INTERNAL AUDITING E RISK ASSESSMENT: UN INDAGINE EMPIRICA

Transcript

1 INTERNAL AUDITING E RISK ASSESSMENT: UN INDAGINE EMPIRICA Marco Allegrini - Giuseppe D Onza* SOMMARIO: 1. Introduzione 2. Metodologia della ricerca 3. Sistema di controllo interno 4. Struttura e funzionamento dell Internal Audit 5. Risk assessment e internal auditing 6. Control Risk Self Assessment 7. Conclusioni 1. Introduzione 1 La crescente attenzione posta sulle problematiche di corporate governance, indotta, tra le altre, dallo sviluppo dei mercati finanziari, dalla globalizzazione, da provvedimenti normativi (legge Draghi e D.Lgs. 231/2001) e da processi di auto-regolamentazione (Codice Preda), offre alcuni spunti di riflessione sul ruolo che i revisori interni possono assolvere nel processo di governo. La nuova definizione coniata dall Institute of Internal Auditors ha ampliato il raggio d azione della revisione interna, integrando la tradizionale attività di verifica dell adeguatezza e dell efficacia del sistema di controllo interno con la valutazione ed il miglioramento del processo di risk management e, in generale, della corporate governance 2. Occorre, del resto, sottolineare come, nell ambito del governo d azienda, la gestione del rischio costituisca una delle variabili critiche, nell ottica della massimizzazione del valore per gli azionisti. Peraltro, il contributo dei revisori interni allo sviluppo dell efficacia dei sistemi di gestione del rischio può assumere differenti connotati 3. Il legame tra Internal Auditing e risk management è di duplice natura: da un lato, il revisore interno può supportare, con le proprie competenze, le attività di valutazione, gestione e comunicazione del rischio; dall altro, egli stesso può beneficiare degli output di tali processi per impostare gli interventi di audit ed accrescere dunque l efficacia del lavoro svolto. Tuttavia, nonostante le tendenze evolutive appena delineate, la sensazione diffusa è che, in alcuni casi, la funzione di Internal Audit risulti sottodimensionata per poter assolvere efficacemente * Marco Allegrini è professore associato in Ragioneria internazionale ed Economia e controllo dei gruppi aziendali e ViceDirettore del Master in Auditing e Controllo Interno dell Università di Pisa. Giuseppe D Onza è professore a contratto in Revisione Aziendale presso l Università di Bari e Coordinatore operativo del Master in Auditing e Controllo Interno dell Università di Pisa. Gli autori desiderano ringraziare vivamente l AIIA per il fattivo contributo dato nella fase di progettazione della ricerca. 1 La relazione è frutto di una comune attività di ricerca svolta, nella fase progettuale, realizzativa ed interpretativa, congiuntamente da parte degli autori. Tuttavia, Marco Allegrini è autore dei paragrafi ; Giuseppe D Onza è autore dei paragrafi Internal auditing is an independent, objective assurance and consulting activity designed to add value and improve an organization s operations. It helps an organization accomplish its objectives by bringing a systematic, disciplined approach to evaluate and improve the effectiveness of risk management, control, and governance processes (THE INSTITUTE OF INTERNAL AUDITORS, Standards for the professional practice of internal auditing, Altomonte, IIA, 2002). 3 Si veda al riguardo: G. GROSSI, Il ruolo dell internal audit nel risk management, in Auditing, n. 43 Gennaio-Aprile 2002, pag. 10; G. M. SELIM, D. McNAMEE, Risk Management. Changing the internal auditor s paradigm, the IIA RF, Florida, 1998, pag. 16.

2 2 ai compiti che le vengono riconosciuti e, talora, il suo ruolo sia sostanzialmente limitato ad attività di ispettorato. Pertanto, al fine di cogliere le linee di sviluppo dell attività di revisione interna, si intende esaminare, attraverso un indagine empirica svolta sulle aziende di maggiori dimensioni, alcuni aspetti strutturali e di funzionamento della funzione ed il contributo apportato dagli internal auditor al risk management. La ricerca approfondisce, in particolare, le seguenti tematiche: sistema di controllo interno (attori e rilevanza dei modelli di controllo); aspetti organizzativi dell attività di Internal Auditing (dimensione; collocazione nella struttura organizzativa; linee di reporting; attività nei gruppi aziendali); aree di intervento (financial, operational, compliance, IT, fraud investigation, risk assessment, progetti speciali); attività di risk assessment (soggetti, obiettivi, aree interessate, fattori di successo, periodo di applicazione); risk assessment e piano di audit (elementi per la definizione del piano di audit, fattori di rischio); implicazioni generate dai recenti provvedimenti normativi (D. Lgs. 231/2001; Accordo di Basilea ed altre ancora); Control Risk Self Assessment (tasso di diffusione, obiettivi, periodo di implementazione, aree interessate, fattori di successo e strumenti applicativi). 2. Metodologia della ricerca Il campione analizzato comprende tre categorie di aziende 5 : 1. società quotate al Mib 30 della Borsa Valori di Milano; 2. società quotate al Midex della Borsa Valori di Milano; 3. altre società aventi una funzione di Internal Audit. Questa categoria residuale include 5 aziende quotate con più bassa capitalizzazione e 10 non quotate. La scelta di considerare le aziende aventi maggiore capitalizzazione è riconducibile alla constatazione che, nelle realtà di più grandi dimensioni, è generalmente istituita la funzione di revisione interna. Si è tuttavia ritenuto di includere nel campione anche una terza categoria al fine di individuare, anche per finalità comparative, alcune caratteristiche della funzione di Internal Audit nelle aziende non quotate o a più bassa capitalizzazione 6. Precisiamo, peraltro, che, per quest ultima categoria, il criterio di selezione adottato ha natura soggettiva e non assume validità ai fini statistici. Il campione complessivo è, dunque, costituito da 70 aziende appartenenti a differenti settori, come evidenziato nella tabella 1. Tabella 1 Composizione del campione oggetto di analisi TOTALE MIB30 MIDEX ALTRE aziende bancarie/assicurative aziende industriali/commerciali aziende di servizi Totale Il campione è stato desunto in base al listino della Borsa Valori di Milano del secondo trimestre del La ricerca è, al momento, in fase di ampliamento. Sono già stati inviati i questionari alle aziende quotate che rientrano tra le 100 aventi maggiore capitalizzazione, con riferimento alla fine del mese di ottobre 2002.

3 3 La ricerca si è avvalsa dei seguenti strumenti di indagine: questionario; intervista diretta; analisi dei rapporti sul sistema di controllo interno pubblicati dalle aziende. a) Questionario Lo strumento principale della ricerca è stato il questionario, inviato alle funzioni di Internal Audit di tutte le società incluse nel campione. Il questionario è articolato in quattro sezioni: modello di controllo; struttura e funzionamento dell Internal Audit; risk assessment; control risk self assessment (CRSA). Complessivamente sono state ricevute 37 risposte 7. Inoltre, 4 aziende appartenenti al Mib30 hanno dichiarato di non avere una funzione strutturata di revisione interna. Escludendo queste ultime, si ottengono i seguenti tassi di risposta. Tabella 2 Risposte ottenute Totale Risposte % su totale Mib % Midex % Altre % Totale % b) Intervista diretta Per approfondire la tematica del Control Risk Self Assessment (CRSA), si è deciso di condurre delle interviste dirette con i responsabili di alcune aziende che hanno già implementato con successo un processo di autovalutazione dei rischi e dei controlli. In particolare, sono state effettuate tre interviste con aziende che applicano sistematicamente il CRSA in tutte le funzioni/processi aziendali. c) Verifica diretta sui rapporti di controllo interno Le aziende quotate sul mercato mobiliare italiano generalmente redigono una relazione sull applicazione del Codice di Autodisciplina (Codice Preda), nella quale si forniscono alcune informazioni sul sistema di controllo interno 8. Sono state esaminate 57 relazioni di corporate governance pubblicate dalle aziende quotate incluse nel campione Sistema di controllo interno Al fine di comprendere l attività di Internal Audit, pare necessario definire alcuni aspetti di rilievo del sistema di controllo interno in cui i revisori interni operano. Al riguardo, si orienta l analisi su: a) gli attori che ne fanno parte; b) l applicazione dei modelli di controllo. 7 L elenco delle aziende che hanno risposto al questionario è riportato nell allegato 1. 8 Le relazioni sono disponibili sul sito: 9 Non sono state rintracciate le relazioni di corporate governance di tre aziende quotate incluse nel campione.

4 4 a) attori Con riferimento agli attori del sistema di controllo interno, il rapporto di corporate governance pubblicato dalle aziende, conformemente alla normativa, spesso menziona, oltre agli organi di governo (Consiglio di Amministrazione ed amministratore delegato), al collegio sindacale ed alla società di revisione, già resi obbligatori e disciplinati dalle norme di legge, le seguenti figure: il comitato di controllo interno; i preposti al controllo interno; i responsabili della funzione di Internal Audit. Dall analisi dei rapporti pubblicati, si evince che l 80% delle società quotate al Mib30 o al Midex ha istituito un comitato di controllo interno. Nel 9% dei casi, le funzioni di questo organismo vengono svolte dal comitato esecutivo. Si sono poi riscontrati alcuni casi in cui il consiglio di amministrazione ha deliberato l istituzione del comitato di controllo interno ma, alla data di riferimento del rapporto, questo non è ancora funzionante. Il rapporto sovente enuncia le funzioni attribuite al comitato (91% delle società aventi un comitato di controllo), ricalcando sostanzialmente quelle previste dal Codice di Autodisciplina, ed indica (67%) le attività svolte durante l esercizio (riunioni e deliberazioni). Il rapporto spesso fa altresì riferimento al ruolo esecutivo o meno dei componenti del comitato, senza peraltro specificare se essi soddisfano i requisiti di indipendenza. D altra parte, il codice Preda, sino alla recente modifica avvenuta nel luglio scorso, si limitava a richiedere genericamente la presenza di un numero adeguato di amministratori non esecutivi. Nella nuova versione, invece, si prevede espressamente che il comitato di controllo interno sia composto da amministratori non esecutivi, la maggioranza dei quali indipendenti 10. Il Codice di Autodisciplina prevede anche la figura dei preposti al controllo interno, nominati dall amministratore delegato. Viene altresì precisato che i preposti al controllo interno non dipendono gerarchicamente da alcun responsabile di aree operative e riferiscono del loro operato agli amministratori delegati, nonché al comitato per il controllo interno ed ai sindaci. I commenti a latere del codice Preda asseriscono che: Nelle società dotate di una funzione di Internal Audit, il preposto al controllo interno può identificarsi con il responsabile della medesima. Nelle società che non abbiano una tale funzione, il consiglio valuta periodicamente l opportunità di istituirla. Nei rapporti analizzati, il preposto al controllo interno viene menzionato specificamente nel 44% dei casi 11. Si nota, peraltro, una certa eterogeneità di comportamenti e molte volte non viene chiarita la posizione del preposto (40% dei casi in cui se ne dà menzione). Con riferimento alle relazioni in cui, invece, è palesemente specificata la collocazione del preposto, si è riscontrato che: nel 47% dei casi il preposto è il responsabile della funzione di internal audit; in numerose situazioni (33%) il preposto è un membro del consiglio di amministrazione (ma non del comitato di controllo); in rari casi, esso è un direttore amministrativo (6%), un direttore generale (7%) o un componente del comitato di controllo (7%). Riguardo alla funzione di Internal Audit, incrociando i dati delle risposte ottenute con le risultanze dei rapporti pubblicati dalle aziende, si è avuto conferma esplicita che 4 società appartenenti al Midex non hanno ancora istituito tale funzione; due di queste dichiarano espressamente di ricorrere ai servizi prestati da società di consulenza (Internal Audit in outsourcing). Pertanto, si può 10 Sui rapporti tra comitato di controllo interno ed Internal Auditing si veda in particolare: K. RAGHUNANDAN, W. J. READ, DASARATHA V. RAMA, Audit Committee Composition, Gray Directors, and iinteraction with internal auditing, in Accounting Horizons, June Peraltro, si rileva che, nell 81% dei rapporti esaminati, viene fatta menzione del preposto al sistema di controllo interno o della funzione di Internal Audit.

5 5 affermare che il 100% delle aziende quotate al Mib30 e l 84% di quelle appartenenti al Midex hanno una funzione di revisione interna. L analisi dei rapporti pubblicati evidenzia che nel 63% dei casi circa viene menzionata la funzione di Internal Audit, variamente denominata (revisione interna, controllo interno) ed a volte istituita in altra società del gruppo (in una controllata o in una società consortile del gruppo). b) Applicazione dei modelli di controllo Con il questionario si è cercato di accertare anche il ruolo che i modelli di controllo diffusi a livello internazionale (Coso, Coco, Cadbury ed altri ancora) esercitano nella progettazione, gestione e monitoraggio dei controlli e nel reporting periodico sulla loro adeguatezza ed efficacia 12. Si è pertanto proposto alle aziende intervistate una serie di affermazioni riguardanti l impatto dei modelli di controllo, chiedendo loro di esprimere un giudizio sulla validità delle asserzioni proposte, secondo la seguente scala di punteggi: 1. Assolutamente contrario; 2. Contrario 3. D accordo; 4. Assolutamente d accordo ; I risultati sono presentati nella tabella 3. Tabella 3 Valutazione del ruolo dei modelli di controllo I modelli di controllo forniscono un quadro di riferimento per la progettazione del sistema di controllo interno I modelli di controllo consentono una valutazione più accurata del sistema di controllo interno I modelli di controllo sono un utile riferimento per organizzare il reporting dei risultati degli interventi di audit I sistemi di controllo presenti in tutte le unità della nostra organizzazione rispettano le disposizioni contenute nei modelli di controllo Il top management della nostra organizzazione e` fortemente interessato all'ambiente di controllo MEDIA (1-4) ,9 0% 19% 63% 13% 3,1 0% 12% 71% 18% 3,2 0% 6% 63% 25% 2,7 0% 29% 57% 0% 3,7 0% 0% 28% 72% Dalle risposte ottenute si evince che i modelli di controllo sono generalmente percepiti come un valido supporto per la progettazione, la valutazione ed il miglioramento dei controlli interni e per il reporting dei risultati di audit. Si è inoltre avuta conferma sulla rilevanza dell ambiente di controllo, fattore essenziale per assicurare la funzionalità dell intero sistema Struttura e funzionamento dell Internal Audit 12 Cfr. COMMITEE OF SPONSORING ORGANIZATION OF THE TRADEWAY COMMISSION (COSO), Internal Control Integrated Framework, Jersey City, AICPA/COSO, 1992; ROTH J.P., COSO Implementation Guide, Altomonte Springs, The Institute of Internal Auditor, 1995; WALLANCE, WANDA A., G. THOMAS WHITE; Management Reporting on Internal Control, Altomonte Springs, The Institute of Internal Auditor Research foundation, P.G. MAKOSZ, B.W. Mc CUIAG, Ripe for a renaissance, Internal Auditor, December, 1990; J. ROTH, A Hard Look at Soft Controls, in Internal Auditor, February 1998.

6 6 L analisi si è poi focalizzata su alcun aspetti di struttura e di funzionamento dell attività di Internal Audit. In particolare, i profili che abbiamo voluto indagare attengono a: a) dimensionamento dell unità di Internal Audit; b) posizionamento nella struttura organizzativa; c) attività nei gruppi aziendali; d) aree di intervento. A) Dimensionamento dell unità di Internal Audit La tabella 4 illustra la dimensione della funzione di revisione interna nelle aziende incluse nel campione. Tabella 4 Numero di internal auditor Numero di Internal auditor >40 52% 13% 4% 4% 27% Si può subito osservare che, nella maggior parte dei casi, l unità di Internal Audit ha dimensioni piuttosto esigue. La distribuzione delle frequenze è comunque irregolare, visto che si ha un ulteriore moda in corrispondenza della classe superiore a 40 dipendenti, dovuta alla presenza nel campione di gruppi societari di cospicue dimensioni. Si è riscontrata, come previsto, una differenza piuttosto significativa nella distribuzione della variabile numero di internal auditor tra le categorie del campione prese in esame. Nelle società quotate al Mib30 troviamo generalmente un numero maggiore di dipendenti rispetto a quelle quotate al Midex, come evidenziato nella tabella 5. Tabella 5 Dati disaggregati secondo la variabile quotazione Numero di >40 internal auditor MIB30 19% 19% 6% 6% 50% MIDEX 50% 20% 10% 20% ALTRE 50% 12,5% 12,5% 25% L analisi ha inoltre dimostrato l esistenza di significative differenze in relazione al settore di appartenenza; in particolare, si nota un maggior dimensionamento degli uffici di revisione interna nelle banche ed assicurazioni. Questo risultato era in parte prevedibile, data la riconversione dei precedenti uffici di ispettorato in unità di revisione interna e, in alcuni casi, le richieste di potenziamento delle strutture di controllo provenienti dagli istituti di vigilanza (Banca d Italia e Isvap). Tabella 6 Dati disaggregati secondo la variabile settore Numero di >40 internal auditor Banca/assicurazione 0% 20% 10% 10% 60% Industria/commercio 54% 8% 0 8% 30% Servizi 55% 18% 0 9% 18% Si è ritenuto opportuno, inoltre, determinare il rapporto tra il numero di unità impiegate nella funzione di Internal Audit ed il numero di dipendenti complessivo. Di seguito, sono riportati i risultati:

7 7 Tabella 7 Rapporto fra unità di internal audit e personale complessivo MEDIA MEDIANA COMPLESSIVO Banche/assicurazioni Industria/commercio Servizi MIB MIDEX I dati sopra riportati confermano quanto si era già osservato in precedenza: nei settori bancario ed assicurativo si ha una maggior presenza di internal auditor, non solo in termini assoluti, ma anche in proporzione all organico complessivo. In questi settori si riscontra, dunque, un rapporto di un revisore ogni 200 dipendenti circa, mentre nei settori industria e commercio esso è di uno ogni 1000 circa. Il settore dei servizi si situa in una posizione intermedia. B) Posizionamento nella struttura organizzativa Sul posizionamento della funzione di Internal Audit nella struttura organizzativa si è voluto indagare due aspetti, riguardanti: la dipendenza gerarchica del responsabile della funzione; le linee di reporting dell attività di auditing. Entrambi i profili sono sovente descritti anche nel rapporto sul controllo interno (40% dei casi), incluso nella relazione sulla corporate governance pubblicata dalle aziende. Si è quindi provveduto ad integrare le risposte del questionario con i dati contenuti nel rapporto sul sistema di controllo interno emesso dalle società. Riguardo al primo aspetto, si nota che generalmente la funzione di Internal Audit è posta alle dirette dipendenze dell amministratore delegato o del Presidente. Tabella 8 Dipendenza gerarchica Consiglio di Amministrazione 7% 16 Presidente 26% Amministratore delegato 48% Sindaci 0% Comitato di controllo o membro del comitato 4% Direzione generale 11% Direttore amministrativo 4% I risultati ottenuti dimostrano la tendenziale conformità delle scelte di control governance delle aziende agli standard professionali, che, per garantire l indipendenza dell attività di Internal Auditing, richiedono, fra l altro, che il responsabile riporti ai massimi livelli dell organizzazione. Riguardo ai risultati relativi alle linee di reporting, si nota, com era prevedibile, che il responsabile della funzione di Internal Audit (o il preposto al controllo interno) riferisce periodicamente al comitato di controllo interno ed al collegio sindacale, ossia agli organi a cui è attribuita una funzione di vigilanza e monitoraggio sul sistema di controllo interno, nonché all amministratore delegato, ultimo responsabile del funzionamento del sistema di controllo interno. 16 In un caso si afferma di riferire al Comitato di presidenza, costituito dal Presidente, dal vicepresidente e dai direttori generali.

8 8 Tabella 9 Linee di reporting Consiglio di Amministrazione 31% Amministratore delegato 66% Presidente 28% Sindaci 88% Comitato di controllo 75% Direzione generale 9% C) Attività nei gruppi aziendali Molte delle società incluse nel campione appartengono ad un gruppo. Si è, quindi, cercato di capire: 1) il modello organizzativo dell attività di Internal Audit nel gruppo; 2) la tipologia delle relazioni intercorrenti tra la direzione audit di corporate e le unità audit delle controllate. Con riferimento al modello organizzativo, si sono individuate tre ipotesi principali: la funzione di audit è presente solo nella holding e svolge l attività per le società del gruppo ( modello accentrato ); le attività di audit sono svolte per il gruppo da una società appositamente istituita ( modello consortile ); la funzione di audit è presente sia nella holding sia in alcune società del gruppo ( modello diffuso ). La seguente tabella presenta i risultati ottenuti. Tabella 10 Localizzazione della funzione di Internal Audit nei gruppi aziendali Nel caso in cui la società appartenga ad un gruppo, per la TOT. funzione di audit si segue il: Modello accentrato 45% Modello consortile 15% Modello diffuso 40% Disaggregando i dati per settore, si è riscontrato che il modello diffuso è predominante nelle aziende bancarie/assicurative, mentre nelle aziende industriali e commerciali è prevalente il modello accentrato. In effetti, l analisi disaggregata secondo la variabile quotazione evidenzia una netta differenza tra le aziende appartenenti al MIB30 e quelle del Midex, dato che nelle prime è nettamente prevalente il modello diffuso e nelle seconde (se escludiamo le aziende bancarie ed assicurative) il modello accentrato. E da notare che in alcuni gruppi di grosse dimensioni si sta diffondendo il modello consortile, caratterizzato, come si è detto, dalla costituzione di una società avente per oggetto sociale lo svolgimento di attività di Internal Auditing per le aziende appartenenti al gruppo. Questo modello consente il raggiungimento di economie di scala e di sinergie, nonché un maggior grado di coordinamento dell attività di audit 17. Per le aziende che sostengono di adottare un modello diffuso, diviene quindi opportuno percepire la tipologia delle relazioni esistenti tra la direzione audit di corporate e le unità audit delle controllate. Si riscontra, generalmente, in questi casi, un attività di coordinamento da parte della prima, nel 17 Questo si evince anche dal rapporto sul controllo interno di alcune società quotate. In particolare, sono state istituite le seguenti società consortili: HDP Interaudit che svolge la sua attività per il gruppo HdP; IN.TEL. Audit che ha come consorziati Olivetti, Telecom Italia, Tim e Seat Pagine Gialle; Fiat Revi che presta la sua attività per il gruppo Fiat.

9 9 momento della stesura del piano di audit, spesso con la partecipazione al team che svolge l intervento nelle controllate. Tabella 11 Rapporti tra direzione audit di corporate e unità audit delle controllate La direzione audit di gruppo coordina l attività delle direzioni audit delle diverse controllate Le direzioni audit delle controllate pianificano e svolgono gli interventi di audit in modo autonomo TOTALI 90% Talora (9% dei casi), si riscontra anche l intervento della direzione audit di corporate su società controllate per specifici interventi, soprattutto se sono necessarie conoscenze specialistiche (IT auditing, fraud auditing, ethical auditing, environmental auditing). In alcuni casi, peraltro, queste prestazioni vengono richieste a consulenti o a revisori esterni. 10% D) Aree di intervento Con riferimento all oggetto delle verifiche, si possono distinguere le attività di audit in 18 : financial audit, che ha per oggetto principalmente la verifica dell attendibilità del sistema informativo per l interno e per l esterno; operational audit, che ha per oggetto la verifica dell efficacia, efficienza ed economicità delle attività, comprendendo anche la salvaguardia dei beni aziendali; compliance audit, che ha per oggetto la verifica del rispetto di leggi, regolamenti, statuti e delle procedure interne. In dottrina si fa riferimento anche al management audit, come forma più evoluta dell attività di revisione; peraltro, sul contenuto di questa categoria e sulla distinzione con l operational auditing non vi è concordia di opinioni Cfr. A. CHAMBERS, The Operational Auditing Handbook: Auditing Business Processes, New York, John Wiley and Sons, 1997; L.B. SAWYER, Sawyer s Internal Auditing, 4 TH edition, Altomonte, IIA, 1996; H. R. REIDER, The complete guide to operational auditing, New York, John Wiley and Sons, 1994; D. L. FLESHER, Operational Auditing, in The Journal of Accountancy, November Con riferimento alla classificazione nel settore bancario si veda: BASEL COMMITTEE ON BANKING SUPERVISION, Internal audit in banks and the supervisor s relationship with auditors, August Una delle nozioni più ampie di management audit è la seguente: A management audit is a future-oriented, independent, and systematic evaluation of the activities of all levels of management performed by the internal auditor for the purposes of improving organizational profitability and increasing the attainment of the other organizational objectives through improvements in the performance of the management function, achievement of program purposes, social objectives, and employee development. The primary sources of evidence are the operational policies and the management decisions as related to the organizational objectives. Included are an evaluation of the management control system in terms of existence, compliance and adequacy along with its decision-making process in terms of existence, compliance, and relevance to the attainment of organizational objectives plus management s decision itself in relation to the organizational objectives and the quality of management. The resultant audit report both identifies problems and recommends solutions (J.E. SMITH, An Evaluation of Selected Current Internal Auditing Terms, in Research Report n 19, Florida, IIA, 1975). Sulle distinzioni delle attività di revisione proposte nell ambito della letteratura italiana si vedano: L. MARCHI, Principi di revisione aziendale, Quarta edizione, Bologna, Clueb, 2000; L. HINNA, Il controllo dei rischi bancari generali: un approccio metodologico al management audit, Roma, Rirea,1996; N. PERSIANI, Introduzione alla revisione interna, Padova, Cedam, 1998; M. PINI, La revisione di impresa. Controllo interno e sistemi informativi automatizzati, Milano, Giuffrè, 1985; G. TROINA, Revisione interna: riflessioni di primo approccio, Napoli, Liguori, Sull incertezza della distinzione tra management audit and operational audit si legga quanto afferma Chambers: In a complex hierarchy of companies with subsidiaries and sub-subsidiaries downwards, as well as associated companies, what might appear as a management audit perspective in an important subsidiary or division, might appear as operationally audit geared from the group headquarters perspective (A. CHAMBERS, Management Audit a problem of definition, in Internal Audit, 2 nd edition, pag. 78).

10 10 Nell ambito del questionario, si è ritenuto di non distinguere, tra le opzioni, la categoria del management audit, per le incertezze interpretative che ne potevano derivare. Si è poi ritenuto di specificare in voci distinte alcuni interventi particolari, come gli IT audit, le attività di risk assessment, i progetti speciali ed i fraud audit. Si è quindi chiesto alle aziende inserite nel campione di indicare come vengono ripartite le risorse di audit tra le diverse attività evidenziate. Tabella 12 Ripartizione delle risorse tra le categorie di audit TIPO DI ATTIVITA MEDIA (Dati in %) Operational auditing 34 Compliance audit 20 Verifica attendibilità delle informazioni per il reporting interno 10 IT Audit 9 Progetti speciali (Due diligence, audit ambientali, ecc.) 8 Risk assessment 8 Verifica attendibilità delle informazioni per il bilancio di esercizio 20 6 Fraud investigation 5 Totale 100 Dai risultati della precedente tabella, si nota che l attività che assorbe più risorse è l operational audit, seguita dal compliance audit. Assumono invece un ruolo marginale la verifica dell attendibilità delle informazioni per il bilancio di esercizio, nonché l attività di fraud investigation 21. L analisi dei dati disaggregata per settori e per quotazione non segnala particolari differenze tra le categorie di aziende incluse nel campione. 5. Risk assessment e Internal Auditing Una parte rilevante della ricerca è volta ad esaminare i processi di analisi e gestione dei rischi nelle società incluse nel campione. L analisi dei rischi derivanti dallo scenario ambientale e dal contesto interno all organizzazione dovrebbe essere effettuata periodicamente dal management, al fine di formulare e rivedere gli obiettivi strategici e tattici. Gli internal auditor possono contribuire ad incrementare l efficacia del sistema di risk analysis, supportando i responsabili delle unità operative nell identificazione, nella valutazione e nella gestione dei rischi. Inoltre, essi dovrebbero fornire ai massimi organi di governo sufficienti informazioni sull esposizione al rischio della combinazione produttiva e sull efficacia delle azioni di fronteggiamento 22. Sulla base di quanto stabilito dagli standard professionali per l attività di revisione interna, le tecniche di risk management dovrebbero essere applicate nelle varie fasi in cui si articola il 20 Si segnala il caso di un azienda che dichiara di non svolgere attività di audit sul bilancio, perché questo compito è già svolto dalla funzione di internal audit della controllante. 21 Un azienda ha segnalato anche un attività di ethical auditing che assorbirebbe circa il 5% delle risorse. 22 There are three parts to risk analysis: Risk Assessment, Risk management and risk communication. Risk assessment is a prerequisite to risk management before devising means to manage risk it must be identified, measured and prioritised G. M. SELIM, D. McNAMEE, Risk Management. Changing the internal auditor s paradigm, the IIA RF, Florida, 1998, pag. 16. Con riferimento alle tendenze attuali riguardanti l attività di revisione interna si vedano: A. CHAMBERS, Quo Vadis Internal Auditing?, in Management Accounting, October 1999; N. MARKS, The New Age of Internal Auditing, in Internal Auditor, December 2001.

11 11 processo di audit, per evitare sprechi di risorse e per agevolare la comunicazione con i diversi attori della corporate governance e della control governance 23. Attraverso l indagine empirica si è voluto approfondire i seguenti aspetti: grado di diffusione tra le aziende di un processo formale di risk assessment; attori coinvolti; aree di applicazione; obiettivi perseguiti; fattori critici di successo; riflessi del D.Lgs. 231/2001; il processo di pianificazione dell audit; Grado di diffusione L attività di risk assessment sembra particolarmente diffusa tra le aziende esaminate; il 69% dichiara di aver sviluppato dei processi formali volti ad individuare e valutare i rischi riferiti ai processi di business ed il 19% prevede di introdurre, entro un anno, la mappatura dei rischi. Il 40% delle aziende che hanno introdotto delle attività di risk assessment hanno implementato tale progetto da più di un anno e tendono a ripeterlo su base annuale o biennale, per aggiornare il profilo di rischio e ridefinire i piani di gestione. In alcuni casi, peraltro rari, si dichiara di non voler più ripetere il processo, in quanto poco conveniente sulla base di un analisi costi/benefici o perché non vi sono state sostanziali variazioni nei fattori di rischio. L analisi disaggregata per settore rivela una maggiore diffusione delle pratiche di risk assessment negli intermediari finanziari, risultato peraltro prevedibile in relazione a: la normativa di riferimento per l attività bancaria e assicurativa che richiede la predisposizione di sistemi di misurazione per i rischi tipici dell attività creditizia; l esistenza di strutture dedicate all attività di risk management la presenza di una più diffusa cultura del rischio. Come del resto era lecito attendersi, si denota una maggiore diffusione della pratica del risk assessment nelle aziende quotate al Mib30. Mettendo in relazione questo risultato con la tabella 7, (rapporto fra il numero dei dipendenti della società e revisori interni), è possibile constatare una correlazione positiva fra la diffusione dei progetti di risk assessment e la dimensione dell unità di Internal Audit. In termini di causalità condizionale, si può supporre che questa correlazione sia da attribuire al fatto che l introduzione dei progetti di risk assessment viene spesso sponsorizzata proprio dalla funzione di Internal Audit, per agevolare il decision making manageriale. Un altra possibile spiegazione discende dalla presenza di risorse professionali con competenze specifiche in tema di risk management nelle unità di maggiori dimensioni delle, in grado di supportare i dirigenti durante l attività di risk assessment. Attori coinvolti Dai risultati ottenuti si evince che nel 94% dei casi gli internal auditor partecipano nel processo di risk assessment con ruoli differenti che variano da: collaborazione con il management di line (34%), fornendo le metodologie per lo svolgimento dell attività, contribuendo direttamente all identificazione ed alla valutazione dei rischi; 23 The INSTITUTE OF INTERNAL AUDITORS, Performance standard 2010 Planning ; Performance standard 2201, Planning consideration, in Standards for the professional practice of internal auditing, op. cit.

12 12 partecipazione a gruppi di lavoro con consulenti esterni (28%). In questi casi, i revisori interni si interfacciano con le società di consulenza in sede di progettazione e di realizzazione dell attività di risk assessment, in modo da adattare i modelli elaborati dai consulenti alle peculiarità organizzative e gestionali del contesto di riferimento; come facilitatori nel corso di progetti di Control Risk Self Assessment (CRSA), in modo da agevolare il processo di autovalutazione da parte del management operativo (12%). Peraltro, tenendo conto anche dei progetti parziali di CRSA, applicati soltanto in alcune aree di business, il dato sale al 26% In alcune circostanze, l attività di risk assessment è stata svolta dai revisori interni in cooperazione con i consulenti esterni, ma senza un coinvolgimento del management operativo (6%). Occorre peraltro sottolineare che questa opzione riguarda le aziende di minori dimensioni incluse nel campione e che, in queste aziende, l analisi dei rischi è svolta soltanto a livello di macroprocessi e di corporate. Nel 6% dei casi i revisori interni non hanno partecipato al progetto di risk assessment, che è stato invece svolto direttamente dalle società di consulenza in collaborazione con i responsabili delle funzioni o dei processi aziendali. In alcune aziende bancarie, anche addetti della funzione di risk management hanno partecipato al processo di analisi e valutazione dei rischi operativi. Tabella 14 Attori coinvolti nell attività di risk assessment TOTALE Dagli internal auditor in collaborazione con il 34% management di line Dagli internal auditor in collaborazione con una società di 6% consulenza Dagli internal auditor in collaborazione con una società di 28% consulenza ed il management di line Autovalutazione da parte del management operativo con 26% il supporto di un tutore/facilitatore metodologico Altri 6% Aree di applicazione Dall analisi svolta si evince che l attività di risk assessment viene generalmente applicata in tutte le unità e le aree funzionali (74% dei casi). Negli altri casi, le applicazioni sono parziali e tendono ad escludere le funzioni che manovrano variabili soft, come il marketing, la ricerca e sviluppo e l organizzazione delle risorse umane, probabilmente poiché in queste aree l identificazione e la quantificazione dei rischi assumono livelli di incertezza consistenti. In sintesi, si può notare che l applicazione ha sovente carattere diffuso e non viene limitata, per finalità di sperimentazione, ad una singola area funzionale. Si può ipotizzare, anche sulla base dei colloqui condotti e delle informazioni integrative forniteci da alcune aziende 24, che il livello di profondità dell analisi dipenda dal periodo trascorso dalla data di prima implementazione del progetto, dalla frequenza di svolgimento/aggiornamento della mappa dei rischi e dall esistenza di processi di autovalutazione.. 24 Un azienda quotata al Mib30 ha peraltro evidenziato di aver implementato, al momento, soltanto attività di risk assessment a carattere macro. In fase di implementazione del modello, essa procederà ad attività di micro risk assessment per definire procedure di dettaglio diversificate a seconda del business intrapreso dalle singole controllate.

13 13 Obiettivi perseguiti Per l attività di risk assessment sono stati individuati alcuni possibili obiettivi ed è stato chiesto alle aziende intervistate di esprimere un punteggio compreso tra 1 e 4, graduato in relazione all importanza del fattore (1 meno importante; 4 più importante). Di seguito, riportiamo i risultati ottenuti. Tabella 15 Valutazione degli obiettivi di risk assessment MEDIA (1-4) Permettere al management di identificare e gestire i rischi connessi ai singoli processi/funzione Individuazione delle attività maggiormente critiche per orientare il piano di audit (macro risk assessment) Adempiere a disposizioni normative (decreto l.vo 231/2001, Basilea 2001, ecc.) Creazione del valore attraverso una migliore gestione del rischio Valutare l adeguatezza del sistema di controllo nel corso degli interventi di audit (micro risk assessment) Presentare nell informativa societaria esterna (Annual report) il profilo di rischio dell organizzazione I risultati evidenziano che l introduzione di un attività formalizzata di individuazione e valutazione dei rischi costituisce un valido supporto per il decision making manageriale. Sulla base degli output forniti da tale processo, la direzione può definire i piani di gestione da implementare per mitigare i rischi e cogliere le opportunità. L indagine evidenzia l utilizzo dei risultati dei processi di risk assessment in sede di definizione del piano di audit. Tali progetti consentono di identificare le unità aziendali caratterizzate da livelli di rischiosità più elevati, in modo da orientare gli interventi di audit nelle aree maggiormente critiche o caratterizzate da una minore funzionalità dei controlli. Dall analisi si evince come anche le recenti disposizioni normative abbiano rappresentato, specialmente nel settore finanziario, un fattore di stimolo per l implementazione di un attività di risk assessment. Il profilo dell informativa esterna è considerato di scarsa importanza. D altra parte, allo stato attuale, gli organismi nazionali di regolamentazione della comunicazione economico-finanziaria non hanno previsto standard o documenti di riferimento per l informativa sui rischi. Solo alcune aziende che hanno filiali in Germania attribuiscono un punteggio più elevato a questo fattore, in virtù dell esistenza di un principio contabile specifico che richiede alle aziende di comunicare agli stakeholder le categorie di rischio individuate nell organizzazione 25. Fattori critici di successo Si è voluto indagare, inoltre, quali fossero, secondo le società esaminate, i fattori critici di successo per i progetti di risk assessment., Tabella 16 Fattori critici di successo Punteggio medio (1-4) 3,3 3,0 2,8 2,7 2,6 1,6 25 L unico principio contabile sul risk reporting è stato emanato in Germania, mentre nei paesi anglossassoni la materia è ancora oggetto di discussione da parte delle associazioni professionali (GERMAN ACCOUNTING STANDARDS COMMITTEE, E-GAS 5, Risk Reporting, INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES, Financial Reporting of Risk. Proposal for a Statement of Business Risk, London, ICAEW, 1997; INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES, No Surprises. The Case for Better Risk Reporting, London, ICAEW, 1999; AMERICAN INSTITUTE OF CERTIFIED PUBLIC ACCOUNTANTS, Statement of Position 94-6, Disclosure of Certain Significant Risks and Uncertainties, New York, AICPA, 1994.

14 14 La sponsorizzazione del progetto da parte del top management (Cda, Amministratore 3,8 delegato, ecc.) La cultura aziendale orientata al controllo e ai rischi 3,1 Chiara definizione degli obiettivi aziendali 2,9 L identificazione dei processi operativi e dei responsabili con i quali interagire 2,7 Sviluppo di un modello formale dei rischi da applicare per valutare l esposizione dei 2,5 singoli processi Com era lecito attendere, risulta che il principale fattore critico di successo per i progetti di risk assessment è costituito dall impegno del vertice aziendale a supporto del progetto medesimo, essenziale sia per ricevere le risorse finanziarie necessarie per lo svolgimento del progetto sia per ottenere la collaborazione dei diversi livelli dell organizzazione. E altresì da rilevare il ruolo svolto dal vertice nella definizione e comunicazione degli obiettivi, con riferimento alle diverse funzioni aziendali. Del resto, come indicato dai control model (COSO, COCO, Cadbury ed altri ancora), l individuazione degli obiettivi di business è il punto di partenza per lo svolgimento dell attività di risk assessment. Un altra variabile critica è costituita dall ambiente di controllo, che influenza considerevolmente le modalità di svolgimento dei processi di risk assessment 26. In particolare, dall indagine emerge la rilevanza delle componenti soft dell ambiente di controllo (cultura orientata al controllo ed ai rischi ma anche valori etici, comunicazione, stile di leadership e così via), mentre sono percepiti come meno importanti gli elementi a carattere tecnico-operativo (identificazione dei processi e dei responsabili, predisposizione di un modello formale di valutazione). Riflessi del D.Lgs. 231/2001 Il D.Lgs. 231/2001, sulla responsabilità amministrativa delle persone giuridiche, può fornire un ulteriore impulso per l introduzione di progetti di risk assessment. Tramite tale processo si mira ad identificare le aree critiche ed a predisporre i meccanismi di controllo per evitare il configurarsi di una responsabilità in capo all ente per i reati previsti dal decreto In particolare, si è voluto verificare l impatto generato dal provvedimento legislativo sulle attività di risk assessment. Di seguito sono presentati i risultati. Tabella 17 Riflessi del D.Lgs. 231/2001 Aveva già introdotto un processo formale di risk assessment, ma ha intenzione di sviluppare uno specifico processo di valutazione dei rischi di reati contro la pubblica amministrazione, coerente con il modello stabilito dalla Legge 231/2001 Aveva già introdotto un processo formale di risk assessment. Non si ritiene di dover sviluppare alcun progetto specifico in applicazione della 231/2001. Non aveva ancora introdotto un processo formale di risk assessment, ma ha intenzione di sviluppare uno specifico processo di valutazione dei rischi di reati contro la pubblica amministrazione, coerente con il modello stabilito dalla Legge 231/2001 Non aveva ancora introdotto un processo formale di risk assessment, ma intende cogliere lo stimolo fornito dalla L. 231/2001 per avviare un processo di risk assessment completo (non limitato alle ipotesi della L. 231). Non aveva ancora introdotto un processo formale di risk assessment e non si ritiene di dover sviluppare alcun progetto specifico in applicazione della 231/ % 0% 19% 16% 0% Le risposte ottenute testimoniano, come era peraltro prevedibile, la necessità di dover intraprendere dei progetti specifici per fronteggiare il rischio di reati nei confronti della Pubblica Amministrazione. 26 Un azienda ha evidenziato come fattore critico anche la definizione di un linguaggio e modello comune per tutte le funzioni ed i processi, in modo da arrivare ad un output omogeneo e comparabile.

15 15 Si osserva come le aziende tendano ad introdurre progetti specifici per ottemperare al D.Lgs. 231/2001, in ragione della peculiare natura dei rischi previsti dal provvedimento normativo. In questi progetti, si riscontra la frequente presenza di membri dell ufficio legale e, in certi casi, si ricorre a società di consulenza. Nell ambito delle aziende che non hanno ancora intrapreso l attività di risk assessment, possiamo peraltro notare due diverse tendenze: la focalizzazione dei progetti solo sui rapporti con la Pubblica Amministrazione e l estensione degli stessi a tutte le aree aziendali. Il processo di pianificazione dell audit Gli standard per la pratica professionale richiedono che il piano di audit sia basato sulla valutazione dei rischi, al fine di definire un ordine di priorità degli interventi. Per verificare il tipo di approccio seguito nella determinazione del piano di audit si è anche richiesto di indicare gli input utilizzati. Dalla tabella 18, si evidenzia come la misurazione dei rischi costituisca, dopo le richieste provenienti dal top management, l altra variabile determinante per la definizione del piano di audit. Si deve peraltro precisare che le percentuali evidenziate sono relative alla frequenza delle aziende che dichiarano di tener conto dell input indicato. Dette percentuali non sono tuttavia esplicative dell effettiva ripartizione di risorse decisa al momento della pianificazione periodica. Tabella 18 Input per il piano di audit Richieste provenienti dal top management (amm.re 69% delegato/cda) Valutazione dei rischi 66% Risultati degli audit condotti negli esercizi precedenti 63% Interviste preliminari con il management di line 41% Indicatori economico-finanziari 28% Altro 27 9% La maggior parte delle aziende non utilizza un modello formalizzato a supporto del piano di audit, che preveda una ponderazione delle variabili indicate in tabella 18 per definire la gerarchia degli interventi. Si osserva che il fattore rischio viene considerato nel processo di pianificazione dell audit anche nelle ipotesi in cui non è stata ancora formalizzata, in maniera sistematica, la mappa dei rischi a livello corporate. In questi casi, gli auditor asseriscono di disporre già delle conoscenze necessarie per valutare l'entità dei rischi a cui sono soggetti i principali processi, attività e funzioni aziendali. Alle aziende intervistate sono stati proposti alcuni possibili fattori di rischio ed è stato chiesto loro di indicare quelli che generalmente vengono presi in considerazione per la definizione dell audit plan 28. Tabella 19 Fattori di rischio (possibilità di risposte multiple) Adeguatezza dei controlli 72% Cambiamenti intervenuti nella struttura organizzativa (fusioni, aggregazioni) 59% Impatto delle attività sull immagine aziendale 47% Livello di standardizzazione delle attività 34% 27 Si rileva che un azienda bancaria ha inoltre indicato come possibile input, nella voce Altre, i flussi informativi provenienti da altre funzioni di governance (risk management, controllo direzionale, controlli rischi di II livello). 28 Sui fattori di rischio per la definizione dell audit plan, si veda in particolare: PATTON, EVAN AND LEWIS, A framework for evaluating internal audit risk, Altomonte, The Institute of Internal auditor, 1983

16 16 Livello di competenze delle risorse umane adeguate all efficace svolgimento dei compiti 31% Grado di automazione 28% Rapporti con la pubblica amministrazione 25% Altri 6% Tra i fattori di rischio che più sembrano incidere sulla definizione del piano di audit, si riscontra l adeguatezza dei controlli presenti nell ambito delle unità potenzialmente assoggettabili alle verifiche (auditable unit). Al riguardo, i risultati dei processi di risk assessment costituiscono una fonte informativa di primaria importanza per acquisire una percezione sulla funzionalità dei controlli, insieme ai risultati degli audit effettuati negli anni precedenti. E possibile inoltre notare come, a seguito di operazioni straordinarie (fusioni ed acquisizioni), gli auditor tendano ad effettuare degli interventi nelle aree maggiormente interessate al cambiamento, per valutare l opportunità di riprogettare il sistema di controllo interno. 6. Control Risk Self Assessment Il Control Risk Self Assessment è un processo che ha per oggetto la valutazione, da parte dei manager e del team di lavoro, dei rischi e dei controlli in una specifica area di business 29. Esistono diverse metodologie con le quali le aziende possono identificare, valutare e misurare i rischi ed i controlli, denominate Control Self Assessment (CSA), Control Risk Self Assessment (CRSA), Risk and Control self assessment (RCSA), Business Self Assessment (BSA), Management self Assessment (MSA) 30. Per le finalità del presente lavoro, si utilizza la denominazione CRSA per identificare le metodologie sopra evidenziate. Con i questionari predisposti, si è anche voluto verificare il grado di diffusione di progetti di Control Risk Self Assessment (CRSA), le principali motivazioni che hanno determinato l implementazione degli stessi, la tipologia di strumenti utilizzati e gli eventuali fattori di successo.. Grado di diffusione Nell ambito del nostro Paese, differentemente dal contesto anglosassone, il CRSA sembra presentare una limitata diffusione: infatti, soltanto 5 società del campione hanno provveduto ad introdurre il progetto in tutte le aree funzionali 31. Altre 4 aziende rivelano di aver implementato il CRSA, almeno in una funzione, processo o business unit. In particolare, tale metodologia viene utilizzata nelle aree della produzione, delle risorse umane e dell amministrazione. La limitata applicazione deriva, generalmente, dalla necessità di sperimentare l efficacia del CRSA prima di estenderne l implementazione a tutta l organizzazione. Si nota che delle aziende che hanno già implementato il CRSA, quasi tutte (8) hanno introdotto tale progetto da più di due anni. Inoltre, 10 aziende sostengono di voler introdurre il CRSA entro un anno. 29 J. JORDAN, Control Self Assessment: Making the Right Choice, The Institute of internal auditing, 1995; ARTHUR ANDERSEN LLP, Control Self Assessment: Experience, Current Thinking, and Best Practices, Altomonte Springs, The Institute of Internal Auditor Research foundation, 1994; L. BAKER, R. GRAHAM, Control self Assessment, in Internal Auditor, April 1996; FIGG J., The power of CSA, in Internal Auditor, August THE INSTITUTE OF INTERNAL AUDITOR (UK), Control and Risk self assessment, Professional Briefing Note n. 14, London, Uk: The Institute of Internal Auditors United Kingdom, 1998; MC GUAIN B., Auditing Assurance & CSA, in Internal Auditor, June 1998, 31 Di queste, tre saranno oggetto di approfondita analisi con specifici case study in una prossima pubblicazione.

17 17 Finalità Tra le aziende che hanno implementato progetti di CRSA è possibile cogliere degli obiettivi comuni: accrescere il livello di accountability dell organizzazione e consentire al management di assolvere le sue responsabilità in tema di controllo; perseguire una più razionale e dettagliata identificazione e valutazione dei rischi; estendere la valutazione dei controlli a parità di risorse impiegate nella funzione di audit (ampliamento dell audit coverage); creare di un clima collaborativo tra revisori e management operativo. Strumenti di applicazione e fattori di successo Tutte le aziende dichiarano di utilizzare il questionario per l applicazione del CRSA. Solo in due casi si è rilevato l effettivo utilizzo dello strumento workshop, peraltro in aggiunta, e non in sostituzione, al questionario. E stato inoltre chiesto alle aziende di esprimere una valutazione su alcuni possibili fattori in grado di incidere sulla buona riuscita del CRSA. Tra questi, i fattori considerati più rilevanti sono, analogamente a quanto già rilevato nella sezione del risk assessment, la sponsorizzazione da parte del vertice e, in subordine, la partecipazione attiva dei soggetti coinvolti Sono invece considerati meno importanti gli aspetti di pianificazione del progetto e gli skill richiesti ai facilitatori per la conduzione dell attività di self risk assessment. 7. Conclusioni Dai risultati ottenuti si evince la rilevanza, nelle società quotate, dell attività di operational audit, volta a verificare l efficacia e l efficienza della gestione aziendale. Al contrario, la revisione del bilancio destinato a pubblicazione pare rivestire un ruolo sostanzialmente marginale per gli internal auditor. Il sistema di risk management ed il sistema di controllo interno costituiscono due significative componenti della corporate governance, in quanto contribuiscono all economicità della gestione. E possibile notare l adozione di modelli formalizzati di analisi del rischio, talora indotta dalla normativa (Basilea, D.Lgs. 231/2001 e così via), al fine di acquisire una maggiore consapevolezza dei rischi connessi a singoli processi e funzioni. Si osserva, altresì, che i modelli di analisi del rischio sono strumentali alla valutazione dell adeguatezza e dell efficacia dei meccanismi di controllo, coerentemente con quanto indicato dai modelli più diffusi (Coso, Coco e così via). Gli internal auditor sembrano concorrere, in maniera considerevole, al miglioramento della funzionalità del sistema di risk management, sviluppando metodologie, partecipando direttamente alle varie attività di analisi del rischio e garantendo l alta direzione sull esistenza di idonei meccanismi di monitoraggio del rischio. Si è potuto peraltro constatare come lo svolgimento di tali attività sia sovente ostacolato dal sottodimensionamento delle risorse destinate alla revisione interna e, in alcuni casi, dalla limitata disponibilità di competenze specifiche su queste tematiche. Al riguardo, si ritiene che l applicazione delle tecniche di risk management nel processo di audit consenta, molte volte, di sopperire ad eventuali carenze di organico, assicurando idonei standard qualitativi del servizio reso a favore dell organizzazione. L attività di collaborazione tra revisori interni e direzione nell ambito dell analisi del rischio può, a nostro avviso, agevolare il processo di comunicazione degli obiettivi strategici, in modo da allineare ad essi gli obiettivi del piano di audit. Inoltre, gli output dell attività di risk assessment permettono di definire le priorità di revisione sulle aree rilevanti che presentano maggiori criticità, in termini di rischio inerente o di rischio di controllo.

18 Fra le altre tendenze significative nell attività di Internal Auditing che emergono dall indagine empirica svolta si possono cogliere: a) la ricerca dell efficienza ed efficacia perseguita tramite la modifica della struttura organizzativa della funzione (ad esempio, con la creazione di società consortili nei gruppi aziendali); b) lo sviluppo di un rapporto collaborativo con il management nelle attività di controllo, in un più ampio contesto di diffusione dell accountability; c) l enfasi sulle variabili qualitative ed intangibili (clima etico dell organizzazione, stile di management, cultura e cosi via) per garantire la funzionalità del sistema di controllo interno; d) l utilizzo di un approccio control based nella pianificazione del singolo intervento di audit, poiché la valutazione preliminare dei rischi, nei limitati casi in cui è riscontrabile, è finalizzata all accertamento dell adeguatezza dei controlli e non alla verifica del processo di gestione del rischio. 18

19 19 APPENDICE 1 ELENCO DELLE AZIENDE CHE HANNO RISPOSTO AL QUESTIONARIO MIB30 AUTOSTRADE BANCA ROMA ENEL ENI FIAT GENERALI INTESA BCI MEDIASET MEDIOBANCA OLIVETTI PIRELLI RAS SAIPEM SAN PAOLO IMI SNAM RETE GAS TELECOM TIM MIDEX AEM ALITALIA BANCA POPOLARE BERGAMO BANCA POPOLARE DI LODI BANCA POPOLARE MILANO BUZZI UNICEM ESPRESSO ITALCEMENTI MONDADORI RECORDATI SAI UNIPOL ALTRE CASSA DI RISPARMIO FIRENZE COIN FINTECNA HDP IBM ITALIA PIAGGIO POSTE SEA

20 20 BIBLIOGRAFIA AICPA, Statement of Position (SOP 94-6), Disclosure of Certain Significant Risks and Uncertainties, ARTHUR ANDERSEN LLP, Control Self Assessment: Experience, Current Thinking, and Best Practices, Altomonte Springs, The Institute of Internal Auditor Research foundation, BAKER L., GRAHAM R., Control Self Assessment, in Internal Auditor, April BARRET M.J., Allocating Resources with Strength/weakness Analysis, in Internal Auditor, December BASEL COMMITTEE ON BANKING SUPERVISION, Internal Audit in Banks and the Supervisor s Relationship with Auditors, August BRUNI G., La revisione aziendale. Principi, metodi, procedure, Milano, Isedi, CAMPEDELLI B. (a cura di), Analisi dei rischi rilevanti nella revisione aziendale, Torino, Giappichelli, CHAMBERS A., Quo Vadis Internal Auditing?, in Management Accounting, October CHAMBERS A., SELIM G. M., VINTER G., Internal Auditing, London, Pitman, CHAMBERS A., The Operational Auditing Handbook: Auditing Business Processes, John Wiley and Sons, CODA V., Responsabilità degli amministratori e direttori, Sistema di controllo interno e Internal Auditing, in M. MOLTENI (a cura di), Verso una nuova concezione di Internal Auditing, Milano, Egea, 1998, pagg COMMITEE OF SPONSORING ORGANIZATION OF THE TRADEWAY COMMISSION (COSO), Internal Control Integrated Framework, Jersey City, AICPA/COSO, CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI CONSIGLIO NAZIONALE DEI RAGIONIERI E PERITI COMMERCIALI, Guida operativa sulla vigilanza del sistema di controllo interno, CORBELLA S. - PECCHIARI N., Internal auditing, Aspetti di struttura e di processo: i risultati di una ricerca empirica, Milano, EGEA, FIGG J., The power of CSA, in Internal auditor, August FLESHER D. L., Operational Auditing, in The Journal of Accountancy, November GERMAN ACCOUNTING STANDARDS COMMITTEE, E-GAS 5, Risk Reporting, GROSSI G., Il ruolo dell internal audit nel risk management, in Auditing, n. 43 Gennaio-Aprile HINNA L., Il controllo dei rischi bancari generali: un approccio metodologico al management audit, Roma, Rirea, INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES, Financial Reporting of Risk. Proposal for a Statement of Business Risk, Study INSTITUTE OF CHARTERED ACCOUNTANTS IN ENGLAND AND WALES, No Surprises. The Case for Better Risk Reporting, ITALIAN COMMITTEE FOR THE CORPORATE GOVERNANCE OF LISTED COMPANIES, Report, Code of Conduct, JORDAN J., Control Self Assessment: Making the Right Choice, The Institute of Internal Auditing, KPMG ITALIA, Studio sulla concreta applicazione del Codice di Autodisciplina e tendenze in atto, September LISI P., L introduzione dell ente di internal auditing in azienda: valutazioni qualitative ed analisi di convenienza, in Auditing, n. 29, MARCHI L., Principi di revisione aziendale, Quarta edizione, Bologna, Clueb, MARKS N., The New Age of Internal Auditing, in Internal Auditor, December MC GUAIN B., Auditing Assurance & CSA, in Internal Auditor, June MC NAMEE D., Business Risk Assessment, Altomonte Springs, The Institute of Internal Auditor, MELVILLE R., Control Self Assessment in the 1990s: the UK Perspective, in International Journal of Auditing, PARKER L., Understanding Risk, in Internal Auditor, February PATTON, EVANS, LEWIS, A framework for evaluating internal audit risk, Altomonte, The Institute of Internal Auditor, PERSIANI N., Introduzione alla revisione interna, Padova, Cedam, PINI M., La revisione di impresa. Controllo interno e sistemi informativi automatizzati, Milano, Giuffrè, REIDER H.R., The Complete Guide to Operational Auditing, New York, John Wiley and Sons, ROTH J.P., COSO Implementation Guide, Altomonte Springs, The Institute of Internal Auditor, SAWYER L.B., Sawyer s Internal Auditing, 4 TH edition, Altomonte, IIA, SELIM G. M., MC NAMEE D., Risk: Changing the Internal Auditor s Paradigm, Altomonte, IIARF, SMITH J.E., An Evaluation of Selected Current Internal Auditing Terms, in Research Report n 19, Florida, IIA, THE INSTITUTE OF INTERNAL AUDITOR (UK), Control and Risk Self Assessment, Professional Briefing Note n. 14, London, UK: The Institute of Internal Auditors United Kingdom, The INSTITUTE OF INTERNAL AUDITORS, Performance standard 2010 Planning ; Performance standard 2201, Planning consideration, in Standards for the professional practice of internal auditing, TROINA G., Revisione interna: riflessioni di primo approccio, Napoli, Liguori, 1989.