Management accounting e internal audit: alcune possibili in terrelazion

Oggetto del presente paragrafo è fare una ricognizione delle potenziali aree di interrelazione fra management accounting e internal audit, con par- ticolare riferimento alle medie imprese. Dunque, si intende fornire una vi- sione d’insieme delle logiche e delle modalità attraverso cui il sistema di

management acconting, sulla base dello stato dell’arte, potrebbe integrarsi

con le logiche aggiuntive proprie dell’internal audit.

L’internal audit è un’attività indipendente e obiettiva di assurance e con- sulenza rivolta al miglioramento dell’efficacia e dell’efficienza di un’a-

38 _{Per approfondimenti si rimanda a Hastie R., Viscusi W. K. (1998), What juries can’t do}

63

zienda39_{, che assiste l’azienda nel perseguimento dei propri obiettivi tramite}

un approccio professionale e sistematico, finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance.

Nelle medie imprese, le esigenze di audit sono cresciute in quanto le nu- merose turbolenze del contesto esterno, hanno spinto le aziende a interrogarsi sull’opportunità di implementare attività di monitoraggio e controllo al fine di garantire la sopravvivenza. Del resto, l’internal audit svolge un ruolo strumen- tale rispetto ai sistemi di management accounting, verificando l’adeguatezza e la conformità dei processi di controllo posti in essere dall’azienda. Essa è in- dicata nei principi del Chartered Institute of Management Accountants (da ora anche CIMA) come una attività ibrida in quanto, seppur per sua natura non rappresenti una delle attività di controllo di gestione in senso stretto, contribui- sce in maniera significativa al complesso sistema di controllo interno e dunque consente miglioramenti in termini di efficacia ed efficienza40_.

Tale posizione è condivisa anche dall’Associazione Italiana Internal Au-

ditor (da ora AIIA) secondo cui l’internal auditor dovrebbe fornire valuta-

zioni di adeguatezza e di efficacia sulle attività di controllo introdotte in ri- sposta ai rischi riguardanti la governance, le operazioni e i sistemi informa- tivi. Queste valutazioni sono relative (ma non limitate) al raggiungimento di obiettivi strategici, all’affidabilità e all’integrità delle informazioni contabili, all’efficacia e all’efficienza delle operazioni e dei programmi, alla com-

pliance con leggi e regolamenti41_{. Pertanto, il practice framework dell’AIIA}

l’internal auditor deve assistere l’organizzazione garantendo la validità dei controlli e promuovere un continuo miglioramento in termini di efficacia ed efficienza. Dunque, anche l’AIIA promuove la necessità di integrazione delle due funzioni in quanto, seppur con modalità diverse, entrambe nascono allo scopo di garantire all’azienda un maggior livello di efficacia ed efficienza.

Nonostante la necessità di integrazione che emerge dai documenti citati, allo stato attuale, esistono pochi contributi, di natura scientifica o professio- nale, che mettono in luce le interrelazioni tra il management accounting e l’internal auditor nelle medie imprese. Una corretta osservazione del feno- meno richiede di discutere le due attività di controllo (controllo di gestione e internal auditing) sotto alcuni aspetti considerati fondamentali: la gover-

nance, i processi interni, i flussi informativi e la gestione del rischio. 39 _{Associazione Italiana Internal Auditors (2016), Framework Anticorruzione e Auditing, p. 2.} 40 _{«Internal audit is also included. It is not a practice area that sits within the management}

accounting function […] but management accounting makes a significant contribution to the system of internal controls as tested and appraised by the internal audit function», Chartered

Institute of Management Accounting (2015), Global management accounting principles, p. 17.

64

Per quanto attiene la governance dei controlli, si fa riferimento a quel complesso di relazioni che si creano all’interno dell’impresa tra figure pro- fessionali diverse per posizione e tipologia di responsabilità. Soprattutto nella media impresa, in cui la conduzione manageriale e la componente fa- miliare si affiancano (o, in alcuni casi si sovrappongono), esiste la necessità di introdurre un sistema di controllo di gestione e di controllo interno atti a garantire le scelte compiute dalla direzione aziendale. L’obiettivo generale è quello di definire e gestire relazioni interne e risorse in modo da proteggere le attività, la reputazione e il valore dell’organizzazione. Appare evidente l’importanza di una figura preposta a garantire il costante rispetto dei valori e delle pratiche aziendali pianificando e gestendo le risorse ed evitando po- tenziali conflitti di interesse.

In merito, il controllo di gestione operato dal controller richiede di rac- cogliere dati, veicolare l’attenzione del management attraverso la predispo- sizione di documenti di reporting, analizzare le informazioni ottenute e ve- rificare con la direzione aziendale la necessità di eventuali azioni correttive42_.

Tale attività sottintende, dunque, la tempestiva comunicazione alla direzione aziendale di problematiche di natura economico-finanziaria nonché di coor- dinamento interno tra gli attori aziendali. Dunque, il controller dirige l’at- tenzione della direzione verso le problematiche dell’azienda, fornendo le in- formazioni necessarie alla loro risoluzione e comunicando tempestivamente questioni di natura economico-finanziaria o organizzativa (inerenti, ad esem- pio, al coordinamento e alla comunicazione tra gli attori aziendali). Il corretto svolgimento di tale attività richiede di intrattenere continui rapporti sia con organi operativi dell’azienda, sia con la direzione aziendale.

L’internal auditor fornisce una valutazione dell’esposizione e delle moda- lità di gestione del rischio che attengono alla governance, all’operatività e ai sistemi informativi. Tale attività integra il sistema di controllo attraverso un’accurata supervisione degli altri meccanismi di controllo. Per far si che ciò accada è necessaria una elevata e formalizzata metodologia di identificazione del rischio di controllo allo scopo di garantire un servizio che consenta un ef- fettivo miglioramento dell’efficacia e dell’efficienza. L’internal auditor, in qualità di consulente del consiglio di amministrazione, non presenta una col- locazione gerarchica ben precisa ed è assimilabile a una figura di staff 43_.

42 _{Secondo Brusa L. (2012), Sistemi manageriali di programmazione e controllo, Giuffrè, Mi-}

lano, il controller è una figura orientata all’uso corretto delle informazioni nei processi decisio- nali piuttosto che alla mera correttezza della misurazione dei fatti aziendali poiché mette a di- sposizione del management dati e informazioni necessari a compiere scelte razionali.

43 _{Secondo Zattoni A. (2015), Corporate governance, Egea, Milano, l’internal auditor assiste}

65

Con riferimento ai processi interni emerge un importante punto di con- tatto tra le attività svolte dal controller e dall’internal auditor poiché en- trambi si occupano di verificare, seppur con modalità diverse, la bontà della strategia perseguita dalla direzione aziendale e delle azioni poste in essere per il conseguimento dei risultati.

Più precisamente, il management accounting ha a oggetto il controllo di una moltitudine di processi di natura contabile ed extracontabile44_{. Si fa rife-}

rimento, in particolare, alle attività di supporto dei processi di controllo di gestione, di misurazione delle performance, di pianificazione strategica. Il

controller rientra in tutte queste attività sia ricoprendo un ruolo di coordina-

mento e supporto, sia controllando le modalità e i risultati forniti da altri sog- getti. Questi compiti richiedono all’attore di focalizzarsi, in via principale ma non esclusiva, su informazioni di natura strettamente contabile per verificare l’esistenza di scostamenti tra risultati attesi e risultati ottenuti. Egli dirige l’attenzione e aiuta nella risoluzione di problematiche aziendali segnalando al management le attività da monitorare con più frequenza e fornendo sup- porto per assumere decisioni valide sotto il profilo economico di breve e di lungo periodo. L’attività di controllo richiede che l’attore entri in tutte le questioni decisionali di natura strategica e operativa verificando la confor- mità delle decisioni rispetto alla linea strategica di lungo periodo.

L’attività di internal audit, invece, non presenta come oggetto unico la va- lutazione dell’adeguatezza e dell’effettivo funzionamento del sistema di con- trollo contabile ma richiede di approfondire anche le aree di gestione dei rischi e di compliance45_{. Essa si configura come un’attività di consulenza e analisi}

trasversale dei processi e dei rischi di un determinato business. Più precisa- mente, tale processo richiede di investigare l’adeguatezza del sistema dei con- trolli interni in termini di efficienza e di rispetto dei principi di economicità utilizzando gli obiettivi prefissati e le risorse a disposizione come parametri di riferimento. Pertanto, l’internal audit effettua controlli di efficienza e di effi- cacia sui processi, verificandone tempistiche e modalità di svolgimento, e ha la facoltà di entrare nel merito delle decisioni della direzione aziendale.

Con riferimento ai flussi informativi, emergono differenze sostanziali sia in merito alle tipologie di informazioni, sia in merito ai destinatari delle stesse. È degno di nota che la gestione delle informazioni generate dalle due funzioni, nonché la definizione dei destinatari finali è un argomento molto delicato che scivola, alle volte, verso la conflittualità con altre figure.

tazioni oggettive in merito a rischio e controllo interno, analisi sistematiche dei processi azien- dali, feedback in merito al rispetto dei valori dell’organizzazione.

44 _{Brusa L. (2012), Sistemi manageriali di programmazione e controllo, Giuffrè, Milano.} 45 _{Associazione Italiana Internal Auditors (2016), Framework Anticorruzione e Auditing.}

66

Il controller, pur essendo una figura di line, assume una pluralità di ruoli in quanto è al contempo un rappresentante di un potere burocratico interper- sonale che individua gli errori degli altri, un contabile che produce informa- zioni utili per il management, un consulente gestionale che analizza e inter- preta le informazioni allo scopo di fornire un contributo alla pianificazione strategica46_{. Pertanto, le informazioni fornite dal controller trovano tra i de-}

stinatari sia gli organi operativi dell’azienda (come ad esempio il manage- ment operativo), sia soggetti posti a un livello gerarchico superiore.

L’internal auditor intrattiene rapporti di interscambio informativo con di- versi soggetti all’interno dell’azienda. In primis, egli collabora con il collegio sindacale fornendo informazioni in merito alla compliance, all’adeguatezza del sistema amministrativo contabile e della della struttura organizzativa. In secondo luogo, l’internal auditor coopera con il comitato per il controllo in- terno verificando le attestazioni previste dalla legge 262/05 e con l’organi- smo di vigilanza (ex D. Lgs. 231/01) valutando l’adeguatezza e l’effettivo funzionamento del modello organizzativo. Infine, l’internal auditor colla- bora con il risk manager effettuando valutazioni di adeguatezza in merito al sistema di gestione dei rischi. I processi di valutazione riportati richiedono, soventemente, l’acquisizione di informazioni da altri attori aziendali (es: di- rigente preposto, risk officer, ecc.) e la tempestiva comunicazione dei risul- tati all’amministratore delegato e al direttore generale.

Infine è necessario discutere il ruolo del controller e dell’internal auditor innanzi al rischio. In merito, occorre anzitutto ricordare che l’intera attività d’impresa è permeata dal rischio e, pertanto, entrambi i soggetti non possono sottrarsi a valutazioni di rischiosità seppur con specifico riferimento alle aree di pertinenza.

L’attività del controller non sfugge a valutazioni inerenti alla rischiosità e alle problematiche di natura amministrativa e contabile. Più precisamente, egli si occupa di verificare la correttezza valutativa di taluni eventi rischiosi che possono presentare effetti negativi sulle poste contabili. Si pensi a valu- tazioni inerenti al rischio di inesigibilità di un credito, oppure alla variazione del mercato prospettico. Tali valutazioni richiedono al controller di coordi- narsi, in maniera continuativa, con il risk manager scambiando informazioni in merito a probabilità e impatti degli eventi temuti precedentemente indivi- duati. Dunque, è possibile affermare che il controller integra e completa l’at- tività del risk manager. In particolare, se quest’ultimo ha come ambito di osservazione prioritario l’ambiente esterno e la misurazione dell’impatto e della probabilità che tutti i possibili eventi avversi possono generare sull’im- 46 _{Brusa L. (2012), Sistemi manageriali di programmazione e controllo, Giuffrè, Milano.}

67

presa, il controller ha un’ottica prettamente interna rivolta a fornire alla di- rezione aziendale le informazioni necessarie al perseguimento della strategia. È degno di nota che, in talune medie imprese, a causa della scarsa comples- sità del modello di business, le responsabilità del controller e del risk mana-

ger potrebbero ricadere interamente su un unico soggetto47_.