CRSA in Italia: i casi HDP, IBM Italia e Pirelli Pubblicato su “Auditing”, n. 46, 2003 Marco Allegrini – Giuseppe D’Onza* 1.

Introduzione1 Il presente lavoro è il frutto di una ricerca empirica condotta nel corso del 2002 sulle attività di internal auditing e risk assessment, nelle principali società italiane quotate alla Borsa valori di Milano2. Una parte della ricerca intendeva verificare l’applicazione della metodologia di CRSA (Control Risk Self Assessment) nelle aziende italiane. Per le finalità della ricerca non abbiamo ritenuto opportuno distinguere il CRSA, dal CSA (Control Self Assessement) e dalle altre metodologie di autovalutazione dei rischi e dei controlli sviluppate nel corso degli ultimi anni da aziende di produzione e società di consulenza (Business Self Assessment, Management Self Assessment, ed altri ancora). Il primo progetto di CSA è stato introdotto nel 1987 da una multinazionale canadese (Gulf Canada) operante nel settore chimico, allo scopo di coinvolgere i responsabili delle business unit nella valutazione dell’efficacia dei controlli in essere e nell’individuazione delle opportunità di miglioramento dei meccanismi impostati. Partendo dagli obiettivi assegnati, i manager di ciascuna divisione, con l’ausilio dei dipendenti direttamente impegnati nello svolgimento delle operazioni aziendali, dovevano valutare se le attività di controllo garantivano l’efficace ed efficiente svolgimento delle operazioni, l’attendibilità delle informazioni prodotte e la conformità delle operazioni svolte con la normativa vigente. Negli anni immediatamente successivi, il CSA è stato implementato in un numero crescente di imprese nordamericane ed europee per migliorare l’efficacia dell’attività direzionale, per adempiere a disposizioni normative (Federal Sentencing Guidelines, ecc.) e per favorire l’implementazione dei control model (COSO e COCO). Contemporaneamente si è assistito ad un proliferare di nuove metodologie sviluppate soprattutto da società di consulenza che, prendendo spunto dai modelli di controllo più diffusi nel contesto internazionale, hanno ampliato la gamma dei servizi a supporto dell’attività di analisi e valutazione dei rischi e dei controlli. Il CRSA costituisce un’evoluzione della metodologia del CSA (Arthur Andersen, 1994) e risulta essere maggiormente focalizzato sull’identificazione dei rischi potenziali che possono pregiudicare il conseguimento degli obiettivi aziendali, sulla definizione del livello di rischio massimo accettabile e sull’ottimizzazione delle attività di controllo ai fini della gestione dei rischi. Nelle organizzazioni in cui è stato implementato, il CRSA ha permesso di accrescere l’efficacia dei sistemi di corporate e control governance, attraverso una più accurata gestione dei rischi connessi all’attività aziendale (Makosz, McGuaig 1990; Jordan 1995). Fra i principali beneficiari degli output generati dai processi di CSA/CRSA è possibile annoverare il consiglio di amministrazione, il management ed i revisori interni ed esterni.
* Marco Allegrini è professore associato in “Ragioneria internazionale” ed “Economia e controllo dei gruppi aziendali” e ViceDirettore del Master in “Auditing e Controllo Interno” dell’Università di Pisa. Giuseppe D’Onza è professore a contratto in “Revisione Aziendale” presso l’Università di Bari e “Coordinatore operativo” del Master in “Auditing e Controllo Interno” dell’Università di Pisa. Gli autori desiderano ringraziare il Dott. Carlo Palazzesi, il Dott. Giuseppe Palmieri, il Dott. Gabriel Almandoz ed il Dott. Sergio Romiti, per il contributo alla realizzazione dei casi di studio. 1 La relazione è frutto di una comune attività di ricerca svolta, nella fase progettuale, realizzativa ed interpretativa, congiuntamente da parte degli autori. Tuttavia, Marco Allegrini è autore dei paragrafi 2-3; Giuseppe D’Onza è autore dei paragrafi 1-4. 2 Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, Internal Auditing e Risk Assessment, pubblicato nel numero precedente della presente rivista.

Per quanto attiene l’organo amministrativo, responsabile del corretto funzionamento del sistema di controllo interno, i processi di CSA/CRSA costituiscono dei validi strumenti di assurance, in quanto permettono di: • acquisire la ragionevole sicurezza che in tutti i livelli dell’organizzazione esistano adeguati ed efficaci meccanismi di controllo; • identificare i rischi connessi al business aziendale e valutare l’efficacia delle politiche di risk management; • rafforzare la comunicazione fra i vari livelli direzionali in merito agli obiettivi da conseguire, i rischi da fronteggiare, le opportunità da cogliere, i controlli da implementare o da ridurre. Lo svolgimento dei processi di autovalutazione consente, inoltre, di supportare i manager nello svolgimento delle attività direzionali di pianificazione e controllo. In particolare il CRSA contribuisce a: • sviluppare la conoscenza dei rischi potenziali che possono ostacolare il raggiungimento degli obiettivi aziendali; • identificare le criticità del sistema di controllo interno; • stabilire le priorità di intervento in sede di definizione dei piani strategici e tattici; • supportare i processi di empowernment; • coinvolgere i subordinati nel processo decisionale. In relazione a quanto detto, sono facilmente intuibili i vantaggi per i revisori interni ed esterni, impegnati - seppur con finalità e ruoli differenti – nella valutazione del sistema di controllo interno. In particolare, il CRSA consente di: • ampliare l’auditing coverage, a parità di risorse impiegate nella revisione interna; • individuare le priorità di intervento in sede di stesura del piano annuale, nonché di programmazione del singolo incarico; • migliorare l’ambiente di controllo attraverso l’accrescimento del livello di responsabilizzazione del personale; • favorire un approccio più collaborativo nel corso degli interventi di audit; • accrescere le competenze e la professionalità dei revisori. Malgrado la diffusione avutasi nell’ultimo ventennio a livello internazionale, anche i più fervidi assertori del CRSA hanno individuato alcuni fattori che possono ridurre l’efficacia dei processi di autovalutazione. Per assicurare la riuscita del progetto, è indispensabile il supporto dell’alta direzione, sia nella fase di avvio del progetto, per superare le resistenze dei manager “diffidenti”, sia nel corso dell’autovalutazione, per favorire l’implementazione delle azioni correttive proposte nel CRSA. E’, inoltre, da considerare quale fattore critico del progetto l’esistenza di una cultura del controllo e della trasparenza nell’organizzazione, che risulta necessaria per garantire la correttezza dei comportamenti nella fase di svolgimento della valutazione. Su ambedue i fattori, i revisori interni sono chiamati a svolgere un delicato compito di promozione del CRSA a tutti i livelli dell’organizzazione, di coinvolgimento del management, di garanzia della qualità e della veridicità dei risultati prodotti. Gli altri fattori critici di successo riscontrati nel corso dei progetti di CRSA attengono a: • un’adeguata pianificazione del CRSA, che implica una serie di scelte sull’utilizzo dei modelli di controllo per guidare l’autovalutazione, sulle unità aziendali in cui sperimentare la metodologia, sugli obiettivi da raggiungere, sui tempi di svolgimento, e così via;

• la scelta dello strumento da utilizzare (Questionario standard, Questionario personalizzato, Facilitated Workshop3, Analisi prodotte dal management, ed altro ancora) che dovrebbe avvenire in funzione della cultura organizzativa e degli obiettivi da perseguire; • l’individuazione del facilitatore con competenze e conoscenze adeguate; • il monitoraggio delle azioni correttive definite a seguito dell’autovalutazione. ******** Una ricerca condotta nel 1998 nel Regno Unito, volta a verificare il grado di diffusione del CSA/CRSA fra le prime 50 aziende quotate al FTSE, ha evidenziato che il 68% circa delle organizzazioni aveva applicato negli ultimi tre anni un progetto di CRSA e che l’autovalutazione veniva ripetuta almeno annualmente in tutte le unità dell’organizzazione. In queste aziende, la motivazione principale che ha indotto l’introduzione del CRSA risiede nella necessità di fornire ai manager una metodologia a supporto delle decisioni strategiche ed operative. Nel nostro Paese, il CRSA è ancora in una fase di start-up, poiché soltanto cinque delle prime cento società per capitalizzazione di borsa, dichiarano di aver già provveduto ad introdurre il progetto in tutte le aree funzionali, altre quattro aziende rivelano di averlo implementato in almeno una funzione o unità del gruppo e dieci sostengono di voler introdurre il CRSA entro un anno4. Al fine di analizzare le dinamiche di svolgimento dei progetti di Control Risk Self Assessment, sono state realizzate delle interviste con i responsabili delle unità di revisione interna (o con persone da essi delegati) di società che hanno implementato con esiti positivi il progetto in tutte le unità dell’organizzazione. Di seguito si presentano tre casi di studio, riferiti rispettivamente alle società HPD, IBM Italia e Pirelli, finalizzati ad illustrare gli aspetti di maggior rilievo emersi nel corso delle interviste.

3

E’ possibile identificare quattro tipi di workshop applicabili per lo svolgimento del CRSA che si differenziano per la differente prospettiva adottata nel corso dell’autovalutazione: - control-based workshop; - process-based workshop; - risk-based workshop; - objective-based workshop.

Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, op. cit.

4

2. CASO HDP Aspetti strutturali della funzione di Internal Auditing L’attività di internal auditing per tutte le società del gruppo HDP è svolta da una società consortile (HDP Audit), il cui Consiglio di Amministrazione è costituito interamente da amministratori indipendenti. I nove revisori che attualmente compongono l’unità di internal auditing svolgono prevalentemente un’attività di verifica dell’efficacia e dell’efficienza delle operazioni aziendali, mentre la revisione contabile è affidata in via esclusiva ad una società di revisione. Il responsabile della funzione di internal auditing riferisce sull’attività svolta almeno una volta per trimestre al Consiglio di amministrazione, all’Audit Committee ed al preposto al Sistema di controllo interno della capogruppo. I preposti sono stati inoltre istituiti in seno a tutte le società controllate e fra l’altro essi: • collaborano con la società consortile per gli interventi di audit riguardanti la società di loro appartenenza; • ricevono i rapporti di audit e si relazionano con gli organi societari della controllata (CdA, collegio sindacale) per quanto attiene le verifiche svolte sull’adeguatezza del sistema di controllo interno. Il CRSA: obiettivi perseguiti Il CRSA è stato introdotto nel primo trimestre del 2001, in tutte le società del gruppo HDP al fine di perseguire due obiettivi principali: 1) verificare che in tutte le società del gruppo esista un adeguato ed efficace sistema di controllo interno, coerentemente con quanto stabilito dalle disposizioni della Draghi e del codice di autodisciplina; 2) coinvolgere il management nel monitoraggio dei meccanismi di controllo, stimolandolo a proporre delle soluzioni per i problemi riscontrati. Il progetto di CRSA intende favorire un progressivo cambiamento della cultura organizzativa, affinché tutto il personale divenga parte integrante del sistema di controllo interno, sia fortemente motivato a garantire l’effettiva applicazione delle procedure impostate ed a partecipare al loro continuo miglioramento. Altre finalità perseguite tramite l’autovalutazione del sistema di controllo interno sono costituite dall’ampliamento dell’audit coverage a parità di risorse impiegate nella funzione di auditing e dall’acquisizione di una maggiore visibilità dei rischi inerenti e di controllo. La pratica del CRSA Per lo svolgimento del CRSA sono stati utilizzati due strumenti: - un questionario definito sulla base del COSO Report, adattato in relazione alla struttura organizzativa e alle peculiarità gestionali delle diverse società del gruppo; - una scheda utilizzata per l’attività di risk assessment. Il questionario è diviso in quattro parti dedicate rispettivamente all’ambiente di controllo, alle attività di controllo, ai meccanismi di informazione e di comunicazione, al monitoraggio dell’efficacia del sistema di controllo interno. Per ognuna delle sezioni, sono stati formulati dei quesiti volti a verificare, da un lato, l’esistenza di controlli specifici, dall’altro l’efficacia complessiva del sistema istituito per preservare l’integrità del patrimonio, l’attendibilità delle informazioni e l’efficace ed efficiente impiego delle risorse. I diversi punti del questionario riprendono, in parte, la struttura del COSO Report, opportunamente adattato alle peculiarità gestionali dell’organizzazione, in modo da rendere più agevole l’autovalutazione da parte dei destinatari. Il questionario è stato inviato agli amministratori delegati delle società a controllo diretto e delle società controllate indirettamente con un volume di fatturato particolarmente rilevante.

Inizialmente, l’autovalutazione è stata compiuta con l’ausilio dei revisori interni, che hanno svolto un’attività di formazione e di supporto al management nel corso della compilazione del documento. Per le maggiori criticità riscontrate a seguito della valutazione, il management ha provveduto a definire gli interventi correttivi per poter rimuovere i punti di debolezza, stabilendo una priorità di intervento, definita in relazione al livello di rischio residuale. A differenza del questionario, la valutazione dei rischi è stata effettuata coinvolgendo anche i responsabili delle diverse funzioni individuate nell’ambito delle società del gruppo. L’attività di self risk assessment prevede tre macrofasi, costituite rispettivamente dalla: 1) identificazione degli obiettivi strategici e tattici e dei rischi che possono ostacolare il raggiungimento degli stessi Coerentemente con quanto stabilito dai control model, l’attività di risk assessment in HDP ha avuto inizio con l’individuazione degli obiettivi assegnati alle varie unità aziendali. In una prima fase del progetto, per agevolare l’individuazione dei fattori interni ed esterni all’organizzazione che possono impedire il conseguimento degli obiettivi aziendali, è stato diffuso una sorta di vademecum, contenente l’indicazione di alcuni fattori di rischio che possono impattare sul corretto svolgimento della gestione aziendale. 2) valutazione dei fattori di rischio identificati in termini di probabilità di accadimento dell’evento e di impatto sull’economicità della gestione Anche in questa seconda fase, i revisori hanno facilitato il processo di autovalutazione, affiancando il management nell’individuazione degli elementi che potevano ridurre o incrementare la probabilità di manifestazione degli eventi, oppure l’impatto sul reddito e sul patrimonio. Per la quantificazione del rischio, si è deciso di adottare una scala di valutazione compresa fra 1 e 5, da assegnare in relazione alla frequenza con cui gli eventi possono manifestarsi ed alla dimensione del danno economico stimato, a seguito del manifestarsi dell’evento. La dimensione del rischio si ottiene dal prodotto fra queste due variabili (rischio min=1, rischio max=25). 3) ricognizione e valutazione dei controlli istituiti a fronte dei rischi individuati Individuati i rischi che possono pregiudicare il raggiungimento degli obiettivi prestabiliti, si è valutato se erano stati previsti dei meccanismi volti a ridurre la probabilità di manifestazione dell’evento, l’impatto che gli stessi potevano avere sulla ricchezza prodotta oppure entrambi. La scheda utilizzata nell’ambito dell’attività di risk assessment rappresentata nella figura n. 1, si compone di 6 colonne, come evidenziato nella figura 1:
Figura 1

Obiettivo

Impatto Fattore Probabilità Impatto sull’obiettivo di rischio

Valore del rischio

Livello di controllo (soddisfacente, non soddisfacente)

Nel caso in cui il livello di controllo risultasse insoddisfacente, i responsabili delle varie funzioni dovranno indicare anche le azioni da intraprendere per ridurre il rischio al di sotto della soglia di accettabilità. Il processo di autovalutazione si conclude con la predisposizione del rapporto la cui struttura è riportata nella figura 2.

Figura 2 Criticità

Attività da realizzare

Data di conclusione

Follow-up

Una volta che i rischi sono stati individuati e valutati, il responsabile di ciascuna unità di line definisce il piano di azione che dovrà essere implementato per rimuovere le criticità che sono state riscontrate. Il report viene presentato agli amministratori delegati delle diverse società del gruppo, che concordano con i responsabili delle business unit gli interventi da realizzare per mitigare i rischi che sono stati individuati. Il CRSA e l’attività di audit Il processo di CRSA consente di monitorare l’adeguatezza del sistema di controllo interno presente nelle diverse aree dell’organizzazione, divenendo uno dei principali input per il processo di pianificazione degli interventi di audit. Laddove sono stati definiti degli interventi per ricondurre il rischio entro limiti definiti come “accettabili”, il responsabile della revisione interna, in sede di stesura del piano annuale di audit, prevede le attività di follow-up che dovranno essere svolte. Generalmente, tali attività sono condotte su base semestrale e sono dirette ad assicurare che le azioni programmate a seguito del CRSA siano state eseguite correttamente e nei tempi previsti. Nel corso di tali verifiche si accerta, inoltre, con il responsabile del processo, se sono sorti ulteriori fattori di rischio, in modo da aggiornare la mappa dei rischi inerenti alla specifica funzione e, qualora risultasse necessario, da richiedere al management l’impostazione di ulteriori azioni correttive. Il processo di aggiornamento dei fattori di rischio che possono impattare sull’attività aziendale avviene anche al di fuori degli interventi di follow-up, con cadenza semestrale o annuale.

3. CASO IBM ITALIA Aspetti strutturali della funzione di Internal Auditing IBM Italia fa parte di un gruppo multinazionale presente nel settore dell’information technology. L’attività di Internal Auditing (IA) nel gruppo è organizzata secondo una struttura piramidale articolata su tre livelli: • una direzione auditing di gruppo costituita in seno alla holding; • alcune direzioni a livello di “macro-area” (Europa, Asia, America Latina, Nord America); • delle unità responsabili di “area”. In Europa, attualmente, ne esistono cinque (North, South, Ovest, Central, East); Fra i tre livelli esistono intense relazioni funzionali volte a garantire il coordinamento delle attività di audit svolte nelle diverse unità del gruppo, nonché a favorire l’integrazione delle metodologie, degli strumenti e delle risorse utilizzate nel corso dei singoli interventi. In IBM Italia è stata istituita la direzione auditing “South Europe”, che svolge l’attività di revisione interna per le società del gruppo localizzate in quest’area. Il responsabile della funzione di internal auditing dipende gerarchicamente dal Chief Financial Officer (CFO) di IBM Italia e, in via funzionale, dal direttore auditing europeo. IBM Italia presenta attualmente una struttura organizzativa articolata per processi e per strategic business unit (SBU). Date le caratteristiche organizzative, l’attività di controllo è affidata a due distinte unità: - la funzione di internal audit e business control posta in staff al CFO; - l’unità di business control di processo istituita in staff al responsabile di processo. La prima ha una competenza trasversale su tutti i processi e le SBU e si compone di 9 unità, di cui 7 revisori impegnati nello svolgimento di attività di “assurance” e 2 controller, che esercitano un’attività di controllo concomitante e di consulenza. La seconda opera nell’ambito del singolo processo e provvede a: • controllare che le varie attività siano svolte con efficacia ed efficienza ed a proporre le azioni correttive per il miglioramento del processo; • gestire i rischi che si frappongono al raggiungimento degli obiettivi; • monitorare la funzionalità ed ottimizzare i meccanismi di controllo istituiti (rispetto delle deleghe, procedure, norme, istruzioni, e così via) • collaborare con l’internal auditing nel corso di audit o di Control Assessment Review riferiti allo specifico processo; • supportare e coordinare l’attività di Control Risk Self Assessment (CRSA) che viene svolta due volte all’anno. Il CRSA: obiettivi perseguiti La proposta di introdurre l’attività di CRSA nel gruppo era maturata in seno all’auditing intorno alla metà degli anni ottanta. Gli auditor ritenevano che, affidando al management il compito di identificare e valutare i rischi e i controlli da instaurare nelle aree di loro competenza, si sarebbe accresciuto il livello di responsabilizzazione dell’organizzazione. L’introduzione del CRSA era favorita sia da un rilevante supporto del top management sia dalla presenza di una cultura del controllo fortemente radicata nel gruppo, che offriva la possibilità di poter “delegare” alle unità di line il compito di monitorare la funzionalità dei processi e di contribuire al miglioramento della loro efficacia ed efficienza. Per incentivare la partecipazione del management di line al processo di valutazione dei rischi e dei controlli, gli internal auditor organizzarono dei workshop per illustrare gli obiettivi del progetto e le

modalità di svolgimento del CRSA, sottolineando l’esigenza di un atteggiamento collaborativo da parte del management. A queste riunioni partecipavano i vertici delle società del gruppo ed i responsabili dei processi e delle business unit. Attualmente, l’autovalutazione viene effettuata due volte l’anno in tutti i processi e le SBU. Nel corso degli anni, il CRSA ha permesso di migliorare l’efficienza e l’efficacia dei processi di business, tramite una più accurata gestione dei rischi strategici, direzionali ed operativi. La pratica del CRSA Il progetto di CRSA può essere scomposto in tre distinte fasi: • raccolta dei dati esistenti; • autovalutazione del processo utilizzando degli specifici questionari e gli audit program; • presentazione dei risultati e degli eventuali piani d’azione che scaturiscono dalla valutazione. Nella prima fase, si acquisiscono le informazioni relative al processo oggetto di analisi, tramite l’analisi dei risultati dei precedenti CRSA, dei piani di azione predisposti e dei rilievi riscontrati a seguito degli interventi di audit o delle attività di Control Assessment Review svolte dagli internal auditor. Lo strumento principale utilizzato per il CRSA è un questionario (Common Core Assessment Question) comune a tutto il gruppo ed articolato in più sezioni specifiche per particolari processi o funzioni; esso viene predisposto da un gruppo di lavoro della funzione di auditing della capogruppo. Ogni sezione definisce i requisiti minimi per compiere l’autovalutazione, alcuni dei quali sono di seguito riportati, riconoscendo ai responsabili delle unità organizzative la possibilità di aggiungere ulteriori elementi più pertinenti allo specifico processo5. Le sezioni in cui è strutturato il questionario riguardano fra l’altro: • la chiara identificazione degli obiettivi da raggiungere; • la responsabilizzazione (accountability) dei processi e dei sub- processi; • l’identificazione dei controlli chiave dei processi e dei sub- processi; • i programmi di formazione e di addestramento del personale; • il riscontro della conformità con le politiche, le istruzioni e le procedure aziendali; • la verifica sulla funzionalità dei controlli istituiti; • le attività e gli strumenti di risk management; • le modalità di accettazione dei rischi; • il grado di separazione dei compiti. I process owner (ed eventualmente i sub-process owner), con il supporto del “business controller” di processo, devono, per ciascuna sezione, effettuare una serie di analisi ed esprimere una valutazione finale. Nel corso della compilazione del questionario, il process owner si serve di un documento (audit program), che, per ogni singola attività, specifica i controlli primari e secondari che dovrebbero essere stati attivati e i test da realizzare. In tal modo, i process owner possono valutare l’esistenza ed il funzionamento dei controlli.
I process owner possono personalizzare il questionario ricevuto con una serie di quesiti riferiti allo specifico processo ed ai punti di controllo che dovrebbero essere previsti. Nel corso degli anni sono stati sviluppati dei manuali che, per ciascuno dei sottoprocessi, hanno definito le procedure per il corretto svolgimento delle attività. Questi manuali, come tutta la documentazione relativa ai processi di CSA, sono disponibili nella Intranet aziendale alla quale possono accedere i process owner ed i business control manager per inserire ulteriori elementi di valutazione.
5

Al termine dell’autovalutazione, basandosi sulle evidenze emerse nel corso delle verifiche, per ciascuna sezione del questionario, i process owner (con l’ausilio del business controller di processo) esprimono una valutazione in merito al livello di controllo riscontrato nell’area di attività. Qualora emergano significative disfunzionalità, il management è chiamato a definire il piano di azione per rimuovere le criticità, la data di completamento dell’intervento e le misure temporanee di fronteggiamento delle minacce riscontrate. Nella fase successiva, i risultati dell’autovalutazione e le azioni di mitigazione dei rischi predisposte dalle unità organizzative sono inviate alla direzione audit ed al responsabile del processo istituito a livello di macroarea geografica6. La direzione audit istituita in Ibm Italia (livello di singolo Paese) presenta al CFO ed all’amministratore delegato della medesima società una valutazione sintetica degli elementi critici di maggiore rilevanza riscontrati nel corso dell’assessment ed i piani di azione predisposti. Questi ultimi saranno discussi dai process owner con l’alta direzione per valutare la congruità delle contromisure che sono state predisposte. Dopo che i piani di azione vengono approvati, i responsabili del processo dovranno provvedere all’implementazione dello stesso nei tempi stabiliti. Il CRSA e l’attività di audit Al fine di garantire l’attendibilità dei risultati prodotti dal CRSA, la funzione di IA svolge un’attività di quality assurance, selezionando 5-6 unità e revisionando l’assessment in esse compiuto. In particolare, la verifica è diretta ad accertare se è stata riscontrata l’esistenza dei controlli definiti dall’audit program e se sono stati effettuati i test da esso previsti. Un ulteriore deterrente per prevenire comportamenti scorretti consiste nel confrontare i risultati emersi dall’autovalutazione con il giudizio espresso dai revisori a seguito degli interventi di audit. Nel caso in cui, nel corso delle verifiche, gli auditor vengano a conoscenza di elementi che non emergevano dal CRSA, essi devono svolgere un’analisi approfondita per accertare le ragioni delle difformità. Il CRSA contribuisce a definire ed aggiornare la mappa dei rischi aziendali, che viene utilizzata in fase di predisposizione del piano di audit per la identificazione delle unità/processi da sottoporre a revisione. L’approccio utilizzato nella pianificazione degli audit è di tipo risk-based, in quanto le risorse vengono allocate in relazione al grado di rischio associato ai diversi processi. Più in particolare, il modello formale istituito in IBM per la definizione del piano annuale di audit prevede che la probabilità che un processo possa essere soggetto a revisione dipende da: • fattori di rischio identificati (instabilità organizzativa, liquidità e convertibilità, impatto sul bilancio e sull’immagine della società ); • valutazioni negative emerse nel corso delle attività di CRSA; • significatività del processo; • tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control Assessment Review. Per ogni processo, si provvede ad assegnare un valore a ciascuno dei parametri menzionati, cosicché si ottiene una graduatoria dei processi in funzione del sistema di rating adottato, che serve ad individuare le priorità di intervento e, dunque, a selezionare le unità da sottoporre ad audit. In effetti, l’85% circa delle risorse viene allocato in funzione di tale graduatoria, mentre le restanti
Analogamente all’attività di auditing, anche i processi operativi si articolano su quattro livelli (corporate, macroarea, area, società). Per ciascuno di essi è stato individuato un responsabile (process owner) che provvede al monitoraggio della funzionalità del processo e promuove il suo miglioramento. Ad esempio, i risultati dell’autovalutazione effettuata dal responsabile del processo di acquisto delle materie prime in Ibm Italia vengono inviati alla funzione di revisione interna presente nella medesima società ed al process owner degli acquisti a livello di macro-area (Europa). A loro volta, i responsabili di processo delle varie macroaree riportano funzionalmente al direttore degli acquisti della holding statunitense.
6

sono disponibili per le verifiche richieste dall’Alta direzione o per interventi non programmati che si rendessero necessari nel prossimo esercizio. Le indicazioni emerse in sede di autovalutazione ed i piani di azione che sono stati definiti vengono presi in considerazione anche al momento della pre- review degli interventi di audit. Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti al termine dell’ultimo CRSA effettuato, si analizzano le criticità che erano state riscontrate nel corso dell’autovalutazione e si realizza un follow-up sul piano di azione in precedenza elaborato per verificarne la corretta attuazione. In conclusione, l’applicazione sistematica del CRSA ha permesso di ridurre il livello di incertezza delle decisioni prese dai responsabili dei processi, tramite l’acquisizione di una maggiore consapevolezza dei rischi, di migliorare le modalità secondo cui le attività di revisione sono pianificate e di creare un rapporto più collaborativo fra gli auditor ed il management di line

4.CASO PIRELLI Aspetti strutturali della Funzione di Internal Auditing In Pirelli & C. la Funzione di Revisione Interna svolge l’attività di auditing per l’intero Gruppo Pirelli ed è posta alle dirette dipendenze del Presidente della capogruppo. Nell’ambito della Funzione di audit sono state identificate tre divisioni, responsabili dello svolgimento dell’attività in tre distinte aree geografiche ((1) Europa Continentale, Nord America ed Africa, (2) UK, Australia e Far East, (3) America Latina), con a capo un responsabile per ciascuna area. Il responsabile della Funzione di Revisione Interna si avvale del supporto del responsabile di ciascuna area geografica per lo sviluppo del piano annuale, monitorandone lo stato di avanzamento. Il CRSA: obiettivi perseguiti Per quando attiene il progetto di CRSA, esso è stato sperimentato inizialmente nelle società del Gruppo operanti negli USA e in UK intorno agli inizi degli anni ’90, in quanto la cultura organizzativa e la presenza, anche se non sistematica, di progetti di risk assessment, favorivano la sperimentazione della metodologia. I risultati positivi conseguiti in quelle unità hanno indotto, alla fine degli anni ’90, ad estendere il CRSA in tutto il Gruppo. Lo sponsor del progetto è stata la Funzione di Revisione Interna, che progettò il CRSA con l’obiettivo di fornire al management di line una metodologia a supporto del processo di pianificazione strategica e operativa. In una prima fase, il progetto fu lanciato in tutte le società del Gruppo con un livello di fatturato superiore a 150 milioni di Euro e fu condotto dal team di internal auditing attraverso l’organizzazione di specifici workshop con il top management delle Società e i responsabili delle diverse business unit. Attualmente, la metodologia del CRSA è stata inserita nella procedura di Pianificazione e Controllo, nell’ambito dei processi amministrativi di Gruppo, in quanto si è inteso sviluppare, all’interno della procedura stessa, l’aspetto relativo alla gestione dei rischi aziendali. L’obiettivo è stato quello di “automatizzare” l’applicazione del CRSA, in maniera che le diverse unità operative del Gruppo potessero essere indipendenti nella valutazione dei rischi e nell’adozione delle relative contromisure, in concomitanza all’elaborazione del Piano di Gestione annuale. La pratica del CRSA In Pirelli, per lo svolgimento del processo di autovalutazione dei rischi e dei controlli sono utilizzati più strumenti contemporaneamente. In una prima fase, i responsabili delle business unit e i loro diretti collaboratori, provvedono ad evidenziare le minacce che possono pregiudicare il raggiungimento degli obiettivi aziendali e le risorse materiali ed immateriali sulle quali i rischi possono avere un impatto (Figura 3). Figura 3 Società: Settore: Nome: Descrizione delle minacce Risorse

Mediamente ogni responsabile ne indica 10-15. Si è scelto di non utilizzare il questionario per lo svolgimento del CRSA, poiché si è notato come, di fronte ad un numero chiuso di domande, il management non fosse sollecitato ad individuare ulteriori minacce che avrebbero potuto impattare sull’attività aziendale. Questo elenco viene inviato al responsabile del progetto7, che effettua un’attività di consolidamento, eliminando le ridondanze ed inserendo delle categorie di rischio reputati rilevanti che non sono stati identificati in una prima fase. Al termine di questa prima fase, si definisce un elenco unico di rischi, che viene nuovamente inviato al management per una valutazione in termini di probabilità di accadimento dell’evento e di impatto sulla gestione (Figura 4), utilizzando una scala da 1 a 5. I parametri da considerare nella valutazione vengono illustrati nel briefing, all’inizio del processo di autovalutazione. Figura 4 Società: Area: Nome: Descrizione del rischio

Impatto potenziale

Probabilità

Una volta terminata la valutazione, c’è una fase di elaborazione, nella quale, raccolte le valutazioni effettuate dai responsabili funzionali, per ogni categoria di rischio si evidenzia la media delle probabilità e dell’impatto, la deviazione standard e si riporta anche il punteggio che è stato assegnato da ciascuna funzione. In tal modo si ha la possibilità di classificare i rischi in ordine di importanza, di individuare delle devianze nelle valutazioni che potranno essere discusse separatamente con i responsabili delle diverse unità nel corso del workshop e di stabilire l’esposizione di ciascuna area ad una specifica categoria di rischio. La fase successiva prevede la discussione dei risultati nel corso di un workshop al quale partecipano i responsabili delle varie funzioni. Basandosi sulle valutazioni che sono state effettuate, per i rischi più significativi si chiede, per le aree maggiormente esposte, di illustrare le azioni di contenimento che si intendono porre in essere per rimuovere le cause delle criticità percepite e la tempistica di attuazione delle stesse. Qualora emergano dei fattori di rischio comuni a più funzioni, la definizione del piano di azione viene demandata all’alta direzione della società e, se più aziende sono esposte alla medesima categoria di rischio, la stesura del piano di contenimento del rischio è demandata a livello di settore8.

7

Le procedure del Gruppo prevedono che la metodologia CRSA sia coordinata dall’ Area Amministrazione e Controllo, che si articola su tre livelli:

societario: è responsabile della gestione dei rischi relativi alla singola società garantendo l’ottimizzazione delle contromisure che sono state impostate; • di settore: si occupa dell’impostazione delle azioni da intraprendere per la gestione dei rischi aziendali comuni a tutto il settore; • di corporate: è responsabile della formalizzazione del portafoglio rischi relativo alle diverse aree di business del gruppo. 8 La struttura del gruppo Pirelli si articola su più settori di attività. All’interno di ognuno, operano più società controllate dalla capogruppo. Al progetto di CRSA partecipano, nella prima fase, i responsabili delle funzioni individuate nell’ambito di ciascuna società, chiamati a individuare le minacce inerenti alle aree di loro competenza.

La procedura di Gruppo prevede che al termine del progetto i risultati siano inviati all’alta direzione della società e della sua capogruppo, in modo da attivare un forma comunicazione di tipo bottom up in merito ai principali rischi presenti nelle diverse parti dell’organizzazione e delle modalità con le quali essi sono stati gestiti. Le indicazioni che emergono dal progetto di CRSA supportano il processo di elaborazione dei piani operativi a livello funzionale e di area, tramite i quali si cercano di sfruttare al meglio le opportunità individuate o contenere le minacce che possono impattare sul business. Il CRSA e l’attività di audit Il portafoglio dei rischi, che costituisce uno dei principali output del progetto di autovalutazione, oltre ad orientare la formulazione delle strategie, riveste un’importanza notevole per l’attività di audit, sia in sede di definizione del piano annuale, sia nel corso di svolgimento delle verifiche. Fra gli input utilizzati per la pianificazione degli interventi di audit, oltre alle richieste del top management, dal progetto di risk assessment si desume la rischiosità delle differenti auditable unit. Per ognuna di esse, si considera l’adeguatezza dei controlli in essere e, in funzione del livello di rischio residuale, si stabiliscono le aree sulle quali focalizzare le verifiche e il tipo di intervento da effettuare. In sede di programmazione degli interventi di audit, la mappatura dei rischi connessi ai processi operativi permette di individuare le maggiori criticità che possono ridurre l’efficacia o l’efficienza delle attività. In qualunque società venga condotto l’intervento di audit, il team di lavoro è in grado di identificare i rischi tipici delle operazioni oggetto delle verifiche, in modo da agevolare l’organizzazione dell’attività di audit. Partendo dai rischi più significativi, il team di audit andrà a verificare se sono stati istituiti dei meccanismi di mitigazione, la loro adeguatezza e l’efficacia degli stessi.

BIBLIOGRAFIA ALLEGRINI M., D’ONZA G., Internal auditing e Risk Assessment: un’indagine empirica, in Internal auditing, n. 45, 2003. ARTHUR ANDERSEN LLP, Control Self Assessment: Experience, Current Thinking, and Best Practices, Altomonte Springs, The Institute of Internal Auditor Research foundation, 1994. BAKER L., GRAHAM R., Control Self Assessment, in “Internal Auditor”, April 1996. CLARK D., Control Self Assessment: A Users’ View, in “Internal Auditing”, October 1995. FIGG J., The power of CSA, in “Internal auditor”, August 1999. HUBBARD L., Control Self Assessment: a practical guide, The Institute of Internal Auditor Research foundation, 2000. JORDAN J., Control Self Assessment: Making the Right Choice, The Institute of Internal Auditing, 1995. MAKOSZ P., MCGUAIG B., Ripe for reinassance, in “Internal Auditor”, Luglio 1990. MC GUAIG B., Auditing Assurance & CSA, in “Internal Auditor”, Giugno 1998. MC NAMEE D., Business Risk Assessment, Altomonte Springs, The Institute of Internal Auditor, 1998. MELVILLE R., Control Self Assessment in the 1990s: the UK Perspective, in “International Journal of Auditing”, 1999. PARKER L., Understanding Risk, in “Internal Auditor”, Febbraio 2001. THE INSTITUTE OF INTERNAL AUDITOR (UK), Control and Risk Self Assessment, Professional Briefing Note n. 14, London, UK: The Institute of Internal Auditors United Kingdom, 1998. THE INSTITUTE OF INTERNAL AUDITOR (UK), Control Self Assessment and Internal Auditing, Professional Briefing Note n. 7, London, UK: The Institute of Internal Auditors United Kingdom, 1995. WADE K., WYNNE A., Control Self Assessment: for Risk Management and Other Practical Applications, New York, John Wiley & Sons, 1999.