Negli ultimi anni è andata sempre più diffondendosi la cultura del risk-based decision making. Tutte le decisioni rilevanti per il buon funzionamento dell’azienda passano per un processo decisionale basato sulla preliminare valutazione del rischio di non essere in grado di soddisfare gli obiettivi aziendali. Attualmente, tutti i framework di controllo prevedono l’uso dell’approccio risk-based. Di contro, mancano degli indirizzi univoci e pratici per attribuire alla risk governance una chiara collocazione nell’ambito della corporate governance, capace di creare un valore effettivo e non limitarsi a un mero esercizio formale, e assicurare la compliance.
Nel contempo, sconvolta dalla pandemia, la società civile è alla ricerca di nuovi punti di equilibrio, nella mobilità e nei comportamenti, per arrivare a definire il new normal. Un distanziamento sociale che, da imperativo nella fase di emergenza pura, spinge a riflettere su un futuro prossimo con qualche forma permanente di prossimità anziché di contatto. Le unità abitative che, da un uso residenziale puro, ora devono prevedere anche lo spazio per lo smart office. Inevitabile che alcuni effetti del cambiamento sociale si riflettano anche nel disegno delle organizzazioni aziendali. Come tutti i cambiamenti, vanno affrontati in modo positivo, scegliendo la prospettiva che può darci qualche vantaggio. Rivedendo l’organizzazione, è l’occasione di pensare con creatività anche al mondo del controllo interno.
Indice degli argomenti
Rivedere i canoni della sicurezza aziendale
L’emergenza pandemica ha forzato l’adozione di soluzioni pratiche ma non sempre in linea con i canoni della sicurezza aziendale. Lo smart working ha allargato il perimetro fisico da difendere, conseguentemente la potenziale superficie d’attacco è enormemente più ampia e insicura. Il concetto del “niente deve uscire da questa stanza” è oramai privo di senso. La stanza digitale nasce per creare un gruppo di condivisione, per agevolare la comunicazione. La stanza precedente, quella delimitata da concrete walls, nasceva per segregare. Se il paradigma è capovolto, allora anche i modelli di riferimento, operativi e di controllo, devono adattarsi alla nuova realtà quotidiana.
Contrastare le nuove dinamiche operative, emerse per fronteggiare l’emergenza, può rivelarsi una perdita di un valore già acquisito. È preferibile ingegnerizzare le soluzioni artigianali, cercando nel contempo un nuovo punto di equilibrio organizzativo. Le riunioni con delocalizzazione delle persone consentono di ripensare e probabilmente ridurre gli spazi aziendali. Per stabilizzare operativamente i nuovi canoni di comunicazione è necessario rivedere anche la postazione di lavoro, da interna a mobile, e l’accesso alle informazioni, digitalizzando informazioni e processi (ad esempio, workflow autorizzativi al posto della carta). Il lavoro, riorganizzato secondo criteri di rafforzamento della mobilità, risulta più flessibile, veloce e le persone più responsabilizzate. Non è solo un ridisegno di flussi organizzativi, ma anche l’avvio di nuovi programmi di formazione e costi di adeguamento tecnologico. Inoltre, cambiando lo scenario operativo vanno rivisti anche i controlli alla luce delle nuove esigenze aziendali.
Ripensare i controlli formali
È indispensabile ripensare i controlli formali, spesso semplicemente copiati da normative o standard, come controlli agili, armonizzati sull’effettivo business. Non c’è sicuramente il tempo di ripianificare tutti i controlli, quindi, a partire dallo stato attuale si adatta progressivamente ciascun controllo al nuovo scenario, attuando ricorsivamente miglioramenti a ogni nuova iterazione di verifica. Non basta solo rivedere i controlli, questi devono essere raccolti in un unico contenitore per agevolare la valutazione delle performance rispetto agli obiettivi di business.
Le vulnerabilità (dei controlli) sono direttamente rapportabili ai livelli di rischio. A questa conclusione si giunge considerando le minacce che divengono un rischio sfruttando le debolezze insite nei controlli, ossia le vulnerabilità. La gravità della minaccia dipende dal grado di debolezza del controllo ed è misurata dal livello di rischio. Ne consegue che la valutazione della vulnerabilità è analoga alla valutazione del rischio ma rispetto al rischio è più semplice la raccolta degli elementi necessari per compiere la valutazione.
Il modello che maggiormente risponde a questi requisiti è quello di maturità della capacità di attuare il controllo (CMM). L’opposto della maturità è la vulnerabilità. Questo dualismo crea i legami con il rischio ed è quanto serve per adottare il modello di maturità in un meccanismo integrato di analisi rischio, controllo e verifica. È costituito da una lista di controlli che sono rilevanti ai fini del raggiungimento degli obiettivi aziendali e in numero sufficiente a coprire tutti i processi aziendali e i loro requisiti funzionali. Descrivere un’organizzazione, tramite il CMM, permette di avere a disposizione una mappa di vulnerabilità su tutti i processi dell’azienda, completa di indicatori di qualità del controllo e con un livello di dettaglio prescelto nella fase di progetto del modello. Non ha importanza quanto sia ampio o preciso l’insieme dei controlli in fase di avvio, seguendo le logiche dei metodi Agile, sarà raffinato ricorsivamente.
La creazione della lista dei controlli comincia includendo tutte le principali regole operative dei processi derivate da policy e procedure. Poi, per trovare altri controlli, si includono anche tutte le normative, i requisiti degli standard in uso e le clausole contrattuali. Per la valutazione di maturità del controllo si ricorre a diverse sorgenti di informazioni, per esempio, autovalutazione, valutazioni automatizzate sui sistemi, risultanze di audit interni ed esterni, lezioni apprese dagli incidenti, benchmarking su concorrenti o fornitori, regolamentazioni di legge, analisi o raccomandazioni di esperti o di associazioni professionali, e così via.
La scelta del numero dei controlli o del livello di dettaglio segue la rilevanza per l’azienda e per lo specifico processo a cui il controllo fa riferimento. Come risultato, le metriche di maturità, impatto, probabilità e progresso piani di rimedio, consentono di preparare delle mappe di vulnerabilità focalizzate sulle attività operative e permettono di evidenziare l’attribuzione delle responsabilità sulla buona riuscita dei piani implementativi. Seguendo la rilevanza del controllo per l’azienda, è possibile costruire dei cruscotti direzionali mirati ai temi di maggior interesse per i vertici aziendali. Importante è istituzionalizzare una periodica esposizione degli esiti del rischio e delle performance dei controlli, a tutti i soggetti interessati ai processi decisionali. La costante attenzione sui punti di forza e di debolezza sviluppa una sana cultura del rischio nell’azienda.
È necessario un registro dei rischi
A fianco del modello di maturità, che elenca e valuta tutti i controlli, è necessario inserire un registro dei rischi, per raccogliere tutte le valutazioni e le risposte di trattamento agli eventi individuati. Questa è una struttura dedicata solo al rischio e completa il modello di valutazione dei controlli introducendo una prospettiva complementare. Le finalità sono diverse pur condividendo molte informazioni di base. Il registro dei rischi raccoglie tutti gli scenari di rischio e quindi tratterà sia categorie di rischio derivate dalla valutazione dei controlli in essere, che categorie senza legami con il modello di maturità, il quale è orientato a valutare la qualità dell’operatività. Si differenziano anche per i profili di responsabilità e per l’uso che ne viene fatto dei risultati.
Dalle analisi nel tempo del livello di vulnerabilità, si possono creare dei meccanismi preventivi di allarme (early warning) di un peggioramento della debolezza nel controllo stesso. Perciò in tempo per intervenire. Questa è la finalità del controllo, sapere quando si deve agire e con quale intensità. Il rischio non è il valore attuale di un asset ma l’indicazione di variazione delle aspettative del suo valore per il futuro. È necessario, pertanto, costruire una solida fiducia su questo indicatore per poi basare le decisioni dell’azienda. Per ricercare evidenze sulla bontà si utilizza il processo di audit ma nello stesso tempo, l’indicatore di rischio, si utilizza per prioritizzare il piano di audit verso situazioni di timore per il raggiungimento degli obiettivi di business. Quindi, non un piano di audit basato su una aging policy ma un vero risk-based internal audit.
A livello organizzativo è necessario operare qualche modifica per rendere efficace la collaborazione tra i processi del controllo interno, evitando ridondanze e conflitti. Il processo aziendale che meglio gestisce il modello di maturità è il Risk Monitoring al quale affidare anche la verifica dei piani d’azione di trattamento del rischio. La compliance accerta la corretta applicazione delle leggi e delle policy. L’Internal Audit verifica tutti i processi interni, i fornitori, i partner e le attività di pre-audit per le certificazioni esterne. Il processo di Fraud Prevention si concentra sul monitoraggio dei workflow autorizzativi, i comportamenti leciti e l’uso delle informazioni di business su Internet. L’ERM gestisce il registro dei rischi e supporta le attività di analisi.
Conclusioni
Tutti questi processi, che hanno in comune delle attività di controllo, analisi rischio o di verifica, devono essere integrati tra loro per agevolare l’interscambio di dati e la comunicazione interna. La scelta più pratica è di raggrupparli sotto un’unica funzione di Governance, Risk management e Compliance (GRC) che sappia fornire i giusti indirizzi nel rispetto degli obiettivi aziendali, un management che operi secondo logiche di miglioramento continuo e processi di monitoring volti alla condivisione dei risultati.
Difficile pensare che un foglio elettronico possa ancora essere usato come strumento principale del controllo. Ci sono categorie di software, nascoste dietro gli acronimi CAAT o RPA, che possono fornire il giusto supporto. Il software stand-alone non serve, non crea alcun valore. I sistemi aziendali devono essere interoperanti e quindi, per attuare controlli efficaci, serve un sistema per creare una base dati opportuna, quegli strani acronimi servono a questo.
L’apparente complessità, di una struttura organizzativa più articolata di quanto probabilmente è in essere e la necessità di strumenti informatici aggiuntivi, è compensata dalla maggior semplicità e miglior efficienza dell’intero sistema di controllo. Un singolo sistema che di mestiere fa solo controllo e condivisione dei risultati con il management.
@RIPRODUZIONE RISERVATA
