Nel mondo dei controlli aziendali, il processo dell’Internal Audit garantisce l’efficacia dell’implementazione delle regole aziendali, sia di conformità esterna che del funzionamento interno. L’audit interno richiede una esecuzione ripetitiva di compiti di controllo in loco e un output verso il top management, e tradizionalmente poca collaborazione verso gli altri processi aziendali. Vediamo come i risultati di questo processo possono migliorare le valutazioni di rischio e permettere un controllo più efficiente dei piani delle azioni di contrasto e compensazione se confluiscono nel trattamento del rischio.
Il risultato di un audit tradizionale sono spesso visite in numero inferiore alle attese, un coinvolgimento di molte risorse operative dell’entità in verifica, necessità di un team di verifica numeroso per ridurre i tempi di intervento, preoccupazione per i costi dell’intervento e per le azioni di rimedio conseguenti. Meno attenzione è data alle opportunità di miglioramento e le decisioni sono focalizzate a risolvere le singole non conformità trovate.
Non è assolutamente questo quanto raccomandato da The Institute of Internal Auditors in quanto testualmente la mission deve essere “Proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e risk based, consulenza e competenza”. Nella definizione troviamo pure: “Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance”.
Mentre per i processi produttivi si parla spesso di metodologie Agile, per i processi interni un approccio burocratico, guidato dalla necessità di una veloce aderenza a regole esterne, è spesso preferito alla ricerca di una metodologia più idonea alle proprie caratteristiche di business. In altre parole, si sceglie una strada già percorsa da altri, che sia veloce da implementare e costi meno tra quelle immediatamente presenti pur di essere velocemente conformi a leggi o standard.
È sicuramente un modo conservativo, ma con la sua indubbia validità che però rinuncia a priori alla ricerca di soluzioni specifiche a maggior valore per l’azienda. Ossia, che vantaggi addizionali per il business si riescono a ottenere adottando una metodologia piuttosto che un’altra, in funzione degli obiettivi del business e considerando tutti i processi e non solo quello direttamente coinvolto.
Una visione olistica basata sui sette principi guida dell’ITIL4
Un possibile approccio è quello olistico supportato dai sette principi guida dell’ITIL4 (quarta versione dell’IT Infrastructure Library, rilasciata a febbraio 2019). Il riferimento a questo framework non è fatto per entrare nel merito della sua focalizzazione nella gestione dei servizi IT, ma per richiamare l’analogia che intercorre tra servizio e processo aziendale. In tal modo, tutte le logiche previste per i servizi possono essere spostate a pari significato anche sui processi aziendali secondo uno schema di collaborazione tra essi.
Ecco che pensando al modello dei servizi di ITIL4 e cambiando il contesto a quello dei processi aziendali di controllo possiamo individuare un differente approccio. Dobbiamo essere focalizzati sul valore che produciamo, operare con quello che abbiamo, agire iterativamente, collaborare e comunicare, pensare e lavorare olisticamente, evitare soluzioni complicate e promuovere l’automazione per quanto possibile.
Il primo driver deve essere la creazione di valore per l’azienda e non il perseguire una ripetitività burocratica di attività non verificate in quanto a valore interno. Quindi il processo deve essere legato e verificato in modo iterativo agli obiettivi aziendali nonché collaborare e fornire valore anche agli altri processi. Vediamo come.
I vantaggi dell’approccio olistico all’Internal Audit
Nel rispetto della definizione del processo di IA cominciamo con il piano di visita per l’audit. Tipicamente l’idea è di visitare tutte le entità entro un certo lasso di tempo, magari cominciando da quelle a fatturato maggiore. È sicuramente una decisione legittima ma non è legata agli obiettivi del business. Se abbiamo un modello di valutazione della maturità, questo ci fornisce i razionali per agire. Oppure utilizziamo direttamente i risultati dal processo di gestione del rischio aziendale
Sono due i vantaggi di questo approccio. Consideriamo la lista dei controlli da verificare, è divisa secondo i processi aziendali e un eventuale indicatore di rischio seguirà la stessa suddivisione. Avremo la disponibilità di indicatori per ogni processo di ogni entità. Allo stesso modo gli auditor verranno divisi in gruppi secondo le specifiche competenze.
Quindi quando una squadra di auditor è pronta, può visitare la sede con l’indice di rischio maggiore rispetto alla competenza del team di audit. Un primo vantaggio è quindi legato alla focalizzazione dell’audit rispetto agli obiettivi di business in quanto i rischi sono sempre valutati sugli obiettivi e il secondo vantaggio è il minor impatto sull’entità visitata in quanto solo uno o pochi processi per volta vengono valutati contemporaneamente. Meno persone sono coinvolte.
Ci sono anche vantaggi meno evidenti. Le prestazioni del team migliorano perché non ci sono tempi di inattività in attesa che tutti gli auditor delle varie competenze completino il proprio lavoro. La scelta dell’entità da visitare è fatta sulla miglior informazione disponibile al momento della decisione come richiesto dalla creazione del valore. Le visite alle entità saranno più numerose e questo accresce la consapevolezza nell’attuazione dei controlli.
Anche al termine della visita di audit ci sono delle forti opportunità di miglioramento. L’esito dell’audit deve andare anche al processo di gestione dei rischi. Non è efficiente mantenere distinti un piano di attuazione delle contromisure per il rischio e un piano di rimedio per gli audit. È sufficiente far confluire il risultato dell’audit nel trattamento del rischio e lasciare il controllo di avanzamento dei piani al processo di gestione rischi. Il vantaggio di questa cooperazione è un’accresciuta fiducia nelle valutazioni di rischio e un più efficiente controllo dei piani delle azioni di contrasto o compensative.
La necessità di un server dedicato per i processi cooperanti
Un ultima considerazione finale. Questo meccanismo di processi cooperanti prevede di operare attorno a una stessa lista di controlli da verificare, di piani d’azione condivisi, di raccolte di informazioni di tipo diverso e dovrà necessariamente appoggiarsi a un piccolo sistema web-based. Il foglio elettronico non è assolutamente idoneo a gestire queste forme di collaborazione in modo semplice. Il suggerimento è di utilizzare un piccolo server dedicato, meglio se virtuale, per la gestione delle checklist, della raccolta evidenze e di presentazione dati.
Un server dedicato consente di installare software senza troppi fastidi di conflitti con altri e rimane semplice da mantenere. Non richiede connessioni sistematiche con altri sistemi ma solo la ricezione estemporanea di file dati oltre che un data-entry per le valutazioni o caricare evidenze. Per le ridotte dimensioni complessive non presenta difficoltà ad assicurare il salvataggio dell’intero ambiente. La tipologia software idonea per questo scopo è un reporting system e prima di investire in costose licenze è bene investigare anche il mondo degli open source per una soluzione di qualità a costo contenuto. Vista l’ampiezza e qualità oggi raggiunta da queste tipologie di software è attesa una positiva sorpresa.