di Francesco Domenico ATTISANO
Il ruolo dell’Internal Audit e del Risk Management a supporto del Board e di HR
Premessa sull’attenzione globale ai rischi di Human Capital
Il Risk in Focus della Confederazione Europea degli Istituti di Internal Auditors (ECIIA), come scritto in un precedente articolo è alla nona edizione. Il progetto di ricerca – survey è diventato così rilevante che l’IIA Global ha adottato la best practice europea e lo ha promosso dal 2023; quindi dall’anno scorso c’è un Risk in Focus Global(1) e poi ogni Area(2) ha portato avanti il suo progetto ricalcando di massima l’impostazione di ECIIA.
Nelle varie survey sono rappresentati: a) i livelli di rischio attuali e le priorità di audit; b) le variazioni nei livelli di rischio nell’ultimo anno; c) i fattori di rischio per regione; d) le pratiche principali per affrontare i principali rischi.
Secondo l’IIA il Risk in Focus è “una fonte preziosa per i professionisti dell’Internal Audit e le loro parti interessate (praticamente tutti gli attori della governance aziendale e gli stakeholders della singola organizzazione), in quanto stimola conversazioni e porta nuove intuizioni sui rischi che impattano sulla propria organizzazione e il mondo”.
Nel Risk in Focus 2025(3) europeo, edito da ECIIA, il tema del capitale umano si è confermato la seconda minaccia più significativa, con il 52% dei Chief Audit Executives (CAEs) che lo considera un rischio tra i primi cinque per il 2025, ma negli anni successivi è previsto che possa retrocedere di una posizione, subito dopo la digital distruption, le nuove tecnologie e l’intelligenza artificiale. Indipendentemente se secondo o terzo, ovvero dalla classifica, si ritiene necessario approfondire il tema Human Capital(4).
Human Capital Risk
Il capitale umano rappresenta:
- un rischio strategico e competitivo cruciale per le organizzazioni di tutti i settori;
- una delle cause principali di eventi rischiosi strategici correlati alla Governance dell’Innovazione e Artificial Intellegence dell’organizazione;
- uno dei fattori critici di successo principali da considerare per l’incremento delle competenze digitali dell’organizzazione.
Tuttavia, dal RIF 2025 è emerso che meno di un terzo dei CAE intervistati ha dichiarato che questo aspetto è una priorità tra le prime cinque.
Dal rapporto europeo emerge che alcuni partecipanti hanno riferito che il loro dipartimento HR ha rifiutato un’offerta di supporto da parte dell’Internal Audit.
Questo, invece, probabilmente dipende dal livello di maturità del modello di Governance Organizzativa. In ogni caso si aprono molteplici argomenti su cui riflettere, porsi domande e trovare le soluzioni. Sicuramente la definizione dei ruoli, responsabilità e competenze per la gestione dei rischi e dei controlli, attraverso un framework(5) adattato alle proprie esigenze, insieme alla cultura organizzativa sono le basi. Inoltre, il commitment del Board verso l’Internal Audit e la fiducia che il Top Management pone nei confronti della funzione IA e del CAE è cruciale.
Dalle interviste e roundtable è risultato che vari CAE hanno evidenziato la mancanza di competenze e risorse per operare efficacemente nella gestione di tale rischio, pertanto non in grado di fornire adeguata assurance… figuriamoci servizi di consulenza in quest’area.
Andrebbe compreso, inoltre, se altri fornitori di assurance dell’organizzazione siano coinvolti su tali tematiche. Questo disallineamento tra l’attenzione all’Assurance e i rischi dovrebbe fungere da warning.
Quindi conviene subito porsi le seguenti domande di self assessment: Abbiamo contezza di cosa fanno le altre funzioni di gestione dei rischi e di controllo di seconda linea? Se sì esiste una mappa delle regole del gioco? Quali sono i servizi che forniscono con HR? Come e quando interagiscono con la funzione HR (e il Direttore Risorse Umane) tali strutture?
Come prevedono le indicazioni per l’implementazione dello Standard 9.5 (“Coordinamento e Resilience ”) dei GIAS(6), perché non proviamo con la collaborazione e l’ingaggio delle altre funzioni a promuovere e implementare un progetto di Combined Assurance? Un sistema del genere aiuta le funzioni di Risk Management e Control – Compliance di prima e seconda linea a comprendere pienamente i processi di governance, rischi e controllo dell’organizzazioni(7). Si potrebbe partire con una ricognizione, per formalizzare un’Assurance Map (anche in excel per iniziare) e de piani che identificano quale fornitore è responsabile dei servizi di assurance in ciascuna area (attraverso delle matrici di censimento e miglioramentpo, per poi giungere ad un piano strutturato di combined assurance.
Strategia HR e Programmi di Cambiamento Sostenibile e Innovazione
La creazione di una strategia HR che si integri con i programmi di cambiamento a lungo termine è fondamentale. Questo richiede una chiara comprensione delle interdipendenze tra pianificazione della successione, inclusione e diversità, innovazione (compresa l’AI), ESG e cultura organizzativa.
I Chief Audit Executives (CAEs) hanno un ruolo chiave nel chiarire queste interdipendenze al Board aiutandolo a prendere decisioni strategiche informate.
Nella pratica, da advisor, ai miei partner clienti, dico sempre: bisogna “semplicemente” avere in testa e applicare un concetto basilare “Workforce Planning”. Probabilmente il termine Human Capital è cool, ma esattamente 70 anni fa, Peter Drucker, ha presentato sistematicamente questo concetto nel suo libro “Practice of Management” . Nella prassi quotidiana delle aziende, Workforce planning, come rappresentato nel 2010(8), sottintende la seguente finalità: “avere il giusto numero di persone, con gli skill giusti, al momento giusto, per eseguire il lavoro, finalizzato al raggiungimento degli obiettivi aziendali”. La pianificazione delle risorse umane o capitale umano rappresenta la base dinamica di qualsivoglia processo di HR management e nel contempo il proces. so fondamentale stesso di supporto alle strategie di business di ogni organizzazione”.
In quest’ottica, nell’ambito di tale area tematica l’internal auditing, eventualmente con la funzione di risk management, dovrebbe focalizzare la sua attenzione verificando e valutando
- se il processo di pianificazione delle risorse umane è integrato con il processo di pianificazione complessivo e allineato con gli obiettivi e le priorità strategiche;
- se sono stati condotti benchmarking esterni, per supportare il processo decisionale del board aziendale, attraverso l’identificazione di fattori critici di successo, dal cui presidio discende la capacità competitiva dell’organizzazione;
Considerazioni sulla complessità del Human Capital Plan o Pianificazione HR
La pianificazione strategica delle risorse umane è diventata così complessa che qualsiasi piano sviluppato va opportunamente monitorato per essere adattato. Non si può più pensare che il piano sia soggetto a revisione solo annualmente. Bisogna essere consapevoli e autocritici che sin dalla prima pianificazione c’è il rischio che sia inadeguato. Tali aspetti sono emersi anche nel RIF 2025.
Così come la strategia esecutiva e gli obiettivi correlati si modificano anche la pianificazione del capitale umano va adattata; in questo momento è di fondamentale importanza l’analisi delle competenze (mappatura- censimento, as is, to be) delle risorse presenti e potenziali (in ingresso e uscita). In tal senso, vanno sviluppati piani di retention, di coaching e mentoring, di human capital experience, considerando le difficoltà attuali nell’attrarre e trattenere le competenze e i talenti necessari per implementare le iniziative di trasformazione digitale, i processi di AI, senza dimenticare le tendenze e aspettative rapidamente in evoluzione delle persone.
È importante, quindi che i CAE, insieme al CRO (Chief Risk Officer), ovvero IA e Risk Management, collaborino con il vertice aziendale (il board) e la funzione/ dipartimento/ direzione HR per definire e sviluppare approcci flessibili e adattabili alla pianificazione del capitale umano, tenendo conto delle variabili esterne, come l’innovazione tecnologica, l’attenzione alla sostenibilità, i cambiamenti demografici e normativi.
Va posta particolare attenzione, in quanto le informazioni su tali tematiche molto spesso, sono anticipate a livello di middle management o da parte delle funzioni di prima e seconda linea dell’organizzazione, che riportano/segnalano non tempestivamente o addirittura senza salire di livello vengono scoperti durante i servizi di assurance o accidentalmente da un senior management non miope.
Conclusioni
In conclusione, si raccomanda la massima attenzione al capitale umano, perché le organizzazioni non possono esistere senza le persone. Per le funzioni di gestione dei rischi e controllo di seconda e terza linea, per fornire valore alla propria entity – organizzazione, è di vitale importanza mantenere alta l’attenzione verso il capitale umano, cercando di fornire assurance sull’adeguatezza ed efficacia della pianificazione del capitale umano. In sostanza, si può contribuire alla protezione e creazione di valore, verificando che il processo di pianificazione sia in grado di soddisfare le esigenze attuali e future dell’organizzazione.
Questo, tra l’altro, include:
- a) la conferma che le competenze e le risorse necessarie siano presenti in modo adeguato e sostenibile;
- b) valutare l’allineamento delle politiche e delle procedure delle risorse umane;
- c) fornire assurance sulla corretta conduzione dei sondaggi tra i dipendenti;
- d) valutare i tassi di attrizione e il loro allineamento agli obiettivi strategici;
- e) fornire una ragionevole garanzia che le procedure organizzative supportino gli indirizzi e gli obiettivi di performance;
- f) supportare l’organo di governo (il Board) nella comprensione delle interdipendenze tra la pianificazione della successione e l’inclusione.
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) ECIIA, Risk in Focus 2025 – Global Summary, Board Briefing
(1) ECIIA, Risk in Focus 2025 – Global Summary, Hot Topics
(2) IIA regional bodies: 1) African Federation of Institutes of Internal Auditors (AFIIA), 2) Arab Confederation of Institutes of Internal Auditors (ARABCIIA); 3) Asian Confederation of Institutes of Internal Auditors (ACIIA); 4) European Confederation of Institutes of Internal Auditors (ECIIA); 5) Fundación Latinoamericana de Auditores Internos (FLAI)
(3) ECIIA, Risk in Focus 2025
(4) Un aspetto rilevato dall’analisi dei report- survey è che nelle aree tematiche prese in considerazione dalle altre Confederazioni di Internal Auditors mondiali, benché il tema “Human Capital” sia sempre nelle top five delle classifiche, non è presente un focus sul macro tema HC (in termini di capitale umano come asset aziendale da pianificare, diversity, equity, inclusion, talent management, retention).
(5) Cfr. F.D. Attisano (2020) “Il nuovo Modello delle Tre Linee: al centro la creazione di valore e l’interazione” – Risk & Compliance Platform Europe (www.riskcompliance.it)
(6) Cfr. IIA | Global Internal Audit Standards, GIAS (2024)
(7) Cfr. GIAS – Standard 9.1 Comprensione dei processi di governance, risk management e controllo
(8) Cfr. AA.VV. (2010) Human Resources Audit, un’arma in più nell’organizzazione aziendale”; Rivista Associazione Italiana Internal Auditors n.68 (settembre – dicembre 2010).