controlli interni

Controlli e comunicazione interna: una sinergia strategica

15 giugno 2020

di Giuseppe NUCCI

Questo articolo scaturisce da un incontro tra vari responsabili di funzioni di controllo interno quali l’internal audit, la compliance, la protezione aziendale e il data protection.

In quella circostanza, in particolare, il responsabile della protezione aziendale ha sollevato il problema di come ‘armonizzare’ la sua funzione – la cui natura, analogamente quella delle altre funzioni di controllo interno, è tradizionalmente considerata avvolta dal più stretto riserbo – con la cultura interna dell’organizzazione.


Si tratta, in sostanza, di una questione che ha un impatto diretto su una diffusa ed importante criticità: quella di considerare le strutture di controllo come un qualcosa di ‘separato’ nell’ambito dell’ambiente organizzativo, un cosiddetto ‘mondo a parte’.

Nel dibattito che ne è seguito sono state esposte varie interessanti considerazioni che si sono focalizzate sull’importanza che ha la comunicazione interna per le funzioni di controllo con particolare riferimento a due questioni di particolare delicatezza:

1.  l’inserimento, di un dirigente, nel nuovo incarico di responsabile di una funzione di controllo;

2.  come questo dirigente deve “proporre” la funzione, di cui è responsabile, agli stakeholders interni dell’organizzazione.

 

Questi due aspetti hanno un comune denominatore che potremmo individuare nella sommatoria di due distinti tipi di legittimazione.

La prima è, per così dire, soggettiva, e cioè riferita a chi la esercita e, in particolare, a chi la governa: è qualcosa che evoca concetti come credibilità, etica, coerenza, responsabilità, professionalità.

C’è poi una seconda legittimazione che va ricercata, ed è quella oggettiva, cioè riferita all’utilità della funzione, alla sua efficacia ed efficienza, al valore che concorre a creare per l’impresa, pubblica o privata che sia.

In entrambi i casi, la comunicazione interna può essere considerata come uno strumento di straordinaria portata soprattutto per la sua capacità di veicolare – nell’intero contesto organizzativo – informazioni, valori, emozioni, facendosi carico di creare coinvolgimento e di aumentare il know how e, soprattutto, di favorire il cambiamento e l’innovazione.

L’INSERIMENTO NELLA POSIZIONE ORGANIZZATIVA DI CONTROLLO INTERNO

Per l’efficacia dell’inserimento del nuovo responsabile nella posizione organizzativa, preliminarmente, si deve tener conto di alcuni aspetti fattuali che rivestono una particolare rilevanza:

  • il responsabile proviene dall’interno (dalla medesima funzione o da una diversa) o,
  • da un’altra organizzazione?
  • che seniority ha?
  • che tipo di cultura ha?

Si tratta, in sostanza, di quei parametri che influenzano la vision.

La prima esigenza che il nuovo responsabile deve affrontare, contrariamente a quanto si sarebbe portati ad immaginare, non riguarda aspetti tecnici e di merito: più che tecnicalità legate al “controllo” assume rilievo la necessità di comprendere e chiarire a sé stessi gli aspetti legati all’identità ed all’immagine sia dell’azienda nel suo complesso che della specifica funzione di cui si è ora responsabile.

Di conseguenza assumono rilievo tre distinte nozioni:

  1. l’identità: ciò che un’organizzazione è realmente;
  2. l’immagine riflessa: come un’organizzazione si vede dal suo interno, dai suoi componenti;
  3. l’immagine reale: come un’organizzazione è vista dall’esterno.

Per conoscere l’identità dell’azienda possono essere utilizzati diversi strumenti – in primo luogo il sito istituzionale – non focalizzando l’attenzione esclusivamente sulla funzione organizzativa di competenza.

Dopo aver esplorato con scrupolo il portale dell’organizzazione (molto utile può risultare il site map), è sicuramente necessario reperire e consultare articoli di stampa, interviste, opinioni, curriculum dei suoi vertici, organigrammi, approfondimenti tematici.

Questo per l’identità. Per conoscere l’immagine riflessa sono particolarmente adatte le oramai non più rare indagini di clima interno. Inoltre, sono altrettanto importanti, ricordando i fondamentali concetti di comunicazione interpersonale, gli archetipi esistenti nell’organizzazione. Si pensi, ad esempio, al tasso di formalità nei rapporti personali, al tipo di abbigliamento, alla struttura e ai contenuti dell’house organ, agli slogan, agli eventi ricorrenti e anche al layout del biglietto da visita. Un’attenzione particolare va destinata alle riunioni e ai discorsi formali: si tratta di elementi in grado di fornire innumerevoli informazioni, anche sul tasso di coerenza tra – per usare un’espressione poco elegante ma efficace – ‘come si predica e come poi si razzola’.

Infine, sono anche utili altri elementi di natura propriamente organizzativa come, ad esempio le competenze, il numero e le qualifiche degli addetti, il budget finanziario conferito, la posizione nell’organigramma, il rango del responsabile, i riporti gerarchici, la qualità delle interazioni con le altre funzioni organizzative.

Ed è solo dopo aver acquisito un quadro conoscitivo quanto più ampio possibile, che ci si deve accingere a perseguire quella legittimazione personale, a cui ci siamo riferiti all’inizio, innanzitutto da parte della struttura di cui si è responsabili.

Il manager appena nominato prende possesso del nuovo ufficio, ma soprattutto inizia ad interagire con il nuovo gruppo di collaboratori. Il team esiste da tempo, nel bene e nel male, con strategie ed abitudini professionali consolidate. Le persone si conoscono tra di loro, si apprezzano, hanno rivelato i propri punti deboli ma sanno come comportarsi e come capirsi reciprocamente. E fanno squadra. Come conquistarne la fiducia e la collaborazione? Quanto aprirsi? Come fare per diventare presto il team leader riconosciuto, il capo branco con il quale le persone si impegneranno con entusiasmo per il successo della funzione? Il manager sembra destinato alla solitudine, non può parlare delle sue perplessità né con il proprio capo (non sia mai che mostri debolezze!), né si fida completamente di questi nuovi collaboratori di cui non conosce le reazioni (e se poi spettegolano?).

La scommessa è proprio qui. Sta a lui conquistare rispetto e legittimazione senza temere che la vicinanza con i collaboratori possa minare l’autorità del ruolo e senza creare quella distanza che in realtà, molto spesso, rivela una scarsa attenzione verso il personale o, addirittura, a nascondere insicurezza.

E, spesso, è la qualità della comunicazione interna a fare la differenza!

COME PROPORRE LA FUNZIONE DI CONTROLLO

A questo punto veniamo al secondo aspetto dell’analisi, quello del modo con cui proporre ai pubblici interni una ‘funzione di controllo’.

Anche in questo caso la comunicazione interna risulta indispensabile per conseguire la legittimazione della funzione, dando evidenza del valore che crea per l’intera organizzazione.

Ciò consiste fondamentalmente nello spiegare esattamente cosa si fa: nel nostro caso cos’è l’internal audit, la protezione aziendale, ecc. Si tratta, in termini di comunicazione, di rispondere all’esigenza di rendere chiaro l’oggetto della negoziazione – perché far accettare ai pubblici interni una funzione è una vera e propria negoziazione! – evitando uno degli inconvenienti più pericolosi, quello dell’ambiguità.

In primo luogo si utilizza un approccio definitorio, avvalendoci di norme e di standard che, però, non sempre sono adeguatamente chiarificatrici.

Ad esempio, nel caso della ‘protezione aziendale’ – in omaggio alla materia che ha innescato l’approfondimento che stiamo conducendo – la norma UNI 10459 del 2017 definisce la security aziendale come una “attività volta a prevenire, fronteggiare e superare gli eventi che possono verificarsi a seguito di azioni in prevalenza illecite e che espongono le persone e i beni (materiali ed immateriali) dell’organizzazione a potenziali effetti lesivi e/o dannosi”.
Il processo di security”, prosegue lo standard UNI, “è il complesso delle attività di valutazione, gestione, mitigazione, controllo e riesame del rischio security, gestite dal professionista della security” che è un soggetto “in possesso delle conoscenze, abilità e competenze nel campo della security tali da garantire la gestione complessiva del processo di security o di rilevanti sotto-processi”.

Dobbiamo ammettere che le espressioni usate non chiariscono con immediatezza l’identità della “security” e ciò “fa il paio” con ciò che evoca, in generale, questa funzione: riservatezza se non segretezza, pratiche sconosciute, competenze poco definite, ecc.

Nello specifico, questa situazione, in gran parte, discende dalle origini della funzione di protezione aziendale, nata nel secondo dopoguerra, in quanto per molti aspetti continua a risentire dell’emergenzialità del suo innesto nell’ambito delle funzioni organizzative per cui sono ancora rilevabili interpretazioni e implementazioni operative molto difformi.

D’altronde anche la figura del Security Manager, che iniziò ad essere prevista nelle aziende italiane nell’immediato dopoguerra, spesso inserito nel servizio del personale, nel 1955 diventa “incaricato per la sicurezza” secondo la normativa NATO, per il rilascio dei Nulla Osta di Segretezza (NOS) aziendali. Questi attributi “da guerra fredda” vengono enfatizzati negli anni ‘70, con l’insorgere del terrorismo, quando le aziende sono costrette a provvedere direttamente alla tutela delle risorse umane e delle tecnologie.

Successivamente, superato il fenomeno eversivo, finalmente la figura comincia ad assumere contorni e funzioni più moderne con l’influenza della cultura organizzativa anglosassone, che concepisce la funzione in modo senz’altro più evoluto.

Quanto detto per la protezione aziendale, sostanzialmente, vale per tutte le altre funzioni di controllo interno e, in tale ottica, è opportuno sottolineare che tutti i modelli aziendali:

  • sono costituiti da una struttura, composta da persone e beni, in genere finalizzata al raggiungimento di un fine prevalentemente economico;
  • hanno una peculiarità comune e fondamentale rappresentata dal mantenimento e potenziamento della capacità competitiva messi a rischio da una molteplicità di minacce;
  • prevedono che tutte le funzioni aziendali mirano ad assicurare il mantenimento della capacità competitiva dell’impresa.

Anche le funzioni di controllo interno cercano di svolgere quest’ultimo compito: il punto è stabilire in che modo!

Oramai è assodato che esse devono operare con autorevolezza, con il commitment del top management, dal quale dovrebbero dipendere direttamente senza l’interposizione di negativi diaframmi.

Ma soprattutto devono interagire con i gestori di tutte le altre funzioni aziendali, in considerazione della trasversalità della propria mission – rispetto a quella di queste ultime – che peraltro tende ad estendere il proprio raggio di azione, oltre alla tradizionale funzione di sicurezza del patrimonio (tutela dei tangible e intagible assets), ad altri ambiti quali, ad esempio, la cybersecurity, la sicurezza nei luoghi di lavoro (safety), la tutela dei dati personali, l’efficacia produttiva, ecc.

Inoltre, deve ricercarsi ogni modalità idonea a far conoscere le attività con cui si esplica la propria funzione – è attraverso le attività che si produce valore – come, ad esempio:

  • la definizione ed elaborazione delle politiche generali di controllo interno;
  • l’auditing, inteso come attività strutturata per verificare l’adeguatezza dell’intero sistema di controllo interno e l’assurance;
  • gli assessment, quale processo rivolto alla valutazione di oggetti di verifica, di volta in volta definiti;
  • l’information e communication security, che costituisce un complesso, essenziale ambito, da intendere come l’insieme delle misure finalizzate a tutelare il “bene informazione” unitamente alla sua tipica molteplicità di supporto: informatico, trasmissivo, cartaceo;
  • il crisis management, ovvero la gestione della situazione di emergenza che comprende anche la cosiddetta comunicazione di crisi;
  • la promozione della cultura del controllo pianificando anche programmi di sensibilizzazione e formazione per i dipendenti.

Per ultimo occorre sottolineare quanto sia importante non dimenticare di sollecitare le informazioni di ritorno – il feedback – su ciò che si fa e, allo stesso modo, far emergere i bisogni organizzativi, così come vengono sentiti dalla “base”. In altre parole, è fondamentale ricercare in modo costante ed organizzato un’efficace gestione delle comunicazioni bottom up.

CONCLUSIONI

Avviandoci alla conclusione, riteniamo che da ciò che si è detto finora possano con facilità estrapolarsi almeno due spunti di riflessione.

Il primo scaturisce dalla convinzione che le funzioni di controllo interno sono veri e propri servizi offerti ai clienti interni e da ciò discende la rilevanza di concetti come customer satisfaction e qualità con i suoi attributi ben noti, e cioè qualità progettata, erogata, percepita e attesa.
Si pensi, esemplificando, alle modalità con cui certe prescrizioni vengono “trasmesse” al personale immaginando una linea ai cui estremi potremmo inserire, da un lato, veri e propri ordini e, dall’altro, il coinvolgimento dei destinatari fin dal momento iniziale dell’elaborazione delle regole che poi saranno emanate. In un’ottica che inquadri tutte le funzioni aziendali all’interno di una più generale politica di gestione del capitale umano, identificato in un gruppo variegato di clienti interni da fidelizzare, è chiaro che la soluzione sarà orientata verso il secondo dei due estremi.

Con questo approccio, appare concettualmente semplice, ad esempio, il radicamento delle disposizioni relative alla sicurezza nei luoghi di lavoro.
In definitiva, tenendo conto che un cliente non è attratto da un servizio di per sé ma dai benefici che ne derivano, si comprende che anche il dipendente deve essere sensibilizzato sull’utilità che una regola può apportargli concretamente.

Il secondo spunto di riflessione attiene alla nuova prospettiva che si è consolidata in relazione alla fornitura di un servizio. Ogni organizzazione ora ricerca, con i servizi che fornisce, oltre a predeterminati standard di qualità e obiettivi di utilità che abbiamo appena visto, un ulteriore elemento: la creazione di valore.

Tra gli elementi che appaiono maggiormente ricercati per creare, appunto, valore, troviamo sempre più spesso l’affidabilità della propria immagine, la reputazione sociale, ecc.

Ebbene, le funzioni di controllo sono senz’altro idonee a veicolare, a favore dell’organizzazione, valori forti, in grado di suscitare consenso, quali il rispetto delle regole, la cura e la tutela di ciò che gestisce e produce, la serietà e la correttezza delle persone che lavorano.

Da ciò derivano due postulati fondamentali.

Il primo è quello di considerare il controllo interno come un’opportunità di crescita, di sviluppo e di accreditamento.

Il secondo è una conseguenza logica del primo: si tratta di rendere noto e diffondere ciò che si fa, sia all’interno che all’esterno dell’organizzazione.

E questo compito non deve essere circoscritto alla competenza della struttura di comunicazione ma esteso a tutte le componenti aziendali, comprese ovviamente quelle preposte ai controlli interni.

 



  • Commento Utente

    Clara Cairoli

    Sono completamente d’accordo con le importanti riflessioni rese in questo articolo.
    Nella mia esperienza manageriale nel mondo delle public utilities ho riscontrato con i vari colleghi preposti alla funzione di controllo e di compliance di varie realtà aziendali omologhe o affini per settori di mercato e di intervento come la previsione/istituzione/collocazione organizzativa della funzione di controllo e del suo responsabile siano stati troppo spesso visti come adempimenti burocratici con il risultato di una vision relegata a vecchi cliché.
    Questo approccio in molte realtà, in particolare in quelle simil pubbliche, ha comportato e, in alcuni casi, comporta ancora oggi un duro lavoro di comunicazione prima di tutto interna da parte del responsabile di queste funzioni, teso a riposizionare il reale valore aggiunto oltre che il prezioso servizio reso e a divulgare la innegabile utilità e la centralità che detto ambito assume in realtà complesse, non solo e non tanto per il vituperato monitoraggio nello svolgimento delle attività aziendali ai vari livelli , quanto soprattutto per una diffusione di quella imprescindibile sinergia che dovrebbe rendere i vari dipartimenti aziendali vasi comunicanti e non , come spesso accade, compartimenti stagni.
    Ma questa opera di “riposizionamento” della funzione di controllo gli attori principali sono indubbiamente gli shareholders e il Board.

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *