La crisi della PMI, cui si è aggiunta la drammatica congiuntura determinata dal COVID-19, è data da diversi fattori concomitanti, due dei quali sono certamente la mancanza di un’appropriata governance aziendale e un adeguato sistema di controllo. La governance aziendale stabilisce gli standard e definisce le procedure; i controlli interni assicurano che standard e procedure siano rispettate. Non monitorare attentamente le politiche contabili, trascurando di identificare e classificare in modo adeguato temi come i ricavi, gli oneri finanziari, gli inventari, la svalutazione di attività, ecc. significa muoversi nella più totale approssimazione. Se si pensa che ancora oggi la proposta consulenziale di maggior successo per le PMI è il controllo di gestione, non ci si può meravigliare se la crescita e l’espansione non risultino tra le priorità delle stesse PMI. Anzi, per quelle imprese coraggiose, ma imprudenti e prive di governance, che intraprendano l’internazionalizzazione, questa si trasforma in un boomerang terribile, che ne determina la morte. Un utilizzo disinvolto e personale delle risorse aziendali e assenza di rendiconti finanziari strutturati e ricorrenti, sono problemi comuni che le PMI devono affrontare a causa dell’assenza di sistemi di controllo interni. Certo che se chi dovrebbe essere interessato a che si implementino i sistemi di controllo è il primo a non volerli, non si va molto lontano. Ma, la realtà è implacabile: le aziende che si concentrano su una governance efficace con un processo di audit integrato e lavorano per raggiungere un’attribuzione credibile del loro rischio sistemico, sono quelle che raggiungono prima e meglio il successo, godendo, tra l’altro, di molteplici fonti di finanziamento.
Dall’articolo del 2011 di Dominic S. B. Soh e Nonna Martinov-Bennie, “The internal audit function: Perceptions of internal audit roles, effectiveness and evaluation”, si evince che il problema non è solo italiano, ma globale. Ma, mentre negli altri paesi europei e negli USA il tema è la scarsa qualità dei processi di audit e le rudimentali governance esistenti, da noi, a distanza di dieci anni dall’articolo, si parla di assenza totale di entrambi. Cercare risorse nel mercato finanziario evoluto, significa competere con l’universo mondo, spesso più attrezzato sul tema e, quindi, più credibile e rassicurante. La crescita non passa solo dalle buone idee, requisito essenziale, ma anche dalle buone pratiche di controllo. Ora, dopo le dichiarazioni di merito generale, provo a dare qualche indicazione pratica.
In linea di massima ci sono tre tipi di controllo (vedi la relazione dell’Institute of Internal Audit – IIA, 2015):
- preventivo;
- investigativo;
- correttivo.
I controlli preventivi sono per lo più basati su processi e attribuiscono i ruoli e gli approcci al controllo, in funzione del “posizionamento” all’interno del flusso procedurale. Il principio base è quello della separazione operativa e di responsabilità dei passaggi chiave. Un esempio classico è la separazione delle funzioni e responsabilità tra chi propone una spesa, chi la approva e chi la effettua concretamente. Lo stesso potrebbe avvenire per l’accettazione di una resa o l’emissione di un rimborso.
I controlli investigativi sono controlli interni ex post progettati per identificare problemi che già esistono. Volendo restare negli esempi già fatti, la riconciliazione dei conti bancari a seguito di specifiche operazioni come pagamenti, rimborsi o altro, appartiene a questa famiglia. Ma anche la verifica degli inventari a seguito di una conta fisica o di un calcolo puramente contabile.
I controlli correttivi sono controlli interni che intervengono nel processo di riparazione delle problematiche create dallo scostamento dalle performance standard legali, statutarie, procedurali, economiche, finanziarie o di planning.
Se è pur vero che l’efficacia dei controlli interni dipende dalle procedure utilizzate per le azioni preventive, investigative e correttive, è anche vero che l’autentico successo dipende dalla reattività della direzione, dalla corretta valutazione dei risultati e dalla qualità delle azioni di follow-up. Sulla base delle linee guida del CoSO (Committee of Sponsoring Organizations of the Treadway Commission) in materia di ERM – Enterprise Risk Management, si possono identificare nove parametri fondamentali dei controlli interni.
- La metodologia è il cuore dell’attività di auditing, in quanto riflette l’approccio alla valutazione e alla qualità della stessa. La metodologia deve riflettere, per esempio, la modalità ottimale per ottenere la perfetta corrispondenza tra i dati raccolti e la lista di dati d’acquisirsi. Acquisire dei dati senza sapere se sono quelli giusti o, peggio, se sono tutti quelli acquisibili e necessari, inficia la validità stessa della metodologia. L’efficacia della metodologia deve garantire la qualità e profondità dei dati raccolti per la revisione.
- La documentazione si riferisce all’archiviazione e al recupero delle informazioni per il processo di audit e il follow-up.
- La pianificazione si riferisce alla definizione dei piani operativi, finanziari e strategici del processo di audit, con la definizione dei tempi e della qualità delle risorse.
- Le persone che sono deputate alle attività di audit devono essere formate in modo appropriato e avere la consapevolezza delle loro responsabilità. Inoltre, devono essere dotate di sufficiente autonomia per condurre liberamente la loro attività.
- Il sistema (prevalentemente informatico) si riferisce al livello dei flussi di informazioni standardizzate e all’affidabilità dei documenti che le rappresentano per il processo di valutazione.
- Il rischio si riferisce alla profondità delle valutazioni sullo stesso, sia esso operativo o strategico, e dei relativi piani di mitigazione e recupero.
- La revisione riguarda la fase di doppio controllo della qualità dei processi di audit finanziari e non finanziari, soprattutto sotto il profilo operativo.
- La proprietà (ownership) e la responsabilità indicano se l’audit è una funzione silos, non soggetta al controllo delle funzioni aziendali e con ownership diffusa e condivisa in azienda o un’attività guidata con ownership e controllo affidata ai vari leader.
La tabella 1 presenta gli elementi che compongono le aree chiave dell’audit interno e la loro maturità e le fasi ad ogni livello.
Fasi di maturità dei controlli interni | |||||
Livello 1 | Livello 2 | Livello 3 | Livello 4 | Livello 5 | |
Documentazione | Documentazione solo ad hoc e disorganica | Documentazione scarna e non monitorata
regolarmente |
Documentazione strutturata
ma non monitorata |
Documentazione strutturata
monitoraggio dei rapporti |
Documentazione ampia, completa e strutturata
con una dettagliata procedura di monitoraggio |
Pianificazione | Nessuna pianificazione | Pianificazione basata su
procedure operative standard principalmente finanziarie |
Pianificazione basata su strumenti per la misurazione della redditività e delle leve economiche e finanziarie | Pianificazione di un approfondito controllo dei driver della redditività, sulla base dei parametri del settore e pianificazione dei processi d’intercettamento dei fattori di costo anomali. Coinvolgimento estemporaneo del top management | La pianificazione supporta le strategie aziendali attraverso svariati misuratori e si avvantaggia di tecniche di business intelligence. Il top management è pienamente coinvolto. |
Persone | Semplici auditor con competenze di revisione
e nessuna conoscenza del settore di riferimento |
Personale interno con funzione di audit, ma con
limitata conoscenze di business e scarse risorse |
Personale con un ragionevole mix di
Competenze di revisione tradizionale e di business |
Revisori esperti
con una ragionevole esperienza di business e nel settore specifico |
Grande mix di
tradizionali competenze di revisione ed esperienza nel settore completate da conoscenza delle dinamiche di business e pensiero critico |
Sistema | Solo manuale
dei sistemi |
Manuale dei sistemi e tecnologie di raccolta, registrazione e memorizzazione dei dati | Sistemi per l’acquisizione e la condivisione dei dati con alcuni
auditor in tempo reale |
Sistemi real time di acquisizione dati e auditing | Tecnologia leader
(data mining, analisi, ecc.) e auditing in tempo reale accessibile da ovunque |
Risk Management | Valutazione del rischio limitata, nessuna identificazione formale, né piani di mitigazione e recupero | Valutazione focalizzata del rischio, approccio una tantum, piani limitati | Valutazione più ampia del rischio (sia a livello micro che macro), identificazione formale e metodi di mitigazione e recupero | Valutazione completa e olistica del rischio (sia a livello micro che macro) | Ampia e completa valutazione olistica del rischio (sia a livello micro che macro), ampia gestione del rischio |
Revisione | L’attenzione è principalmente sulle transazioni finanziarie e su processi di revisione specifici. | L’attenzione è principalmente sulle transazioni finanziarie e di compliance, è ragionevolmente formale, con un follow-up limitato | L’attenzione è principalmente sulle transazioni finanziarie, di compliance e operative con rapporti formali e periodici di follow-up | L’attenzione si concentra principalmente sulle transazioni finanziarie, di compliance, operative e sui sistemi IT con rapporti formali e periodici di follow-up | Ampia revisione delle transazioni finanziarie, di compliance, operative e dei sistemi IT, seguita da un rapporto di follow-up formale e continuo |
Ownership e responsabilità | Limitato a un dipartimento, poche risorse, per lo più analisi post-hoc, incline ai rischi di esecuzione | Responsabilità ampiamente definite a livello di business e ownership a livello di Business leader | A quanto descritto al livello precedente, si aggiunge qualche risposta proattiva a livello di singolo ufficio | Ownership e responsabilità ben definite a livello di gestori dei processi, leader dei processi, management e direzione | Integrazione a tutti i livelli, dal responsabile del processo, al leader, alla direzione e al board, insieme a controlli dettagliati del rischio |
Continuare a ripetere che la PMI è la grande risorsa del nostro paese, ma non avere il coraggio (o l’interesse) di dichiarare cosa sia meglio per essa, equivale ad incrementare il senso di smarrimento e frustrazione di quegli imprenditori che non aspettano altro che ricevere il giusto e qualificato sostegno per uscire da un’impasse infinito. Governance e controllo non sono più un’opzione, sono una componente irrinunciabile del business, proprio nel momento stesso in cui si stia pensando come ampliarlo e farlo crescere. Solo in un contesto con procedure e controlli codificati si può innestare una nuova avventura imprenditoriale di allargamento del proprio business, perché l’obiettivo di un imprenditore non dev’essere solo prendere rischi, ma cogliere tutte le opportunità, in un quadro di rassicurante certezza che il rischio, inevitabile, sia monitorato e controllato.