Perchè oggi parliamo di audit as a service? Immersi nell’era della Digital Transformation, viviamo nella costante pretesa che la tecnologia ci sorprenda ogni giorno, e, forse inconsciamente, accettiamo che il mondo conservi la sua caratteristica fluidità, convinti che il cambiamento sia l’unica cosa permanente e che l’incertezza sia l’unica certezza, per dirla con le parole del sociologo polacco Zygmunt Bauman. In questo quadro socioeconomico, sembra anacronistico parlare di sistemi di controllo, argomento fortemente ancorato all’idea di rigidità, fissità, e burocratismo.
Sistemi di controllo: il ruolo dell’accountability
Eppure, qualcosa sta cambiando e questo mutamento, in parte, è dovuto ad un principio normativo fondante della imprenditorialità moderna: l’accountability, che, tra le declinazioni più ampie, può essere tradotto come la responsabilità di operare in modo conforme ai requisiti normativi ed essere in grado di dimostrarlo, per assicurare continuità alla propria impresa.
L’Information Commissioners’s Office (ICO) – l’Autorità di controllo inglese, fornisce una delle definizioni più pregnanti del concetto di accountability: (essa) «non consiste in una mera spunta di caselle (…) dar prova della compliance significa essere in grado di dimostrare i passi che vengono intrapresi per rendersi compliant».
Gli imprenditori ne stanno facendo esperienza: le nuove norme rimandano sempre meno ad elenchi analitici di prescrizioni da osservare, ma pretendono un maggiore sforzo interpretativo da parte dell’intera organizzazione, finalizzato ad assumere le iniziative ritenute più opportune.
Già prima di dare avvio ad un progetto di adeguamento ad una normativa, il management deve essere consapevole del fatto che, una volta che sarà raggiunto il primo traguardo, ovvero la cosiddetta “conformità sulla carta”, inizieranno subito le fasi di verifica dell’effettiva implementazione e di successivo mantenimento della compliance. Diventa quindi mandatorio per ogni organizzazione definire, assieme alle misure volte a garantire la conformità normativa, anche il sistema di controllo che si vorrà adottare al fine di consentire il monitoraggio costante circa l’efficacia e l’idoneità dei presidi di prevenzione.
Perchè è importante avere un piano di audit?
L’assenza di un piano di audit o di procedure interne, lo svolgimento di un’attività di vigilanza non effettiva, o addirittura l’omessa attività di controllo, si può tradurre, per l’impresa, in due macro-categorie di rischi:
- in vulnerabilità, se pensiamo alla possibilità di attacchi dall’esterno e all’esposizione a minacce che provengono da fuori l’organizzazione, o
- nel rischio di avvio di procedimenti giudiziari con conseguente applicazione di sanzioni di natura particolarmente afflittiva (con elevato rischio economico, o addirittura l’interdizione dell’attività).
In entrambi i casi, l’impresa subirà un inevitabile danno reputazionale, e potrà patire addirittura la perdita di quote di mercato.
Un adeguato sistema di controllo interno e una bilanciata e chiara suddivisione dei poteri, invece, non solo riescono a favorire la drastica riduzione del rischio di attacchi o di sanzioni (o quanto meno il loro ridimensionamento), ma anche a sostenere la capacità dell’impresa di realizzare i propri obiettivi, secondo un giusto equilibrio tra efficienza, economicità delle azioni e utilità delle stesse.
Un efficace sistema di controllo interno, infatti, contribuisce a garantire una conduzione dell’impresa coerente con gli obiettivi aziendali definiti, favorendo l’assunzione di decisioni consapevoli. Esso concorre ad assicurare il rispetto di leggi e regolamenti, la funzionalità e l’efficacia dei processi aziendali, la salvaguardia del patrimonio sociale.
Un aspetto fondamentale nella definizione e applicazione del sistema di controllo consiste nell’individuazione delle risorse deputate a fornire il supporto nella gestione dei rischi: figure professionali che siano in grado di ricoprire il ruolo di auditor e di integrare le rispettive competenze, in ragione delle varie normative applicate da un’impresa. Questo potrebbe richiedere l’intervento di figure professionali diversificate, difficilmente reperibili all’interno dell’organizzazione. Dobbiamo pensare, infatti, che sono ancora poche le organizzazioni provviste della funzione di internal audit. Proprio per supplire a questa mancanza, vengono in soccorso i servizi di auditing esternalizzati, in grado di mettere a disposizione vari esperti, specializzati in settori anche distanti tra di loro, le cui competenze integrate e convergenti consentono di valutare il medesimo aspetto da molteplici punti di vista.
Cosa ci si deve aspettare, dunque, da un servizio di audit as a service?
«Uno strumento di miglioramento continuo a supporto di tutti i sistemi di compliance adottati da un’organizzazione», spiega l’avv. Andrea Reghelin, Responsabile della Practice “Audit & Control” di P4I-Partners4Innovation.
«Dobbiamo pensare che le aziende si devono adeguare costantemente a normative che, solo apparentemente, si possono ritenere circoscritte al settore da cui traggono origine. Dal lato pratico, infatti, l’adeguamento a una norma finisce inevitabilmente per abbracciare differenti branche del diritto. Ecco allora che, un sistema di controllo integrato, in grado di considerare in modo contestuale varie normative, può diventare la garanzia, per le aziende, per mantenere la propria compliance, nonostante il continuo mutamento normativo».
Who's Who
Andrea Reghelin
Responsabile Practice “Audit & Control” di P4I – Partners4Innovation
Pensiamo, ad esempio, al recente caso della L.179/2017, che ha disciplinato il tema delle segnalazioni di condotte illecite – il cosiddetto whistleblowing. Questa norma è nata nel contesto normativo specifico della responsabilità amministrativa degli enti ex d.lgs.231/2001 (quello della criminalità d’impresa), ma l’implementazione del sistema informatico richiesto dalla norma ha avuto impatti operativi immediati anche in altri settori. Primo tra tutti, quello dell’information security, perché il canale di trasmissione delle segnalazioni è un sistema digitale, e pertanto esso deve poter garantire il requisito della sicurezza informatica. Oltre a ciò, la gestione delle segnalazioni andrebbe inteso come trattamento dei dati personali: prima dell’invio delle segnalazioni, infatti, i sistemi informativi implementati dovrebbero informare il whistleblower circa le modalità di trattamento delle segnalazioni, ove non si voglia incorrere nel rischio di sanzioni privacy. Dal lato pratico questo significa che si è dovuto associare in modo contestuale al tema del whistleblowing 231, quello della information security e del GDPR.
Come poc’anzi detto, quindi, il servizio di audit as a service deve essere inteso come un’opportunità da saper cogliere in ottica di maggiore integrazione ed efficienza dell’intera organizzazione.«Ma la multidisciplinarità non è da sola sufficiente – riferisce Andrea. Il ruolo dell’auditor sta cambiando e va nella direzione di diventare una figura di supporto per l’organizzazione sia nel prendere coscienza circa i benefici dell’effettività dei sistemi di compliance (un’opportunità e non solo un obbligo) sia nell’individuare possibili soluzioni volte a intervenire sulle criticità rilevate.»
«Si dovrebbe pensare a questo servizio come ad un vero e proprio investimento delle aziende, finalizzato alla preparazione di competenze interne», conclude Sonia Amarù, Senior Consultant del team “Audit & Control” di P4I-Partners4Innovation. «Potremmo quasi parlare di un’attività di coaching, se considerassimo l’aspetto di affiancamento alle società e di supporto per il mantenimento della compliance nel tempo. E per di più, nell’epoca della digital transformation, non possiamo pensare che un servizio innovativo di audit as a service, integrato tra le varie compliance, possa essere reso utilizzando i tradizionali applicativi informatici: ciò che ci si deve aspettare, dunque, è un impiego della tecnologia in grado di consentire un’efficace ingegnerizzazione dell’attività di vigilanza e controllo».
Who's Who
Sonia Amarù
Senior Consultant presso P4I - Partners4Innovation
E a coloro che non sono ancora convinti dell’importanza strategica del sistema di controllo, in un’ottica di salvaguardia e sicurezza della propria impresa, si lascia il monito dell’inestimabile Jack Welch Jr.: «Cambia prima di essere costretto a farlo».
La rubrica “Sicurezza nell’era della Digital Transformation”
Questo articolo rientra nella rubrica curata dagli esperti legali di P4I-Partners4Innovation che fa il punto sulle figure professionali, sui framework normativi e su come affrontare l’avanzata delle nuove tecnologie gestendone i rischi.
Leggi anche
Garantire sicurezza nell’innovazione: i 10 elementi che lo rendono possibile
Un approccio innovativo per la prevenzione del rischio: il nuovo ruolo del Compliance Officer