Il coraggio di svolgere una professione complessa: l’Internal Auditor 

Il coraggio di svolgere una professione complessa: l’Internal Auditor 

30 giugno 2024

di Francesco Domenico ATTISANO

Tips and tricks sul come essere professionisti dell’Internal Audit coraggiosi e  spunti per il Risk Management e le funzioni di Compliance

Mantenere l’obiettività con coraggio professionale per aiutare il vertice aziendale (Board) e l’alta direzione (Senior Management) a governare l’organizzazione  è una responsabilità impegnativa, sfidante e stressante.

Secondo i nuovi Global Internal Audit Standard 2024(1), gli IA devono eseguire il loro lavoro con onestà e coraggio professionale.

In particolare:

  • nell’ambito del dominio II dei GIAS (Etica e professionalità),
    • e, del correlato principio  1 (Dimostrare integrità),
      • lo standard 1.1 è intitolato proprio “Onestà e Coraggio Professionale ”. Gli Internal Auditor dimostrano integrità nel loro lavoro e nel loro comportamento.

Di seguito sono esposti gli aspetti comportamentali salienti per dimostrare di essere un internal auditor etico e professionale, quindi onesto e coraggioso(2):

  1. essere veritieri, precisi, chiari, aperti e rispettosi in tutte le relazioni e comunicazioni professionali, anche quando esprimono scetticismo o offrono una prospettiva opposta rispetto a quella delle parti interessate (management aziendale, alta direzione/ Senior Management, Board/ Organo di Indirizzo e Supervisione);
  2. non fare affermazioni false, ingannevoli, né nascondere o omettere informazioni pertinenti dalle comunicazioni oggetto di incontri e/o delle risultanze emerse dall’incarico di assurance o consulenza condotte, quest’ultime rappresentate via mail, interim report, report in  draft o final;
  3. rivelare tutti i fatti materiali (le evidenze riscontrate) che, se non rivelati, potrebbero influire sulla capacità dell’organizzazione di prendere decisioni informate, volte a preservare e/o creare valore;
  4. dimostrare audacia e avere consapevolezza del valore che si può apportare all’organizzazione, comunicando in maniera sincera e veritiera,  prendendo azioni appropriate, anche quando ci si trova di fronte a dilemmi e situazioni difficili.

Quindi, praticamente… come si fa? 

Posto che l’internal auditor deve affrontare molteplici rischi professionali per far ciò che si ritiene giusto,  mi sono affiorati mille ricordi ed episodi reali, l’ultimo di pochi giorni fa.

Ho pensato, quindi, che fosse utile mettere a fattor comune l’esperienza professionale e le certificazioni CIA e CRMA,elaborando un bignamino o compendio, con la rappresentazione di 12 situazioni reali (alcune affrontate molte volte dal 2000 a oggi, altre recentissime), affinché ogni internal auditor o professionista delle funzioni di gestione dei rischi e di controllo interno della governance aziendale possa rivedersi(3), aggiungerne e condividerne altre sulla Piattaforma di Risk & Compliance, o semplicemente trarne spunto per essere più coraggioso nel futuro.

  1. Segnalazione di conflitti di Interesse:  Se un internal auditor scopre che un alto dirigente o un process ownerha un interesse finanziario diretto o indiretto in una delle società fornitrici  o di altra organizzazione correlata (si pensi alla supply chain e alle terze parti), nonostante il potenziale impatto o conseguenza sulla propria carriera, va segnalato il potenziale conflitto di interesse agli organi competenti (ad esempio HR – ODV 231 – RPCT – Autorità di Vigilanza); inoltre bisogna monitorare ovvero informarsi, affinché sia garantita la conduzione di un’indagine – valutazione appropriata. Nelle organizzazioni pubbliche, andrebbero considerate anche tutte responsabilità dirigenziali inerenti i temi dell’inconferibilità e incompabilità degli incarichi, oltre che della trasparenza (a supporto del RPCT e/o dell’Organismo indipendente di Valutazione ad esempio).
  2. Segnalazione- Denuncia di Irregolarità: Nel caso in cui un internal auditor scopra pratiche ammnistrativo – contabili sospette che potrebbero indicare una potenziale frode, l’IA dovrebbe eseguire il protocollo per segnalare le irregolarità, anche se potrebbe affrontare opposizioni da colleghi o dal proprio responsabile. Altro evento rischioso è quando le irregolarità sono nel processo di assunzione e selezione del capitale umano (ancor peggio nelle organizzazioni pubbliche che procedono all’inserimento delle persone tramite selezioni o concorsi pubblici). In entrambe i casi la situazione risulta ancor più delicata se il CAE (Responsabile IA) o CRO o Compliance Manager  (ma anche RPCT) in precedenza abbia assunto la responsabilità del processo di riferimento (Amministrazione e Contabilità o  Risorse Umane- Selezione). 
  3. Segnalazione di Comportamenti eticamente scorretti dei colleghi (anche della funzione IA o Risk Management – Compliance): Se l’internal auditor rileva comportamenti non etici da parte di alcuni colleghi durante un intervento di audit (anche se trattasi di colleghi della propria struttura), l’IA dovrebbe  segnalare questi comportamenti al comitato etico se presente ovvero all’organo preposto (ad esempio all’Organismo di Vigilanza ex D.lgs 231, Responsabile Prevenzione Corruzione e Trasparenza… dipende dalla governance organizzativa), anche se ciò può compromettere le relazioni con i colleghi.  Principalmente per le situazioni 1-3, ma anche per le successive, ricordiamoci sempre che esiste il Whistleblowing(4), la correlata normativa e le best practice di riferimento sono presenti da anni…Quindi si spera che l’organizzazione abbia già implementato e messo a regime un canale per la gestione delle segnalazioni anonime.
  4. Resistenza a Pressioni organizzative per ridurre l’attività di IA: Nel caso in cui durante un intervento di audit, la direzione coinvolta (o ancora peggio direttamente il Senior Management)  provi a influenzare i risultati per scongiurare critiche  o valutazioni negative, che andrebbero a deteriorare il rapporto o la fiducia con il Board. Tale situazione, potrebbe emergere sempre più spesso nell’ambito del performance management)o deresponsabilizzarsi, l’internal auditor dovrebbe tenere duro e mantenere la propria obiettività, riportando i fatti come sono emersi, anche di fronte a pressioni significative… Attenzione le pressioni possono giungere anche dal proprio CAE/ RIA o dal Committente del lavoro (nel caso di servizi di assurance esternalizzata o advisory).
  5. Resistere e opporsi alla pressione per ridurre la portata dell’intervento – incarico di audit : ciò potrebbe avvenire quando la direzione/ struttura o il suo direttore/ responsabile chieda al Responsabile della funzione IA (o peggio al singolo internal auditor di turno) di limitare la portata di un audit o incarico di assurance in corso, per evitare di rilevare problemi o criticità potenzialmente imbarazzanti. In tal caso il coraggio dell’internal auditor (meglio se col supporto del CAE/RIA) si sostanzia nel rifiutare di ridurre la portata dell’audit e procedere con una revisione – analisi più completa, documentando accuratamente tutte le irregolarità o punti di debolezza – attenzioni riscontrati.
  6. Resistere e opporsi per ignorare o tralasciare irregolarità/ criticità (nei servizi/ incarichi di assurance). Capita molto spesso che ti venga anche detto di “ignorare irregolarità/ criticità minori o alleggerire il punto di debolezza rilevato per evitare di creare problemi inutili e/o che verrà subito messo a posto o che lo avevano già in programma di farlo, ma non c’è traccia di ciò… ”. L’azione di coraggio si sostanzia nell’insistere nel documentare tutte le irregolarità/ criticità indipendentemente dalla loro entità, e raccomandare le misure correttive – preventive necessarie o opportune. E’ importante rappresentare sin da subito che i risultati del lavoro saranno prioritizzati. Non tutto ha la stessa valenza ovviamente; ciò tranquillizza il Management e nel contempo riduce le potenziali conflittualità con i colleghi (vale anche per i punti 4 – 5 e il seguente).
  7. Resistere e opporsi alla pressione per alleggerire il reporting al Board e Senior Management. Altra situazione che si viene a creare solitamente è quando le iniziative progettuali o azioni di miglioramento o di correttive di risultati emersi dagli audit (oggetto di Action Plan) che dovevano essere poste in essere sono rimaste sulla carta/ file elettronici/ mail (tale situazione si verifica molto spesso specie in fase di follow-up, quindi a valle dell’esecuzione dell’incarico). Dimostrare coraggio professionale significa resistere alle pressioni per modificare i report, mantenendo l’integrità e la trasparenza delle proprie valutazioni. Attraverso una documentazione accurata, una comunicazione trasparente e il supporto del CAE e del comitato di audit, un internal auditor può garantire che le azioni correttive siano implementate efficacemente e che il reporting al Board e al Senior Management sia accurato e veritiero. Questo non solo protegge l’organizzazione dai rischi, ma rafforza anche la fiducia e la credibilità del ruolo dell’IA.
  8. Insistere sulla Trasparenza dei Criteri di Selezione dei Fornitori e sulla gestione dei rapporti con le terze parti: Ad esempio Se l’IA scopre che i criteri di selezione dei fornitori non sono stati comunicati in modo trasparente (contestualizzando il tema in un’organizzazione pubblica la massima attenzione va rivolta sugli affidamenti diretti e a seguire sulle le altre procedure di gara previste dalla normativa vigente), favorendo potenzialmente alcuni fornitori; pertanto andrebbe segnalata la mancanza di trasparenza e bisogna spingere affinché ci sia una revisione dei processi di selezione e della gestione gare in generale; ciò per garantire equità, trasparenza, imparzialità, nonostante l’opposizione interna. 
  9. Segnalazione di Mancanza di Trasparenza nei Rapporti di Progetto o nei report di stati di avanzamento progetto (beneficiari di finanziamenti pubblici – PNRR e Programmazione 2021-2027). Nel caso si scoprano che  i rapporti di avanzamento di un progetto finanziato (oggetto di finanziamento) sono stati manipolati per nascondere ritardi e/o costi eccessivi ovvero mancato raggiungimento delle milestones è davvero una situazione complessa. L’azione di coraggio potrebbe sostanziarsi nel segnalare le manipolazioni – alterazioni e/o omissioni informative e insistere sulla necessità di rapporti accurati e trasparenti, nonostante il rischio di scontri con il team di progetto o con il rischiosissimo interesse economico dell’organizzazione.
  10. Segnalare la manipolazione – alterazione dei dati / informazioni correlati alle Performance individuali e organizzative. Se l’internal auditor rileva che i dati di performance (nelle PA pensiamo ai PIAO dove il Performance Management è legge) sono stati alterati per mostrare risultati migliori. Va l’internal auditor  coraggioso segnala – denuncia (all’OIV, Al RPCT nel caso delle organizzazioni pubbliche) la manipolazione dei dati e delle informazione e raccomanda un’indagine approfondita. Fronteggiare le ostilità da parte dei colleghi e ancor più dell’Alta Direzione (nel pubblico i Direttori Generali o Capi dipartimento ad esempio) sarà arduo, considerando che alcuni obiettivi di performance del Senior Management sono strettamente correlati a quelli dell’intera organizzazione.
  11. Insistenza su Formazione Continua. La Direzione/ funzione risorse umane (HR Director o HR Manager/ Dirigente/ Responsabile della formazione e sviluppo)  ritiene che la formazione continua degli auditor sia un costo inutile o quantomeno rinviabile all’anno successivo, in quanto ci sono altre priorità o il piano formativo è già stato definito. In tal caso, il CAE/ Responsabile Internal Audit (con il supporto degli internal auditor) dovrebbe insistere sull’importanza della formazione continua e di tempo dedicato all’autoapprendimento, per mantenere degli standard professionali elevati, proponendo un piano di formazione dettagliato collegandolo a modelli di competenze e best practices. Se il CAE non riesce a intervenire con la funzione HR o comunque il piano di approvvigionamento – formazione rimane inalterato, deve rappresentarlo tempestivamente al Board e non esitare. I budget fissi o annuali sono una scusa, ci sono revisioni periodiche e il forecasting serve anche per questo. Inoltre risulta audace,  positivo  e quindi coraggioso informare e divulgare all’organizzazione aziendale (in primis al Board e a cascata il Senior Management,  Direzione/ funzione HR) dell’esistenza dell’Internal Audit Competency Framework©(5) e dell’impegno al suo utilizzo da parte dell’Internal Audit.
  12. Segnalazione di Discriminazione o di poca attenzione e sensibilità ai temi della diversità, inclusione, parità di genere. L’auditor rileva pratiche discriminatorie nel macro processo HR. Nelle pubblicazioni e ricerche si legge che ciò avviene principalmente nei processi e nelle procedure sostanziali di assunzione – selezione (seppur formalmente conformi), ma si ritiene che le condotte più invasive siano praticate nei processi di formazione, gestione e sviluppo del capitale umano dell’organizzazione (ad esempio con formazione specifica non correlata agli obiettivi e alle perfomance organizzative delle persone, o passaggi di carriera o attribuzioni di responsabilità di scatole vuote per attribuire una posizione organizzativa  o per incrementi retributivi a favore di una determinata persona ovvero per altro verso per sfavorire una persona, tramite demansionamenti o creazione di situazioni di isolamento, che possono sfociare in mobbing. In ogni caso, nonostante il rischio di ripercussioni, l’internal auditor deve segnalare queste pratiche al comitato di audit e rischi (se presente) o all’organo di governance di riferimento (es. OdV 231, RPCT), raccomandando un approfondimento o verifica. Non è necessario fare un audit report o aspettare di avviare formalmente un audit straordinario, in ottica di sostenibilità – ESG o di una delle sue componenti.…bisogna essere concreti e comunicare in maniera agile, con onestà e coraggio ci si attiva più velocemente e si comprendere prima la situazione.

Queste casistiche reali evidenziano come il coraggio professionalenon per forza facendo la cosa giusta e azzeccando sempre… ma sempre con onestà e in ottica costruttiva per l’organizzazionecomporti la presa di decisioni difficili che possono capitare quotidianamente.

Altri casi difficili che vengono in mente sono quelli afferenti il dover denunciare la non conformità ai Regolamenti di Sicurezza (sia relativi alla Salute e Sicurezza dei luoghi di lavoro e dei lavoratori che di sicurezza informatica, di privacy) o segnalare potenziali frodi e dover effettuare l’analisi di red flags di frode.

Coraggio e Servizi di Advisory

Inoltre, il coraggio va perpetrato anche durante l’esecuzione di servizi di advisory

Di seguito si riportano altri temi affrontati all’interno di organizzazioni, dove come bisogna essere coraggiosi anche nella consulenza e nella  proposta  di miglioramenti controversi dai Process Owner o dal Senior Management: sul tema tecnologico (sulla gestione e implementazione della piattaforma di E-Procurement o l’accettazione di obiettivi strategici non correlati agli obietti gestionali operativi o viceversa), o innovativo (per l’utilizzo responsabile dell’Intelligenza Artificiale in azienda) o della governance sostenibile- ESG (per la valutazione e/o l’implementazione e monitoraggio di progetti di Governance o inerenti la S di social e la E di ambiente)(6).

Inoltre, indipendentemente se servizi di assurance o advisory, bisogna sempre prestare attenzione e dimostrare coraggio quando si ha un’opposizione interna velata ovvero schermata, da parte del Senior Management e/o dal Management operativo, con ritardi immotivati nei riscontri, difficoltà nell’organizzare incontri, riunioni di condivisione saltate all’ultimo momento (per fantomatiche chiamate dal Board o urgenze) o scoprendo che i documenti trasmessi prima delle riunioni via mail non sono stati neanche aperti o addirittura sentirsi dire: ”la mail non l’ho mai ricevuta o forse è andato in spam…e ancor peggio: è sicuro che ha inviato la mail all’indirizzo corretto?”. 

Conclusioni

Insomma, per affrontare in maniera professionale situazioni rischiose, in termini di integrità e trasparenza, per la governance, la compliance e assurance dei processi, ma anche per i rapporti umani che si hanno all’interno dell’organizzazione, bisogna avere coraggio e ragionare con obiettività e indipendenza, agendo in maniera corretta e diligente; contribuendo così alla trasparenza e all’assunzione di responsabilità all’interno dell’organizzazione.

A parere di chi scrive, osservare e nel contempo agire il ruolo e la responsabilità attribuita all’internal auditor (o risorsa delle altre funzioni di Risk Management e Controllo Interno-  Compliance) è quindi complesso e richiede pertanto un costante impegno e tantissima esperienza sul campo. Si suggerisce la massima concentrazione durante il quotidiano lavorativo, tramite osservazione visiva e ascolto attivo di tutti i colleghi. Solo lavorando e collaborando a fianco dei colleghi, si può provare a contribuire (con le proprie conoscenze e competenze) a infondere la cultura dell’integrità, dell’etica, della trasparenza, dei rischi e dei controlli positivi.

Il coraggio dell’Internal Auditor (e degli altri professionisti del Risk Management e delle funzioni di Compliance aziendale) si vede anche nell’investimento in tempo, con iniziative strutturate o informali  per divulgare la cultura del rischio e del controllo all’interno di tutta l’organizzazione. A ciò va ad aggiungersi una sana e trasparente comunicazione con il Management ovvero le funzioni coinvolte nei servizi di assurance, affinché si comprenda che le funzioni/ strutture della seconda e terza linea della governance dei rischi e controlli sono a supporto del Board e dell’intera organizzazione aziendale, per proteggere e creare valore.


Per approfondimenti, consultare i seguenti link e/o riferimenti:

(1) Il 9 gennaio 2024, l’Institute of Internal Auditing (IIA) ha emesso gli Standard Globali di Audit Interno 2024 (GIAS) , che sostituiscono gli Standard Internazionali del 2017 per la pratica professionale dell’auditing interno (IPPF). Gli standard forniscono un quadro per guidare la qualità e l’efficacia delle attività di internal audit interno. I GIAS sono organizzati in cinque domini, 15 principi guida e 52 standard a cui gli internal auditors a livello globale dovrebbero aderire. Cfr. “Global Internal Audit Standards” – The Institute of Internal Auditors

(2) A parere dell’autore tali comportamenti professionali andrebbero agiti da tutto il capitale umano delle funzioni coinvolte nella seconda e terza linea di gestione dei rischi e controllo interno.

(3) …e sentirsi parte di quella comunità professionale ancora poco conosciuta (specie nelle PMI e nelle Organizzazioni Pubbliche Italiane) che rischia ogni giorno di essere percepiti e classificati come anticipatici o additati come i rompi scatole o “creatori di barriere e/o di ostacoli ai progetti in corso”.

(4) Cfr. M. Corbo (2024), “Le peculiarità del settore pubblico nel nuovo sistema whistleblowing” – Risk & Compliance Platform Europe

(4) Cfr. M. Cassaro, S. Galli (2023), “Ultimo giro di boa per le aziende per adeguarsi alla normativa Whistleblowing” – Risk & Compliance Platform Europe

(4) Cfr. C. Ponti (2023), “La disciplina del Whistleblowing in ottica di compliance nella sua accezione etica” – Risk & Compliance Platform Europe

(4) Cfr. M. Valentini (2023), “OdV gestore del canale di segnalazione whistleblowing. Riflessioni sulla Guida di ANAC e di Confindustria” – Risk & Compliance Platform Europe

(5) Cfr. The IIA’s Internal Audit Competency Framework – The Institute of Internal Auditors

(6) Cfr. A. Moriani (2024), “La gestione strategica dei rischi ESG” – Risk & Compliance Platform Europe

(6) Cfr. A. Micocci (2023), “Il bilancio di sostenibilità e le nuove sfide degli Internal Auditors” – Risk & Compliance Platform Europe

(6) Cfr. F.D. Attisano (2019), “Dalla comunicazione della Sostenibilità alla gestione del rischio Environmental, Social & Governance (ESG)” – Risk & Compliance Platform Europe



  • Commento Utente

    Giovanni Coinu

    Complimenti Francesco, è stata una lettura interessante, oltre che assolutamente condivisibile.

Lascia un Commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono segnati con *