Università di Pisa
Dipartimento di Economia e Management
Corso di Laurea in Strategia, Management e Controllo
Tesi di Laurea
L’ATTIVITA’ DI AUDIT SUI FONDI STRUTTRALI
EUROPEI: IL CASO DELLA REGIONE PIEMONTE
RELATORE:
Chiar.mo Prof. Vincenzo Zarone
CANDIDATO:
Diletta Ippolito Petrilli
1
Indice
Introduzione 3
Capitolo I 5
L’attività di Internal Audit 5
1.1 Origini ed evoluzione dell’Internal Audit 6
1.2 La definizione di Internal Audit 15
1.3 Il processo di Internal Audit 21
Capitolo II 33
L’Internal Audit nelle Pubbliche Amministrazioni: introduzione al controllo sui fondi strutturali e di investimento europei 33 2.1 L’evoluzione dei controlli nelle Pubbliche Amministrazioni. 35 2.2 I fondi strutturali e di investimento europei: contestualizzazione e
programmazione 41
2.3 Logiche di audit sui fondi strutturali e di investimento europei: il
ruolo dell’Autorità di Audit 54
Capitolo III 62
L’attività di audit sui fondi strutturali e di investimento europei nella
Regione Piemonte 62
3.1 I fondi strutturali e di investimento europei nella Regione Piemonte:
cifre ed organizzazione 64
3.2 La metodologia di audit dell’AdA Piemonte 71
3.3 Le irregolarità riscontrate nella Programmazione 2007 – 2013 79
Conclusioni 85
Bibliografia 86
Sitografia 88
3
Introduzione
In tutto il mondo, le entità del settore pubblico si trovano ad affrontare crescenti richieste ed aspettative sempre più elevate da parte della comunità, del governo e dei diversi stakeholder. In parte, ciò riflette la complessità, la profondità, l'ampiezza e le dimensioni di quello che è il settore pubblico.
Nel settore pubblico la valutazione, la gestione del rischio ed il controllo interno sono sempre più dipendenti da attività di audit ben autorizzate e strutturate, composte da revisori interni connotati da un elevato grado di competenze e professionalità. Le attività di internal audit del settore pubblico (a livello nazionale, regionale e locale) interagiscono, nell’espletamento delle proprie funzioni, con funzionari, dirigenti, CEO e
manager che gestiscono le risorse pubbliche per conto dei contribuenti, dei
consumatori, dei servizi governativi o, comunque, per conto delle collettività. L’efficacia di una funzione di audit è influenzata da caratteristiche comuni del settore pubblico, tra cui:
- la domanda di un elevato livello di performance e trasparenza; - l’assenza dello scopo di lucro;
- una vasta gamma di forme organizzative: comunitarie, nazionali, regionali e locali;
- framework normativi complessi.
Considerati questi elementi, è ovvio che una struttura di internal audit, per essere efficace, necessita di essere progettata ad hoc in relazione al contesto in cui è inserita ed in ogni sua singola componente. Sulla base di tale constatazione, il presente lavoro è volto ad analizzare il tema dell’internal audit nel contesto delle Pubbliche Amministrazioni e, in particolare, a toccare uno specifico contesto di applicazione di tale attività, ovvero quello relativo alla gestione dei fondi strutturali e di investimento europei.
4
- Nel primo capitolo verrà affrontato il tema dell’internal audit sotto un profilo generale: l’obiettivo sarà quello di contestualizzare tale attività partendo, per prima, dal suo processo evolutivo ed arrivando, poi, a definirla e scomporla nelle sue singole fasi.
- Nel secondo capitolo, invece, l’attenzione verrà rivolta al contesto delle Pubbliche Amministrazioni: dopo aver brevemente introdotto il tema dei controlli nel settore pubblico in Italia e la loro diffusione nel tempo attraverso i diversi interventi legislativi che si sono manifestati a partire dagli anni Novanta, il focus si sposterà sulla trattazione dei fondi strutturali e di investimento europei, tema centrale del presente elaborato.
- Nel terzo capitolo, infine, verrà presentato un caso pratico di audit sui fondi strutturali e di investimento europei. In particolare, il capitolo avrà ad oggetto l’attività di audit su questi strumenti di finanziamento comunitari all’interno della Regione Piemonte, relativamente alla Programmazione Comunitaria 2007 – 2013: verrà presentata l’organizzazione dell’Autorità di Audit designata all’effettuazione dei controlli, la metodologia di audit adottata da quest’ultima, nonché i risultati cui si giunti a seguito degli audit.
5
Capitolo I
L’attività di Internal Audit
“Necessity created internal auditing and is making it an integral part of modern business. No large business can escape it. If they haven’t got it now, they will
have to have it sooner or later, and, if events keep developing as they do at present, they will have to have it sooner.”
6
1.1 Origini ed evoluzione dell’Internal Audit
L’istituto della revisione contabile affonda le sue radici in epoche assai remote, tant’è vero che le prime tracce della pratica dell’Auditing, seppur in forma rudimentale, risalgono ai tempi delle civiltà mesopotamiche (2000 a.C. circa) ed egizie (1700 a.C. circa).
In particolar modo, i reperti archeologici ad oggi rinvenuti appartenenti alla civiltà sumera, risalenti alla dinastia di Lagash (dal 2550 a.C. al 2110 a.C.) e di Ur III (dal 2112 a.C. al 2004 a.C.), hanno dimostrato che, le tabelle incise su argilla su cui venivano compilati i “conti”, venivano poste in casse (o vasi) d’argilla per poi essere chiuse con un coperchio e fermate con una cordicella alla cui estremità si applicava un nodulo di argilla il quale sanciva l’avvenuta attività di “controllo”. I recipienti, una volta etichettati con il relativo contenuto e sigillati, venivano depositati in un archivio. Il Melis (1950) ritiene, tuttavia, che le tavolette di argilla venissero «riposte nei recipienti appena essiccate per non ingombrare gli uffici od i magazzini e per tenerle ordinate, in vista di riprenderle alla composizione dei conti riepilogativi; dopo la revisione di tutta la contabilità di un esercizio e l’approvazione di essa si provvedeva alla chiusura e… impiombatura»1.
Con riferimento all’epoca dell’Impero egizio, invece, vari bassorilievi e affreschi di tombe principesche testimoniano della radicata usanza di tenere conti e di sottoporli alla supervisione di diversi soggetti. Una testimonianza di tale attività ci viene offerta dal vasto affresco rinvenuto nella camera principale della tomba del principe Chnemhotpe2 il quale raffigura, all’interno della corte signorile, il momento dell’arrivo del raccolto, destinato all’immagazzinamento: «i facchini, sotto sorveglianza del custode, lo raccolgono in sacchi, ognuno dei quali viene registrato; quindi, i sacchi
1 MELIS F. (1950), Storia della ragioneria: contributo alla conoscenza e interpretazione delle fonti più
significative della storia economica, cit., pp. 140-141, Zuffi, Bologna.
7
stessi, trasportati sulla scalinata, sono svuotati nella botola del granaio, mentre un capo li numera e riferisce i dati allo scriba. In tal guisa, si eliminava ogni possibilità di sottrazioni fraudolente: una tipica forma di costrizione, che saldamente imposta i termini al controllo»3.
Spostando in avanti l’asse temporale di riferimento, giungiamo all’epoca della civiltà Greca (V secolo a.C.), dove nella Polis ateniese la gestione amministrativa veniva affidata al controllo di due organi che rivestivano, sostanzialmente, il ruolo di revisori contabili governativi pubblici e privati: si tratta dei cosiddetti logistae ed
euthunoi (Pontani, 2011). I primi rivestivano una posizione apicale nell’attività di
controllo ex-post sulle operazioni in entrata e in uscita del danaro pubblico che i magistrati avevano gestito durante il loro mandato: «i magistrati potevano considerarsi esenti da responsabilità per gli atti compiuti durante il loro mandato solo dopo l’approvazione dei conti da parte dei logisti»4. I secondi, invece, erano magistrati cui competeva il ruolo di assolvere a funzioni di controllo sugli inventari e su vari documenti contabili; essi, inoltre, attraverso l’elaborazione di una relazione al termine di ciascuna attività, dovevano rendicontare ai logistae sul proprio operato e circa le risultanze dei controlli dagli stessi posti in essere.5
I primi casi di Internal Auditing “formalizzati” risalgono, tuttavia, all’epoca dell’Impero Romano (tra il 509 a.C. e il 27 d.C.). Facendo riferimento a tale fase storica, risulta immediata la connessione con i princìpi moralistici, esaltatori della
virtus, della fides, del civis Romanus bonus. Ma è proprio tale evocazione di buone
condotte civiche, di esortazioni ad agire per il bene dello Stato e di condanna di atteggiamenti illeciti e lesivi del bene comune che concorrono a riflettere un’immagine piuttosto fosca, buia e corrotta dell’età romana. È in tale contesto che prende sempre più piede l’esigenza di impostare un sistema di controllo accurato volto a garantire, da un
3 MELIS F. (1950), Storia della ragioneria: contributo alla conoscenza e interpretazione delle fonti più
significative della storia economica, cit., pp. 292-293, Zuffi, Bologna.
4 D’ONZA G. (2013), L’Internal Auditing. Profili organizzativi, dinamica di funzionamento e creazione
del valore, cit., p.22, Giappichelli Editore, Torino.
5 PONTANI F. (2011), Auditing. Storia, tecnica, scienza. Un’evoluzione involutiva?, Giappichelli,
8
lato, una sana gestione delle risorse pubbliche6 e, dall’altro, la separazione delle funzioni tra i soggetti cui competeva l’autorizzazione degli accertamenti e delle riscossioni e quelli cui competeva (fisicamente) l’attività di incasso e di pagamento (Pontani, 2011).
L’organo investito del potere istituzionale di controllo era il Senatus (consiglio degli anziani), il quale si avvaleva, al fine di svolgere la propria attività di verifica/accertamento, di due figure: i curatores, che verificavano l’operato dei governatori delle Province periferiche dell’Impero con particolare riguardo alla riscossione dei tributi, e gli auditores che, invece, effettuavano il controllo dei conti. Si noti che il termine auditing ha come ètimo una lontana provenienza dal verbo latino
audīre, ossia “ascoltare”: ciononostante, “il termine viene assunto in italiano non
direttamente dal latino ma tramite la mediazione della lingua inglese, tanto è vero che i dizionari lo definiscono tuttora un esotismo.7” (D’Onza, 2013).
Si trova, poi, traccia dell’attività di audit anche nell’ordinamento delle Repubbliche Marinare, tra i mercanti veneti e i banchieri fiorentini; la nascita del metodo della partita doppia dovuto al contributo di Fra’ Luca Pacioli (1494 circa) e il raffinamento delle tecniche contabili avevano infatti reso sempre più agevole, rispetto al passato, lo svolgimento di attività di controllo e di verifica con riguardo alle transazioni e alle operazioni di scambio poste in essere dagli imprenditori e dalle imprese8.
Se è vero, come si è detto sinora, che l’Internal Auditing ha un’origine così radicata ed antica, è necessario specificare, però, che tale attività inizia a plasmarsi e ad evolversi in maniera decisiva e sicuramente più “repentina” rispetto al passato soltanto con l’avvento del XIX secolo. Il progressivo cambiamento del contesto sociale, culturale, economico, accompagnato dalla maggiore complessità delle strutture, delle imprese e dell’ambiente in cui esse si trovavano ad operare, conducono ad un parallelo e
6 Come specifica il Pontani (2011), la gestione delle risorse pubbliche atteneva principalmente all’
aerarium, ovvero il tesoro pubblico alimentato dalle imposte, ed al fiscus, che rappresentava il tesoro personale dell’imperatore.
7 www.accademiadellacrusca.it
8 CORBELLA S., PECCHIARI N. (1999), Internal Auditing. Aspetti di struttura e di processo: i risultati
9
progressivo mutamento anche nella cultura del controllo. Se fino a quel momento
l’Internal Auditing si caratterizzava per il fatto di essere un’attività basata su un
approccio indirizzato alla ricerca di frodi e di irregolarità di carattere primariamente contabile, da questo momento in poi, si viene a configurare come un’attività il cui approccio doveva necessariamente basarsi anche sull’osservazione dei sistemi di controllo interni e sul loro grado di completezza rispetto alle diversificate esigenze imprenditoriali9.
Il cosiddetto processo di rivoluzione industriale che si irradia dall’Inghilterra lascia così alle sue spalle i metodi di produzione fino a quel momento in vigore e dà vita alla produzione industriale di massa con macchine, imprenditori privati in possesso di capitali e operai salariati per il mercato mondiale. La rivoluzione industriale permise la nascita delle prime forme di società, la transizione dalla proprietà individuale a quella collettiva e la conseguente separazione della proprietà dal management, partendo dalla Gran Bretagna e dirigendosi verso un contesto sempre più globale. «Questo comportò il sorgere inevitabile di conflitti di interesse tra le parti e la necessità di figure di controllori che, in base alla teoria dell’agenzia10, facessero da monitor per i comportamenti cosiddetti opportunistici»11. Come si è accennato, il primo Paese ad indossare le vesti di attore in tale contesto è stato il Regno Unito: successivamente all’abrogazione, nel 1825, del “Bubble Act12”, fu emanato, nel 1844, il “Companies
9 TETTAMANZI P. (2003), Internal Auditing. Evoluzione storica, stato dell’arte e tendenze di sviluppo,
Egea, Milano.
10 «Il problema dell’agenzia sorge in presenza di due condizioni: la separazione fra coloro i quali sono
proprietari della ricchezza e coloro che la gestiscono e l’impossibilità per i proprietari di riuscire a controllare direttamente ed efficacemente l’operato degli agenti. Queste due condizioni determinano l’esigenza di delegare il controllo degli agenti a soggetti terzi che operano nell’interesse dei proprietari». D’ONZA G. (2013), L’Internal Auditing. Profili organizzativi, dinamica di funzionamento e creazione del valore, cit., p.23, Giappichelli Editore, Torino.
11 TETTAMANZI P. (2003), Internal Auditing. Evoluzione storica, stato dell’arte e tendenze di sviluppo,
cit., p. 47, Egea, Milano.
12 Il Bubble Act è una storica legge inglese, approvata il 9 giugno del 1720 dal Parlamento della Gran
Bretagna, che proibì la costituzione di società per azioni nel Regno Unito a seguito delle forti azioni speculative esercitate sui titoli della South Sea Company che comportarono, in quell’anno, il crollo del mercato borsistico londinese.
10
Act” (“An Act for the Registration, Incorporation, and Regulation of Joint Stock Companies”) con il quale fu introdotto l’obbligo, per le società per azioni, di far revisionare i propri bilanci da auditor.
«Section 38 of this Act provided for the appointment of “One or more Auditors of the Accounts of the Company”, but the Act was completely silent as to who could serve in
the position (s) or what his (their) qualifications should be13»
Come si evince dalla citazione sopra riportata, non si faceva ancora alcun riferimento ad una figura professionale di auditor ufficialmente riconosciuta, ovvero non veniva specificato quali fossero i soggetti che potessero ricoprire tale posizione o, comunque, quali fossero le competenze necessarie per ricoprire tale ruolo14.
È doveroso sottolineare che un ulteriore elemento che contribuì all’evoluzione dell’Internal Auditing è stata la metamorfosi che la funzione stessa del bilancio ha subìto: da strumento informativo interno a strumento informativo esterno, tale da soddisfare le esigenze conoscitive dei diversi stakeholders (proprietari, azionisti, finanziatori, istituzioni ecc.) che, con lo sviluppo degli assetti societari e della complessità aziendale, divennero sempre più numerosi. Ecco spiegato perché l’introduzione di meccanismi di verifica sulla correttezza delle informazioni contenute nei rendiconti divenne una vera e propria necessità: in caso contrario, si sarebbe compromessa la capacità dell’azienda di attrarre capitali sui mercati (D’Onza, 2013).
L’attività di revisione si sviluppò negli anni immediatamente successivi anche negli Stati Uniti dove si registrò una forte crescita industriale, soprattutto nel settore dei trasporti ferroviari. Una parte consistente dei finanziamenti destinati alla costruzione delle infrastrutture ferroviarie derivavano dalle banche inglesi, che iniziarono a
13 HEIN L. W. (luglio 1963), The Auditor and the British Companies Acts, cit., p. 508, The Accounting
Review.
14 Come sostiene il Pontani (2011), il revisore non apparteneva ad una categoria professionale specifica,
ma si configurava come il soggetto investito della carica di attestare o meno se i bilanci fossero in grado di riflettere l’effettiva e reale situazione dell’azienda.
11
costituire proprie agenzie anche sul territorio statunitense. Nel giro di poco tempo le imprese statunitensi furono in grado di importare e di sviluppare la tradizione dell’auditing all’interno del proprio contesto con risultati eccellenti, arrivando a comparare i livelli di quella britannica. Non solo: questa “giovane” nazione introdusse, in vista dell’espansione delle infrastrutture ferroviarie15, anche forme di controllo interno alle imprese dando luogo alla nascita delle prime attività di internal auditing e delle prime figure di internal auditor per soddisfare l’esigenza di riuscire a gestire e a garantire la liceità di transazioni finanziarie tra luoghi geograficamente molto distanti. Questa pratica che nasceva per prevenire ed identificare errori e frodi nel settore ferroviario, ben presto si diffuse anche nel Regno Unito e negli altri settori, proprio a testimonianza della reciproca influenza dei due paesi. Come affermato pocanzi, l’Internal Auditing nel suo processo evolutivo si venne a configurare come un approccio improntato non più soltanto sulla ricerca di irregolarità contabili, ma anche sull’osservazione di sistemi di controllo interni. Ciò ebbe riflessi, inevitabilmente, anche sulle stesse modalità di verifica che subirono un’evoluzione parallela allo sviluppo dei sistemi di controllo: se in un primo momento le verifiche erano solo di dettaglio (selezione soggettiva), adesso nacque l’esigenza di adottare anche verifiche che risultassero essere più efficienti e dunque basate su metodi di selezione quali il campionamento statistico (verifiche di coerenza)16. Con l’introduzione della tecnica del campionamento statistico si riuscì infatti a garantire un grado di efficienza maggiore in quanto, a fronte di un minor numero di verifiche da sottoporre a controllo, i relativi costi da sostenere si ridussero significativamente. Conditio sine qua non affinché fosse raggiunto tale grado di efficienza era un corretto funzionamento del sistema di controllo interno: se questo risultava essere efficace e ben strutturato, allora era possibile
15 «The practice of auditing in the United States developed in response to two dominant influences
associated with changing economic conditions. The first of these was the development of companies with geographically dispersed operations, which resulted from the westward movement of commerce of the continent. A second was the separation of business ownership from its management, which occurred with the development of the corporation. Each of these influences was evident in the railroad companies of the nineteenth century », BOOCKHOLDT J. L. (1983), A Historical Perspective on the Auditor’s Role: The Early Experience of the American Railroads, cit., p. 70, The Accounting Historians Journal.
12
effettuare solo test statistici, senza dover sottoporre a controllo ogni singolo elemento, anche se irrilevante o identico in termini di caratteristiche, a un altro (Tettamanzi,2003). A partire dalla seconda metà del XIX secolo anche altri Paesi Europei, sulla scia della testimonianza lasciata dall’esperienza anglosassone e da quella statunitense, iniziarono a delineare le prime attività di Internal Auditing, introducendo, ad esempio, l’obbligo della revisione per alcune società come nel caso della Francia o della Germania (D’Onza, 2013).
Ponendo particolare attenzione all’esperienza italiana, essa si contraddistingue per il fatto che le prime forme di auditing furono generate dal grembo delle Pubbliche Amministrazioni per poi essere, successivamente, importate nel tessuto aziendalistico pur non essendoci ancora nessun riferimento legislativo alla revisione contabile. Agli albori dello stato unitario, con legge 14 agosto 1862 n. 800, fu istituita la Corte dei conti del Regno d’Italia affinché vigilasse sulle amministrazioni dello Stato, in modo da prevenire ed impedire sperperi e cattive gestioni. In questa funzione, la Corte dei Conti assunse la veste di una "magistratura", essendo emersa - secondo la storica affermazione di Camillo Benso conte di Cavour - la "assoluta necessità di concentrare il controllo preventivo e consuntivo in un magistrato inamovibile"17. Con l’entrata in vigore della legge 22 aprile 1869 (Cambray-Digny) sulla contabilità generale dello Stato, furono istituite le Ragionerie Centrali presso i vari Ministeri, alle quali, fu affidato il controllo preventivo sulle spese (funzione già attribuita alla Corte dei conti) oltre alle funzioni proprie relative alle scritture contabili ed alla compilazione dei documenti finanziari18.
Volendo giungere al termine della descrizione dell’iter evolutivo sinora tracciato, si giunge al XX secolo. Come sostenuto dal D’Onza, pur se in maniera convenzionale il ‘900 si viene a configurare come il secolo di origine del vero e proprio internal
auditing, inteso come momento in cui la professione19 inizia ad essere universalmente
17 www.cortedeiconti.it
18 MONETTI U. (1926), Le amministrazioni centrali dello Stato e l’ordinamento dei controlli, Editrice
Torinese, Torino.
19 Come rilevato dal D’Onza, è preferibile parlare più di un processo di professionalizzazione
13
riconosciuta e non come momento in cui prende avvio tale attività, avendo visto sino a questo momento che essa è temporalmente collocabile ad epoche ben più remote. È il 1941 l’anno cui si è soliti associare la genesi del moderno internal auditing: con la fondazione dell’Institute of Internal Auditors (IIA) a Lake Mary, in Florida, nasce la prima associazione professionale, senza scopo di lucro, che si propone di promuovere lo sviluppo della professione dell’internal auditor. Si pensi che dai 24 soci fondatori che costituirono l’Institute of Internal Auditors nel 1941 negli Stati Uniti, si è passati a 104 membri dopo un anno, e a 1.018 dopo 5 anni. A partire dal 1957, l’associazione si è sempre più espansa arrivando a contare 3.700 membri di cui il 20% al di fuori dei confini statunitensi. Più di 70 anni dopo la sua fondazione, l’Institute of Internal
Auditors si presenta come una dinamica organizzazione globale con più di 185.000
membri in tutto il mondo.
«How did this grow from 24 enthusiastic men in New York City to what it is today? It has required selfless volunteerism, dedicated professionals, and most of all, people with
a desire to make internal auditing a proud and distinguished profession20»
Si riporta nella tabella 1 una sintesi di quella che è stata l’evoluzione sostanziale dell’internal auditing, considerando i fattori di contesto, le modifiche intervenute nelle aspettative degli organi di governo e di controllo e come queste abbiano impattato sul mutamento degli obiettivi e dei processi dell’attività di audit.
della professione ad un preciso istante temporale. Cfr. D’ONZA G. (2013), L’Internal Auditing. Profili organizzativi, dinamica di funzionamento e creazione del valore, p.44, Giappichelli Editore, Torino
14
Tabella 1 – L’evoluzione delle attività di IA
Fattori di contesto Esigenze organi governo/controllo
Obiettivi attività Processi di audit
Separazione fra proprietà dei fattori produttivi e loro utilizzo
Accertare l’inesistenza di appropriazioni indebite
Verificare le azioni dei soggetti che gestivano il denaro e altri beni soggetti a rischio di frode
Ispettorato finalizzato alla ricerca delle frodi
Crescita dimensionale, frazionamento geografico, standardizzazione produttiva ed efficienza Accertare la corretta esecuzione di direttive e diffondersi di modelli operativi standardizzati Monitorare il comportamento delle persone nell’esecuzione di compiti standardizzati Ispettorato finalizzato a verificare il rispetto di procedure Obbligo di certificazione dei bilanci Migliorare i sistemi ed i processi contabili anche per ridurre i costi della revisione
Supporto alla revisione esterna Verifiche contabili e monitoraggio dei controlli amministrativi Spinta verso la soddisfazione del cliente, il miglioramento dell’efficienza, dei tempi e della qualità nelle varie attività della catena del valore
Contenere sprechi, rilavorazioni, ritardi nei tempi, prodotti non conformi alle specifiche
Verificare e migliorare le 3 E (efficacia, efficienza ed economicità) tramite il potenziamento dei controlli di Ilivello Audit gestionale e valutazione dei controlli operativi e direzionali Diffusione sistemi IT e tecnologie della comunicazione Sfruttare le potenzialità dell’IT a supporto dei processi decisionali e delle attività di routine
Valutare e promuovere il miglioramento dell’utilizzo dell’IT nei processi aziendali IT auditing e supporto all’IT governance Scandali finanziari e attenzione crescente alla governance Avvalersi di specialisti per adempiere a responsabilità normative e di autoregolamentazione
Fornire l’assurance sui sistemi di risk
management e controllo interno agli organi di governance
Assurance sui sitemi di controllo interno, risk management e corporate governance
Accentuato dinamismo ambientale,
cambiamenti rapidi degli assetti produttivi, organizzativi, culturali
Capacità di anticipare e gestire i cambiamenti ai vari livelli organizzativi
Guidare il management nell’identificazione, valutazione e gestione dei rischi e delle potenzialità di sviluppo
Consulenza
manageriale finalizzata al miglioramento continuo dei tre suddetti sistemi
Fonte: D’ONZA G. (2013), L’Internal Auditing. Profili organizzativi, dinamica
15
1.2 La definizione di Internal Audit
Dopo un’analisi, seppur non esaustiva, di quello che è stato l’excursus storico dell’Internal Auditing, è necessario definire cosa sia, o meglio ancora a cosa serva tale attività: si procederà, in prima battuta, a contestualizzarla e a delineare il suo posizionamento all’interno di un’organizzazione, pubblica o privata che sia, per poi passare all’esplicitazione della definizione stessa di Internal Auditing.
Quando si parla di Internal Audit è inevitabile non fare riferimento alla stretta connessione esistente tra questa attività, il sistema di governance e il sistema del controllo interno: una rappresentazione delle relazioni esistenti tra questi tre elementi viene fornita in figura 1.
Figura 1 – Governance, controllo interno e internal audit
Fonte: rielaborazione da NUCCI G. (2016), L’Internal Audit nelle amministrazioni pubbliche, Il sole24 ore, Milano.
16
Il concetto di governance può essere inteso secondo una duplice accezione:
▪ da un punto di vista strategico essa può essere definita come la relazione tra le funzioni amministrative e di controllo e scelte di governo;
▪ da un punto di vista operativo essa può essere definita come l’insieme delle
policy, delle procedure, delle regole formali e informali, delle strutture e dei
processi, finalizzato a:
conseguire un determinato obiettivo prefissato (inteso come outcome, cioè come impatto delle attività sulla collettività);
ottimizzare il rapporto risorse/attività/risultati;
fornire una ragionevole certezza che gli obiettivi siano raggiunti e che le operazioni siano eseguite in modo etico e responsabile;
garantire gli stakeholder.
La sostanziale differenza tra governance delle strutture private21 e l’equivalente nozione nell’universo pubblico sta nel fatto che la prima è fondamentalmente correlata ai diritti degli stakeholders mentre la seconda è principalmente rivolta ad aspetti organizzativi che coinvolgono la responsabilità, i compiti e le deleghe del management, definendo chiaramente “chi fa cosa”, assicurando, in tal modo, la credibilità dell’amministrazione pubblica ed un’appropriata condotta dei dipendenti pubblici.
La governance, per perseguire i propri obiettivi, sotto il profilo operativo deve radicarsi anche in un’efficace ed efficiente organizzazione del sistema di controllo interno22, affidato al monitoraggio dell’internal audit.
21 In ambito privatistico il concetto di governance è legato a standard internazionali, riconosciuti da tutti i
paesi industrialmente evoluti. In particolare essa viene definita come «l’insieme dei procedimenti e delle strutture messe in atto dall’organo di governo dell’organizzazione per informare, indirizzare, dirigere, gestire e controllare le attività dell’organizzazione nel raggiungimento degli obiettivi» www.aiiaweb.it
22«Un sistema di controllo interno è efficace quando è in grado di rispondere in maniera adeguata e
soddisfacente alle aspettative e attese del soggetto in nome e per conto del quale è stato costruito e revisionato. Un sistema di controllo interno è efficiente, invece, quando le attese vengono soddisfatte utilizzando al meglio le risorse disponibili. È chiaro che l’efficienza è strettamente correlata al grado di sicurezza del sistema che deve essere valutato tenendo conto della limitatezza delle risorse e della possibilità di un miglior utilizzo delle stesse». Hinna L., Messier Jr. W.F. (2007), Auditing. Fondamenti di revisione contabile, McGraw-Hill, Milano.
17
In una prima accezione l’Internal Auditing può dunque essere inteso come un controllo di secondo livello, in quanto si esplica attraverso la vigilanza sul sistema di controllo interno per garantire, in maniera indipendente, l’efficacia e l’efficienza al fine del conseguimento degli obiettivi23. Ma che cos’è il sistema di controllo interno?
Il sistema di controllo interno viene definito24 come un processo, attribuito a posizioni organizzative apicali, finalizzato a fornire una ragionevole sicurezza sul conseguimento dei risultati prefissati in termini di efficacia ed efficienza delle attività operative, salvaguardia del patrimonio aziendale, attendibilità delle informazioni e del bilancio, conformità alle leggi e ai regolamenti vigenti. Il sistema di controllo, così configurato, si compone di cinque elementi strettamente correlati fra di loro:
1) ambiente di controllo:
secondo il CNDC è “l’atteggiamento generale, la consapevolezza e le azioni intraprese dalla Direzione relativamente all’importanza attribuita nell’ambito della società al sistema dei controlli”. In altre parole può essere considerato come l’espressione sia della cultura aziendale sia del livello di sensibilità alla necessità del controllo;
2) valutazione del rischio:
è l’insieme delle attività poste in essere per individuare ed analizzare quei fattori, sia interni che esterni, che possono impattare, sia positivamente che negativamente, sul conseguimento degli obiettivi;
3) attività di controllo:
consiste nelle politiche e nelle procedure poste in essere dal management al fine di assicurare che siano effettuate le azioni necessarie per fronteggiare i rischi impliciti nel raggiungimento degli obiettivi;
23 Hinna L., Messier Jr. W.F. (2007), Auditing. Fondamenti di revisione contabile, McGraw-Hill, Milano. 24 PricewaterhouseCooper (1997), Il sistema di controllo interno, Progetto di corporate governance per
18
4) informazione e comunicazione:
si tratta di flussi informativi indirizzati verso l’alto, il basso e trasversalmente alla struttura organizzativa;
5) monitoraggio:
è quel processo che valuta la qualità del controllo interno nel tempo.
Avendo chiarito cosa sia la governance ed il sistema di controllo interno, non resta che definire l’attività di internal audit.
La definizione di internal audit comunemente accettata è quella che ci viene dettata dall’Institute of Internal Auditors (IIA): «l’internal audit è un'attività indipendente ed obiettiva di assurance e consulenza, finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione. Assiste l'organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di gestione dei rischi, di controllo e di governance»25.
Tale definizione rappresenta un traguardo importante, frutto di ricerche, dibattiti e discussioni che hanno coinvolto l’intera base associativa dell’IIA, oltre all’intero mondo accademico e professionale, a livello globale. Come sostiene il Grossi (1999) questa definizione sancisce il riconoscimento di un processo evolutivo inarrestabile dell’internal audit che caratterizzerà tale professione nel futuro più prossimo26.
Ponendo attenzione alla definizione fornitaci dall’AIIA è possibile individuare alcuni elementi importanti che meritano un breve chiarimento:
- innanzitutto, si può affermare che il concetto di indipendenza fa riferimento all’imparzialità dell’attività di internal audit. Ma essere indipendente nello svolgimento del proprio lavoro non vuol dire, al
25 Definizione coniata nel 1999.
26 GROSSI G. C. (1999), La nuova definizione di internal audit: ridelineate le caratteristiche della
19
contrario di quanto avveniva in passato, non farsi coinvolgere nella gestione: Courtemanche (1986) sostiene nel proprio volume che lo stile e l’approccio al lavoro dell’auditor influenzano il grado e la qualità della sua indipendenza; laddove l’auditor perde il supporto del management, svaniscono simultaneamente il suo status, il ruolo e il profilo dell’attività stessa di internal audit. In definitiva si può concludere che l’audit non è del tutto indipendente dal management; al contrario, la sua indipendenza è di fatto “dipendente” dal supporto manageriale27;
- in secondo luogo, l’internal audit si viene a configurare come un’attività di assurance e consulenza. Quanto ai servizi di assurance, essi si identificano in quelle attività indirizzate al miglioramento della qualità delle decisioni (ad esempio accesso a nuove informazioni, o miglioramento dell’accesso ad informazioni grazie ad una maggiore tempestività, o affidabilità, o rilevanza delle stesse). Quanto invece all’attività di consulenza, essa si traduce nella capacità dell’auditor di agire proattivamente nella valutazione dei sistemi di controllo e di non limitarsi alla mera attività di verifica;
- infine, il riferimento alla capacità dell’attività di riuscire a creare valore evidenzia la funzione sussidiaria e di supporto al management deputato a decidere anche sulla base delle indicazioni proposte dagli auditor.
Nella tabella 2 vengono mostrate le principali differenze che caratterizzano il passaggio da una visione tradizionale a quella evoluta di internal audit e, di
conseguenza, della figura dell’internal auditor.
20
Tabella 2 – Approccio tradizionale vs approccio evoluto
Approccio tradizionale Le nuove tendenze
visto come un ispettore valutato come una risorsa a valore aggiunto
approccio basato sulla conformità processo con approccio orientato al valore aggiunto
considerato dal management come il "controllore" considerato come consulente per la definizione di controllo
poco orientato a problematiche finanziarie orientato a obiettivi di business
composto da staff non qualificati e con poca
esperienza un mix di professionisti e auditor qualificati considerato come un possibile passaggio prima del
pensionamento
valutato in chiave positiva per lo sviluppo di risorse umane, per l'inserimento successivo nel
management dell'organizzazione
21
1.3 Il processo di Internal Audit
Ogni tipo di organizzazione e, conseguentemente, ogni funzione organizzativa, al fine di realizzare la propria mission e perseguire i propri obiettivi, necessita di sviluppare le proprie attività secondo determinate modalità che fanno riferimento a norme, principi, regole, metodologie, procedure e prassi. In generale, l’attività di
internal audit28 viene disciplinata da diverse fonti che coesistono fra loro e trovano applicazione in maniera univoca e universale, indipendentemente dal settore di appartenenza della funzione organizzativa di internal audit presa come riferimento29. Tra queste, assume particolare rilevanza l’International Professional Practices
Framework (IPPF), ovvero lo schema concettuale che organizza le Authoritative
Guidance emanate dall'Institute of Internal Auditors30. Le indicazioni fornite da questo
organismo leader mondiale per gli standard, la certificazione e la formazione per la professione di internal auditor, rappresentano un’autorevole guida per chiunque operi in questo settore.
28 D’ora in poi IA per brevità.
29 L’internal auditing viene svolto in contesti giuridici e culturali diversi, all’interno di organizzazioni che
variano per finalità, dimensioni, complessità e struttura, e da persone interne o esterne all’organizzazione. Anche se le differenze nei vari contesti possono influire sullo svolgimento dell’internal auditing, la conformità agli Standard internazionali per la pratica professionale dell'internal auditing (Standard) dell'IIA è essenziale per l’espletamento delle responsabilità degli internal auditor e dell'attività di internal audit. http://www.aiiaweb.it/standard
22
Figura 1: International Professional Practices Framework
L’IPPF prevede due tipologie di Authoritative Guidance: - una prima categoria di prescrizioni vincolanti;
- una seconda categoria di prescrizioni “raccomandate”.
Quanto alle prescrizioni vincolanti, viene richiesta la piena conformità a questi principi e linee guida, che sono sviluppati seguendo le procedure stabilite e che prevedono anche specifiche forme di public exposure. La conformità ai principi contenuti in tali principi e linee guida vincolanti è essenziale per la pratica professionale di Internal Auditing31. Appartengono a tele categoria:
▪ Principi Fondamentali per la pratica professionale di Internal Auditing. Tali principi sono costituiti, a loro volta, da dieci precetti che devono essere presenti ed applicati in modo ottimale nella loro interezza, per poter considerare efficace un’attività di IA:
23
1. Agire con manifesta integrità.
2. Dimostrare competenza e diligenza professionale.
3. Mantenere obiettività ed indipendenza di giudizio (libera da indebiti condizionamenti).
4. Operare in coerenza con le strategie, gli obiettivi e i rischi dell'organizzazione.
5. Avere un appropriato posizionamento organizzativo e risorse adeguate al ruolo.
6. Dimostrare elevati standard qualitativi ed essere orientati al miglioramento continuo.
7. Comunicare con efficacia.
8. Fornire una risk based assurance.
9. Operare con un approccio propositivo, proattivo e lungimirante. 10. Favorire il miglioramento dell'organizzazione.
▪ Definizione di Internal Auditing (si veda il paragrafo 1.2)
▪ Codice etico.
Lo scopo del codice etico è quello di promuovere la cultura etica nell’esercizio della professione di internal auditing; risulta dunque uno strumento necessario e appropriato per l’esercizio dell’attività professionale di IA, che è fondata sulla fiducia indiscussa nell’obiettività dei suoi servizi di assurance riguardanti la governance, la gestione dei rischi e il controllo.
Il codice etico si compone di 4 principi relativi alla professione ed alla pratica di internal auditor, nonché nelle regole di condotta necessarie per attuarli (si veda tabella 3).
24
Principi Regole di condotta- L'auditor
1) Integrità - L'integrità dell'internal auditor permette lo stabilirsi di un rapporto fiduciario e quindi costituisce il fondamento dell’affidabilità
del suo giudizio professionale.
1.1 Deve operare con onestà, diligenza e senso di responsabilità.
1.2 Deve rispettare la legge e divulgare all’esterno solo se richiesto dalla legge e dai principi della professione. 1.3 Non deve essere consapevolmente coinvolto in nessuna attività illegale, né intraprendere azioni che possano indurre discredito per la professione o per l’organizzazione per cui opera.
1.4 Deve rispettare e favorire il conseguimento degli obiettivi dell'organizzazione per cui opera, quando etici e legittimi.
2) Obiettività - Nel raccogliere, valutare e comunicare le informazioni attinenti l’attività o il
processo in esame, l’internal auditor deve manifestare il massimo livello di obiettività professionale. L’internal auditor deve valutare in modo equilibrato tutti i fatti rilevanti, senza venire indebitamente influenzato da altre persone o da
interessi personali nella formulazione dei propri giudizi.
2.1 Non deve partecipare ad alcuna attività o avere relazioni che pregiudichino o appaiano pregiudicare l’imparzialità della sua valutazione. In tale novero vanno incluse quelle attività o
relazioni che possano essere in conflitto con gli interessi dell’organizzazione.
2.2 Non deve accettare nulla che pregiudichi o appaia pregiudicare l’imparzialità della sua valutazione. 2.3 Deve riferire tutti i fatti significativi a lui noti, la cui omissione possa fornire un quadro alterato delle attività
analizzate.
3) Riservatezza - L’internal auditor deve
rispettare il valore e la proprietà delle informazioni che riceve ed è tenuto a non divulgarle senza autorizzazione, salvo che lo impongano motivi di
ordine legale o deontologico.
3.1 Deve acquisire la dovuta cautela nell’uso e nella protezione delle informazioni acquisite nel corso dell’incarico.
3.2 Non deve usare le informazioni ottenute né per vantaggio personale, né secondo modalità che siano contrarie alla legge
o di nocumento agli obiettivi etici e legittimi dell’organizzazione.
4) Competenza -Nell’esercizio dei propri
servizi professionali, l'internal auditor utilizza il bagaglio più appropriato di conoscenze,
competenze ed esperienze.
4.1 Deve effettuare solo prestazioni per le quali abbia la necessaria conoscenza, competenza ed esperienza. 4.2 Deve prestare i propri servizi in pieno accordo con gli
Standard internazionali per la Pratica Professionale dell’Internal Auditing
4.3 Deve continuamente migliorare la propria preparazione professionale nonché l’efficacia e la qualità dei propri servizi.
Tabella 3 – Principi e regole di condotta del codice etico
25
▪ Standard Internazionali per la pratica professionale dell'internal auditing (Standard).
Gli Standard Internazionali, infine, contengono le indicazioni su come deve essere svolta l’attività di IA e, in particolare, forniscono un quadro di riferimento per lo sviluppo e l’effettuazione delle attività, definiscono i parametri per la valutazione delle prestazioni e promuovono il miglioramento dei processi organizzativi e operativi. Negli standard internazionali si distinguono gli standard di connotazione (serie 1000), che riguardano le caratteristiche delle organizzazioni e degli individui che svolgono l’attività di IA, e gli standard di prestazione (serie 2000), che riguardano la natura e le modalità di svolgimento di tale attività. Tali
standard vengo sottoposti, periodicamente, a revisione da parte
dell’International Auditing Standard Board (IASB). A tal proposito si veda la tabella 4.
26
Tabella 4 - Standard Internazionali
Standard di Connotazione Standard di prestazione
1000 Finalità, poteri e responsabilità 2000 Gestione dell'attività di internal audit 1010 Riconoscimento delle Guidance vincolanti
nel mandato di internal audit 2010 Pianificazione
1100 Indipendenza e obiettività 2020 Comunicazione e approvazione
1110 Indipendenza organizzativa 2030 Gestione delle risorse
1111 Interazione diretta con il board 2040 Direttive e procedure 1112 Ruoli addizionali del responsabile internal
auditing 2050 Coordinamento e affidamento
1120 Obiettività individuale 2060 Comunicazione al senior management e al board
1130 Condizionamenti dell'indipendenza o
dell'obiettività 2070
Prestatore esterno di servizi e responsabilità organizzativa dell'internal
auditing 1200 Competenza e diligenza professionale 2100 Natura dell'attività
1210 Competenza 2110 Governance
1220 Diligenza professionale 2120 Gestione del rischio
1230 Aggiornamento professionale continuo 2130 Controllo
1300 Programma di assurance e miglioramento
della qualità 2200 Pianificazione dell'incarico
1310 Requisiti del programma di assurance e
miglioramento della qualità 2201 Elementi della pianificazione
1311 Valutazioni interne 2210 Obiettivi dell'incarico
1312 Valutazioni esterne 2220 Ambito di copertura dell'incarico
1320 Comunicazione del programma di assurance
e miglioramento della qualità 2230 Assegnazione delle risorse per l'incarico 1321
Uso della dizione "Conforme agli Standard Internazionali per la pratica professionale
dell'internal auditing"
2240 Programma di lavoro dell'incarico 1322 Comunicazione di non conformità 2300 Svolgimento dell'incarico
2310 Raccolta delle informazioni
2320 Analisi e valutazioni
2330 Documentazione delle informazioni
2340 Supervisione dell'incarico
2400 Comunicazione dei risultati
2410 Modalità di comunicazione
2420 Qualità della comunicazione
2421 Errori e omissioni
2430
Uso della dizione “Effettuato in accordo con gli Standard
Internazionali per la pratica professionale dell’internal
auditing”
2431
Comunicazione di non conformità dell'incarico
2440 Divulgazione dei risultati
2450 Giudizi complessivi
2500 Monitoraggio delle azioni correttive
2600
Comunicazione dell'accettazione del rischio
Fonte: (elaborazione da)
27
Accanto alla categoria di prescrizioni vincolanti, come si è accennato, esiste una categoria di prescrizioni “fortemente raccomandate” nelle quali vengono descritte pratiche le professionali finalizzate all’effettiva implementazione del codice etico e degli standard internazionali. Esse comprendono:
▪ Guidance Attuative ed Interpretative:
mirano ad orientare l'approccio, le metodologie e la considerazione dell'attività di Internal Auditing ma non sono intese a dettagliare processi e procedure.
▪ Guidance Supplementari:
sono utilizzabili per la conduzione delle attività di internal audit e includono processi e procedure, strumenti, tecniche, programmi e approcci metodologici, compresi esempi di deliverables. Esse, a loro volta, comprendono:
- Global Technology Audit Guide (GTAG), riferite alla gestione, al controllo e alla sicurezza in materia di Information Technology (IT);
- Guides to the Assessment of IT Risks (GAIT), che descrivono le relazioni tra rischio d’impresa, i controlli essenziali all’interno dei processi di business, i controlli automatici e altre funzionalità IT critiche;
- le guide per il Settore Pubblico.
Oltre al framework di riferimento fornitoci dall’IIA, esistono anche altri importanti riferimenti che meritano di essere citati:
▪ American Institution of Certified Pubblic Accountants (AICPA); ▪ International Organization of Supreme Audit Institutions (INTOSAI); ▪ I principi internazionali di revisione;
▪ Indirizzi, direttive e linee guida della Corte dei Conti.
Sinora è stato descritto il framework di riferimento cui l’attività di IA deve sottostare affinché possa essere considerata efficace. Nel prosieguo del seguente paragrafo l’obiettivo sarà quello di fornire una trattazione di quelle che sono le fasi operative che caratterizzano un’attività di IA.
28
Innanzitutto, le finalità, i poteri e le responsabilità di IA necessitano di essere formalmente esplicitate in un mandato di audit che deve essere reso noto a tutti gli attori organizzativi ed approvato dal vertice dell’amministrazione. Il mandato di audit ha un valore intrinseco molto elevato poiché definisce il tipo di relazioni che lega l’IA con gli altri attori organizzativi, assolvendo ad una pluralità di funzioni quali: rappresenta il
commitment nei confronti della struttura da parte della figura apicale a cui riporta
direttamente, rende trasparente il ruolo e la posizione che riveste l’IA nell’ambito dell’amministrazione, specifica le tipologie di attività (di assurance e consulenza) delineandone i confini, i limiti, nonché i poteri.
Come ogni tipo di attività, anche l’attività di IA deve essere programmata al fine di stabilire la tipologia e la numerosità di attività di audit da eseguire e, soprattutto, l’oggetto da auditare e cioè “su cosa” effettuare tali attività di audit. Uno strumento utile per effettuare ciò è la mappatura dei processi: con tale operazione è possibile ricostruire, attraverso appropriate tecniche di modellizzazione, una mappa dei legami di tipo logico tra le attività lungo i processi gestionali. Conseguentemente, è necessario collegare ogni processo con i rischi ad esso associati al fine di andare ad individuare i processi su cui intervenire. La scelta dei processi su cui si decide di intervenire avviene in funzione del grado di priorità che viene associato al mix rischio-processo: ovviamente, priorità più alte verranno associate a quei processi considerati strategici in quanto in grado di offrire un alto contributo al perseguimento degli obiettivi predefiniti. Il documento che formalizza la programmazione dell’attività di IA è il piano annuale di
audit il quale consente, a livello strategico, di definire un ambito generale di intervento
coerente con gli indirizzi di governance e, a livello operativo, di programmare le attività coerentemente con le risorse disponibili.
Attraverso la redazione di un’apposita procedura di audit, approvata anch’essa dal vertice, è possibile avere una piena contezza dell’intera attività di IA. La procedura di
audit disciplina infatti non solo la fase di programmazione e di reporting ma anche le
modalità di classificazione, elaborazione ed archiviazione della documentazione, oltre a contenere una meticolosa e dettagliata descrizione delle operazioni da svolgere (si veda la figura 2). Nonostante la forma ed il contenuto dipendano dalle caratteristiche di ogni specifica struttura di IA, dal tipo di realtà organizzativa e dai compiti
29
dell’amministrazione in cui è inserita, la procedura di audit presenta, in estrema sintesi, due obiettivi:
- il primo, di natura operativa, è quello di declinare, in maniera strutturata tutti gli step dell’attività di IA, e cioè le modalità da seguire per valutare l’architettura del sistema dei controlli ed il loro funzionamento, per definire l’eventuale piano di azione finalizzato a mitigare le criticità, a monitorarlo e a valutarlo, ed infine per regolare l’attività di reporting;
- il secondo, di natura culturale, è quello di riuscire a promuovere un rapporto collaborativo basato sulla fiducia attraverso procedure trasparenti.
Figura 2 – Procedura di audit
Fonte: rielaborazione da NUCCI G. (2016), L’Internal Audit nelle amministrazioni pubbliche
30
Fermo restando l’importanza riconosciuta a ciascun elemento che la compone, la parte della procedura di audit che assume sicuramente più rilevanza riguarda il processo di audit. Come si evince dalla figura 2, il processo di audit si articola attraverso una fase preliminare ed una fase esecutiva.
La fase preliminare (illustrata in figura 3) ha come obiettivo l’emanazione di un programma di lavoro che contiene la descrizione delle attività da svolgere nel corso della successiva fase esecutiva e la previsione del tempo necessario per svolgere l’audit.
Figura 3 – Processo di audit: fase preliminare
31
Questa prima fase preliminare si articola, a sua volta, in due step: l’apertura dell’attività di audit e l’approvazione del programma di audit. L’apertura dell’attività di
audit inizia con l’attribuzione dell’incarico da parte del responsabile di IA ad un team.
Può accadere che, nell’ambito di determinate materie, sia necessario il supporto di un professionista specializzato che possa, attraverso le proprie competenze, garantire un corretto svolgimento dell’attività relativamente a quella determinata materia: in tale fattispecie, si procederà ad integrare il team con la nomina dell’esperto della materia. Successivamente si procederà a trasmettere una comunicazione di avvio dell’attività al responsabile della struttura da auditare e, per conoscenza, al vertice dell’amministrazione. Generalmente, il contatto con la struttura da auditare è tendenzialmente tempestivo in quanto è possibile, anche in maniera informale (ad es. tramite una mail o una telefonata), informare i soggetti responsabili della struttura su quelle che saranno i documenti informativi da fornire al momento dell’audit. Nel secondo passo il responsabile dell’IA definisce il programma di lavoro predisposto dal
team, in cui sono esposti i parametri fondamentali dell’attività e le operazioni da
svolgere nella fase esecutiva quali ad esempio:
- i dati e le informazioni da acquisire e le modalità con cui acquisirle (interviste, questionari, checklist ecc.);
- i rischi associati all’attività di audit e gli obiettivi del controllo; - le verifiche da eseguire;
- le eventuali attività da svolgere di competenza dell’esperto della materia; - la previsione delle giornate necessarie per lo svolgimento dell’attività. La fase esecutiva (illustrata in figura 4), invece, ha come obiettivo la raccolta, l’analisi e la valutazione delle evidenze che vengono riportate nelle cosiddette “carte di lavoro” del team.
32
Figura 4 – Processo di audit: fase esecutiva
Fonte: NUCCI G. (2016), L’Internal Audit nelle amministrazioni pubbliche, Il sole24 ore, Milano.
A seguito del lavoro svolto dal team, si procede alla redazione dei documenti finali dell’attività di IA: la relazione finale e l’eventuale piano di azione per il quale può essere programmato il follow up.
Nel primo documento (relazione finale) vengono formalizzati la valutazione dei risultati e i cosiddetti rilievi (ovvero osservazioni rilevate in presenza di criticità o anomalie). Nei piani di azione, invece, sono esplicitate le azioni correttive da mettere in atto per superare le criticità rilevate, nonché il responsabile della loro esecuzione e il termine entro il quale tali azioni correttive dovranno essere attuate. Nella fase di follow up, infine, il responsabile dell’attività di IA insieme al team provvedono, periodicamente, al monitoraggio dei piani delle azioni correttive e alla valutazione degli esiti dei piani stessi per poter esprimere, alle dovute scadenze, un giudizio finale sulla struttura
auditata.
33
Capitolo II
L’Internal Audit nelle Pubbliche Amministrazioni:
introduzione al controllo sui fondi strutturali e di
investimento europei
“L’internal audit – se affidata a chi, con oggettività, esperienza ed equilibrio, sa organizzarla – è utile per far conoscere in profondità, ai suoi responsabili, la struttura organizzativa, per quanto complessa, alla quale essi vengono preposti,
per apprezzarne i pregi ma, al tempo stesso, per evidenziarne i limiti, le inefficienze, le diseconomie ascrivibili alle procedure o alle persone che in esse
e per esse operano. Estremizzando, essa consente ad una amministrazione – e alle sue apicalità – di contemplarsi e giudicarsi, come davanti ad uno specchio.
Ma, come la vita insegna, lo specchio è di per sé muto, in verità, e dunque è vano chiedergli ‘chi sia la più bella’. E se la domanda è posta, da chi vi si riflette, con una risposta precostituita, l’effetto fuorviante di quest’ultima può
sensibilmente enfatizzarsi, negativamente” (Italo Volpe, 2016)
34
Dopo aver presentato nel capitolo I, seguendo un’impostazione quanto più generale, l’attività di internal audit, sia sotto il profilo della sua evoluzione storica sia sotto il profilo della sua natura operativa, nel seguente capitolo si farà riferimento all’attività di internal audit con specifico riferimento al settore pubblico e, in particolare, alla gestione dei fondi strutturali europei. Il paragrafo 2.1 avrà ad oggetto una panoramica dell’iter evolutivo dei sistemi di controllo che ha caratterizzato, a partire dagli anni Novanta, il tessuto delle Pubbliche Amministrazioni italiane. Nei successivi paragrafi, invece, verrà introdotto il tema dei fondi strutturali europei: lo scopo sarà quello di fornire al lettore una panoramica sulle modalità di funzionamento e gestione di questi strumenti finanziari attuativi delle politiche comunitarie affinché possa essere inteso appieno ciò che verrà esposto nel successivo capitolo III. La scelta di trattare tale argomento è stata dettata fondamentalmente dalla passione per tale settore: passione che ho avuto modo di coltivare sia attraverso il mio percorso formativo sia attraverso le esperienze pratiche che hanno caratterizzato la mia crescita e che mi hanno permesso di toccare con mano tale realtà e di restarne affascinata, nonostante la complessità che la caratterizza.
35
2.1 L’evoluzione dei controlli nelle Pubbliche Amministrazioni.
Quando si fa riferimento alle amministrazioni pubbliche, solitamente, il primo meccanismo che si innesca nella nostra mente è quello di associarle a qualcosa di negativo: corruzione, cattiva gestione, poca efficienza, scarsità del livello dei servizi forniti, burocrazia, eccesso di personale (a volte poco qualificato), di procedure e di norme (quante? troppe e troppo poco chiare) e, nonostante queste ultime, assenza, o meglio, carenza di controlli. Nonostante questa tragica rappresentazione delle amministrazioni pubbliche, il nostro Paese è in grado di fornirci anche l’esempio di realtà virtuose, a testimonianza del fatto che solo attraverso la volontà di individuare ed analizzare le criticità e, conseguentemente, mettere in atto meccanismi volti al loro superamento che si può creare e rafforzare un sistema di valori e di competenze tali da permeare a qualsiasi livello e rendere efficaci le nostre amministrazioni pubbliche.
C’è dunque un’esigenza di controllo che deve essere soddisfatta. Esigenza che equivale, in termini macro-economici, ad una domanda di controllo. Nella figura 5 viene illustrata la domanda di controllo relativamente al settore pubblico ed al settore privato: essa viene scomposta, a sua volta, in domanda interna (che nasce internamente alla struttura stessa e dunque dal management) e in domanda esterna (che nasce indirettamente da soggetti non appartenenti alla struttura).
Fonte: HINNA L. (2002), Pubbliche Amministrazioni: cambiamenti di scenario strumenti di controllo interno, CEDAM, Padova.
36
Si noti la relazione inversa esistente tra la domanda pubblica e quella privata: mentre nel settore pubblico la domanda esterna, quella dell’opinione pubblica, è molto forte, nel settore privato assume un’intensità diametralmente opposta poiché essa dipende dal comportamento della concorrenza: questo vuol dire che un livello di controlli molto basso non produce effetti immediati sull’immagine dell’azienda sul mercato, ma probabilmente, nel medio-lungo periodo, tale carenza si manifesterà sulla qualità del prodotto/servizio, sull’efficienza, sui costi, orientando il mercato su altre aziende concorrenti. Viceversa, se si guarda alla domanda interna si rileva un’inversione di tendenza nell’atteggiamento del settore pubblico e di quello privato: mentre nel settore privato il management presenta un’esigenza di controlli molto forte (poiché è nell’interesse stesso del management garantire la sopravvivenza e lo sviluppo dell’azienda), nel settore pubblico, invece, la necessità di controllo da parte del
management risulta essere molto debole. Questo viene spiegato alla luce del fatto che,
mancando in tale settore un confronto con il libero mercato, la domanda interna si spegne e permette di innescare nella mentalità dominante del management pubblico la “cultura del precedente” e la scarsa fiducia nei confronti dei cambiamenti, sia nel breve che nel medio-lungo periodo32. Inoltre, se si considera che i tempi di attuazione di un cambiamento sono scanditi e fortemente connessi agli iter normativi e procedurali tipici delle amministrazioni pubbliche, si spiega come mai la domanda interna di controllo si è sviluppata, negli anni addietro, in maniera così debole e graduale e si è soffermata principalmente su aspetti formali ed amministrativi, guardando poco ad elementi relativi all’efficienza, all’economicità ed alla produttività.
Il processo evolutivo dei controlli interni nelle amministrazioni pubbliche affonda le sue radici nella fine dell’Ottocento quando, come afferma Hinna (2002), «la struttura dei controlli interni catturava ancora gli avvoltoi e lasciava passare i moscerini». È vero, però, che il sostanziale processo di trasformazione che ha interessato gli apparati amministrativi italiani si registra soltanto a partire dagli anni Ottanta e Novanta, epoca in cui si inizia a plasmare, attraverso interventi legislativi, una nuova cultura del controllo permeata da un’intensa filosofia gestionale in base alla quale «non può essere
32 HINNA L. (2002), Pubbliche Amministrazioni: cambiamenti di scenario e strumenti di controllo
37
considerata buona (o buono l’andamento di) quell’Amministrazione che non sia in grado di raggiungere gli obiettivi prefissati nei tempi prestabiliti o che utilizzi strumenti inadeguati o con costi troppo elevati, né può essere considerata buona (o buono l’andamento di) quell’Amministrazione che non sia in grado di garantire la legittimità di tutta l’attività che sottende il complesso dei processi gestionali attivato dall’Amministrazione stessa. Pertanto, l’attività amministrativa non solo deve attuare ogni criterio gestionale mirato all’efficienza dell’azione (ottimizzazione del rapporto risorse-interventi), ma deve anche assicurare la conformità al quadro normativo di riferimento33».
33CAMARDA L. (2006), in Aa.Vv., L’ordinamento provinciale, cit., p. 753, Giuffré, Milano.
Figura 6 – Evoluzione normativa dei controlli in Italia
Fonte: HINNA L. (2002), Pubbliche Amministrazioni: cambiamenti di scenario strumenti di controllo interno, CEDAM, Padova.
