Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
1. Introduzione1
Il presente lavoro è il frutto di una ricerca empirica condotta nel corso del 2002 sulle attività di
internal auditing e risk assessment, nelle principali società italiane quotate alla Borsa valori di
Milano2.
Una parte della ricerca intendeva verificare l’applicazione della metodologia di CRSA (Control
Risk Self Assessment) nelle aziende italiane. Per le finalità della ricerca non abbiamo ritenuto
opportuno distinguere il CRSA, dal CSA (Control Self Assessement) e dalle altre metodologie di
autovalutazione dei rischi e dei controlli sviluppate nel corso degli ultimi anni da aziende di
produzione e società di consulenza (Business Self Assessment, Management Self Assessment, ed altri
ancora).
Il primo progetto di CSA è stato introdotto nel 1987 da una multinazionale canadese (Gulf Canada)
operante nel settore chimico, allo scopo di coinvolgere i responsabili delle business unit nella
valutazione dell’efficacia dei controlli in essere e nell’individuazione delle opportunità di
miglioramento dei meccanismi impostati.
Partendo dagli obiettivi assegnati, i manager di ciascuna divisione, con l’ausilio dei dipendenti
direttamente impegnati nello svolgimento delle operazioni aziendali, dovevano valutare se le attività
di controllo garantivano l’efficace ed efficiente svolgimento delle operazioni, l’attendibilità delle
informazioni prodotte e la conformità delle operazioni svolte con la normativa vigente.
Negli anni immediatamente successivi, il CSA è stato implementato in un numero crescente di
imprese nordamericane ed europee per migliorare l’efficacia dell’attività direzionale, per adempiere
a disposizioni normative (Federal Sentencing Guidelines, ecc.) e per favorire l’implementazione dei
control model (COSO e COCO).
Contemporaneamente si è assistito ad un proliferare di nuove metodologie sviluppate soprattutto da
società di consulenza che, prendendo spunto dai modelli di controllo più diffusi nel contesto
internazionale, hanno ampliato la gamma dei servizi a supporto dell’attività di analisi e valutazione
dei rischi e dei controlli.
Il CRSA costituisce un’evoluzione della metodologia del CSA (Arthur Andersen, 1994) e risulta
essere maggiormente focalizzato sull’identificazione dei rischi potenziali che possono pregiudicare
il conseguimento degli obiettivi aziendali, sulla definizione del livello di rischio massimo
accettabile e sull’ottimizzazione delle attività di controllo ai fini della gestione dei rischi.
Nelle organizzazioni in cui è stato implementato, il CRSA ha permesso di accrescere l’efficacia dei
sistemi di corporate e control governance, attraverso una più accurata gestione dei rischi connessi
all’attività aziendale (Makosz, McGuaig 1990; Jordan 1995). Fra i principali beneficiari degli
output generati dai processi di CSA/CRSA è possibile annoverare il consiglio di amministrazione, il
management ed i revisori interni ed esterni.
* Marco Allegrini è professore associato in “Ragioneria internazionale” ed “Economia e controllo dei gruppi aziendali”
e ViceDirettore del Master in “Auditing e Controllo Interno” dell’Università di Pisa.
Giuseppe D’Onza è professore a contratto in “Revisione Aziendale” presso l’Università di Bari e “Coordinatore
operativo” del Master in “Auditing e Controllo Interno” dell’Università di Pisa.
Gli autori desiderano ringraziare il Dott. Carlo Palazzesi, il Dott. Giuseppe Palmieri, il Dott. Gabriel Almandoz ed il
Dott. Sergio Romiti, per il contributo alla realizzazione dei casi di studio.
1
La relazione è frutto di una comune attività di ricerca svolta, nella fase progettuale, realizzativa ed interpretativa,
congiuntamente da parte degli autori. Tuttavia, Marco Allegrini è autore dei paragrafi 2-3; Giuseppe D’Onza è autore
dei paragrafi 1-4.
2
Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle
finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, Internal
Auditing e Risk Assessment, pubblicato nel numero precedente della presente rivista.
Per quanto attiene l’organo amministrativo, responsabile del corretto funzionamento del sistema di
controllo interno, i processi di CSA/CRSA costituiscono dei validi strumenti di assurance, in
quanto permettono di:
• acquisire la ragionevole sicurezza che in tutti i livelli dell’organizzazione esistano adeguati
ed efficaci meccanismi di controllo;
• identificare i rischi connessi al business aziendale e valutare l’efficacia delle politiche di risk
management;
• rafforzare la comunicazione fra i vari livelli direzionali in merito agli obiettivi da
conseguire, i rischi da fronteggiare, le opportunità da cogliere, i controlli da implementare o da
ridurre.
Lo svolgimento dei processi di autovalutazione consente, inoltre, di supportare i manager nello
svolgimento delle attività direzionali di pianificazione e controllo. In particolare il CRSA
contribuisce a:
• sviluppare la conoscenza dei rischi potenziali che possono ostacolare il raggiungimento
degli obiettivi aziendali;
• identificare le criticità del sistema di controllo interno;
• stabilire le priorità di intervento in sede di definizione dei piani strategici e tattici;
• supportare i processi di empowernment;
• coinvolgere i subordinati nel processo decisionale.
In relazione a quanto detto, sono facilmente intuibili i vantaggi per i revisori interni ed esterni,
impegnati - seppur con finalità e ruoli differenti – nella valutazione del sistema di controllo interno.
In particolare, il CRSA consente di:
• ampliare l’auditing coverage, a parità di risorse impiegate nella revisione interna;
• individuare le priorità di intervento in sede di stesura del piano annuale, nonché di
programmazione del singolo incarico;
• migliorare l’ambiente di controllo attraverso l’accrescimento del livello di
responsabilizzazione del personale;
• favorire un approccio più collaborativo nel corso degli interventi di audit;
• accrescere le competenze e la professionalità dei revisori.
Malgrado la diffusione avutasi nell’ultimo ventennio a livello internazionale, anche i più fervidi
assertori del CRSA hanno individuato alcuni fattori che possono ridurre l’efficacia dei processi di
autovalutazione. Per assicurare la riuscita del progetto, è indispensabile il supporto dell’alta
direzione, sia nella fase di avvio del progetto, per superare le resistenze dei manager “diffidenti”, sia
nel corso dell’autovalutazione, per favorire l’implementazione delle azioni correttive proposte nel
CRSA. E’, inoltre, da considerare quale fattore critico del progetto l’esistenza di una cultura del
controllo e della trasparenza nell’organizzazione, che risulta necessaria per garantire la correttezza
dei comportamenti nella fase di svolgimento della valutazione. Su ambedue i fattori, i revisori
interni sono chiamati a svolgere un delicato compito di promozione del CRSA a tutti i livelli
dell’organizzazione, di coinvolgimento del management, di garanzia della qualità e della veridicità
dei risultati prodotti.
Gli altri fattori critici di successo riscontrati nel corso dei progetti di CRSA attengono a:
• un’adeguata pianificazione del CRSA, che implica una serie di scelte sull’utilizzo dei
modelli di controllo per guidare l’autovalutazione, sulle unità aziendali in cui sperimentare la
metodologia, sugli obiettivi da raggiungere, sui tempi di svolgimento, e così via;
• la scelta dello strumento da utilizzare (Questionario standard, Questionario personalizzato,
Facilitated Workshop3, Analisi prodotte dal management, ed altro ancora) che dovrebbe
avvenire in funzione della cultura organizzativa e degli obiettivi da perseguire;
• l’individuazione del facilitatore con competenze e conoscenze adeguate;
• il monitoraggio delle azioni correttive definite a seguito dell’autovalutazione.
********
Una ricerca condotta nel 1998 nel Regno Unito, volta a verificare il grado di diffusione del
CSA/CRSA fra le prime 50 aziende quotate al FTSE, ha evidenziato che il 68% circa delle
organizzazioni aveva applicato negli ultimi tre anni un progetto di CRSA e che l’autovalutazione
veniva ripetuta almeno annualmente in tutte le unità dell’organizzazione.
In queste aziende, la motivazione principale che ha indotto l’introduzione del CRSA risiede nella
necessità di fornire ai manager una metodologia a supporto delle decisioni strategiche ed operative.
Nel nostro Paese, il CRSA è ancora in una fase di start-up, poiché soltanto cinque delle prime cento
società per capitalizzazione di borsa, dichiarano di aver già provveduto ad introdurre il progetto in
tutte le aree funzionali, altre quattro aziende rivelano di averlo implementato in almeno una
funzione o unità del gruppo e dieci sostengono di voler introdurre il CRSA entro un anno4.
Al fine di analizzare le dinamiche di svolgimento dei progetti di Control Risk Self Assessment, sono
state realizzate delle interviste con i responsabili delle unità di revisione interna (o con persone da
essi delegati) di società che hanno implementato con esiti positivi il progetto in tutte le unità
dell’organizzazione. Di seguito si presentano tre casi di studio, riferiti rispettivamente alle società
HPD, IBM Italia e Pirelli, finalizzati ad illustrare gli aspetti di maggior rilievo emersi nel corso
delle interviste.
3
E’ possibile identificare quattro tipi di workshop applicabili per lo svolgimento del CRSA che si differenziano per la
differente prospettiva adottata nel corso dell’autovalutazione:
- control-based workshop;
- process-based workshop;
- risk-based workshop;
- objective-based workshop.
4
Per un approfondimento sui risultati della ricerca condotta dagli autori sulla diffusione del CRSA in Italia, sulle
finalità perseguite, sugli strumenti applicati e sui fattori critici di successo si rinvia a: M. Allegrini, G. D’Onza, op. cit.
2. CASO HDP
1) identificazione degli obiettivi strategici e tattici e dei rischi che possono ostacolare il
raggiungimento degli stessi
Coerentemente con quanto stabilito dai control model, l’attività di risk assessment in HDP ha avuto
inizio con l’individuazione degli obiettivi assegnati alle varie unità aziendali.
In una prima fase del progetto, per agevolare l’individuazione dei fattori interni ed esterni
all’organizzazione che possono impedire il conseguimento degli obiettivi aziendali, è stato diffuso
una sorta di vademecum, contenente l’indicazione di alcuni fattori di rischio che possono impattare
sul corretto svolgimento della gestione aziendale.
Figura 1
Obiettivo Impatto Fattore Probabilità Impatto Valore del Livello di controllo
sull’obiettivo di rischio rischio (soddisfacente, non
soddisfacente)
Nel caso in cui il livello di controllo risultasse insoddisfacente, i responsabili delle varie funzioni
dovranno indicare anche le azioni da intraprendere per ridurre il rischio al di sotto della soglia di
accettabilità.
Una volta che i rischi sono stati individuati e valutati, il responsabile di ciascuna unità di line
definisce il piano di azione che dovrà essere implementato per rimuovere le criticità che sono state
riscontrate.
Il report viene presentato agli amministratori delegati delle diverse società del gruppo, che
concordano con i responsabili delle business unit gli interventi da realizzare per mitigare i rischi che
sono stati individuati.
IBM Italia fa parte di un gruppo multinazionale presente nel settore dell’information technology.
L’attività di Internal Auditing (IA) nel gruppo è organizzata secondo una struttura piramidale
articolata su tre livelli:
• una direzione auditing di gruppo costituita in seno alla holding;
• alcune direzioni a livello di “macro-area” (Europa, Asia, America Latina, Nord America);
• delle unità responsabili di “area”. In Europa, attualmente, ne esistono cinque (North, South,
Ovest, Central, East);
Fra i tre livelli esistono intense relazioni funzionali volte a garantire il coordinamento delle attività
di audit svolte nelle diverse unità del gruppo, nonché a favorire l’integrazione delle metodologie,
degli strumenti e delle risorse utilizzate nel corso dei singoli interventi.
In IBM Italia è stata istituita la direzione auditing “South Europe”, che svolge l’attività di revisione
interna per le società del gruppo localizzate in quest’area. Il responsabile della funzione di internal
auditing dipende gerarchicamente dal Chief Financial Officer (CFO) di IBM Italia e, in via
funzionale, dal direttore auditing europeo.
IBM Italia presenta attualmente una struttura organizzativa articolata per processi e per strategic
business unit (SBU). Date le caratteristiche organizzative, l’attività di controllo è affidata a due
distinte unità:
- la funzione di internal audit e business control posta in staff al CFO;
- l’unità di business control di processo istituita in staff al responsabile di processo.
La prima ha una competenza trasversale su tutti i processi e le SBU e si compone di 9 unità, di cui 7
revisori impegnati nello svolgimento di attività di “assurance” e 2 controller, che esercitano
un’attività di controllo concomitante e di consulenza.
La seconda opera nell’ambito del singolo processo e provvede a:
• controllare che le varie attività siano svolte con efficacia ed efficienza ed a proporre le
azioni correttive per il miglioramento del processo;
• gestire i rischi che si frappongono al raggiungimento degli obiettivi;
• monitorare la funzionalità ed ottimizzare i meccanismi di controllo istituiti (rispetto delle
deleghe, procedure, norme, istruzioni, e così via)
• collaborare con l’internal auditing nel corso di audit o di Control Assessment Review
riferiti allo specifico processo;
• supportare e coordinare l’attività di Control Risk Self Assessment (CRSA) che viene svolta
due volte all’anno.
I process owner (ed eventualmente i sub-process owner), con il supporto del “business controller”
di processo, devono, per ciascuna sezione, effettuare una serie di analisi ed esprimere una
valutazione finale.
Nel corso della compilazione del questionario, il process owner si serve di un documento (audit
program), che, per ogni singola attività, specifica i controlli primari e secondari che dovrebbero
essere stati attivati e i test da realizzare.
In tal modo, i process owner possono valutare l’esistenza ed il funzionamento dei controlli.
5
I process owner possono personalizzare il questionario ricevuto con una serie di quesiti riferiti allo specifico processo
ed ai punti di controllo che dovrebbero essere previsti. Nel corso degli anni sono stati sviluppati dei manuali che, per
ciascuno dei sottoprocessi, hanno definito le procedure per il corretto svolgimento delle attività. Questi manuali, come
tutta la documentazione relativa ai processi di CSA, sono disponibili nella Intranet aziendale alla quale possono
accedere i process owner ed i business control manager per inserire ulteriori elementi di valutazione.
Al termine dell’autovalutazione, basandosi sulle evidenze emerse nel corso delle verifiche, per
ciascuna sezione del questionario, i process owner (con l’ausilio del business controller di processo)
esprimono una valutazione in merito al livello di controllo riscontrato nell’area di attività.
Qualora emergano significative disfunzionalità, il management è chiamato a definire il piano di
azione per rimuovere le criticità, la data di completamento dell’intervento e le misure temporanee di
fronteggiamento delle minacce riscontrate.
Nella fase successiva, i risultati dell’autovalutazione e le azioni di mitigazione dei rischi predisposte
dalle unità organizzative sono inviate alla direzione audit ed al responsabile del processo istituito a
livello di macroarea geografica6.
La direzione audit istituita in Ibm Italia (livello di singolo Paese) presenta al CFO ed
all’amministratore delegato della medesima società una valutazione sintetica degli elementi critici
di maggiore rilevanza riscontrati nel corso dell’assessment ed i piani di azione predisposti.
Questi ultimi saranno discussi dai process owner con l’alta direzione per valutare la congruità delle
contromisure che sono state predisposte. Dopo che i piani di azione vengono approvati, i
responsabili del processo dovranno provvedere all’implementazione dello stesso nei tempi stabiliti.
Il CRSA contribuisce a definire ed aggiornare la mappa dei rischi aziendali, che viene utilizzata in
fase di predisposizione del piano di audit per la identificazione delle unità/processi da sottoporre a
revisione.
L’approccio utilizzato nella pianificazione degli audit è di tipo risk-based, in quanto le risorse
vengono allocate in relazione al grado di rischio associato ai diversi processi.
Più in particolare, il modello formale istituito in IBM per la definizione del piano annuale di audit
prevede che la probabilità che un processo possa essere soggetto a revisione dipende da:
• fattori di rischio identificati (instabilità organizzativa, liquidità e convertibilità, impatto sul
bilancio e sull’immagine della società );
• valutazioni negative emerse nel corso delle attività di CRSA;
• significatività del processo;
• tempo trascorso dall’ultimo intervento di audit o dall’ultimo Control Assessment Review.
Per ogni processo, si provvede ad assegnare un valore a ciascuno dei parametri menzionati,
cosicché si ottiene una graduatoria dei processi in funzione del sistema di rating adottato, che serve
ad individuare le priorità di intervento e, dunque, a selezionare le unità da sottoporre ad audit. In
effetti, l’85% circa delle risorse viene allocato in funzione di tale graduatoria, mentre le restanti
6
Analogamente all’attività di auditing, anche i processi operativi si articolano su quattro livelli (corporate, macroarea,
area, società). Per ciascuno di essi è stato individuato un responsabile (process owner) che provvede al monitoraggio
della funzionalità del processo e promuove il suo miglioramento.
Ad esempio, i risultati dell’autovalutazione effettuata dal responsabile del processo di acquisto delle materie prime in
Ibm Italia vengono inviati alla funzione di revisione interna presente nella medesima società ed al process owner degli
acquisti a livello di macro-area (Europa). A loro volta, i responsabili di processo delle varie macroaree riportano
funzionalmente al direttore degli acquisti della holding statunitense.
sono disponibili per le verifiche richieste dall’Alta direzione o per interventi non programmati che
si rendessero necessari nel prossimo esercizio.
Le indicazioni emerse in sede di autovalutazione ed i piani di azione che sono stati definiti vengono
presi in considerazione anche al momento della pre- review degli interventi di audit.
Nella fase preparatoria dell’intervento, si acquisiscono i rapporti predisposti al termine dell’ultimo
CRSA effettuato, si analizzano le criticità che erano state riscontrate nel corso dell’autovalutazione
e si realizza un follow-up sul piano di azione in precedenza elaborato per verificarne la corretta
attuazione.
In conclusione, l’applicazione sistematica del CRSA ha permesso di ridurre il livello di incertezza
delle decisioni prese dai responsabili dei processi, tramite l’acquisizione di una maggiore
consapevolezza dei rischi, di migliorare le modalità secondo cui le attività di revisione sono
pianificate e di creare un rapporto più collaborativo fra gli auditor ed il management di line
4.CASO PIRELLI
Figura 4
Società:
Area:
Nome:
Descrizione del rischio Impatto potenziale Probabilità
Una volta terminata la valutazione, c’è una fase di elaborazione, nella quale, raccolte le valutazioni
effettuate dai responsabili funzionali, per ogni categoria di rischio si evidenzia la media delle
probabilità e dell’impatto, la deviazione standard e si riporta anche il punteggio che è stato
assegnato da ciascuna funzione.
In tal modo si ha la possibilità di classificare i rischi in ordine di importanza, di individuare delle
devianze nelle valutazioni che potranno essere discusse separatamente con i responsabili delle
diverse unità nel corso del workshop e di stabilire l’esposizione di ciascuna area ad una specifica
categoria di rischio.
La fase successiva prevede la discussione dei risultati nel corso di un workshop al quale partecipano
i responsabili delle varie funzioni. Basandosi sulle valutazioni che sono state effettuate, per i rischi
più significativi si chiede, per le aree maggiormente esposte, di illustrare le azioni di contenimento
che si intendono porre in essere per rimuovere le cause delle criticità percepite e la tempistica di
attuazione delle stesse.
Qualora emergano dei fattori di rischio comuni a più funzioni, la definizione del piano di azione
viene demandata all’alta direzione della società e, se più aziende sono esposte alla medesima
categoria di rischio, la stesura del piano di contenimento del rischio è demandata a livello di
settore8.
7
Le procedure del Gruppo prevedono che la metodologia CRSA sia coordinata dall’ Area Amministrazione e Controllo, che si
articola su tre livelli:
• societario: è responsabile della gestione dei rischi relativi alla singola società garantendo l’ottimizzazione delle
contromisure che sono state impostate;
• di settore: si occupa dell’impostazione delle azioni da intraprendere per la gestione dei rischi aziendali comuni
a tutto il settore;
• di corporate: è responsabile della formalizzazione del portafoglio rischi relativo alle diverse aree di business
del gruppo.
8
La struttura del gruppo Pirelli si articola su più settori di attività. All’interno di ognuno, operano più società
controllate dalla capogruppo. Al progetto di CRSA partecipano, nella prima fase, i responsabili delle funzioni
individuate nell’ambito di ciascuna società, chiamati a individuare le minacce inerenti alle aree di loro competenza.
La procedura di Gruppo prevede che al termine del progetto i risultati siano inviati all’alta direzione
della società e della sua capogruppo, in modo da attivare un forma comunicazione di tipo bottom up
in merito ai principali rischi presenti nelle diverse parti dell’organizzazione e delle modalità con le
quali essi sono stati gestiti.
Le indicazioni che emergono dal progetto di CRSA supportano il processo di elaborazione dei piani
operativi a livello funzionale e di area, tramite i quali si cercano di sfruttare al meglio le
opportunità individuate o contenere le minacce che possono impattare sul business.
ALLEGRINI M., D’ONZA G., Internal auditing e Risk Assessment: un’indagine empirica, in
Internal auditing, n. 45, 2003.
ARTHUR ANDERSEN LLP, Control Self Assessment: Experience, Current Thinking, and Best
Practices, Altomonte Springs, The Institute of Internal Auditor Research foundation, 1994.
BAKER L., GRAHAM R., Control Self Assessment, in “Internal Auditor”, April 1996.
CLARK D., Control Self Assessment: A Users’ View, in “Internal Auditing”, October 1995.
FIGG J., The power of CSA, in “Internal auditor”, August 1999.
HUBBARD L., Control Self Assessment: a practical guide, The Institute of Internal Auditor
Research foundation, 2000.
JORDAN J., Control Self Assessment: Making the Right Choice, The Institute of Internal Auditing,
1995.
MAKOSZ P., MCGUAIG B., Ripe for reinassance, in “Internal Auditor”, Luglio 1990.
MC GUAIG B., Auditing Assurance & CSA, in “Internal Auditor”, Giugno 1998.
MC NAMEE D., Business Risk Assessment, Altomonte Springs, The Institute of Internal Auditor,
1998.
MELVILLE R., Control Self Assessment in the 1990s: the UK Perspective, in “International Journal
of Auditing”, 1999.
PARKER L., Understanding Risk, in “Internal Auditor”, Febbraio 2001.
THE INSTITUTE OF INTERNAL AUDITOR (UK), Control and Risk Self Assessment,
Professional Briefing Note n. 14, London, UK: The Institute of Internal Auditors United
Kingdom, 1998.
THE INSTITUTE OF INTERNAL AUDITOR (UK), Control Self Assessment and Internal
Auditing, Professional Briefing Note n. 7, London, UK: The Institute of Internal Auditors
United Kingdom, 1995.
WADE K., WYNNE A., Control Self Assessment: for Risk Management and Other Practical
Applications, New York, John Wiley & Sons, 1999.