Il termine anglosassone “auditing” deriva dal verbo latino “audire” che significa ascoltare, prestare attenzione, comprendere. Con il passare del tempo questa disciplina ha assunto forme e valenze diverse che oggi convergono verso un rinnovato approccio di gestione, in linea con le sfide moderne della governance aziendale.
Quella dell’auditing è una storia molto lunga, visto che si trova traccia di tali pratiche fin dall’epoca dell’Impero Romano dove gli “auditores” avevano il compito di verificare, nell’interesse della collettività, l’operato dei governatori delle provincie periferiche relativamente alla riscossione dei tributi.
Proprio questa fu infatti la prima valenza che venne attribuita al metodo e che si mantenne fino all’epoca moderna quando le imprese lo adottarono come sistema di controllo della corretta gestione amministrativa e dell’operato dei manager. In tale contesto, la prima differenziazione che si venne a creare, fu quella tra auditing esterno ed interno.
L’audit originario, tipicamente esterno e indipendente dalle parti in causa, si andò a configurare come attività di revisione contabile, svolta da commercialisti o da figure di garanzia affiancate ai consigli di amministrazione aziendali. Ma questa prassi fece nascere la necessità di avere una controparte interna all’azienda (il controller) che mettesse ordine nei conti e preparasse il terreno per rendere più agevole (e forse anche un po’ pilotato) il compito dei revisori esterni. Ed è così che lo sviluppo dei due filoni portò:
- da un lato, alla nascita delle grandi società di revisione (divenute poi indispensabili nei complessi meccanismi delle quotazioni di borsa e delle operazioni di merger & acquisition),
- dall’altro, allo sviluppo di una cultura del controllo di gestione aziendale.
Seguendo questa nuova direzione, l’auding interno divenne presto strumento non solo di controllo ma anche di miglioramento generale dei processi aziendali. Chi ne capì la valenza e la necessità lo ritrovò, in seguito, straordinariamente coerente con l’applicazione di metodologie finalizzate alla qualità (i sistemi di gestione ISO) e all’efficienza produttiva (i sistemi di lean-manufacturing) che imponevano alle aziende di dotarsi di strumenti per l’analisi dei costi e per il monitoraggio degli indicatori di prestazione.
La diffusione della certificazione dei sistemi di gestione secondo standard internazionali sdoganò anche una nuova interpretazione della figura di auditor sia interno (di prima o di seconda parte) che esterno (di terza parte), meno legata agli aspetti contabili e più a quelli organizzativi e di conformità.
Lo sconfinamento dell’auditing sul terreno gestionale si consolidò anche con l’applicazione specialistica nel campo dei sistemi informatici aziendali dove la necessità di tenere sotto controllo gli investimenti in tecnologia e lo sviluppo dei progetti applicativi di grandi dimensioni e di portata strategica imponeva la presenza di una funzione di supervisione, interna o esterna ma che fosse sicuramente indipendente, che fungesse da raccordo con gli indirizzi operativi generali verificandone il rispetto, garantendo l’efficacia delle soluzioni e la coerenza alle linee guida del top-management. Questa particolare pratica dell’auditing in tempi più recenti pur mantenendo una specificità di ambito si è indirizzata verso le tematiche legate alla sicurezza dei sistemi informatici.
La moderna interpretazione delle tecniche di auditing converge attualmente sul tema della “compliance” legislativa e normativa e sulla partita della valutazione dei rischi che ne consegue. Da un lato, il filone del controllo di gestione si è evoluto attraverso l’applicazione del D. Lgs. 231/2001 che disciplina la responsabilità degli amministratori in materia contabile, introducendo il ricorso allo strumento del codice etico che ha anticipato la più recente enfasi attribuita ad altre tematiche legate alla sostenibilità e alla trasparenza verso gli stakeholders come l’anticorruzione (rating di legalità, pratiche di whistleblowing) e come un’applicazione aggiornata degli articoli del codice civile (in particolare dell’art. 2086 sulla gestione d’impresa, rivisto e ampliato nel 2019).
Dall’altro lato, il filone organizzativo ha seguito la proliferazione legislativa e normativa che si è verificata nei settori della sicurezza sui luoghi di lavoro (D. Lgs. 81/2008 e precedenti disposizioni), della protezione dei dati (GDPR e precedenti disposizioni), delle direttive europee in materia di sostenibilità (CSRD, Tassonomia etc…) che vanno ad enfatizzare la necessità di un approccio sistemico alla gestione dei rischi ambientali, climatici ed energetici integrato con le consolidate metodologie che garantiscono l’efficienza dei processi e la redditività delle attività di core-business.
In uno scenario operativo che diventa quindi sempre più complesso e articolato, come dirimere le diverse anime dell’auditing?
Una risposta a questa non semplice domanda potrebbe venire dalla recente pubblicazione dello standard ISO37008 in materia di indagini aziendali interne: lo stesso concetto di indagine rappresenta un superamento e un allargamento dei precedenti approcci alla revisione, al controllo, alla due-diligence, alla verifica ispettiva, che fossero esercitati da figure singole, da organismi collegiali (come l’ODV nel caso della 231) o da società specializzate.
Ma l’aggiornamento degli strumenti a disposizione richiede anche un adeguamento delle competenze di chi li utilizza: il professionista delle indagini interne dovrà necessariamente possedere buone basi interdisciplinari:
- di contabilità,
- di organizzazione dei processi,
- di giurisprudenza (conoscenza della legislazione e della normazione cogente, capacità di gestione delle controversie) e, perfino,
- di psicologia
per potersi rapportare e comunicare efficacemente con tutti gli stakeholder coinvolti. Potrebbe essere una buona occasione per rivalutare la figura del giurista d’impresa, sia da un punto di vista della preparazione accademica che da quello dell’impiego sul campo.