2. CAPITOLO SECONDO: PROCESSI DI CONTINUOUS AUDITING/CONTINUOUS MONITORING
2.1. Introduzione al Continuous Auditing/Continuous Monitoring
La crescente complessità delle organizzazioni, caratterizzata anche da una operatività sempre più internazionale, propone una seria riflessione in merito all’attualità dei sistemi di controllo interno e in particolare al loro aggiornamento e alla loro manutenzione al fine di garantire efficaci ed efficienti strumenti di controllo e monitoraggio dell’operatività aziendale favorendo la trasparenza informativa e l’affidabilità dei controlli stessi.
Una recente ricerca condotta da KPMG a livello internazionale, mostra come attualmente, solo un numero limitato di aziende ha implementato strumenti di controllo nel continuo (strumenti di Continuous Auditing /Continuous Monitoring) fondando ancora i propri processi di verifica e assurance dell’efficacia del proprio sistema di controllo interno su metodi tradizionali (ad esempio test basati su campioni statistici casuali, processi di circolarizzazioni, ecc…).
Solo un numero limitato di aziende è risultato aver implementato processi di Continuous Auditing/Continuous Monitoring soprattutto con riguardo ai seguenti
processi aziendali: reporting, financial management, tesoreria,
approvvigionamenti, vendite e cash management.
In generale, l’obiettivo dei processi di Continuous Auditing (di seguito CA) e Continuous Monitoring (CM)12 è quello di fornire una maggiore trasparenza in
12
Associazione Italiana Internal Auditors (AIIA), “Paper – Continuous Auditing & Continuous
Monitoring”, Aprile 2014 www.aiiaweb.it
Bill Hostmann, John Hagerty, IT Score Overview for Business Intelligence and Performance Management, Gartner, 2010.
French Caldwell, Paul E. Proctor - Magic Quadrant for Continuous Controls Monitoring , 2010, Gartner. Kurt Schlegel, Rita L. Sallam, Daniel Yuen, Joao Tapadinhas - Magic Quadrant for Business Intelligence and Analytics Platforms, 2013, Garner
Manuale Tecnico CISA 2013, ISACA.
S. Flowerday, A.W. Blundell, R. Von Solms – Continuous Auditng technologies and models: a discussion, 2006, Computer & Security 25, Elsevier
merito alle diverse operazioni aziendali e un tempestivo flusso di reporting rispetto ad eventuali anomalie che dovessero essere riscontrate nell’ambito di un processo aziendale.
Ad oggi l’analisi e il monitoraggio dei dati gestionali non possono essere fini a se stessi; difatti se l’azienda vuole che l’analisi dei dati gestionali estratti periodicamente sia di supporto all’oggettività delle decisioni del management, occorre che gli stessi dati non siano dispersi in un oceano di numeri e grafici all’interno di confronti statistici periodici.
Il CA e il CM, che si configurano quali nuove opportunità da affiancare all’attività di Internal Audit, utilizzati in modo adeguato, possono aiutare le organizzazioni a gestire in modo efficace le esposizioni ai principali rischi, in quanto consentono di rilevare, monitorare e prevenire anomalie in modo più facile, completo e tempestivo rispetto agli approcci tradizionali. Nonostante il costo di implementazione di tali metodologie sia considerato dal management delle organizzazioni aziendali quale barriera all’utilizzo delle stesse, i recenti progressi tecnologici permettono di monitorare i rischi e le anomalie che possono compromettere l’integrità aziendale in modo più conveniente ed efficace, rendendo dunque necessario valutare l’opportunità di utilizzare gli strumenti di CA e di CM.
L’efficace implementazione di un processo di CA/CM richiede la conduzione delle seguenti attività:
• avviare specifici pilot su processi aziendali di ridotta complessità al fine di esplorare la possibilità di avviare efficacemente un più ampio sistema di CA/ CM;
• favorire un processo di cost saving attraverso l’integrazione del processo
di CA/CM nell’ambito di più ampi processi aziendali;
• favorire il coinvolgimento diretto di tutte le linee di difesa aziendale fin dall’inizio del progetto;
• valutare l’integrazione del processo di CA/CM, per quanto possibile, nelle strutture di reporting esistenti;
• analizzare gli impatti che l’implementazione del processo di CA/CM
avrà rispetto all’attuale assetto organizzativo favorendo un processo di change management verso una cultura aziendale basata sull’importanza delle informazioni chiave e sulla tempestività di analisi delle stesse.
Il processo di valutazione che porta all’adozione dei sistemi di CA/CM deriva dal livello di maturazione ottenuto dalle funzioni di controllo presenti nell’organizzazione unitamente alla disponibilità di tecnologie in grado di offrire soluzioni informatiche flessibili in relazione alle diverse esigenze aziendali che consentono un sistema di monitoraggio in real time sull’universo dei dati aziendali. In tal senso, detti processi appaiono applicabili ed implementabili con successo anche alle piccole/medie imprese; la conduzione di una analisi iniziale dei diversi processi aziendali e lo studio della soluzione anche informatica da adottare favorirà l’implementazione di indicatori di rischio specifici del proprio business che possano monitorare l’operatività nei diversi processi maggiormente sensibili anche rispetto al raggiungimento degli obiettivi aziendali prefissati. È possibile dunque considerare i benefici derivanti dall’utilizzo di un sistema di CA/CM sotto due punti di vista:
• una maggiore efficienza e tempestività nel processo di reporting;
• un miglioramento nell’efficacia ed efficienza dei controlli.
La base del successo di ogni progetto di CA/CM risiede in un’attenta pianificazione e gestione della fase preliminare. È questo, infatti, il momento in cui, oltre alla definizione dei key indicators, è altresì necessaria una contestualizzazione degli stessi sulla base degli obiettivi prefissati e del contesto di riferimento in cui si va ad operare. Per un’efficace realizzazione di tali finalità, si rende necessaria una completa analisi dei processi interni e dei potenziali rischi ad essi collegati, oltre ad un’attenta valutazione in merito all’efficacia delle attività di controllo in essere.
In questa fase preliminare il ruolo della Funzione Internal Audit assume una fondamentale importanza, sulla base delle specifiche competenze maturate negli ambiti di riferimento (gestione di procedure interne, attività di risk management, verifica della compliance, ecc.) e della caratteristica pervasività della funzione all’interno di organizzazioni complesse.
L’attuazione di un processo di CA/CM rappresentata quindi la logica conseguenza del coinvolgimento della Funzione Internal Audit; in molti casi sono riscontrabili forti benefici anche da altre funzioni aziendali che rappresentano le prime linee di difesa dell’organizzazione (quali ad esempio il CFO). Inoltre, sempre maggiore è l’esigenza manifestata dalle aziende nel monitorare i diversi processi al fine di adattarli tempestivamente ai cambiamenti derivanti dal contesto in cui si svolgono, dalla normativa di riferimento e dai rischi che li caratterizzano; sempre di più, la capacità di una azienda di adattare rapidamente i propri processi decisionali, di business e operativi ai cambiamenti che li influenzano, rappresenta un fattore critico di successo. La contestuale crescita dei rischi, delle esigenze di compliance nonché dei costi di controllo di primo e secondo livello associati a scenari in cui l’operatività aziendale si svolge in un contesto multinazionale sia in ambito industriale sia finanziario, hanno portato, in primis, i Chief Audit Executives delle società a valutare i benefici di approcci alternativi e complessi da associare alle tradizionali attività di Internal Audit.
Ancorché differenti siano gli ambiti di impiego dei processi di Continuous Auditing e Continuous Monitoring, comune è il concetto sottostante detti strumenti: monitorare costantemente la gestione dei diversi processi aziendali al
fine di favorirne la loro attualità rispetto a fattori esogeni ed endogeni che interessano la singola organizzazione.
Detto processo di monitoraggio nel continuo favorisce, da parte delle funzioni di business, una costante e tempestiva consapevolezza in merito all’evoluzione della gestione rispetto alle diverse aree di competenza. Contestualmente, detti strumenti permettono alle funzioni di controllo di disporre di una base dati di
l’approccio tradizionale al controllo sia da un punto di vista di popolazione e campione di analisi di riferimento sia rispetto alla tempistica di realizzazione dell’attività di controllo stessa favorendo una logica ex ante anziché ex post. Per Continuous Auditing si intende:
“la raccolta di evidenze di audit e di anomalie su processi, transazioni, controlli
e sistemi informativi da parte della Funzione Internal Audit su base continuativa o con frequenza prestabilita”.
Detto processo, migliora il processo di auditing e contribuisce a garantire, nel continuo, la conformità alle politiche e procedure aziendali. In molti casi, il sistema di CA può operare come strumento di “allarme” per individuare preventivamente aspetti critici del sistema di controllo interno.
Per Continuous Monitoring, quale importante futura componente della struttura del sistema del controllo interno, si intende:
“un sistema automatico di riscontro utilizzato dal management per monitorare che le attività e i controlli operino secondo il disegno predefinito e le transazioni
e i processi si svolgano secondo le procedure esistenti”.
Detto processo permette pertanto di avere una visibilità completa del corretto funzionamento dei diversi processi aziendali. Alla luce delle definizioni ora brevemente illustrate, appare evidente lo stretto collegamento tra il processo di CA e CM e soprattutto i benefici che le organizzazioni possono trarre dall’implementazione degli stessi. Benefici che non afferiscono esclusivamente alla sfera del controllo ma, favorendo un costante monitoraggio dell’operatività aziendale da parte delle funzioni di business, permettono una attività di controllo più efficace ed efficiente. La corretta implementazione di un processo di CM rappresenta pertanto la base per la successiva strutturazione di uno strumento di CA che integra il processo di controllo effettuato dai diversi process owner
arricchendolo di quegli elementi tipici caratterizzanti gli obiettivi della Funzione Internal Audit.
Le organizzazioni hanno la necessità di considerare nuovi approcci alternativi alle tradizionali attività di Internal Audit, spinti da business in continua trasformazione e dall’evoluzione del panorama normativo e regolatorio che esercitano pressioni sui costi, sulle persone e sui processi.
Il CA e il CM, che si configurano quali nuove opportunità da affiancare all’attività di Internal Audit, utilizzati in modo adeguato, possono aiutare le organizzazioni a gestire in modo efficace le esposizioni ai principali rischi, in quanto consentono di rilevare, monitorare e prevenire anomalie in modo più facile, completo e tempestivo rispetto agli approcci tradizionali. Nonostante il costo di implementazione di tali metodologie sia considerato dal management delle organizzazioni aziendali quale barriera all’utilizzo delle stesse, i recenti progressi tecnologici permettono di monitorare i rischi e le anomalie che possono compromettere l’integrità aziendale in modo più conveniente ed efficace, rendendo dunque necessario valutare l’opportunità di utilizzare gli strumenti di CA e di CM.
Queste due metodologie sono accomunate da determinati obiettivi che vanno dall’utilizzo dei progressi tecnologici al fine di eseguire in modo più efficiente gli audit interni, fino al concentrare le verifiche di audit in modo più specifico attraverso una migliore visibilità dei processi e delle operazioni aziendali, dall’assicurare tempestività ed efficacia nella risoluzione dei gap presenti nel sistema di controllo interno, al rafforzare il sistema dei controlli interni.
In tale contesto il CA si configura quale elemento prezioso per il business aziendale e permette di:
• acquisire elementi di audit in modo più efficace ed efficiente;
• reagire in modo più tempestivo ai rischi aziendali;
• supportare la compliance interna, ovvero aiutare il monitoraggio delle politiche, delle procedure e dei regolamenti.
Il CM consente invece di:
• migliorare la governance;
• ottenere una migliore informazione sul processo decisionale che
riguarda l’attività di ordinaria amministrazione; • ridurre i costi dei controlli di terzo livello.
Occorre sottolineare come l’implementazione di un processo di CM rappresenti un’attività che va oltre i semplici aspetti tecnologici a supporto di detti strumenti. Si tratta, infatti, di avviare un processo di change management che interviene direttamente sulla natura, sulla velocità, sulla visibilità delle informazioni sui rischi aziendali e sulle prestazioni dell’organizzazione. Tali aspetti trasformeranno radicalmente il modo in cui le decisioni di business saranno assunte e monitorate.
L’efficace implementazione di un processo di CM richiede la conduzione delle seguenti attività:
• avviare specifici pilot su processi aziendali di ridotta complessità al fine di esplorare la possibilità di avviare efficacemente un più ampio sistema di CM;
• favorire un processo di cost saving attraverso l’integrazione del processo
di CM nell’ambito di più ampi processi aziendali;
• favorire il coinvolgimento diretto di tutte le linee di difesa aziendale fin dall’inizio del progetto;
• valutare l’integrazione del processo di CM, per quanto possibile, nelle strutture di reporting esistenti;
• analizzare gli impatti che l’implementazione del processo di CM avrà rispetto all’attuale assetto organizzativo favorendo un processo di change management verso una cultura aziendale basata sull’importanza delle informazioni chiave e sulla tempestività di analisi delle stesse.
Con l’implementazione di un sistema di CM si precostituisce dunque una funzione deterrente verso l’adozione di comportamenti non corretti e
pregiudizievoli del patrimonio aziendale. Infatti, un sistema di CM – per la gestione integrata e il monitoraggio dell’universo dei dati e delle informazioni con la finalità di segnalare eventi devianti rispetto agli standard definiti e di evidenziare situazioni che possano far presagire comportamenti potenzialmente pregiudizievoli per l’integrità del patrimonio aziendale – potrebbe, tra gli altri aspetti, consentire al management di rivedere su base continuativa i processi aziendali per verificare l’aderenza e le eventuali deviazioni rispetto ai livelli attesi di performance ed efficacia, ottimizzando la qualità dei controlli e focalizzando l’attività di monitoraggio e analisi sulle aree a maggior rischio. Le analisi e le valutazioni che scaturiranno dall’implementazione di un sistema di CM sono volte da un lato a infondere coscienza della possibilità circa il verificarsi di errori e anomalie lungo lo svolgimento del processo, dall’altro a permettere alla società di reagire tempestivamente per evitare, neutralizzare e opporsi alla perpetrazione di tali comportamenti.
In tale contesto, le aziende interessate ad adottare un sistema di CM si focalizzeranno inizialmente sulle seguenti attività:
1 migliorare la struttura i controlli con l’obiettivo di ridurne i costi, ad esempio utilizzando strumenti di monitoraggio per ottemperare ad esigenze di compliance (obiettivi di controllo ai sensi del D.lgs. 231/01, SOX, etc.);
2 implementare automatismi di controllo nell’ambito di attività operative (ad esempio release strategy);
3 ottimizzare i processi aziendali sulla base di piattaforme tecnologiche comuni alle realtà complesse (ad esempio sistemi GRC, piattaforme Enterprise Resource Planning – ERP).
L’evoluzione dei sistemi di controllo, dalle attività manuali e a campione all’implementazione di sistemi di monitoraggio automatico, consentirà in prospettiva la realizzazione delle premesse di un progetto di CM. Si sottolinea che le modalità di sviluppo di un progetto di CM dovranno essere definite in
aziendale, tenendo in considerazione l’esito di una definizione degli obiettivi di copertura e il fabbisogno di controllo, secondo una logica progressiva secondo fasi successive ed estensione modulare del perimetro del sistema di CM. Un sistema di CM può, dunque, essere adottato in relazione alle dimensioni, al business, all’architettura IT e agli obiettivi di controllo di ciascuna organizzazione, tenendo ovviamente in considerazione la correlazione con attività e meccanismi di controllo già presenti in azienda (quali ad esempio il set dei controlli già in essere per le società italiane ai fini della legge n. 262/2005, i flussi informativi implementati ai fini del d.lgs. 231/01, così come i vari presidi di controllo esistenti in ottemperanza ad altri requisiti di legge ove applicabili). Il sistema di CM potrebbe in concreto configurarsi in un cruscotto di reporting (dashboard) che, sulla base degli scenari di rischio (red flag, key risk indicator, alert) identificati a seguito di specifiche analisi, ottenga i dati direttamente dai sistemi IT aziendali, li elabori attraverso una logica di data mining consentendo la visualizzazione e l’analisi dei risultati direttamente sul dashboard: per ciascuna transazione associata agli indicatori di rischio individuati dalle organizzazioni, saranno attivati dei segnali di alert in caso di superamento dei livelli di soglia predeterminati su base quantitativa (per esempio, valore economico per singola transazione, frequenza, arco temporale di riferimento, numerosità, utente).
Nella logica del CM, l’universo dei dati aziendali risulta estratto direttamente dal sistema informativo aziendale che gestisce le principali attività e transazioni, e trasferito, secondo le modalità ritenute tecnicamente praticabili, in un sistema che costituirà l’architettura informatica di riferimento sul quale implementare il sistema di CM. Il risultato finale consiste nella realizzazione del predetto cruscotto, eventualmente da interfacciare a strumenti di controllo e di reporting gestionale già presenti, sul quale saranno resi disponibili gli alert relativi agli indicatori di rischio individuati (suddivisi ad esempio per processo, business unit, operating companies) con evidenza delle devianze rilevate nel periodo di competenza.