Manifesto Agile per l’Internal Audit

Il processo di Internal Audit è spesso considerato come un’attività formale e burocratica necessaria alla compliance. Talvolta, per mancanza di flessibilità risulta distante dal ciclo operativo di creazione del valore dell’azienda. In questi casi, perfino l’adozione di strumenti pratici ed efficienti negli audit test, tipo i robotic process automation (RPA)¹, non servono a modificare quella percezione di processo imposto per spiare il lavoro quotidiano. Il cambiamento è possibile ma richiede una significativa rivisitazione del processo di audit, mantenendo rigorosamente invariati metodologia di conduzione dell’audit e principi fondanti. Non deve trasmettere la sensazione di essere uno strumento di giudizio per imprimere punizioni ma quella di un utile strumento di supporto al raggiungimento degli obiettivi aziendali. Le parole da introdurre per forzare il cambiamento sono integrazione, cooperazione e adattabilità. Vediamo come.

Nel tempo, il processo di internal audit ha subito vai assestamenti, fino al consolidamento del suo attuale ruolo di controllo indipendente in azienda. È oramai indiscutibile il suo posizionamento come terzo livello di difesa per il raggiungimento degli obiettivi aziendali. La difesa a livelli richiede, un primo livello strutturato ed operativo per l’implementazione delle azioni necessarie a garantire i risultati attesi dal business, un secondo livello di controllo per la verifica sistematica delle performance ed un terzo livello di garanzia che il meccanismo operativo e quello di controllo siano realmente allineati agli obiettivi.

La semplice introduzione della funzione di internal audit nell’organizzazione, indipendentemente dall’importanza che le viene attribuita, non è sufficiente. È necessario chiarire il ruolo del processo di audit alle entità da verificare in modo che il suo scopo sia chiaro e non sia mai identificato come preludio a sanzioni. Un’immagine negativa può influire sulle prestazioni del programma di audit.

Per indagare su come cambiare l’immagine del processo di audit e per migliorarlo nel modo in cui viene percepito ed eseguito, è utile condurre una gap analysis. Il primo passo è elencare gli aspetti negativi dello stato attuale identificando le carenze che vengono tipicamente elencate durante un audit. Quindi, sulla base della definizione di audit interno, possono essere determinati i concetti predominanti per identificare lo stato desiderato.

Infine, tramite una serie di considerazioni, bilanciando esigenze emerse nello stato desiderato rispetto al corrente, sarà possibile ricavare una serie di principi da seguire, da intendersi come punti di miglioramento per modellare il processo in modo efficace. I principi rappresentano dei singoli sottoprocessi che forniscono dei risultati intermedi da raggiungere. La stessa idea è nelle metodologie Agile², dove scorporiamo il processo principale in una sequenza di semplici obiettivi, dalla veloce implementazione e conseguente valutazione del risultato per permettere di aggiustare il percorso di esecuzione.

Aspetti percepiti come negativi

Concentrarsi sulle convinzioni negative serve a illuminare i punti deboli dell’immagine del processo di audit. Non significa che quelle convinzioni siano valide, ma le percezioni negative possono creare un rischio tanto quanto i fatti negativi. È importante conoscere quelle percezioni negative per capire quali richiedono un’azione ed essere in grado di rispondere ad esse in modo efficace, in modo che non ostacolino il processo di audit. Ad esempio, se un azienda impone l’audit interno per colpire la mancata compliance, e non adoperato per migliorare la cultura interna, non mancheranno le recriminazioni.

Tipicamente, in questi casi, le frasi ricorrenti verso gli auditors saranno del tipo.

• sono solo osservazioni teoriche.
• non è mai successo prima.
• queste raccomandazioni ostacolano la produttività.
• non capiscono la nostra realtà.
• l’audit ha una visione astratta dei processi.
• non capiamo perché la verifica adesso e proprio qui.
• ora siamo gravati dalle scadenze.
• le priorità della produzione vengono prima.
• questo non è il momento giusto.
• questo controllo è una perdita di tempo.
• non capiamo come questo sia utile.
• le nostre esigenza non sono state considerate.

Osservazioni di questo tipo sono sintomatiche dell’indebolimento del legame tra l’internal audit e le realtà produttive. Questi commenti potrebbero descrivere un estraneo non invitato che entra in casa e pretende cose senza un motivo apparente e senza fornire alcuna forma di risarcimento per il disturbo causato. Forse, il sentimento più sgradevole per un’entità interna è quello di essere considerato un estraneo. Quando manca il riconoscimento di un individuo come parte di un sistema o di un’operazione aziendale, è probabile che una persona che avrebbe potuto svolgere il ruolo di facilitatore diventi invece un ostacolo.

Scopo dell’internal audit

Quando c’è un senso di distanza tra i revisori e il personale, e quando gli obiettivi sono chiaramente diversi, i processi operativi possono risentirne riflettendo il disallineamento tra aspettative e realtà. Questo risultato è l’opposto dell’intento descritto nella definizione di internal audit³. I suoi punti di forza sono resi ben evidenti nell’enunciazione degli obiettivi e del suo perimetro di applicazione.

L’internal auditing è un’attività indipendente ed obiettiva di garanzia e consulenza, finalizzata per aggiungere valore e migliorare le operazioni di un’organizzazione. Aiuta un’organizzazione a raggiungere i propri obiettivi apportando un approccio sistematico e disciplinato alla valutazione e al miglioramento dell’efficacia della gestione del rischio, dei controlli e dei processi di governance⁴.

Secondo questa definizione, il processo di audit rispetto all’entità controllata, è indipendente: non hanno interessi comuni, è obiettivo (basato su fatti concreti) e fornisce consulenza. Inoltre, crea valore fornendo conoscenza, competenza e focalizzando i fatti nel giusto contesto. Tutti questi concetti riportati nella definizione non devono cambiare. È il processo per realizzarli che deve essere adattato al ciclo di vita del business. Questo non deve essere un processo rigido, basato esclusivamente su alcuni processi aziendali prestabiliti o su un piano di audit guidato solo da una logica di tipo temporale. La selezione dell’entità da sottoporre ad audit ed i test da eseguire devono essere modellati per allinearsi all’attuale contesto aziendale e al profilo di rischio dell’organizzazione.

Decisioni sul processo di audit che derivano da schemi generali, magari non idonei, e ripetute in modo identico nel tempo rischiano l’inefficacia del sistema di controllo e, pertanto, non possono produrre i benefici attesi.

La qualità di un processo di audit non è proporzionale alla quantità di controlli o test eseguiti. L’aggiunta di un nuovo controllo non aggiunge valore se il controllo non è giustificato da un’analisi pragmatica del rischio. Il livello di cultura del rischio nell’organizzazione è molto importante per ottenere valutazioni realistiche.

Indipendenza vs. integrazione

La necessità di un giudizio indipendente non richiede di distanziare il processo di audit dagli altri processi aziendali. Tutto ciò che si richiede è la capacità di effettuare una valutazione obiettiva attraverso prove piuttosto che precipitosi giudizi precostituiti. Questa capacità non viene alterata dall’interazione con i processi da controllare per rispondere a specifiche esigenze operative, ad esempio per garantire che l’analisi dei rischi sia affidabile o per verificare che il processo sia allineato ai suoi requisiti.

L’interazione ideale si ottiene attraverso una richiesta da parte di coloro che gestiscono i processi da verificare (non previsti dal piano di audit). Ciò porta ad un’interazione positiva, caratterizzata dall’implicito riconoscimento del merito nel processo di audit, creando le condizioni per l’integrazione tra i processi. Il beneficio per il processo di audit è la valorizzazione della sua immagine come risorsa utile al miglioramento dei processi aziendali.

Il completo valore dell’opinione di audit non può essere raggiunto se non è in linea con il ritmo del business.

Obiettività vs. evidenza

La necessità di creare evidenze oggettive non impone di rinunciare a compiere dei test addizionali meno complessi e quindi più frequenti, magari anche automatici, riportati di seguito:

• Mirati ad uno specifico, limitato e ben definito ambito.
• Ricorrenti o sistematici.
• Eseguiti senza la partecipazione formale dell’intero team di audit.

L’esecuzione di questi test può contribuire a creare una presenza percepibile—ma non ostile—all’interno dei processi aziendali. Un approccio disciplinato, attento alle esigenze del business, incentrato sugli eventi di rischio riportati, è in grado di promuovere un clima di fiducia e tolleranza nei confronti della maggiore presenza dell’auditing sul campo e della percepibile utilità dell’azione di controllo.

Tuttavia, la raccolta delle evidenze non può essere affidata esclusivamente a delle verifiche a campione basate su un piano prestabilito e condotte dal gruppo di audit completo. Le tecniche di monitoraggio con molti controlli semplici e sistematici sono ugualmente in grado, come sofisticati test a campione, di produrre risultati affidabili e servono a creare una cultura del controllo con chiare prove di attuazione. In alternativa, un approccio formale—con controlli effettuati occasionalmente da un ampio staff di auditor che approfondiscono i dettagli per periodi di tempo relativamente lunghi—è spesso percepito come stridente e può incontrare resistenza.

Consulenza vs. cooperazione

La funzione consultiva dell’internal audit—per risolvere le criticità riscontrate nei processi operativi—non può essere assolta attraverso semplici suggerimenti nel giudizio di audit. La fase di consulenza deve essere inserita nell’intero programma di miglioramento dei processi operativi e, ad esempio, prevedere la disponibilità ad intervenire su richiesta di chi gestisce i processi.

È più facile ottenere la cooperazione se è evidente a tutti che le azioni proposte derivano dai risultati del piano di trattamento del rischio o dall’esito dell’audit. Offrire assistenza nell’ambito del processo di audit non pregiudica l’autonomia dei decisori. Non si tratta di una condivisione operativa dei compiti, ma di una partecipazione attiva al processo di controllo, con responsabilità di rendicontazione e possibilità di suggerire azioni per il raggiungimento più efficace degli obiettivi aziendali.

La funzione di consulenza degli auditor non è equivalente alla caccia al colpevole. Piuttosto, è uno sforzo di ricerca congiunto per migliorare l’efficacia delle soluzioni. La condivisione dello scopo di un audit e dei suoi risultati con gli operatori dei processi aziendali aumenta la trasparenza e contribuisce a migliorare la cultura interna dell’organizzazione rispetto alla gestione del rischio e alla capacità di controllo.

Creazione valore ed agilità

Il completo valore dell’opinione di audit non può essere raggiunto se non è in linea con il ritmo del business. La velocità di esecuzione di un audit deve essere in sintonia con la velocità dell’organizzazione nel fare affari. Molti aspetti delle operazioni aziendali evolvono rapidamente ed i processi di cambiamento interno devono essere rapidamente introdotti. Per essere rilevante, un audit deve identificare con precisione e tempestività i punti di deviazione dagli obiettivi aziendali.

Per raggiungere questo obiettivo, i processi di audit devono essere focalizzati su temi specifici e applicare rapidamente i rimedi. Ciò richiede una reale flessibilità sia nella pianificazione che nell’esecuzione.

L’accresciuta rapidità di cambiamento dei processi operativi è uno dei motivi per cui l’internal audit deve seguire una logica simile a quella del processo di monitoraggio attraverso una presenza sistematica, aderente ai processi operativi e flessibile nell’adattarsi al cambiamento, pur mantenendo una identità distinta e indipendenza di giudizio. Il valore dell’audit non può dipendere dall’aumento del numero di partecipanti al gruppo di audit. Occorre piuttosto rivedere la logica di intervento e l’esecuzione delle raccomandazioni per garantire l’adattabilità dell’audit alle esigenze organizzative.

Il processo di internal audit deve essere reattivo ai cambiamenti interni all’azienda per allinearsi agevolmente con l’evoluzione del business e garantire l’efficacia delle operazioni di audit.

Integrazione con il rischio

La decisione di avviare un’attività di audit e la conseguente definizione del relativo perimetro di intervento, devono essere basati solamente su una logica di valutazione del rischio per il business. In altre parole, l’Internal Audit deve essere concretamente risk-based⁵, a cominciare dalla decisione di condurre un audit, alla determinazione di quando effettuarlo, come farlo e quale ambito di business dovrebbe coprire.

Il concetto di audit basato sul rischio, deve portare alla completa integrazione tra i due processi⁶, internal audit e rischio aziendale, che significa anche condividere lo stesso piano di rimedio o di risposta. I risultati dell’audit devono essere inclusi in modo sistematico tra le sorgenti di vulnerabilità, per garantire la loro integrazione nel processo di valutazione del rischio, e conseguentemente assicurarne il trattamento in completa sinergia con il processo decisionale del rischio.

Il vantaggio di avere un unico piano di contrasto al rischio, inclusivo delle tematiche dell’internal audit, consente di gestire in modo sinergico la fase di verifica dell’efficacia delle azioni di rimedio implementate. Il risk management svolge già questa attività di controllo in modo strutturato e completo per altri processi basati sul rischio; pertanto, la partecipazione del team di internal audit (che conseguentemente non dovrà monitorare autonomamente il piano di rimedio) non potrà che migliorare l’efficacia e di tali verifiche.

Principi per un internal audit

Integrare realmente i processi di audit nei processi aziendali richiede la capacità di interagire e cooperare nello sviluppo di soluzioni e di adattarsi alle operazioni esistenti senza imporre vincoli. Questi requisiti possono essere soddisfatti rispettando un insieme di principi simili a quelli utilizzati per definire un processo Agile. Significa, anziché eseguire un singolo processo monolitico, adottiamo dei sottoprocessi snelli che forniscono ciascuno dei risultati che possono essere immediatamente valutati ed eventualmente modificato il processo complessivo. Se opportunamente ridefiniti, possono diventare il Manifesto per l’Internal Audit Agile:

1. Creare il valore atteso ossia soddisfare in ogni momento le specifiche aspettative di controllo dell’azienda.
2. Adattarsi alla variazione di contesto dell’ambiente di controllo, definita in modo oggettivo da una valutazione del rischio.
3. Quando serve, produrre un audit opinion su singoli aspetti, senza attendere di aver completato il piano di audit o di aver rispettato una predeterminata scadenza temporale.
4. Agevolare l’emergere di sinergie, tramite la cooperazione tra i processi operativi, di controllo e di audit.
5. Allineare le metodologie e le competenze di audit al contesto da esaminare ed alle sue evoluzioni.
6. La comunicazione deve essere semplice e trasparente, i risultati negativi sono delle opportunità di miglioramento (no blame culture).
7. I piani di rimedio, come anche i piani di mitigazione dei rischi, devono essere monitorati assieme e regolarmente.
8. La pianificazione del programma di audit è ispirata dalla valutazione del rischio e non affidata ad una aging policy.
9. L’uso di strumenti innovativi, per migliorare l’efficacia del processo di audit, è parte integrante del miglioramento del processo stesso.
10. Le metodologie e le regole di audit devono essere chiare e semplici da attuare per favorire l’integrazione tra processi.
11. Analizzare in modo olistico il lavoro svolto, per comprendere dall’esperienza come e dove migliorare.
12. Adottare con regolarità nel processo di audit i miglioramenti identificati e di conseguenza allineare le procedure e diffonderle tra le parti interessate.

Conclusioni

Il processo di internal audit deve essere reattivo ai cambiamenti interni all’azienda per allinearsi agevolmente con l’evoluzione del business e garantire l’efficacia delle operazioni di audit. Allo stesso tempo, non deve richiedere al business sforzi aggiuntivi per acquisire queste capacità. È possibile farlo ridefinendo il disegno del processo di audit. Ciò non richiede una revisione completa delle tecniche di audit o un ripensamento della sua definizione. Può essere raggiunto attraverso una ristrutturazione del processo di audit.

L’approccio ristrutturato deve basarsi su principi derivati dalla logica Agile per indirizzare il processo di audit ad interagire efficacemente con i processi aziendali. L’integrazione è essenziale per stabilire la fiducia reciproca e incoraggiare la cooperazione che massimizzerà le sinergie e si tradurrà in vantaggi comuni. Inoltre, l’integrazione contribuirà all’allineamento dell’audit interno con le esigenze aziendali, migliorando l’efficacia senza influire sui costi o sulla qualità.

Riferimenti

¹ ISACA^®, Implementing Robotic Process Automation (RPA), USA, 2020, https://store.isaca.org/s/store#/store/browse/detail/a2S4w000004KoGrEAK
² Manifesto for Agile Software Development, “Principles Behind the Agile Manifesto,” https://agilemanifesto.org/principles.html
³ Institute of Internal Auditors North America, Standards and Guidance—International Professional Practices Framework (IPPF), USA, July 2015, https://na.theiia.org/standards-guidance
⁴ Ibid.
⁵ Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 4,” ISACA^® Journal, vol. 3, 2020, http://www.pmsas.pr.gov.br/wp-content/?id=isaca-cism&exam=archives
⁶ Sbriz, L.; “Capability Maturity Model and Risk Register Integration,” ISACA Journal, vol. 1, 2022, http://www.pmsas.pr.gov.br/wp-content/?id=isaca-cism&exam=archives

LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 LA, ITIL V4, NIST CSF, UNI 11697:2017 DPO

È un lead auditor ed un consulente senior su tematiche di risk management, cybersecurity e privacy. È stato responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Per quanto attiene al monitoraggio interno del rischio, ha sviluppato una metodologia originale integrando tra loro, analisi del rischio operativo, valutazione del livello di maturità dei controlli e risk-based Internal Audit. I processi aziendali sono paragonati a servizi cooperanti basati sui principi guida del framework ITIL 4 e del Manifesto Agile. Inoltre, ha progettato uno strumento di cyber monitoring e un sistema integrato per monitoraggio del rischio, modello di maturità e audit interno. Sbriz è stato anche consulente per sistemi di business intelligence per parecchi anni. Può essere contattato su LinkedIn (www.linkedin.com/in/luigisbriz) oppure tramite http://sbriz.tel.