Nell’ultimo decennio si è assistito a un numero crescente di interventi legislativi e autoregolamentari tesi a migliorare l’operatività dei controlli societari con l’intento di rafforzare i presidi di garanzia a tutela degli investitori. D’altro canto è crescente l’aspettativa degli stakeholder che la governance e i processi degli organi preposti al controllo siano aderenti a standard riconosciuti e leading practice di riferimento.
In questa pubblicazione presenteremo i risultati di due survey condotte nel 2018 da PwC.
La prima indagine, intitolata “Internal Auditing nelle società quotate – Approfondimenti sull’informativa fornita al mercato – 3^ edizione” è stata condotta al fine di rilevare le effettive pratiche di governo societario riscontrabili negli emittenti quotati. A tal fine sono state analizzate le Relazioni sul governo societario e gli assetti proprietari delle società quotate sul Mercato Telematico Azionario gestito da Borsa Italiana.
La seconda indagine, intitolata “State of the Internal Audit Profession Study 2018”, è stata condotta a livello internazionale su oltre 2.500 tra membri di consigli di amministrazione, alti dirigenti aziendali e professionisti, al fine di comprendere il ruolo dell’Internal Audit nell’ambito della governance aziendale, i trend e le sfide da affrontare, le competenze richieste, anche alla luce dei dirompenti cambiamenti tecnologici in atto.
Dai risultati delle due indagini emergono alcuni temi significativi che incidono sia sul ruolo sia sulle competenze richieste: di particolare interesse da un lato, l’auspicata evoluzione della funzione da “Assurance Provider” a “Trusted Advisor”, dall’altro la capacità di supportare le organizzazioni nell’identificare e valutare rischi nuovi, anche in connessione con gli impatti dirompenti della tecnologia sui modelli di business, i processi e i sistemi.
Da non sottovalutare, la necessità di evolvere significativamente le capacità dell’Internal Audit di rappresentare e comunicare agli stakeholder la centralità del proprio ruolo e il valore prodotto dal sistema di gestione dei rischi e di controllo interno. Tale comunicazione, andando al di là di un mero adempimento ai requisiti normativid’informativa, dovrebbe essere interpretata come elemento distintivo e qualificante del proprio mandato.
Nei successivi paragrafi rappresenteremo in maggior dettaglio il contenuto delle due indagini e le nostre considerazioni in merito.
Premessa
Si osserva un’accelerazione al percorso evolutivo della funzione Internal Audit,che vede (e vedrà ulteriormente in futuro) il suo raggio d’azione spostarsi da verifiche circoscritte agli aspetti di conformità normativa e procedurale ad attività di maggiore ampiezza e valore aggiunto nell’ambito dell’assurance e della consulenza in merito al controllo sistemico, alla gestione dei rischi e alla corporate governance.
E’ opportuno rammentare che in Italia, ancorché attesa per gli emittenti titoli quotati, la costituzione di una struttura di Internal Audit non è ad oggi generalmente obbligatoria ad eccezione di alcuni settori regolamentati (in primis in ambito finanziario), per quanto si assista ad una sua progressiva diffusione anche in realtà di minori dimensioni nel settore manifatturiero e terziario.
In relazione ai requisiti del Sistema di gestione dei rischi e di controllo interno (cd. “SCIGR”), al fine di tener conto dell’evoluzione del contesto di riferimento e delle correlate garanzie attese nei confronti degli stakeholder,si ricorda che alcune novità sono state introdotte nel 2015 dal Codice di Autodisciplina delle società quotate di Borsa Italiana.
Con specifico riferimento all’Internal Auditing,peraltro, l’ultima revisione degli Standard dellaProfessione ha cercato di dettare il passo rispetto a tali mutamenti, attraverso alcune modifiche con riferimento ad eventuali ruoli addizionali assunti dal suo Responsabile, al coordinamento con altri prestatori di servizi di assurance e consulenza interni ed esterni all’organizzazione, al Programma di assicurazione e miglioramento della qualità ed alla comunicazione e reporting verso il consiglio di amministrazione e il senior management.
In tale contesto, anche l’informativa fornita al mercato in merito alle effettive pratiche di governance e più in generale, su elementi di carattere non strettamente finanziario e contabile, può senz’altro diventare elemento distintivo nella creazione del valore dell’impresa, oltre che rappresentare elemento utile di confronto.
Il Codice di Autodisciplina definisce il SCIGR come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi”. Raccomanda, inoltre, di integrare tale Sistema nei più generali assetti organizzativi e di governance,nonché di tenere in considerazione modelli di riferimento e leading practice esistenti in ambito nazionale e internazionale.
In questo contesto, tra i principali attori del SCIGR assume un ruolo fondamentale l’Internal Auditing, la cui missionerichiamataè quella di“proteggere ed accrescere il valore dell’organizzazione, fornendo assurance obiettiva e risk based, consulenza e competenza”.
A questo proposito, il Codice di Autodisciplina richiama alcune caratteristiche attese in merito alla collocazione ed alle linee di riporto del suo Responsabile, così come alle attività ed al reporting verso gli organi di governance; ulteriori indicazioni in merito all’Internal Auditing sono ravvisabili nei principi e nei criteri applicativi definiti con riferimento agli altri attori del sistema con cui lo stesso si interfaccia. Gli emittenti sono inoltre chiamati a prevedere modalità di coordinamentotra gli attori del Sistema, al finedi massimizzarel’efficienza, riducendole duplicazioni di attività.
1. L’Internal Auditing nelle società quotate: i risultati dell’indagine
Le effettive pratiche di governo societario riscontrabili negli emittenti in merito all’Internal Auditing hanno costituito oggetto delle analisi riepilogate nel documento “Internal Auditing nelle società quotate – Approfondimenti sull’informativa fornita al mercato”.
Tali approfondimenti hanno avuto l’obiettivo di analizzare l’informativa fornita al mercato dagli emittenti in merito all’effettivo allineamento alle previsioni del Codice di Autodisciplina relativamente alle attività di Internal Audit, con particolare riferimento ai contenuti della “Relazione sul governo societario e gli assetti proprietari”, ex art. 123 bis del D. Lgs. 58/1998 s.m.i. (“Testo Unico della Finanza” o “TUF”).
Si riportano di seguito le principali risultanze delle analisi condotte, che hanno interessato 218 società quotate sul Mercato Telematico Azionario gestito da Borsa Italiana al 30 giugno 2017 (di cui 47 appartenenti al settore finanziario e 171 ai settori non finanziari).
1.1 L’istituzione della funzione e la sua configurazione
Gli approfondimenti svolti evidenziano che l’istituzione di una funzione di Internal Audit nelle società quotate rappresenta ormai una prassi consolidata ed ampiamente diffusa (circa il 95% degli emittenti); le realtà che non ne sono dotate – tutte appartenenti al settore non finanziario – ne attribuiscono le motivazioni a ragioni essenzialmente dimensionali. In tali circostanze, le valutazioni periodiche sul funzionamento del SCIGR risultano essere svolte direttamente dal Consiglio di Amministrazione. Ancorché isolate, appaiono in ogni caso sorprendenti le motivazioni addotte da alcuni emittenti che giustificano la mancata istituzione della funzione con la presenza di un SCIGR ritenuto funzionante ed adeguato.
1.2 Il modello organizzativo della funzione
Con riferimento alla configurazione organizzativa, gli emittenti ad oggi optano, in larga maggioranza (72%), per soluzioni interne (in house); in caso di esternalizzazione della funzione (outsourcing), la scelta risulta ricadere tipicamente su società di consulenza, revisione o professionisti esterni, ove non sia affidata a strutture presenti nell’ambito del Gruppo di appartenenza.
L’opzione di esternalizzare la funzione risulta interessare il 34% degli emittenti appartenenti al settore finanziario contro il 25% appartenente al settore non finanziario.
Tra le motivazioni addotte in merito all’esternalizzazione della funzione rientrano valutazioni di maggior efficienza in termini di costi e competenze, ragioni di ottimizzazione delle risorse, indisponibilità all’interno della società di risorse e competenze adeguate, necessità di garantire indipendenza, autonomia e professionalità.
Limitata risulta essere l’informativa prodotta dagli emittenti in merito alle collaborazioni esterne anche parziali di cui la funzione Internal Audit benefici.
Solo il 13% delle società che dichiarano di aver optato per soluzioni in house informa di avvalersi saltuariamente di collaborazioni esterne: tale dato appare in parte incongruente con le informazioni disponibili agli operatori di settore. Ragionevolmente, le collaborazioni con terze parti, di norma attivate per rafforzare la struttura con l’apporto qualificato di risorse disponibili nelle sedi in cui opera l’organizzazione ovvero per disporre delle competenze specialistiche necessarie allo svolgimento di incarichi specifici, non appaiono al momento essere percepite come un elemento da valorizzare nella comunicazione ai terzi.
1.3 Il Responsabile Internal Auditing e la sua collocazione nell’organizzazione
Come suggerito dal Format di Borsa, il nominativo del Responsabile Internal Audit (“RIA”) è indicato dagli emittenti nella Relazione sul Governo Societario nel 90% dei casi relativi a funzioni in house e nell’83% delle casistiche di funzioni affidate in outsourcing (complessivamente, il 77% degli emittenti appartenenti al settore finanziario e il 91% degli emittenti appartenenti al settore non finanziario che dichiarano di aver istituito la funzione). La sua esplicitazione risulta invece una prassi ancora poco diffusa sul sito istituzionale degli emittenti, dove compare solo in 33 casistiche complessive (di norma risulta riscontrabile nell’ambito della pubblicazione dell’organigramma aziendale).
Con riferimento alla collocazione organizzativa, l’auspicato riporto gerarchico verso il Consiglio di Amministrazione (o organo equivalente) è esplicitamente confermato nel 64% dei casi. In caso di indicazione di soggetti differenti, è comunque indicato il riporto a figure di governance di primo livello (Amministratore Delegato, Amministratore Incaricato del sistema di gestione dei rischi e di controllo interno, Presidente del CdA). Il 13% degli emittenti che dichiarano di aver istituito una funzione di Internal Audit informa dell’esistenza della figura del Preposto al Controllo Interno, facendola coincidere con il Responsabile Internal Auditing, ancorché le previsioni del Codice di Autodisciplina non contemplino più espressamente tale ruolo già a partire dalla revisione del novembre 2011.
In merito all’auspicio di mancata attribuzione di responsabilità nell’ambito di aree operative in capo al Responsabile Internal Auditing, circa 66% degli emittenti appartenenti al settore finanziario e il 52% delle società appartenenti a settori non finanziari conferma tale assenza, mentre le restanti società analizzate non forniscono informazioni al riguardo.
Il processo di nomina appare pienamente allineato a quanto atteso dal Codice di Autodisciplina (proposta dell’Amministratore incaricato del SCIGR, previo parere favorevole del Comitato Controllo e Rischi e sentito il Collegio Sindacale) nel 48% dei casi, mentre per il 42% degli emittenti emergono parziali disallineamenti (nel restante 10% non sono disponibili informazioni).
Si osserva che, ancorché non esplicitamente atteso dal Format di Borsa, nell’informativa prodotta al mercato non si riscontrano di norma informazioni su caratteristiche distintive correlate all’organizzazione della funzione (ad esempio, caratteristiche e profilo personale del RIA, quantificazione e articolazione delle risorse della funzione, certificazioni possedute dal personale).
1.4 L’Internal Auditing nel Sistema di Controllo Interno
Gli approfondimenti confermano la centralità della funzione nel sistema dei controlli e, più in generale, nel sistema di governance degli emittenti, osservando frequentemente l’apporto dell’Internal Auditing in sistemi di compliance specifici (Legge sul Risparmio, D. Lgs. 231/01).
1.5 Funzionamento, risorse e remunerazione
Con riferimento alle risorse disponibili per lo svolgimento delle attività, la maggioranza degli emittenti (62%) conferma l’adeguatezza delle risorse messe a disposizione del RIA, sebbene solo in un numero limitato di casi (il 20% delle suddette casistiche) se ne fornisca la relativa quantificazione.
Con riferimento al funzionamento dell’Internal Auditing, le informazioni fornite al mercato dagli emittenti attraverso la Relazione sul governo societario risultano richiamare in linea di massima tutte le caratteristiche attese.
Occorre, tuttavia precisare che l’informativa prodotta richiama in molti casi le caratteristiche teoriche del processo, senza indicare se e come le stesse siano state effettivamente esercitate nel periodo oggetto della Relazione (ad esempio, produzione di un Piano di Audit nell’esercizio, effettivo svolgimento di verifiche sui sistemi informativi nell’esercizio, allineamento dell’operato agli Standard nell’esercizio, produzione di reportistica verso gli organismi preposti nell’esercizio).
L’informativa prodotta, peraltro, si limita spesso a quanto atteso dal Format, senza fornire elementi aggiuntivi orientati a valorizzare metodologie, strumenti ed attività effettivamente svolti. In generenon sono riportate informazioni di dettaglio circa i framework di riferimento considerati nelle analisi, la natura delle logiche risk-based alla base della definizione degli interventi, l’esistenza di policy/procedure a supporto dello svolgimento delle attività, l’utilizzo di strumenti informativi/tecniche per lo svolgimento delle analisi, l’utilizzo di un Programma di Assurance e Miglioramento della Qualità.
Da ultimo, appare interessante osservare come gli emittenti confermino, in larga maggioranza (53%), che le loro funzioni di Internal Audit operano “nel rispetto degli standard internazionali”, secondo quanto atteso dal Codice di Autodisciplina. Tale dato appare tuttavia apparentemente incongruente con l’assenza di informazioni in merito al conseguimento di una correlata Quality Assurance Review che ne confermi i presupposti (trattandosi di requisito atteso dagli Standard della professione per poter rilasciare tale affermazione).
Specie in contesti dove l’Internal Auditing rappresenta il perno del sistema dei controlli (si pensi anche al coinvolgimento nelle attività di monitoraggio correlato al sistema di gestione dei rischi e di controllo interno atteso dalla Legge sul Risparmio, ovvero al supporto operativo all’Organismo di Vigilanza nelle attività di verifica di effettiva attuazione del Modello ex D.Lgs. 231/01), poter affermare di disporre di una struttura di controllo che opera secondo riferimenti metodologici internazionalmente riconosciuti appare indubbiamente unelemento distintivo a tutela degli stakeholder.
Più in generale, nel processo di comunicazione del valore aziendale, appare rilevante sottolineare l'importanza di una adeguata veicolazione e valorizzazione delle effettive pratiche di governo societario, oltre alle mere attese derivanti da codici di autoregolamentazione, come elemento distintivo e qualificante.
Sotto tale profilo, i risultati delle analisi evidenziano un lungo cammino che gli emittenti hanno ancora di fronte per valorizzare l’organizzazione e il funzionamento delle loro strutture di Internal Audit a sostegno del SCIGR.
2. Alcune considerazioni sui trend della professione: le sfide dell’Internal Auditing, tra evoluzione tecnologica e nuove competenze
Le sfide correlate ad un’appropriata valorizzazione delle proprie pratiche di Internal Audit si intrecciano inevitabilmente con l’ineluttabile evoluzione della professione, per effetto dei significativi cambiamenti del contesto di riferimento in cui operano le organizzazioni e dei correlati nuovi scenari di rischio ma anche delle connesse opportunità di evoluzione delle proprie modalità operative.
Gli studi internazionali svolti (“State of the Internal Audit Profession Study 2018”) confermano peraltro che gli stakeholder auspicano in maniera sempre più chiara un’evoluzione della funzione da “Assurance Provider” a “Trusted Advisor”.
La sfida dell’Internal Auditing appare oggi essere sempre più quella di sapersi accreditare come un partner strategico, supportando il vertice aziendale e fornendo assurance ma anche consulenzain relazione all’esistenza e all’operatività di un efficace ed efficiente sistema di governo dei processi in ottica di mitigazione e contenimento dei rischi.
Le funzioni di Internal Audit sono chiamate a supportare le organizzazioni al fine di garantire che i processi e i controlli siano efficaci, senza rallentare il ritmo dell'innovazione e tenendo conto degli impatti dirompenti dei cambiamenti nel contesto di riferimento in cui operano le aziende.
Cambiano i rischidelle organizzazioni e le opportunità da esse perseguite e cambiano, di conseguenza, le competenze necessarie per comprendere, analizzare e valutare tali rischi.
A questo proposito l’impatto dirompente della tecnologia, oltre che rappresentare fonte di indiscutibili opportunità, espone nel contempo le organizzazioni a nuovi e significativi rischi di cui è fondamentale avere piena consapevolezza e strumenti efficaci per la relativa gestione. Ne consegue la necessità per l’Internal Auditing di acquisire differenti competenze, metodologie e strumenti di lavoro. La velocità del cambiamento tecnologico rappresenta infatti senz’altro una delle principali preoccupazioni delle organizzazioni.
La crescente digitalizzazione in tutti i settori (ossia la trasformazione di dati e informazioni in formato digitale), la rapida evoluzione dell’«Internet of Things», la raccolta, l’analisi e la conservazione di dati in quantità ormai immense (Big Data) hanno amplificato l’uso di tecnologie e dati, che consentono alle aziende di beneficiare di nuove opportunità (ad esempio consentendo di disporre di informazioni più accessibili e tempestive, avendo la possibilità di conoscere meglio i propri clienti e target) ma nel contempo esponendole a nuove minacce e rischi da presidiare, gestire e prima di tutto conoscere.
La rivoluzione digitale in corso sta trasformando le imprese in tre modi enormi: passando da fisico a virtuale, passando da «stand alone e non integrato» a «connesso e integrato» e passando da entità chiuse a piattaforme aperte e condivise.
Per le aziende di oggi, il digitale è «integrale», il che significa che è intrecciato così profondamente nella strategia, nelle infrastrutture, in operazioni, prodotti e servizi che le imprese e la tecnologia sono diventate una cosa sola.
Nel mondo della rivoluzione digitale, per l’Internal Auditing si aprono inevitabilmente nuove e diverse prospettive. Le aziende hanno necessità di comprendere appieno la portata dei nuovi rischi da fronteggiare, implementando nuove e diverse misure di prevenzione e controllo. Sono disponibili nuovi strumenti per la conduzione delle attività di analisi, che l’Internal Auditing non può ignorare.
In merito all’approccio a tali cambiamenti nello svolgimento delle proprie attività, gli studi evidenziano che:
- solo il 14% delle funzioni di Internal Audit si caratterizza come “Evolver”, ossia “all’avanguardia” rispetto all’utilizzo della tecnologia;
- il 46% è rappresentato da “Follower”, che hanno un tasso di adozione degli strumenti tecnologici più lento, pur comprendendo la strategia adottata dagli Evolvers;
- i “Follower” sono seguiti dagli “Observer”, che utilizzano la tecnologia in modo limitato/basilare.
Il divario tra Evolver / Follower e gli Observer appare oggi piuttosto significativo.
La componente di conoscenza e talento connessa all'adozione di analytics è riconosciuta oggi come un ostacolo per molti: il 44% di coloro che ravvisano la necessità di disporre di nuove conoscenze tecnologiche identificano le attività di data analytics come competenza tecnologica che richiede il maggior investimento per soddisfare le future esigenze di Internal Audit.
A questo riguardo, gli Evolver stanno realizzando valore dall’adozione di analytics, specie focalizzando le attività attraverso tali tecniche sui rischi critici ed emergenti delle proprie organizzazioni, ma anche muovendosi verso attività di «predictive analytics» (il 23% sta attualmente sperimentando indicatori di rischio «predictive»).
Le aziende sono peraltro orientate a trarre valore dalla prossima generazione di tecnologie digitali. A questo proposito la Robotic Process Automation (RPA) offre sia opportunità che responsabilità.
A questo proposito, le funzioni di Internal Audit avranno da un lato la responsabilità di comprendere i rischi introdotti dalla RPA e dall’altro la necessità di adottare nuovi approcci nonché di garantire che i controlli interni siano ben progettati e funzionanti in modo efficace per mitigare tali rischi. Dall’altro canto, questo comporterà forse la più grande opportunità: le attività di test sui controlli potranno essere automatizzate tramite RPA, aumentando la capacità delle funzioni di Internal Audit di conoscere gli effettivi rischi delle organizzazioni e consentendo alle medesime di concentrarsi su attività a maggiore valore aggiunto. L’automazione del processo di audit potrà riguardare, tra l’altro:
- l’esecuzione di follow-up in caso di mancato rispetto delle scadenze e documentazione dello stato delle attività di remediation;
- il monitoraggio dell’avanzamento del piano annuale di audit e degli indicatori di rischio chiave (KRI);
- l’automatizzazione delle attività di reporting e dashboarding;
- la valutazione della qualità dei dati in qualsiasi sistema, la verifica della completezza dei campi, dei duplicati e la convalida dei dati.
3. Un Internal Audit eccellente: cosa serve?
Le funzioni di Internal Audit aggiungono valore alle organizzazioni, tuttavia gli osservatori del mercato evidenziano che gli stakeholder (e in primis consiglio di amministrazionee top management) si aspettano di più.
La risposta a questa chiamata si sta rivelando difficile, considerando quanto e come le organizzazioni siano cambiate negli ultimi dieci anni: le strutture aziendali stanno diventando sempre più complesse, i big data sono più dirompenti che mai, l'attività fraudolenta è in aumento, i clienti, gli investitori e gli enti regolatori analizzano in modo più puntuale le aziende. E per le società regolamentate, la velocità del cambiamento non farà che aumentare.
Analizzando le aspettative degli stakeholder, si identificano 8 macro-attributi per individuare un’Internal Auditing eccellente:
- L’Internal Audit dovrebbe promuovere la qualità e l'innovazione attraverso standard ben definiti, favorendo una cultura che premi l'innovazione e il miglioramento continuo, nonché garantendo qualità e allineamento del piano di audit con il profilo di rischio ed i cambiamenti dell’organizzazione (Quality & Innovation);
- L’Internal Audit dovrebbe essere polifunzionale, mantenendo in ogni caso la propria autonomia e chiare linee di riporto. A tale proposito, il piano di audit dovrebbe essere orientato ad anticipare tempestivamente esigenze e cambiamenti nel contesto di riferimento(Service Culture);
- L’Internal Audit dovrebbe sfruttare la tecnologia in modo efficace in tutti gli ambiti di operatività. Le analisi dei dati dovrebbero essere focalizzate sui profili di rischio e sulla comprensione del business. Gli strumenti utilizzati dovrebbero essere orientati a migliorare la comprensione e la valutazione dei rischi e ad aiutare ad individuare eventuali anomalie. Per fornire un efficace contributo, i team di Internal Audit devono comprendere adeguatamente le complessità dell'architettura dei sistemi dell’azienda ed innovare utilizzando la tecnologia, per implementare attività di controllo e verifica efficienti (Technology);
- L’Internal Audit dovrebbe ottimizzare i costi attraverso l’adozione di una efficace metodologia di audit, basata su processi standardizzati e semplificati per massimizzare l'efficacia ottimizzando i costi (cost optimization);
- L’Internal Audit dovrebbe garantire l’allineamento al business attraverso un’appropriata pianificazione strategica delle proprie attività e il coordinamento con le altre «lines of defense», considerando opportunamente le aspettative degli stakeholder nella sua mission e definendo il valore che può offrire all’organizzazione (business alignment);
- L’Internal Audit dovrebbe avere una visione olistica dei rischi, distinti in rischi interni, esterni ed emergenti, individuando le modalità più opportune per le relative valutazioni (approccio «top-down») e svolgendo approfondimenti mirati/ulteriori in determinati ambiti (risk focus);
- L’Internal Audit dovrebbe possedere un «talento flessibile» che rispecchi la necessità di competenze specifiche in materia di business e rischi. Il modello dovrebbe includere formazione regolare e feedback per migliorare lo sviluppo della leadership individuale (Talent Model);
- Stakeholder management: L’Internal Audit dovrebbe comprendere e gestire efficacemente le relazioni con gli stakeholder, allineando le relativemodalità di comunicazione e acquisendo opportuni feedback (stakeholder management).
Questi aspetti costringono a ripensare al modo in cui vengono svolte le attività di Internal Audit, specie tenendo conto del contesto mutevole in cui vengono svolte.
E’ importante adattarsi più rapidamente, non semplicemente per tenere il passo con il ritmo del cambiamento, ma per accelerarlo. A questo proposito appare necessaria una rivoluzione, più che un’evoluzione, che coniughi talento, tecnologia ed innovazione.