indica come responsabile di queste decisioni il Direttore Generale o il Direttore Finanziario della società. Gli enti vigilati, generalmente, si attengono in maniera più attenta alle disposizioni: quando non è il Consiglio di Amministrazione a operare queste scelte, l’onere è affidato al Direttore Generale. Al di là delle differenti strutturazioni aziendali oggettivamente riscontrabili nello specifico, ciò che rileva è il peso effettivamente dato a questo potere: se per banche e imprese di assicurazione non v’è alcun dubbio sul valore strategico di questa attribuzione, per le imprese non vigilate è possibile l’interferenza dei livelli gerarchicamente più bassi dell’organizzazione. 89 NOMINA, REVOCA e VALUTAZIONE del RIA 60% 50% 40% 30% 20% 10% 0% CCR/Au Ammini dit stratore Commit Delegat tee o Serie1 16% 14% CdA 57% Preside Direttor nte CdA e general e 2% 8% Preside nte 3% [Figura 12] Quale organo stabilisce il budget della funzione I.A.? enti vigilati 22% Altro… Dir. Generale… Comitato 19% Controllo e… Amministratore Delegato 10% CCR Amm. es.… 37% AD 22% CdA 90% CdA 0% 50% 0% 50% 100% [Figura 13] 90 Per approfondire meglio le questioni legate alla determinazione della dotazione finanziaria all’Internal Auditing è stato chiesto ai RIA/CAE di esprimere un giudizio personale, tenendo conto della complessiva situazione aziendale, sul budget a loro disposizione [Figura 14]. Nella gran parte dei casi la valutazione è stata positiva, definendo la dotazione finanziaria “adeguata” agli oneri che l’incarico comporta, probabilmente indice del fatto che la determinazione di questo, anche quando lasciata al management esecutivo, non è avvertita, all’interno dell’azienda, come una penalizzazione, seppur di fronte ad un evidente stravolgimento delle best practice suggerite nel Codice. Inoltre non è stata rilevata alcuna attinenza tra il giudizio espresso sul budget della funzione e il soggetto che lo stabilisce: i Responsabili che hanno dichiarato di essere sottoposti alle valutazioni del senior management per quanto riguarda il budget assegnato, lo hanno giudicato comunque Adeguato nel 40% dei casi, Insufficiente nel 20% e Inesistente per la restante parte. Uno studio recente in proposito indica che le risorse finanziarie a disposizione per l’auditing si attestano, nella maggioranza dei casi, sui cinquantamila euro; un’altra fetta importante della popolazione presa a riferimento dichiara invece budget che superano i centocinquantamila euro109, verosimilmente in corrispondenza dei funzioni più numerose. Quando è definita la dotazione economica della funzione, in base a questa, si può procedere con il planning dell’attività e l’attribuzione dei ruoli ai vari membri dello staff. La decisione, in questo senso, è rimessa al RIA [Figura 15] che in veste di coordinatore e responsabile della funzione è la persona meglio qualificata, anche alla luce delle informazioni raccolte sull’azienda in fase preliminare, ad individuare le aree in cui si rende necessario stressare di più il sistema e dove invece procedere in maniera più spedita per portare a termine l’incarico nel migliore dei modi. 109 Si fa riferimento allo studio condotto dall’Università degli Studi di Parma con AIIA e Deloitte nel maggio 2015 dal titolo “Connotazione e prestazioni della funzione di Internal Audit”. 91 Esistono casi, in realtà esigui, in cui la decisione è rimessa ad altri componenti della funzione, creando una scala gerarchica interna. Quest’ipotesi si realizza quando gli organi contano oltre dieci unità FTE. Stabilito che una componente importante della tutela all’indipendenza e all’obiettività dell’auditor è data dalla duplice linea di riporto: funzionale e amministrativo, e che poi nella realtà molto è lasciato all’attenzione delle persone che partecipano all’azienda, affinché possano dipanarsi gli effetti di un efficace ed efficiente Sistema dei Controlli è importante che siano assicurati canali di comunicazione snelli e pervasivi, trasversalmente in tutta l’organizzazione. Il principale interlocutore della funzione di I.A. è il board, nello specifico il Comitato per il Controllo e Rischi costituito al suo interno. Tutta la disciplina sul tema, dagli Standard IIA al Codice di Autodisciplina, enfatizza il momento della comunicazione con quest’organo, stabilendo un incontro obbligatorio con cadenza annuale per analizzare le risultanze di audit, oltre alla predisposizione di valutazioni periodiche sullo stato del Sistema dei Controlli Interni e alla conferma sullo stato di indipendenza organizzativa dell’attività. Per un efficace monitoraggio della situazione aziendale e, quindi, per il successo dell’auditing interno, tuttavia, è raccomandabile che i punti di contatto tra il RIA e l’organo amministrativo siano più frequenti [Figura 16 a) e b)]. Nella gran parte dei casi, le aziende pianificano quattro o cinque incontri formali in un anno, corredati, qualche volta da una serie di contatti in via confidenziale. Generalmente questo tipo di comunicazione passa attraverso i colloqui ma spesso anche in maniera istantanea, via e-mail o per telefono [Figura 17 a) e b)]. 92 Reputa che il budget assegnato alla Sua funzione sia…? enti vigilati 57% 50% 30% 21% 19% 10% 3% 10% [Figura 14] Qual è l’organo deputato all’assegnazione degli incarichi ai vari membri dello staff? enti vigilati RIA RIA Audit Manager Audit manager 11% Audit Team leader 10% 89% 20% 70% [Figura 15] 93 RIPORTO FORMALE AL CCR/CdA per gli enti non vigilati 73% più di una volta l'anno una volta l'anno 27% [Figura 16 a)] FREQUENZA dei contatti formali a conclusione della… 10 o più volte l'anno 6-8 volte l'anno 4-5 volte l'anno 3 volte l'anno semestralmente 0% Serie1 10% 20% semestralm ente 3 volte l'anno 4-5 volte l'anno 13% 4% 48% 30% 40% 50% a conclusione della 6-8 volte 10 o più l'anno volte l'anno singola atttività di verifica 18% 13% 4% [Figura 16 b)] 94 Sono previsti canali di riporto informali? Quali? 80% 70% 60% 50% 40% 30% 20% 10% 0% 52% 71% 35% 48% NO SI [Figura 17 a)] [Figura 17 b)] Nelle aziende sottoposte a vigilanza non è assolutamente presa in considerazione la possibilità che gli incontri formali si limitino a uno all’anno, nella gran parte dei casi il CCR si ritrova con il RIA almeno trimestralmente [Figura 18]. enti vigilati RIPORTO FORMALE AL CCR almeno 4 volte l'anno semestralmente mensilmente 0% 10% 20% 30% 40% 50% 60% [Figura 18] Anche qui, accanto all’informativa ufficiale sono attivati tutta una serie di canali ufficiosi per la diffusione delle notizie rilevanti ai fini 95 dell’efficace ed efficiente gestione del Sistema dei Controlli Interni [Figura 19 e 20]. enti vigilati Esistono canali informali di comunicazione con il CCR? 60% SI 40% NO [Figura 19] Metodi informali di comunicazione 70% 60% 50% 40% 30% 20% 10% 0% Serie1 colloqui 68% a margine di incontri del CCR/CdA 16% telefono/ email 16% [Figura 20] Si è detto più volte che, nell’ambito delle sue attribuzioni di supervisione strategica dell’impresa, spetta al Consiglio di Amministrazione conferire il Mandato di audit e approvare il Piano di lavoro predisposto dal RIA, ciò dovrebbe proteggere la funzione da pressioni interne da parte del management operativo. Nella pianificazione del lavoro, il RIA è chiamato alla raccolta del maggior numero di informazioni inerenti il Risk Assessment; il Piano di Audit deve basarsi su una documentata valutazione del rischio, effettuata 96 almeno una volta l’anno. Le indicazioni del senior management e del board devono essere tenute in debita considerazione nella sua formulazione (Standard IIA 2010.A1). Quanto pesa il management nella predisposizione del Piano di Audit? 80% 70% 60% 50% 40% 30% 20% 10% 0% Serie1 in maniera preminente imprime un indirizzo marcato alle scelte del RIA 0% 16% fornisce, se richiesti, pareri in merito all'individua zione delle priorità di intervento, ferma restando la completa autonomia della funzione 79% altro… 5% [Figura 21] 97 La debita considerazione di cui si parla negli Standard, però, si offre a interpretazioni soggettive che qualche volta lasciano spazio a vere e proprie interferenze. I Responsabili della funzione di Internal Audit, chiamati a esprimere una libera opinione in merito [Figura 21], concordano nel dichiarare che il management “fornisce, se richiesti, pareri in merito all’individuazione delle priorità d’intervento, ferma restando la completa autonomia della funzione”. Questa è la versione unanime dei RIA/CAE delle aziende che operano nei mercati regolamentati, ed è anche la più gettonata tra le società non vigilate prese in esame. In qualche caso (16%) è denunciato il peso forte della volontà del management nella pianificazione del lavoro e il 5% dei rispondenti riconosce l’importanza del contributo del management nel Risk Assessment delle principali minacce e nell’indirizzo strategico, dichiarando però che resta comunque in mano al RIA l’ultima parola. Per approfondire la questione è stato poi chiesto ai Responsabili dell’Internal Auditing di definire il rapporto col management scegliendo tra tre alternative [Figura 22 a) e b)]. RAPPORTO TRA I.A. e MANAGEMENT Rapporto di collaborazione tra partner Tempo perso, la funzione è considerata inutile e fastidiosa La funzione è avvertita come faro di riferimento per orientare l'attività del management 6% 8% 86% [Figura 22 a)] 98 La risposta più frequente è stata “Rapporto di collaborazione tra partner” indistintamente per tutti gli elementi del campione. Sorprende la quantità di auditor che avverte, all’interno della propria azienda, di svolgere un lavoro che non è valutato con la giusta importanza, ma anzi è considerato inutile e fastidioso. Probabilmente una parte delle risposte, tralasciando possibili malumori, costituisce il retaggio di una scarsa cultura del controllo all’interno dell’azienda, di un management troppo tradizionalista e poco aperto al dialogo con un organo che con lui condivide obiettivi e interessi. Da rilevare che tutti i soggetti che hanno dato questo genere di risposta hanno preferito mantenere l’anonimato. enti vigilati RAPPORTI TRA I.A. e MANAGEMENT Rapporto di collaborazione tra partner 10% 90% Tempo perso, la funzione è considerata inutile e fastidiosa La funzione è avvertita come faro di riferimento [Figura 22 b)] A conclusione del questionario è stato chiesto, proprio in virtù dell’estrema fiducia riposta nella sensibilità delle persone che si occupano di Auditing in azienda, di esprimere un giudizio personale sull’indipendenza della funzione, se questa sia sufficientemente al riparo da potenziali condizionamenti. 99 Per semplicità è stata creata una scala d’intensità, da 1 (indipendenza massima) a 5 (scarso grado di indipendenza) [Figura 23 a) e b)]. PERCEZIONE DI INDIPENDENZA 6% 5- scarso grado di indipendenza 14% grado 4 21% grado 3 38% grado 2 21% 1-indipendenza massima 0% 10% 20% 30% 40% [Figura 23 a)] enti vigilati 5- scarso grado di indipendenza 10% grado 4 10% grado 3 10% 30% grado 2 40% 1-indipendenza massima 0% 10% 20% 30% 40% [Figura 23 b)] Nelle società non sottoposte a vigilanza si è optato, nella maggior parte dei casi, per una valutazione di grado 2, alta ma non estrema; le imprese di intermediazione finanziaria invece, probabilmente a causa dei maggiori controlli e del clima di rigore più largamente diffuso, hanno valutato l’indipendenza della funzione al grado massimo. 100 Analizzando attentamente i dati raccolti, si possono individuare due categorie di aziende: alcune in cui la funzione è avvertita come un ostacolo al normale svolgimento delle attività, un ritardo sul lavoro, una perdita di tempo ma a cui, nonostante tutto, è attribuita la dignità che merita, soprattutto in termini economici (budget assegnato). Questi sono spesso i casi in cui il management imprime un indirizzo marcato alle scelte del RIA, sottolineando ancora la scarsa importanza della funzione, che però sussiste, evidentemente come forma di adeguamento alle best practice internazionali. La figura dell’Internal Auditor è stata introdotta, nel nostro Paese, in tempi relativamente recenti e da allora ha sempre faticato a ritagliarsi uno spazio considerevole nell’organigramma aziendale. Non possono essere ignorate le rigidità operative legate all’introduzione di un cambiamento all’interno dei meccanismi aziendali consolidati: è possibile che un manager affermato, abituato a godere di una certa autorità in azienda, faccia fatica ad accettare l’intromissione di un soggetto che controlli il suo operato. In altre aziende invece è accolto molto meglio il rinnovamento, e infatti è riconosciuta la produttività della funzione auditing sia nell’attività di assurance che nella consulenza. Il massimo apprezzamento del lavoro dell’auditor in azienda si accompagna sempre ad un budget adeguato e ad una valutazione del clima d’indipendenza molto alta. In questi casi, dalle risposte, è tracciato il ritratto della funzione perfetta, in perfetto equilibrio col management, indipendente ed obiettiva e soprattutto efficiente. 101 CONCLUSIONI Tutta la trattazione fin qui svolta nasce dalla presa di coscienza del forte rinnovamento che ha coinvolto l’assetto organizzativo delle imprese in Italia, e in generale nel mondo occidentale. L’evolversi dell’ambiente di riferimento ha portato inevitabilmente la necessità di un rafforzamento interno della struttura aziendale, realizzata mediante il controllo, a tutti i livelli. Sono stati implementati sistemi di individuazione e gestione del rischio e si è avvertita l’esigenza di identificare qualcuno, all’interno delle pareti aziendali, che si occupasse di questo, ovviamente assieme alle strutture. Accanto al Consiglio di Amministrazione sono stati creati nuovi organi, come il Comitato per il Controllo e Rischi, e nuove funzioni, quale l’Internal Auditing. L’audit interno rappresenta in effetti una “ventata di freschezza”, un nuovo slancio all’interno di una realtà economica evidentemente bisognosa di sperimentazione organizzativa e gestionale. A questo proposito l’Institute of Internal Auditors e Borsa italiana S.p.a. hanno diffuso una serie di regole, mediante Standard internazionali, Codice Etico e codice di Autodisciplina, per delineare proprio i contorni di una così complessa figura aziendale ed indicarne i caratteri fondamentali. Il complesso ruolo dell’auditor, di assurance e consulenza votati alla creazione di valore per l’azienda, ha richiesto una serie di qualità necessarie per lo svolgimento dell’incarico, da accompagnarsi ad un adeguato set di strumenti, messi a disposizione dall’impresa, per portarlo a termine. Uno dei requisiti più apprezzati per un revisore è sicuramente l’indipendenza, che di per sé però non è in grado di apportare alcun valore aggiunto se non accompagnata da adeguate conoscenze e competenze. L’azienda, dal canto suo, deve perciò dotare la funzione dei poteri necessari per svolgere le verifiche ed offrirle, organizzativamente, l’adeguata protezione dai possibili condizionamenti a cui è esposta. Da qui nasce la curiosità di vedere 102 come i requisiti teorizzati a livello nazionale ed internazionale hanno trovato applicazione nelle imprese italiane. Le evidenze raccolte nell’ambito della Survey descrivono una funzione ben sviluppata, affidata prevalentemente a soggetti già precedentemente impiegati in azienda, ed anche le linee di riporto, studiate ad hoc per garantire l’indipendenza, qualche volta vengono stravolte. La scelta degli auditor è subordinata alla verifica delle conoscenze e delle competenze adatte all’attività, oltre che all’apprezzamento del requisito di indipendenza. La realtà che viene tratteggiata dai risultati della ricerca mostrano, nel complesso, che le aziende italiane hanno ben risposto agli input di rinnovamento provenienti dal mondo imprenditoriale internazionale, anche se, di fronte a questo, non tutte le strutture aziendali si sono dimostrate ugualmente pronte a tale sforzo innovativo. Purtroppo, in alcuni casi è necessario fare i conti con le rigidità delle strutture diffuse, specialmente in Italia: non sempre le aziende, o meglio il management, si è dimostrato disponibile a mettere in discussione la propria autorità accogliendo una nuova funzione come partner indipendente, riconoscendone il valore strategico, e sottoponendosi, ove necessario, alla sua critica. Nonostante l’indipendenza rappresenti una componente importante della funzione di cui l’azienda deve necessariamente tener conto, dall’indagine è emerso come, di fronte alle necessità di efficienza ed efficacia che governano tutta la vita dell’impresa, la scelta di come costruire la funzione è ampiamente lasciata alla sensibilità dei vertici aziendali e del RIA. Per l’azienda è più importante che la funzione sia utile piuttosto che perfetta a livello formale ma vuota di contenuti; è per questo che si dimostra aperta alla possibilità di operare scelte che in qualche modo sovvertano le regole per assicurarsi la migliore qualità del lavoro svolto dal revisore, in un clima armonioso e di collaborazione. L’osservanza dei requisiti formali e organizzativi passa in secondo piano di fronte all’utilità concreta del lavoro dell’auditor. 103 Il realizzarsi dell’assoluta indipendenza riveste dunque, per le considerazioni fatte sino ad ora, un ruolo marginale nell’individuazione degli obiettivi e delle attese intorno alla funzione; è molto più importante promuovere, tramite un’adeguata cultura del controllo, la responsabilizzazione del revisore interno e favorire la presa di coscienza dell’importanza della funzione, lasciando che le figure aziendali guadagnino la fiducia dell’intero sistema contando sulla propria professionalità, scavalcando stringenti regole che potrebbero risultare d’intralcio al raggiungimento dello scopo. 104 BIBLIOGRAFIA AIIA, Cbok, Caratteristiche dell’attività di Internal Auditing, Milano, 2010. Allegrini M., D’Onza G., Internal Auditing and Risk Assessment in Large Italian Companies: an Empirical Survey, in “International Journal of Auditing, n.7, 2003. American Accounting Association, Committee on Basic Auditing Concepts. Studies in Accounting Research, A statement of basic auditing concepts. Vol.6, n.1, 1973. Azzali S. (Università degli studi di Parma), AIIA, Deloitte, Genesi, Obiettivi del progetto e risultati della survey: Connotazione e Prestazioni della Funzione di Internal Audit, Milano, 27 maggio 2015. Bakar N.B. Abu, Ahmad M., Auditor Independence: Malaysian Accountants’ Perceptions, International journal of Business and Management, Vol.4, n.12, 2009. Bakar N.B. Abu, Rahman A. Rahim A., Rashid H.M.A, Factors influencing auditor independence: Malaysian loan officers’ perceptions, Managerial Auditing Journal, Vol.20, n.8, 2005. Banca d’Italia, Circolare 229/1999, Istruzioni di vigilanza per le banche. Bishop W.G. III, Bishop shares IIA’s view on auditor independence with new SEC chief accountant, IIA Today, dicembre 1995. 105 Bloom B. S., Taxonomy of Educational Objectives, D. McKey, New York, 1956. Capiello A., Regolamentazione e Risk Management nelle imprese assicurative. Profili evolutivi, Franco Angeli, Milano, 2008. Chaffee J., Teaching critical thinking across the curriculum, New Directions in Community Colleges, Vol.20, n.1. Codice di Autodisciplina, Borsa Italiana S.p.a. , luglio 2015. COSO, Enterprise Risk Management. Integrated Framework, settembre 2004; edizione italiana a cura di AIIA e Price Waterhouse Coopers, La Gestione del Rischio Aziendale, ERM- Enterprise Risk Management: un modello di riferimento e alcune tecniche applicative, IlSole24Ore, Milano, 2006. COSO, Internal Control Integrated Framework, AICPA, 1992 – tradotto e integrato in Price Waterhouse Coopers, Il Sistema di Controllo Interno. Progetti di Corporate Governance per l’Italia, IlSole24Ore, Milano, 2002. Dittmeier Carolyn, Internal Auditing Chiave per la corporate governance , EGEA, Milano, 2007. Fadzil F.H., Haron H., Jantan M., Internal Auditing practices and Internal Control System, Managerial Auditing Journal, Vol.20, n.8, 2005. Gray K., The Benefits of Outsourcing LowersRiskGroup, 30 settembre 2014. Internal Auditing, Greenawalt M.B., The Internal Auditor and the Critical Thinking process: a closer look, Managerial Auditing Journal, Vol.12, n.2 1997. Gul F. & Teoh H.P., The effects of combined audit and management services on public perception of auditor independence in developing countries: The Malaysian case. International Journal of Accounting Education and Research, Fall, 1984. 106 Hassal T., Dunlop A., Lewis S., Internal Audit Education: Exploring Professional Competence, Managerial Auditing Journal, Vol.11, n.5 1996. Hunt B., The Timid Corporation: Why Business is Terrified of Taking Risk, Londra, Wiley, 2003. Kurfiss J.G., Critical thinking: theory, research, practice and possibilities, ASHEERIC Higher Education Report #2, Association for the Study of Higher Education, Washington, DC, 1988. McPerk J.E., Critical Thinking and Education, St. Martin’s Press, New York, 1981. Nobolo A., Il Sistema di Controllo Interno, Università degli studi di Milano Bicocca, a.a.2010. Power M., The Risk Management of Everything, Domos, Londra, 2004. Raccomandazione della Commissione Europea 16 maggio 2002 (2002/590/CE) “L’indipendenza dei revisori legali dei conti nell’UE: un insieme di principi fondamentali”. Rizzo J.R., Role conflict and ambiguity in complex organizations, 1970. Schleifer Lydia L.F. & Greenawalt M.B., The Internal Auditor and the Critical Thinking Process, Managerial Auditing Journal, Vol.11, n.5, 1996. Schneider A., An examination of whether incentive compensation and stock ownership affect internal auditor objectivity, Journal of Management Issues, Vol. 15, 2003. Stewart J., Subramaniam N., Internal audit independence and objectivity: emerging research opportunities, Managerial Auditing Journal, Vol.25, n.4 2010. The Institute of Internal Auditors- AIIA, Codice Etico, gennaio 2014. 107 The Institute of Internal Auditors- AIIA, Guide Attuative, 2015. The Institute of Internal Auditors- AIIA, Standard Internazionali, 2012. Troina Gaetano, Le Revisioni Aziendali, Franco Angeli, Milano, 2005. Troina Gaetano, Lezioni di Economia Aziendale, CISU, 2006. Vanasco R. Rocco, Auditor independence: an international perspective, Managerial Auditing Journal, Vol.11, n.9 1996. Vanasco Rocco R, Skousen Clifford R., Santagato L. Roger, Auditing Independence: an international perspective, Managerial Auditing Journal, Vol.12, n.9 1997. Vinten Gerald, Audit independence in the UK- the state of art, Managerial Auditing Journal, Vol.14, n.8 1999. Zaini A., Taylor D., Commitment to independence by internal auditors: the effects of role ambiguity and role conflict, Managerial Auditing Journal, Vol.24, n.9 2009. Zanda G., Lineamenti di Economia Aziendale, Kappa, 2006. 108 Nella ricerca sono stati visitati i seguenti siti internet: www.aiiaweb.it www.theiia.org www.lowersriskgroup.com www.ukessays.com www.borsaitaliana.it www.coso.org 109