CRSA in Italia: i casi HDP, IBM Italia e Pirelli

Pubblicato su “Auditing”, n. 46, 2003

Marco Allegrini – Giuseppe D’Onza*

1. Introduzione1
Il presente lavoro è il frutto di una ricerca empirica condotta nel corso del 2002 sulle attività di
internal auditing e risk assessment, nelle principali società italiane quotate alla Borsa valori di
Milano2.
Una parte della ricerca intendeva verificare l’applicazione della metodologia di CRSA (Control
Risk Self Assessment) nelle aziende italiane. Per le finalità della ricerca non abbiamo ritenuto
opportuno distinguere il CRSA, dal CSA (Control Self Assessement) e dalle altre metodologie di
autovalutazione dei rischi e dei controlli sviluppate nel corso degli ultimi anni da aziende di
produzione e società di consulenza (Business Self Assessment, Management Self Assessment, ed altri
ancora).
Il primo progetto di CSA è stato introdotto nel 1987 da una multinazionale canadese (Gulf Canada)
operante nel settore chimico, allo scopo di coinvolgere i responsabili delle business unit nella
valutazione dell’efficacia dei controlli in essere e nell’individuazione delle opportunità di
miglioramento dei meccanismi impostati.
Partendo dagli obiettivi assegnati, i manager di ciascuna divisione, con l’ausilio dei dipendenti
direttamente impegnati nello svolgimento delle operazioni aziendali, dovevano valutare se le attività
di controllo garantivano l’efficace ed efficiente svolgimento delle operazioni, l’attendibilità delle
informazioni prodotte e la conformità delle operazioni svolte con la normativa vigente.
Negli anni immediatamente successivi, il CSA è stato implementato in un numero crescente di
imprese nordamericane ed europee per migliorare l’efficacia dell’attività direzionale, per adempiere
a disposizioni normative (Federal Sentencing Guidelines, ecc.) e per favorire l’implementazione dei
control model (COSO e COCO).
Contemporaneamente si è assistito ad un proliferare di nuove metodologie sviluppate soprattutto da
società di consulenza che, prendendo spunto dai modelli di controllo più diffusi nel contesto
internazionale, hanno ampliato la gamma dei servizi a supporto dell’attività di analisi e valutazione
dei rischi e dei controlli.
Il CRSA costituisce un’evoluzione della metodologia del CSA (Arthur Andersen, 1994) e risulta
essere maggiormente focalizzato sull’identificazione dei rischi potenziali che possono pregiudicare
il conseguimento degli obiettivi aziendali, sulla definizione del livello di rischio massimo
accettabile e sull’ottimizzazione delle attività di controllo ai fini della gestione dei rischi.
Nelle organizzazioni in cui è stato implementato, il CRSA ha permesso di accrescere l’efficacia dei
sistemi di corporate e control governance, attraverso una più accurata gestione dei rischi connessi
all’attività aziendale (Makosz, McGuaig 1990; Jordan 1995). Fra i principali beneficiari degli
output generati dai processi di CSA/CRSA è possibile annoverare il consiglio di amministrazione, il
management ed i revisori interni ed esterni.

* Marco Allegrini è professore associato in “Ragioneria internazionale” ed “Economia e controllo dei gruppi aziendali”
e ViceDirettore del Master in “Auditing e Controllo Interno” dell’Università di Pisa.
Giuseppe D’Onza è professore a contratto in “Revisione Aziendale” presso l’Università di Bari e “Coordinatore
operativo” del Master in “Auditing e Controllo Interno” dell’Università di Pisa.
Gli autori desiderano ringraziare il Dott. Carlo Palazzesi, il Dott. Giuseppe Palmieri, il Dott. Gabriel Almandoz ed il
Dott. Sergio Romiti, per il contributo alla realizzazione dei casi di studio.
1
La relazione è frutto di una comune attività di ricerca svolta, nella fase progettuale, realizzativa ed interpretativa,
congiuntamente da parte degli autori. Tuttavia, Marco Allegrini è autore dei paragrafi 2-3; Giuseppe D’Onza è autore
dei paragrafi 1-4.
2
Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle
finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, Internal
Auditing e Risk Assessment, pubblicato nel numero precedente della presente rivista.
Per quanto attiene l’organo amministrativo, responsabile del corretto funzionamento del sistema di
controllo interno, i processi di CSA/CRSA costituiscono dei validi strumenti di assurance, in
quanto permettono di:
• acquisire la ragionevole sicurezza che in tutti i livelli dell’organizzazione esistano adeguati
ed efficaci meccanismi di controllo;
• identificare i rischi connessi al business aziendale e valutare l’efficacia delle politiche di risk
management;
• rafforzare la comunicazione fra i vari livelli direzionali in merito agli obiettivi da
conseguire, i rischi da fronteggiare, le opportunità da cogliere, i controlli da implementare o da
ridurre.
Lo svolgimento dei processi di autovalutazione consente, inoltre, di supportare i manager nello
svolgimento delle attività direzionali di pianificazione e controllo. In particolare il CRSA
contribuisce a:
• sviluppare la conoscenza dei rischi potenziali che possono ostacolare il raggiungimento
degli obiettivi aziendali;
• identificare le criticità del sistema di controllo interno;
• stabilire le priorità di intervento in sede di definizione dei piani strategici e tattici;
• supportare i processi di empowernment;
• coinvolgere i subordinati nel processo decisionale.

In relazione a quanto detto, sono facilmente intuibili i vantaggi per i revisori interni ed esterni,
impegnati - seppur con finalità e ruoli differenti – nella valutazione del sistema di controllo interno.
In particolare, il CRSA consente di:
• ampliare l’auditing coverage, a parità di risorse impiegate nella revisione interna;
• individuare le priorità di intervento in sede di stesura del piano annuale, nonché di
programmazione del singolo incarico;
• migliorare l’ambiente di controllo attraverso l’accrescimento del livello di
responsabilizzazione del personale;
• favorire un approccio più collaborativo nel corso degli interventi di audit;
• accrescere le competenze e la professionalità dei revisori.

Malgrado la diffusione avutasi nell’ultimo ventennio a livello internazionale, anche i più fervidi
assertori del CRSA hanno individuato alcuni fattori che possono ridurre l’efficacia dei processi di
autovalutazione. Per assicurare la riuscita del progetto, è indispensabile il supporto dell’alta
direzione, sia nella fase di avvio del progetto, per superare le resistenze dei manager “diffidenti”, sia
nel corso dell’autovalutazione, per favorire l’implementazione delle azioni correttive proposte nel
CRSA. E’, inoltre, da considerare quale fattore critico del progetto l’esistenza di una cultura del
controllo e della trasparenza nell’organizzazione, che risulta necessaria per garantire la correttezza
dei comportamenti nella fase di svolgimento della valutazione. Su ambedue i fattori, i revisori
interni sono chiamati a svolgere un delicato compito di promozione del CRSA a tutti i livelli
dell’organizzazione, di coinvolgimento del management, di garanzia della qualità e della veridicità
dei risultati prodotti.
Gli altri fattori critici di successo riscontrati nel corso dei progetti di CRSA attengono a:
• un’adeguata pianificazione del CRSA, che implica una serie di scelte sull’utilizzo dei
modelli di controllo per guidare l’autovalutazione, sulle unità aziendali in cui sperimentare la
metodologia, sugli obiettivi da raggiungere, sui tempi di svolgimento, e così via;
 • la scelta dello strumento da utilizzare (Questionario standard, Questionario personalizzato,
Facilitated Workshop3, Analisi prodotte dal management, ed altro ancora) che dovrebbe
avvenire in funzione della cultura organizzativa e degli obiettivi da perseguire;
• l’individuazione del facilitatore con competenze e conoscenze adeguate;
• il monitoraggio delle azioni correttive definite a seguito dell’autovalutazione.

********

Una ricerca condotta nel 1998 nel Regno Unito, volta a verificare il grado di diffusione del
CSA/CRSA fra le prime 50 aziende quotate al FTSE, ha evidenziato che il 68% circa delle
organizzazioni aveva applicato negli ultimi tre anni un progetto di CRSA e che l’autovalutazione
veniva ripetuta almeno annualmente in tutte le unità dell’organizzazione.
In queste aziende, la motivazione principale che ha indotto l’introduzione del CRSA risiede nella
necessità di fornire ai manager una metodologia a supporto delle decisioni strategiche ed operative.
Nel nostro Paese, il CRSA è ancora in una fase di start-up, poiché soltanto cinque delle prime cento
società per capitalizzazione di borsa, dichiarano di aver già provveduto ad introdurre il progetto in
tutte le aree funzionali, altre quattro aziende rivelano di averlo implementato in almeno una
funzione o unità del gruppo e dieci sostengono di voler introdurre il CRSA entro un anno4.
Al fine di analizzare le dinamiche di svolgimento dei progetti di Control Risk Self Assessment, sono
state realizzate delle interviste con i responsabili delle unità di revisione interna (o con persone da
essi delegati) di società che hanno implementato con esiti positivi il progetto in tutte le unità
dell’organizzazione. Di seguito si presentano tre casi di studio, riferiti rispettivamente alle società
HPD, IBM Italia e Pirelli, finalizzati ad illustrare gli aspetti di maggior rilievo emersi nel corso
delle interviste.

3
E’ possibile identificare quattro tipi di workshop applicabili per lo svolgimento del CRSA che si differenziano per la
differente prospettiva adottata nel corso dell’autovalutazione:
- control-based workshop;
- process-based workshop;
- risk-based workshop;
- objective-based workshop.
4
Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle
finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, op. cit.
2. CASO HDP

Aspetti strutturali della funzione di Internal Auditing

L’attività di internal auditing per tutte le società del gruppo HDP è svolta da una società consortile
(HDP Audit), il cui Consiglio di Amministrazione è costituito interamente da amministratori
indipendenti.
I nove revisori che attualmente compongono l’unità di internal auditing svolgono prevalentemente
un’attività di verifica dell’efficacia e dell’efficienza delle operazioni aziendali, mentre la revisione
contabile è affidata in via esclusiva ad una società di revisione.
Il responsabile della funzione di internal auditing riferisce sull’attività svolta almeno una volta per
trimestre al Consiglio di amministrazione, all’Audit Committee ed al preposto al Sistema di
controllo interno della capogruppo.
I preposti sono stati inoltre istituiti in seno a tutte le società controllate e fra l’altro essi:
• collaborano con la società consortile per gli interventi di audit riguardanti la società di loro
appartenenza;
• ricevono i rapporti di audit e si relazionano con gli organi societari della controllata (CdA,
collegio sindacale) per quanto attiene le verifiche svolte sull’adeguatezza del sistema di
controllo interno.

Il CRSA: obiettivi perseguiti

Il CRSA è stato introdotto nel primo trimestre del 2001, in tutte le società del gruppo HDP al fine di
perseguire due obiettivi principali:
1) verificare che in tutte le società del gruppo esista un adeguato ed efficace sistema di
controllo interno, coerentemente con quanto stabilito dalle disposizioni della Draghi e del
codice di autodisciplina;
2) coinvolgere il management nel monitoraggio dei meccanismi di controllo, stimolandolo a
proporre delle soluzioni per i problemi riscontrati.
Il progetto di CRSA intende favorire un progressivo cambiamento della cultura organizzativa,
affinché tutto il personale divenga parte integrante del sistema di controllo interno, sia fortemente
motivato a garantire l’effettiva applicazione delle procedure impostate ed a partecipare al loro
continuo miglioramento.
Altre finalità perseguite tramite l’autovalutazione del sistema di controllo interno sono costituite
dall’ampliamento dell’audit coverage a parità di risorse impiegate nella funzione di auditing e
dall’acquisizione di una maggiore visibilità dei rischi inerenti e di controllo.

La pratica del CRSA

Per lo svolgimento del CRSA sono stati utilizzati due strumenti:
- un questionario definito sulla base del COSO Report, adattato in relazione alla struttura
organizzativa e alle peculiarità gestionali delle diverse società del gruppo;
- una scheda utilizzata per l’attività di risk assessment.
Il questionario è diviso in quattro parti dedicate rispettivamente all’ambiente di controllo, alle
attività di controllo, ai meccanismi di informazione e di comunicazione, al monitoraggio
dell’efficacia del sistema di controllo interno.
Per ognuna delle sezioni, sono stati formulati dei quesiti volti a verificare, da un lato, l’esistenza di
controlli specifici, dall’altro l’efficacia complessiva del sistema istituito per preservare l’integrità
del patrimonio, l’attendibilità delle informazioni e l’efficace ed efficiente impiego delle risorse.
I diversi punti del questionario riprendono, in parte, la struttura del COSO Report, opportunamente
adattato alle peculiarità gestionali dell’organizzazione, in modo da rendere più agevole
l’autovalutazione da parte dei destinatari.
Il questionario è stato inviato agli amministratori delegati delle società a controllo diretto e delle
società controllate indirettamente con un volume di fatturato particolarmente rilevante.
Inizialmente, l’autovalutazione è stata compiuta con l’ausilio dei revisori interni, che hanno svolto
un’attività di formazione e di supporto al management nel corso della compilazione del documento.
Per le maggiori criticità riscontrate a seguito della valutazione, il management ha provveduto a
definire gli interventi correttivi per poter rimuovere i punti di debolezza, stabilendo una priorità di
intervento, definita in relazione al livello di rischio residuale.
A differenza del questionario, la valutazione dei rischi è stata effettuata coinvolgendo anche i
responsabili delle diverse funzioni individuate nell’ambito delle società del gruppo.
L’attività di self risk assessment prevede tre macrofasi, costituite rispettivamente dalla:

1) identificazione degli obiettivi strategici e tattici e dei rischi che possono ostacolare il
raggiungimento degli stessi
Coerentemente con quanto stabilito dai control model, l’attività di risk assessment in HDP ha avuto
inizio con l’individuazione degli obiettivi assegnati alle varie unità aziendali.
In una prima fase del progetto, per agevolare l’individuazione dei fattori interni ed esterni
all’organizzazione che possono impedire il conseguimento degli obiettivi aziendali, è stato diffuso
una sorta di vademecum, contenente l’indicazione di alcuni fattori di rischio che possono impattare
sul corretto svolgimento della gestione aziendale.

2) valutazione dei fattori di rischio identificati in termini di probabilità di accadimento

dell’evento e di impatto sull’economicità della gestione
Anche in questa seconda fase, i revisori hanno facilitato il processo di autovalutazione, affiancando
il management nell’individuazione degli elementi che potevano ridurre o incrementare la
probabilità di manifestazione degli eventi, oppure l’impatto sul reddito e sul patrimonio.
Per la quantificazione del rischio, si è deciso di adottare una scala di valutazione compresa fra 1 e 5,
da assegnare in relazione alla frequenza con cui gli eventi possono manifestarsi ed alla dimensione
del danno economico stimato, a seguito del manifestarsi dell’evento. La dimensione del rischio si
ottiene dal prodotto fra queste due variabili (rischio min=1, rischio max=25).

3) ricognizione e valutazione dei controlli istituiti a fronte dei rischi individuati

Individuati i rischi che possono pregiudicare il raggiungimento degli obiettivi prestabiliti, si è
valutato se erano stati previsti dei meccanismi volti a ridurre la probabilità di manifestazione
dell’evento, l’impatto che gli stessi potevano avere sulla ricchezza prodotta oppure entrambi.

La scheda utilizzata nell’ambito dell’attività di risk assessment rappresentata nella figura n. 1, si

compone di 6 colonne, come evidenziato nella figura 1:

Figura 1
Obiettivo Impatto Fattore Probabilità Impatto Valore del Livello di controllo
sull’obiettivo di rischio rischio (soddisfacente, non
soddisfacente)

Nel caso in cui il livello di controllo risultasse insoddisfacente, i responsabili delle varie funzioni
dovranno indicare anche le azioni da intraprendere per ridurre il rischio al di sotto della soglia di
accettabilità.

Il processo di autovalutazione si conclude con la predisposizione del rapporto la cui struttura è

riportata nella figura 2.
Figura 2
Criticità Attività da realizzare Data di conclusione Follow-up

Una volta che i rischi sono stati individuati e valutati, il responsabile di ciascuna unità di line
definisce il piano di azione che dovrà essere implementato per rimuovere le criticità che sono state
riscontrate.
Il report viene presentato agli amministratori delegati delle diverse società del gruppo, che
concordano con i responsabili delle business unit gli interventi da realizzare per mitigare i rischi che
sono stati individuati.

Il CRSA e l’attività di audit

Il processo di CRSA consente di monitorare l’adeguatezza del sistema di controllo interno presente
nelle diverse aree dell’organizzazione, divenendo uno dei principali input per il processo di
pianificazione degli interventi di audit.
Laddove sono stati definiti degli interventi per ricondurre il rischio entro limiti definiti come
“accettabili”, il responsabile della revisione interna, in sede di stesura del piano annuale di audit,
prevede le attività di follow-up che dovranno essere svolte.
Generalmente, tali attività sono condotte su base semestrale e sono dirette ad assicurare che le
azioni programmate a seguito del CRSA siano state eseguite correttamente e nei tempi previsti.
Nel corso di tali verifiche si accerta, inoltre, con il responsabile del processo, se sono sorti ulteriori
fattori di rischio, in modo da aggiornare la mappa dei rischi inerenti alla specifica funzione e,
qualora risultasse necessario, da richiedere al management l’impostazione di ulteriori azioni
correttive. Il processo di aggiornamento dei fattori di rischio che possono impattare sull’attività
aziendale avviene anche al di fuori degli interventi di follow-up, con cadenza semestrale o annuale.
3. CASO IBM ITALIA

Aspetti strutturali della funzione di Internal Auditing

IBM Italia fa parte di un gruppo multinazionale presente nel settore dell’information technology.
L’attività di Internal Auditing (IA) nel gruppo è organizzata secondo una struttura piramidale
articolata su tre livelli:
• una direzione auditing di gruppo costituita in seno alla holding;
• alcune direzioni a livello di “macro-area” (Europa, Asia, America Latina, Nord America);
• delle unità responsabili di “area”. In Europa, attualmente, ne esistono cinque (North, South,
Ovest, Central, East);

Fra i tre livelli esistono intense relazioni funzionali volte a garantire il coordinamento delle attività
di audit svolte nelle diverse unità del gruppo, nonché a favorire l’integrazione delle metodologie,
degli strumenti e delle risorse utilizzate nel corso dei singoli interventi.
In IBM Italia è stata istituita la direzione auditing “South Europe”, che svolge l’attività di revisione
interna per le società del gruppo localizzate in quest’area. Il responsabile della funzione di internal
auditing dipende gerarchicamente dal Chief Financial Officer (CFO) di IBM Italia e, in via
funzionale, dal direttore auditing europeo.
IBM Italia presenta attualmente una struttura organizzativa articolata per processi e per strategic
business unit (SBU). Date le caratteristiche organizzative, l’attività di controllo è affidata a due
distinte unità:
- la funzione di internal audit e business control posta in staff al CFO;
- l’unità di business control di processo istituita in staff al responsabile di processo.
La prima ha una competenza trasversale su tutti i processi e le SBU e si compone di 9 unità, di cui 7
revisori impegnati nello svolgimento di attività di “assurance” e 2 controller, che esercitano
un’attività di controllo concomitante e di consulenza.
La seconda opera nell’ambito del singolo processo e provvede a:
• controllare che le varie attività siano svolte con efficacia ed efficienza ed a proporre le
azioni correttive per il miglioramento del processo;
• gestire i rischi che si frappongono al raggiungimento degli obiettivi;
• monitorare la funzionalità ed ottimizzare i meccanismi di controllo istituiti (rispetto delle
deleghe, procedure, norme, istruzioni, e così via)
• collaborare con l’internal auditing nel corso di audit o di Control Assessment Review
riferiti allo specifico processo;
• supportare e coordinare l’attività di Control Risk Self Assessment (CRSA) che viene svolta
due volte all’anno.

Il CRSA: obiettivi perseguiti

La proposta di introdurre l’attività di CRSA nel gruppo era maturata in seno all’auditing intorno alla
metà degli anni ottanta.
Gli auditor ritenevano che, affidando al management il compito di identificare e valutare i rischi e i
controlli da instaurare nelle aree di loro competenza, si sarebbe accresciuto il livello di
responsabilizzazione dell’organizzazione.
L’introduzione del CRSA era favorita sia da un rilevante supporto del top management sia dalla
presenza di una cultura del controllo fortemente radicata nel gruppo, che offriva la possibilità di
poter “delegare” alle unità di line il compito di monitorare la funzionalità dei processi e di
contribuire al miglioramento della loro efficacia ed efficienza.
Per incentivare la partecipazione del management di line al processo di valutazione dei rischi e dei
controlli, gli internal auditor organizzarono dei workshop per illustrare gli obiettivi del progetto e le
modalità di svolgimento del CRSA, sottolineando l’esigenza di un atteggiamento collaborativo da
parte del management. A queste riunioni partecipavano i vertici delle società del gruppo ed i
responsabili dei processi e delle business unit.
Attualmente, l’autovalutazione viene effettuata due volte l’anno in tutti i processi e le SBU. Nel
corso degli anni, il CRSA ha permesso di migliorare l’efficienza e l’efficacia dei processi di
business, tramite una più accurata gestione dei rischi strategici, direzionali ed operativi.

La pratica del CRSA

Il progetto di CRSA può essere scomposto in tre distinte fasi:
• raccolta dei dati esistenti;
• autovalutazione del processo utilizzando degli specifici questionari e gli audit program;
• presentazione dei risultati e degli eventuali piani d’azione che scaturiscono dalla
valutazione.
Nella prima fase, si acquisiscono le informazioni relative al processo oggetto di analisi, tramite
l’analisi dei risultati dei precedenti CRSA, dei piani di azione predisposti e dei rilievi riscontrati a
seguito degli interventi di audit o delle attività di Control Assessment Review svolte dagli internal
auditor.
Lo strumento principale utilizzato per il CRSA è un questionario (Common Core Assessment
Question) comune a tutto il gruppo ed articolato in più sezioni specifiche per particolari processi o
funzioni; esso viene predisposto da un gruppo di lavoro della funzione di auditing della
capogruppo.
Ogni sezione definisce i requisiti minimi per compiere l’autovalutazione, alcuni dei quali sono di
seguito riportati, riconoscendo ai responsabili delle unità organizzative la possibilità di aggiungere
ulteriori elementi più pertinenti allo specifico processo5.

Le sezioni in cui è strutturato il questionario riguardano fra l’altro:

• la chiara identificazione degli obiettivi da raggiungere;
• la responsabilizzazione (accountability) dei processi e dei sub- processi;
• l’identificazione dei controlli chiave dei processi e dei sub- processi;
• i programmi di formazione e di addestramento del personale;
• il riscontro della conformità con le politiche, le istruzioni e le procedure aziendali;
• la verifica sulla funzionalità dei controlli istituiti;
• le attività e gli strumenti di risk management;
• le modalità di accettazione dei rischi;
• il grado di separazione dei compiti.

I process owner (ed eventualmente i sub-process owner), con il supporto del “business controller”
di processo, devono, per ciascuna sezione, effettuare una serie di analisi ed esprimere una
valutazione finale.
Nel corso della compilazione del questionario, il process owner si serve di un documento (audit
program), che, per ogni singola attività, specifica i controlli primari e secondari che dovrebbero
essere stati attivati e i test da realizzare.
In tal modo, i process owner possono valutare l’esistenza ed il funzionamento dei controlli.

5
I process owner possono personalizzare il questionario ricevuto con una serie di quesiti riferiti allo specifico processo
ed ai punti di controllo che dovrebbero essere previsti. Nel corso degli anni sono stati sviluppati dei manuali che, per
ciascuno dei sottoprocessi, hanno definito le procedure per il corretto svolgimento delle attività. Questi manuali, come
tutta la documentazione relativa ai processi di CSA, sono disponibili nella Intranet aziendale alla quale possono
accedere i process owner ed i business control manager per inserire ulteriori elementi di valutazione.
Al termine dell’autovalutazione, basandosi sulle evidenze emerse nel corso delle verifiche, per
ciascuna sezione del questionario, i process owner (con l’ausilio del business controller di processo)
esprimono una valutazione in merito al livello di controllo riscontrato nell’area di attività.
Qualora emergano significative disfunzionalità, il management è chiamato a definire il piano di
azione per rimuovere le criticità, la data di completamento dell’intervento e le misure temporanee di
fronteggiamento delle minacce riscontrate.
Nella fase successiva, i risultati dell’autovalutazione e le azioni di mitigazione dei rischi predisposte
dalle unità organizzative sono inviate alla direzione audit ed al responsabile del processo istituito a
livello di macroarea geografica6.
La direzione audit istituita in Ibm Italia (livello di singolo Paese) presenta al CFO ed
all’amministratore delegato della medesima società una valutazione sintetica degli elementi critici
di maggiore rilevanza riscontrati nel corso dell’assessment ed i piani di azione predisposti.
Questi ultimi saranno discussi dai process owner con l’alta direzione per valutare la congruità delle
contromisure che sono state predisposte. Dopo che i piani di azione vengono approvati, i
responsabili del processo dovranno provvedere all’implementazione dello stesso nei tempi stabiliti.

Il CRSA e l’attività di audit

Al fine di garantire l’attendibilità dei risultati prodotti dal CRSA, la funzione di IA svolge
un’attività di quality assurance, selezionando 5-6 unità e revisionando l’assessment in esse
compiuto. In particolare, la verifica è diretta ad accertare se è stata riscontrata l’esistenza dei
controlli definiti dall’audit program e se sono stati effettuati i test da esso previsti.
Un ulteriore deterrente per prevenire comportamenti scorretti consiste nel confrontare i risultati
emersi dall’autovalutazione con il giudizio espresso dai revisori a seguito degli interventi di audit.
Nel caso in cui, nel corso delle verifiche, gli auditor vengano a conoscenza di elementi che non
emergevano dal CRSA, essi devono svolgere un’analisi approfondita per accertare le ragioni delle
difformità.

Il CRSA contribuisce a definire ed aggiornare la mappa dei rischi aziendali, che viene utilizzata in
fase di predisposizione del piano di audit per la identificazione delle unità/processi da sottoporre a
revisione.
L’approccio utilizzato nella pianificazione degli audit è di tipo risk-based, in quanto le risorse
vengono allocate in relazione al grado di rischio associato ai diversi processi.
Più in particolare, il modello formale istituito in IBM per la definizione del piano annuale di audit
prevede che la probabilità che un processo possa essere soggetto a revisione dipende da:
• fattori di rischio identificati (instabilità organizzativa, liquidità e convertibilità, impatto sul
bilancio e sull’immagine della società );
• valutazioni negative emerse nel corso delle attività di CRSA;
• significatività del processo;
• tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control Assessment Review.
Per ogni processo, si provvede ad assegnare un valore a ciascuno dei parametri menzionati,
cosicché si ottiene una graduatoria dei processi in funzione del sistema di rating adottato, che serve
ad individuare le priorità di intervento e, dunque, a selezionare le unità da sottoporre ad audit. In
effetti, l’85% circa delle risorse viene allocato in funzione di tale graduatoria, mentre le restanti

6
Analogamente all’attività di auditing, anche i processi operativi si articolano su quattro livelli (corporate, macroarea,
area, società). Per ciascuno di essi è stato individuato un responsabile (process owner) che provvede al monitoraggio
della funzionalità del processo e promuove il suo miglioramento.
Ad esempio, i risultati dell’autovalutazione effettuata dal responsabile del processo di acquisto delle materie prime in
Ibm Italia vengono inviati alla funzione di revisione interna presente nella medesima società ed al process owner degli
acquisti a livello di macro-area (Europa). A loro volta, i responsabili di processo delle varie macroaree riportano
funzionalmente al direttore degli acquisti della holding statunitense.
sono disponibili per le verifiche richieste dall’Alta direzione o per interventi non programmati che
si rendessero necessari nel prossimo esercizio.
Le indicazioni emerse in sede di autovalutazione ed i piani di azione che sono stati definiti vengono
presi in considerazione anche al momento della pre- review degli interventi di audit.
Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti al termine dell’ultimo
CRSA effettuato, si analizzano le criticità che erano state riscontrate nel corso dell’autovalutazione
e si realizza un follow-up sul piano di azione in precedenza elaborato per verificarne la corretta
attuazione.
In conclusione, l’applicazione sistematica del CRSA ha permesso di ridurre il livello di incertezza
delle decisioni prese dai responsabili dei processi, tramite l’acquisizione di una maggiore
consapevolezza dei rischi, di migliorare le modalità secondo cui le attività di revisione sono
pianificate e di creare un rapporto più collaborativo fra gli auditor ed il management di line
4.CASO PIRELLI

Aspetti strutturali della Funzione di Internal Auditing

In Pirelli & C. la Funzione di Revisione Interna svolge l’attività di auditing per l’intero Gruppo
Pirelli ed è posta alle dirette dipendenze del Presidente della capogruppo.
Nell’ambito della Funzione di audit sono state identificate tre divisioni, responsabili dello
svolgimento dell’attività in tre distinte aree geografiche ((1) Europa Continentale, Nord America ed
Africa, (2) UK, Australia e Far East, (3) America Latina), con a capo un responsabile per ciascuna
area.
Il responsabile della Funzione di Revisione Interna si avvale del supporto del responsabile di
ciascuna area geografica per lo sviluppo del piano annuale, monitorandone lo stato di avanzamento.

Il CRSA: obiettivi perseguiti

Per quando attiene il progetto di CRSA, esso è stato sperimentato inizialmente nelle società del
Gruppo operanti negli USA e in UK intorno agli inizi degli anni ’90, in quanto la cultura
organizzativa e la presenza, anche se non sistematica, di progetti di risk assessment, favorivano la
sperimentazione della metodologia.
I risultati positivi conseguiti in quelle unità hanno indotto, alla fine degli anni ’90, ad estendere il
CRSA in tutto il Gruppo.
Lo sponsor del progetto è stata la Funzione di Revisione Interna, che progettò il CRSA con
l’obiettivo di fornire al management di line una metodologia a supporto del processo di
pianificazione strategica e operativa.
In una prima fase, il progetto fu lanciato in tutte le società del Gruppo con un livello di fatturato
superiore a 150 milioni di Euro e fu condotto dal team di internal auditing attraverso
l’organizzazione di specifici workshop con il top management delle Società e i responsabili delle
diverse business unit.
Attualmente, la metodologia del CRSA è stata inserita nella procedura di Pianificazione e
Controllo, nell’ambito dei processi amministrativi di Gruppo, in quanto si è inteso sviluppare,
all’interno della procedura stessa, l’aspetto relativo alla gestione dei rischi aziendali. L’obiettivo è
stato quello di “automatizzare” l’applicazione del CRSA, in maniera che le diverse unità operative
del Gruppo potessero essere indipendenti nella valutazione dei rischi e nell’adozione delle relative
contromisure, in concomitanza all’elaborazione del Piano di Gestione annuale.

La pratica del CRSA

In Pirelli, per lo svolgimento del processo di autovalutazione dei rischi e dei controlli sono utilizzati
più strumenti contemporaneamente.
In una prima fase, i responsabili delle business unit e i loro diretti collaboratori, provvedono ad
evidenziare le minacce che possono pregiudicare il raggiungimento degli obiettivi aziendali e le
risorse materiali ed immateriali sulle quali i rischi possono avere un impatto (Figura 3).
Figura 3
Società:
Settore:
Nome:
Descrizione delle minacce Risorse
Mediamente ogni responsabile ne indica 10-15. Si è scelto di non utilizzare il questionario per lo
svolgimento del CRSA, poiché si è notato come, di fronte ad un numero chiuso di domande, il
management non fosse sollecitato ad individuare ulteriori minacce che avrebbero potuto impattare
sull’attività aziendale.
Questo elenco viene inviato al responsabile del progetto7, che effettua un’attività di consolidamento,
eliminando le ridondanze ed inserendo delle categorie di rischio reputati rilevanti che non sono stati
identificati in una prima fase.
Al termine di questa prima fase, si definisce un elenco unico di rischi, che viene nuovamente inviato
al management per una valutazione in termini di probabilità di accadimento dell’evento e di impatto
sulla gestione (Figura 4), utilizzando una scala da 1 a 5.
I parametri da considerare nella valutazione vengono illustrati nel briefing, all’inizio del processo di
autovalutazione.

Figura 4
Società:
Area:
Nome:
Descrizione del rischio Impatto potenziale Probabilità

Una volta terminata la valutazione, c’è una fase di elaborazione, nella quale, raccolte le valutazioni
effettuate dai responsabili funzionali, per ogni categoria di rischio si evidenzia la media delle
probabilità e dell’impatto, la deviazione standard e si riporta anche il punteggio che è stato
assegnato da ciascuna funzione.
In tal modo si ha la possibilità di classificare i rischi in ordine di importanza, di individuare delle
devianze nelle valutazioni che potranno essere discusse separatamente con i responsabili delle
diverse unità nel corso del workshop e di stabilire l’esposizione di ciascuna area ad una specifica
categoria di rischio.
La fase successiva prevede la discussione dei risultati nel corso di un workshop al quale partecipano
i responsabili delle varie funzioni. Basandosi sulle valutazioni che sono state effettuate, per i rischi
più significativi si chiede, per le aree maggiormente esposte, di illustrare le azioni di contenimento
che si intendono porre in essere per rimuovere le cause delle criticità percepite e la tempistica di
attuazione delle stesse.
Qualora emergano dei fattori di rischio comuni a più funzioni, la definizione del piano di azione
viene demandata all’alta direzione della società e, se più aziende sono esposte alla medesima
categoria di rischio, la stesura del piano di contenimento del rischio è demandata a livello di
settore8.

7
Le procedure del Gruppo prevedono che la metodologia CRSA sia coordinata dall’ Area Amministrazione e Controllo, che si
articola su tre livelli:
• societario: è responsabile della gestione dei rischi relativi alla singola società garantendo l’ottimizzazione delle
contromisure che sono state impostate;
• di settore: si occupa dell’impostazione delle azioni da intraprendere per la gestione dei rischi aziendali comuni
a tutto il settore;
• di corporate: è responsabile della formalizzazione del portafoglio rischi relativo alle diverse aree di business
del gruppo.
8
La struttura del gruppo Pirelli si articola su più settori di attività. All’interno di ognuno, operano più società
controllate dalla capogruppo. Al progetto di CRSA partecipano, nella prima fase, i responsabili delle funzioni
individuate nell’ambito di ciascuna società, chiamati a individuare le minacce inerenti alle aree di loro competenza.
La procedura di Gruppo prevede che al termine del progetto i risultati siano inviati all’alta direzione
della società e della sua capogruppo, in modo da attivare un forma comunicazione di tipo bottom up
in merito ai principali rischi presenti nelle diverse parti dell’organizzazione e delle modalità con le
quali essi sono stati gestiti.
Le indicazioni che emergono dal progetto di CRSA supportano il processo di elaborazione dei piani
operativi a livello funzionale e di area, tramite i quali si cercano di sfruttare al meglio le
opportunità individuate o contenere le minacce che possono impattare sul business.

Il CRSA e l’attività di audit

Il portafoglio dei rischi, che costituisce uno dei principali output del progetto di autovalutazione,
oltre ad orientare la formulazione delle strategie, riveste un’importanza notevole per l’attività di
audit, sia in sede di definizione del piano annuale, sia nel corso di svolgimento delle verifiche.
Fra gli input utilizzati per la pianificazione degli interventi di audit, oltre alle richieste del top
management, dal progetto di risk assessment si desume la rischiosità delle differenti auditable unit.
Per ognuna di esse, si considera l’adeguatezza dei controlli in essere e, in funzione del livello di
rischio residuale, si stabiliscono le aree sulle quali focalizzare le verifiche e il tipo di intervento da
effettuare.
In sede di programmazione degli interventi di audit, la mappatura dei rischi connessi ai processi
operativi permette di individuare le maggiori criticità che possono ridurre l’efficacia o l’efficienza
delle attività.
In qualunque società venga condotto l’intervento di audit, il team di lavoro è in grado di
identificare i rischi tipici delle operazioni oggetto delle verifiche, in modo da agevolare
l’organizzazione dell’attività di audit.
Partendo dai rischi più significativi, il team di audit andrà a verificare se sono stati istituiti dei
meccanismi di mitigazione, la loro adeguatezza e l’efficacia degli stessi.
 BIBLIOGRAFIA

ALLEGRINI M., D’ONZA G., Internal auditing e Risk Assessment: un’indagine empirica, in
Internal auditing, n. 45, 2003.
ARTHUR ANDERSEN LLP, Control Self Assessment: Experience, Current Thinking, and Best
Practices, Altomonte Springs, The Institute of Internal Auditor Research foundation, 1994.
BAKER L., GRAHAM R., Control Self Assessment, in “Internal Auditor”, April 1996.
CLARK D., Control Self Assessment: A Users’ View, in “Internal Auditing”, October 1995.
FIGG J., The power of CSA, in “Internal auditor”, August 1999.
HUBBARD L., Control Self Assessment: a practical guide, The Institute of Internal Auditor
Research foundation, 2000.
JORDAN J., Control Self Assessment: Making the Right Choice, The Institute of Internal Auditing,
1995.
MAKOSZ P., MCGUAIG B., Ripe for reinassance, in “Internal Auditor”, Luglio 1990.
MC GUAIG B., Auditing Assurance & CSA, in “Internal Auditor”, Giugno 1998.
MC NAMEE D., Business Risk Assessment, Altomonte Springs, The Institute of Internal Auditor,
1998.
MELVILLE R., Control Self Assessment in the 1990s: the UK Perspective, in “International Journal
of Auditing”, 1999.
PARKER L., Understanding Risk, in “Internal Auditor”, Febbraio 2001.
THE INSTITUTE OF INTERNAL AUDITOR (UK), Control and Risk Self Assessment,
Professional Briefing Note n. 14, London, UK: The Institute of Internal Auditors United
Kingdom, 1998.
THE INSTITUTE OF INTERNAL AUDITOR (UK), Control Self Assessment and Internal
Auditing, Professional Briefing Note n. 7, London, UK: The Institute of Internal Auditors
United Kingdom, 1995.
WADE K., WYNNE A., Control Self Assessment: for Risk Management and Other Practical
Applications, New York, John Wiley & Sons, 1999.