Per utilizzare questa funzionalità di condivisione sui social network è necessario accettare i cookie della categoria 'Marketing'
Ripensare ad un modello di controllo integrato di Giovanni Battisti
Norme e regolamenti, da almeno un decennio, hanno moltiplicato il numero degli organi e delle funzioni aziendali con compiti di vigilanza e controllo sull’assetto organizzativo dell’aziendale e sui suoi processi.
Come hanno risposto le aziende? Facendo quello che appariva necessario: costituendo, cioè, strutture dotate della richiesta "autonomia ed indipendenza". Il che, nel tempo, ha portato alla proliferazione delle strutture di controllo.
Senza alcuna pretesa, provo quindi ad esporre la mia idea in proposito che è semplicemente lo sviluppo di un modello organizzativo aziendale nel quale si cerca di assegnare i "nuovi" compiti alle "vecchie" funzioni, per recuperare l’efficacia e l’efficienza nell’azione di controllo. Ma andiamo con ordine.
Per visualizzare questo banner informativo è necessario accettare i cookie della categoria 'Marketing'
Il modello organizzativo integrato
Ripensare ad un modello di controllo integrato di Giovanni Battisti
Norme e regolamenti, da almeno un decennio, hanno moltiplicato il numero degli organi e delle funzioni aziendali con compiti di vigilanza e controllo sull’assetto organizzativo dell’aziendale e sui suoi processi.
Come hanno risposto le aziende? Facendo quello che appariva necessario: costituendo, cioè, strutture dotate della richiesta "autonomia ed indipendenza". Il che, nel tempo, ha portato alla proliferazione delle strutture di controllo.
Senza alcuna pretesa, provo quindi ad esporre la mia idea in proposito che è semplicemente lo sviluppo di un modello organizzativo aziendale nel quale si cerca di assegnare i "nuovi" compiti alle "vecchie" funzioni, per recuperare l’efficacia e l’efficienza nell’azione di controllo. Ma andiamo con ordine.
Il contesto
Negli ultimi 10 anni il numero dei soggetti che, a diverso titolo, hanno il compito di vigilare sull’azienda e sui suoi processi è progressivamente aumentato.
Se prendiamo come riferimento una società quotata, con un modello di governance tradizionale, gli organi interni e le funzioni aziendali cui sono affidati compiti di vigilanza e/o controllo sono infatti:
- il collegio sindacale;
- il comitato per il controllo interno;
- l'organismo di vigilanza ex d.lgs 231/01 (facoltativo, ma non per le società quotate del segmento STAR);
- il dirigente preposto alla redazione dei documenti contabili e societari;
- la funzione di compliance, ove prevista da norme o regolamenti;
- il c.d. responsabile per la privacy;
- il responsabile degli adempimenti per la sicurezza sul luogo di lavoro (generalmente il datore di lavoro);
- la funzione di internal audit;
- la funzione qualità (per le società in possesso della relativa certificazione).
Poiché per il legislatore il compito di vigilanza va sempre di pari passo con l’autonomia e l’indipendenza, nell’esercizio di tale compito, le aziende hanno ritenuto opportuno dotare ciascun organo o soggetto di una struttura (più o meno organizzata) per lo svolgimento di tale attività; di fatto, queste strutture, spesso, oltre all’attività di vigilanza, si “preoccupano” anche di emanare procedure e di gestire la mappatura dei rischi per gli aspetti di competenza. Chi ha adottato, anche inconsapevolmente, questa soluzione si trova oggi con un modello di controllo che ricorda un patchwork, con sovrapposizioni e buchi, forse efficace ma sicuramente non efficiente.
Questa soluzione ha, infatti, determinato una moltiplicazione delle strutture di controllo, con conseguente:
- moltiplicazione degli audit sulle strutture operative;
- proliferazione delle procedure e disposizioni di controllo emesse dai diversi enti;
- dispersione sia delle conoscenze professionali, sia dell’ambiente in cui si è chiamati ad operare;
- rischio, in assenza di un coordinamento delle attività, di duplicare i controlli su alcune aree trascurandone altre.
Che fare, allora?
Una proposta per un modello di controllo integrato
Rinviando ad un successivo approfondimento il tema delle relazioni tra i soggetti deputati al controllo, in questa sede ci concentriamo sull’attività di vigilanza e di gestione dei rischi aziendali.
Come già premesso, non stiamo parlando di un’idea rivoluzionaria ma, semplicemente, di un modello di controllo nel quale ogni soggetto si limita a fare quello che è chiamato a fare (e che, si spera, sappia fare meglio di chiunque altro).
Ovvero:
- la funzione di risk management, ove prevista, o in alternativa la funzione di internal audit predispone e mantiene aggiornata la mappatura e valutazione di tutti i rischi aziendali, inclusi quelli che hanno la loro fonte nella normativa o nei regolamenti;
- in questo è supportata dalla funzione di compliance, che traccia per ogni processo aziendale i relativi rischi normativi;
- i diversi soggetti con compiti di controllo predispongono il proprio piano delle attività di vigilanza (per la parte pianificabile, si intende);
- la funzione di internal audit, con la supervisione del comitato per il controllo interno, predispone il piano delle attività di audit integrato con le attività "commissionate" dai soggetti con compiti di controllo (chiamiamolo il piano integrato delle attività di audit);
- la funzione di internal audit svolge le attività di controllo previste nel piano integrato delle attività di audit, riferendo per gli aspetti di competenza, ed indipendentemente dal fatto che ne sia il "committente", agli organi di controllo competenti, al management ed al vertice aziendale (questo è il primo importante risultato: le strutture amministrative e operative saranno oggetto di un solo audit, che verifica tutti gli aspetti programmati);
- le attività di vigilanza che – per carenza di risorse o mezzi - non è stato possibile integrare nel piano integrato delle attività di audit, sono affidate per l’esecuzione ad auditor esterni sotto la supervisione diretta degli organi di controllo "committenti";
- la funzione di organizzazione redige e rivede le procedure aziendali per integrare i presidi di controllo secondo le indicazioni degli organi e funzioni deputati al controllo (ecco il secondo risultato: per ogni processo formalizzato c’è una ed una sola procedura aziendale che integra tutti i punti di controllo necessari per presidiare i relativi fattori di rischio, indipendentemente dalla loro natura);
- il management approva le procedure ed il vertice aziendale le emana;
- la funzione qualità garantisce la coerenza formale del complesso sistema delle procedure aziendali, e ne garantisce l’attualità.
In questo modello, quindi:
- i controlli sono attribuiti e concentrati nella funzione di internal auditing, in quanto è la struttura aziendale che “per definizione” deve possedere le competenze tecniche e professionali per svolgere le attività di verifica;
- la formalizzazione dei presidi di controllo è assegnata nella sua complessità alla funzione di organizzazione, in quanto funzione che conosce il linguaggio necessario per codificare correttamente i processi in procedure, secondo standard condivisi.
Tutto qua? Sì, tutto qua. Ma, in questo modo, abbiamo:
- cancellato con un colpo di spugna le strutture “a supporto” dei soggetti con compiti di vigilanza (manterranno giusto il ruolo di segreteria tecnica, ma con un diverso organico!);
- evitato che le strutture operative siano oggetto di molteplici audit sui medesimi processi;
- creato i presupposti per avere un complesso di procedure aziendali omogeneo ed organico;
- accentrato la gestione del database dei rischi aziendali (o della risk and control matrix);
- diminuito la proporzione dei dipendenti impiegati in attività di vigilanza sul totale dei dipendenti.
E l’autonomia di vigilanza e controllo?
Tutto molto bello, ma come si concilia l’autonomia di vigilanza e controllo con questo modello?
Beh, in capo ai soggetti con funzioni di vigilanza rimane il compito fondamentale di definire le attività di verifica, e di vagliare i risultati forniti dalla funzione di internal audit; rimane il potere di audire direttamente i responsabili di aree e funzioni così come quello, nel rispetto del budget di spesa assegnato, di commissionare verifiche “ad hoc” e non programmate a professionisti esterni.
Obiezioni e conclusioni
L'obiezione, a mio avviso più ragionevole, fino ad ora sollevata è che questa soluzione tocca i rapporti di potere aziendali. In altre parole, toglie “collaboratori” ad alcune persone.
In parole ancora più semplici: strutture più snelle, meno persone, “meno potere”.
E che, per questo, non passerà mai.
Ma, in quanto portatrice di maggiore efficienza, ed anche di maggiore efficacia, dovrebbe invece trovare il pieno appoggio del vertice aziendale (Consiglio di Amministrazione, Amministratore Delegato, Direttore Generale) appoggio e sostegno necessari proprio per superare le inevitabili resistenze interne.
Tutto questo, ovviamente, in attesa di un intervento legislativo che, riflettendo sulla struttura di controllo codificata nel tempo da leggi e regolamenti, porti ad una razionalizzazione di strutture e funzioni.
Negli ultimi 10 anni il numero dei soggetti che, a diverso titolo, hanno il compito di vigilare sull’azienda e sui suoi processi è progressivamente aumentato.
Se prendiamo come riferimento una società quotata, con un modello di governance tradizionale, gli organi interni e le funzioni aziendali cui sono affidati compiti di vigilanza e/o controllo sono infatti:
- il collegio sindacale;
- il comitato per il controllo interno;
- l'organismo di vigilanza ex d.lgs 231/01 (facoltativo, ma non per le società quotate del segmento STAR);
- il dirigente preposto alla redazione dei documenti contabili e societari;
- la funzione di compliance, ove prevista da norme o regolamenti;
- il c.d. responsabile per la privacy;
- il responsabile degli adempimenti per la sicurezza sul luogo di lavoro (generalmente il datore di lavoro);
- la funzione di internal audit;
- la funzione qualità (per le società in possesso della relativa certificazione).
Poiché per il legislatore il compito di vigilanza va sempre di pari passo con l’autonomia e l’indipendenza, nell’esercizio di tale compito, le aziende hanno ritenuto opportuno dotare ciascun organo o soggetto di una struttura (più o meno organizzata) per lo svolgimento di tale attività; di fatto, queste strutture, spesso, oltre all’attività di vigilanza, si “preoccupano” anche di emanare procedure e di gestire la mappatura dei rischi per gli aspetti di competenza. Chi ha adottato, anche inconsapevolmente, questa soluzione si trova oggi con un modello di controllo che ricorda un patchwork, con sovrapposizioni e buchi, forse efficace ma sicuramente non efficiente.
Questa soluzione ha, infatti, determinato una moltiplicazione delle strutture di controllo, con conseguente:
- moltiplicazione degli audit sulle strutture operative;
- proliferazione delle procedure e disposizioni di controllo emesse dai diversi enti;
- dispersione sia delle conoscenze professionali, sia dell’ambiente in cui si è chiamati ad operare;
- rischio, in assenza di un coordinamento delle attività, di duplicare i controlli su alcune aree trascurandone altre.
Che fare, allora?
Una proposta per un modello di controllo integrato
Rinviando ad un successivo approfondimento il tema delle relazioni tra i soggetti deputati al controllo, in questa sede ci concentriamo sull’attività di vigilanza e di gestione dei rischi aziendali.
Come già premesso, non stiamo parlando di un’idea rivoluzionaria ma, semplicemente, di un modello di controllo nel quale ogni soggetto si limita a fare quello che è chiamato a fare (e che, si spera, sappia fare meglio di chiunque altro).
Ovvero:
- la funzione di risk management, ove prevista, o in alternativa la funzione di internal audit predispone e mantiene aggiornata la mappatura e valutazione di tutti i rischi aziendali, inclusi quelli che hanno la loro fonte nella normativa o nei regolamenti;
- in questo è supportata dalla funzione di compliance, che traccia per ogni processo aziendale i relativi rischi normativi;
- i diversi soggetti con compiti di controllo predispongono il proprio piano delle attività di vigilanza (per la parte pianificabile, si intende);
- la funzione di internal audit, con la supervisione del comitato per il controllo interno, predispone il piano delle attività di audit integrato con le attività "commissionate" dai soggetti con compiti di controllo (chiamiamolo il piano integrato delle attività di audit);
- la funzione di internal audit svolge le attività di controllo previste nel piano integrato delle attività di audit, riferendo per gli aspetti di competenza, ed indipendentemente dal fatto che ne sia il "committente", agli organi di controllo competenti, al management ed al vertice aziendale (questo è il primo importante risultato: le strutture amministrative e operative saranno oggetto di un solo audit, che verifica tutti gli aspetti programmati);
- le attività di vigilanza che – per carenza di risorse o mezzi - non è stato possibile integrare nel piano integrato delle attività di audit, sono affidate per l’esecuzione ad auditor esterni sotto la supervisione diretta degli organi di controllo "committenti";
- la funzione di organizzazione redige e rivede le procedure aziendali per integrare i presidi di controllo secondo le indicazioni degli organi e funzioni deputati al controllo (ecco il secondo risultato: per ogni processo formalizzato c’è una ed una sola procedura aziendale che integra tutti i punti di controllo necessari per presidiare i relativi fattori di rischio, indipendentemente dalla loro natura);
- il management approva le procedure ed il vertice aziendale le emana;
- la funzione qualità garantisce la coerenza formale del complesso sistema delle procedure aziendali, e ne garantisce l’attualità.
In questo modello, quindi:
- i controlli sono attribuiti e concentrati nella funzione di internal auditing, in quanto è la struttura aziendale che “per definizione” deve possedere le competenze tecniche e professionali per svolgere le attività di verifica;
- la formalizzazione dei presidi di controllo è assegnata nella sua complessità alla funzione di organizzazione, in quanto funzione che conosce il linguaggio necessario per codificare correttamente i processi in procedure, secondo standard condivisi.
Tutto qua? Sì, tutto qua. Ma, in questo modo, abbiamo:
- cancellato con un colpo di spugna le strutture “a supporto” dei soggetti con compiti di vigilanza (manterranno giusto il ruolo di segreteria tecnica, ma con un diverso organico!);
- evitato che le strutture operative siano oggetto di molteplici audit sui medesimi processi;
- creato i presupposti per avere un complesso di procedure aziendali omogeneo ed organico;
- accentrato la gestione del database dei rischi aziendali (o della risk and control matrix);
- diminuito la proporzione dei dipendenti impiegati in attività di vigilanza sul totale dei dipendenti.
E l’autonomia di vigilanza e controllo?
Tutto molto bello, ma come si concilia l’autonomia di vigilanza e controllo con questo modello?
Beh, in capo ai soggetti con funzioni di vigilanza rimane il compito fondamentale di definire le attività di verifica, e di vagliare i risultati forniti dalla funzione di internal audit; rimane il potere di audire direttamente i responsabili di aree e funzioni così come quello, nel rispetto del budget di spesa assegnato, di commissionare verifiche “ad hoc” e non programmate a professionisti esterni.
Obiezioni e conclusioni
L'obiezione, a mio avviso più ragionevole, fino ad ora sollevata è che questa soluzione tocca i rapporti di potere aziendali. In altre parole, toglie “collaboratori” ad alcune persone.
In parole ancora più semplici: strutture più snelle, meno persone, “meno potere”.
E che, per questo, non passerà mai.
Ma, in quanto portatrice di maggiore efficienza, ed anche di maggiore efficacia, dovrebbe invece trovare il pieno appoggio del vertice aziendale (Consiglio di Amministrazione, Amministratore Delegato, Direttore Generale) appoggio e sostegno necessari proprio per superare le inevitabili resistenze interne.
Tutto questo, ovviamente, in attesa di un intervento legislativo che, riflettendo sulla struttura di controllo codificata nel tempo da leggi e regolamenti, porti ad una razionalizzazione di strutture e funzioni.
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.