di Francesco Domenico ATTISANO
L’ Institute of Internal Auditors (IIA) ha recentemente pubblicato i Global Internal Audit Standards(GIAS)(1), che saranno in vigore dal 2025.
I GIAS rappresentano la guida essenziale per gli internal auditor professionisti. Gli standard sono organizzati in cinque domini:
- I) Scopo dell’Internal Auditing (di seguito IA);
- II) Etica e professionalità;
- III) Governo della funzione di IA;
- IV) Gestire la funzione di IA;
- V) Esecuzione dei servizi di audit interno.
Uno dei primi cambiamenti sostanziali dei GIAS è rappresentato dal Purpose (Domain I), che definisce lo scopo dell’IA. In particolare, l’auditing interno intende rafforzare la capacità dell’organizzazione di creare, proteggere e sostenere il valore fornendo al board e alla direzione (al management) garanzia (assurance), consulenza (advice), approfondimenti (insight) e previsioni (foresight), in maniera indipendente e basate sul rischio e obiettività.
L’auditing interno, per raggiungere e migliorare gli obiettivi dell’organizzazione, rafforza:
- Il conseguimento degli obiettivi dell’organizzazione:
- I processi di governance, gestione del rischio e controllo dell’entity
- Il processo decisionale da parte del Top Management e la supervisione del Board
- La reputazione e credibilità nei confronti degli stakeholder
- La capacità di servire l’interesse pubblico.
Le novità non sono solo lessicali, ma di sostanza. Difatti, il Purpose dell’IA rappresenta una sfida con minacce e opportunità per il futuro della professione, in quanto viene esplicitato e rafforzato l’impegno ad aiutare le organizzazioni a:
- “Gestire il valore”;
- rafforzare le relazioni, i rapporti e la reputazione con gli stakeholder;
- servire l’interesse pubblico.
- creare valore (sostenibile);
- rafforzare le relazioni, i rapporti e la reputazione con gli stakeholder;
- servire l’interesse pubblico.
Sulla base delle ricerche condotte (in primis l’analisi approfondita del mondo dei GIAS per l’avvio di nuovi progetti di advisory e tranining, nonché intensa lettura e scambio di post su linkedin) ho posto attenzione sulle parole “Create, protect and sustain value”.
Ma cosa significa esattamente “valore”?
Come internal auditor o consulente IA, confrontarsi con il concetto di valutazione, per elaborare ipotesi e stimare-calcolare un valore approssimativo è impegnativo, poiché non rientra nelle competenze e formazione tipiche e/o convenzionali dell’IA (specie nel settore pubblico).
I GIAS non riportano chiaramente il concetto di valore, col rischio che rimanga un concetto astratto o fumoso, se non viene subito compreso e metabolizzato dai professionisti dell’IA… figuriamoci dal Board, dal Management e dagli stakeholders. Nel glossario degli standard per la pratica professionale dell’IA (IPPF)(2) era definito il concetto di “add value” in questi termini: L’attività di IA aggiunge valore all’organizzazione (e ai suoi stakeholder) quando fornisce garanzie oggettive e pertinenti e contribuisce all’efficacia e all’efficienza dei processi di governance, gestione del rischio e controllo. La motivazione dell’IIA dall’esclusione del termine è che trattasi di una spiegazione concettuale piuttosto che di un termine unico o specifico dell’IA, peraltro, il concetto viene comunque mantenuto all’interno del contenuto dei GIAS(3).
In ogni caso, inquadrato nell’organizzazione come interno o esterno che sia il ruolo dell’internal auditor, risulta necessario fare una riflessione e agire. È una responsabilità professionale su cui bisogna porre attenzione e non sottovalutare. Pertanto, ragionando sin da ora sull’aspetto “value”, bisogna comprendere come preservare, aggiungere e sostenere realmente il valore dell’organizzazione.
Nella pratica aziendale, dalle condivisioni di riflessioni e osservazioni con altri consulenti IA e C-Suite Friends, si potrebbe inserire nel piano, nel programma operativo di audit e nel rapporto – relazione dell’audit una sezione specifica dedicata alla “proposta di valore”. In tal senso, ci si potrebbe sforzare sin dalla fase di pianificazione annuale dei servizi di IA offerti e proposti all’organizzazione, di riportare ed esprimere il valore. Ciò non significherebbe stravolgere il proprio lavoro di internal auditor, bensì adattarlo alle esigenze e alle reali aspettative dell’organizzazione, per rafforzare le relazioni, i rapporti e la collaborazione con il Board, il Management e gli stakeholders. Tale ipotesi è pienamente in linea anche con l’Enterprise Risk Management(4) e con il Modello delle 3 Linee(5).
Nel dettaglio, nell’ambito della gestione delle attività IA, per soddisfare il Board e il Management, potrebbe essere specificato il potenziale impatto dei servizi IA(6), attraverso una correlazione dei singoli servizi – incarichi di audit al conseguimento degli obiettivi strategici, o a singoli target prefissati dal performance management plan, alla redditività dell’organizzazione, al valore patrimoniale (in termini di bilancio e/o investimenti), alle componenti – obiettivi del sistema di controllo interno e gestione dei rischi, ai saving rispetto al budget o alla conformance rispetto alla normativa- regolamentazione di riferimento.
L’oceano blu della funzione di internal audit
Sulla base dell’esperienza professionale nell’ambito delle organizzazioni pubbliche, risulta palese che la funzione di internal audit abbia un oceano blu davanti (col vincolo o fattore critico di successo delle opportune competenze del capitale umano dedicato ai servizi IA… tema che sarà trattato in una successiva pubblicazione) ma nel contempo ha un percorso già strutturato, con un ponte alla strategia dell’organizzazione pubblica già definito. Infatti, sin dalla fase di pianificazione l’IA può correlare gli interventi di audit (di assurance o advisory) al Piano integrato di attività e organizzazione (PIAO) ovvero al documento unico di programmazione e governance per le organizzazioni pubbliche. Il PIAO consolida tra gli altri i piani della performance, dei fabbisogni del personale, della parità di genere, del lavoro agile e dell’anticorruzione e trasparenza; inoltre i risultati attesi in termini di performance target dovrebbero anche essere programmati già in coerenza con il Bilancio di previsione finanziario. Ancora, nel contesto pubblico italiano(7) il Valore Pubblico è già definito, come il livello di benessere economico, sociale, ambientale (e sanitario) dei cittadini, delle imprese e degli altri stakeholders creato da un’amministrazione pubblica (o co-creato da una filiera di PA e organizzazioni private e no profit). Di recente, inoltre, a seguito della previsione del PIAO (art. 6 D. L. 80/2021 convertito nella L. 113/2021), il concetto di Valore Pubblico è stato introdotto nell’ordinamento italiano rappresentando la vera innovazione sostanziale di tale strumento. Le PA sono difatti chiamate a pianificare degli obiettivi specifici di Valore Pubblico(8).
Conclusioni
Concludendo, in considerazione di quanto sopra, si ritiene che “l’Internal Audit ha tutte le carte in regola per:
- chiarire e dare contezza reale, all’interno dell’organizzazione, ma anche all’esterno, del proprio ruolo e responsabilità (rafforzando le relazioni con gli stakeholder);
- dimostrare di conseguire il suo scopo e uno dei suoi obiettivi: apportare valore sostenibile all’organizzazione (funzionale e al servizio dell’interesse pubblico e della collettività(9).
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Cfr: IIA | Global Internal Audit Standards (2024)
(2) Cfr: IIA | Standard per la Pratica Professionale (IPPF), (2020) IIA Official Glossary Glossario
(3) Cfr: IIA | Global Internal Audit Standards (2024) Glossary Comparison
(4) Cfr. F.D. Attisano (2019) “Enterprise Risk Management: un profondo cambiamento nel sistema di gestione del rischio d’impresa”; Risk & Compliance Platform Europe
(5) Cfr. F.D. Attisano (2020) “Il nuovo modello delle 3 linee di controllo, al centro la creazione di valore e l’interazione” – Internal control framework; Risk & Compliance Platform Europe
(6) Cfr F.D. Attisano – E.Galasso Poletto “Un Balanced Scorecard a misura di auditor”; Rivista Associazione Italiana Internal Auditors n.63 (gennaio – aprile 2009);
(7) Cfr. Linee guida Dipartimento Funzione Pubblica n.1 del 2017, Piano Nazione Anticorruzione 2019-2021 e 2022-2024
(8) Cfr. G. Gobbo (2021), Un modello di integrazione tra Risk Management e Performance Management per la creazione di Valore Pubblico, Giuffrè Francis Lefebvre, Milano
(9) Cfr. F.D. Attisano (2020), “Come generare valore e innescare cambiamento e innovazione nella PA”; Risk & Compliance Platform Europe