· COVER STORY
a cura di Twister
CHE COSA CHIEDONO
LE AZIENDE ALL’IA
Nel corso dell’ultimo CAE Program è emerso come l’attenzione ai rischi emergenti, alla cultura aziendale
e all’utilizzo pervasivo delle tecnologie digitali siano fra le richieste più urgenti dei vertici imprendito-
riali, determinate dall’evoluzione del business e dal mutevole contesto economico globale. Dal confronto
tra Chief Audit Executive e manager, ecco le soluzioni e le risposte concrete per affrontare il cambiamento
A
nati a partire da una visione complessiva delle principali tendenze nelle imprese non- ché dei maggiori rischi e op- portunità, con riferimento sia ai macro trend economici internazionali sia al tema della trasformazione e dell’in- novazione digitale. Questi i temi al centro del secondo evento istituzionale del CAE Program di AIIA Gli scenari futuri della professione di Internal Audit, organizzato in collaborazione con KPMG. Focus dell’incontro è stata la discussione sui trend della professione in atto, come ha af- fermato in apertura il Direttore Generale di AIIA Rober- to Fargion, partendo dai risultati di un progetto di ricerca condotto da sette Paesi europei – tra cui l’Italia – e patro- cinato dall’ECIIA (European Confederation of Institutes of Internal Auditing). Alla luce di questa indagine, CAE e manager si sono confrontati sulle principali aspettative degli stakeholder nei confronti della funzione di Internal Audit, tema che ha, inoltre, costituito lo spunto generale della qualificata Panel Discussion al centro dell’evento.I RISCHI EMERGENTI
I CAE interpellati nell’indagine hanno certificato che i rischi per le aziende sono in aumento e che in vetta alla classifica 2019 vi sono cybersecurity e data protection
commercio internazionale applicate da alcuni Stati.
Il Presidente dell’AIIA, Maurizio Bonzi, commentando proprio la ricerca europea ECIIA Risk in Focus 2019 - Hot Topics for Internal Auditor (v. articolo di copertina su IA n. 98), ha rilevato che “nella quotidiana attività di Internal Auditor si devono considerare i rischi strategi- ci che mettono a repentaglio le aziende in cui operiamo.
Cybersecurity, problematiche della rapida evoluzione tecnologica e data protection rimangono al centro delle preoccupazioni nelle aziende in tutto il mondo, tenendo presente che non soltanto i sistemi tecnologici interni ma anche quelli dei nostri clienti e fornitori sono vulnerabili alle intrusioni. L’Internal Audit deve operare sui sistemi di governance per capire come l’azienda è strutturata per proteggere e custodire le proprie informazioni. La di- gitalizzazione e la sostenibilità, anch’esse inserite nella ricerca tra i rischi, appaiono più come delle opportunità che possono essere utilizzate soprattutto da aziende già organizzate per gestire al meglio queste problematiche”.
Un recente sondaggio KPMG disegna un quadro preciso dei vari elementi di rilievo che devono essere tenuti in con- siderazione dai protagonisti della professione come oppor- tunità/sfide, in un contesto caratterizzato da forte innova- zione e rapido cambiamento.
A seguire un’analisi di dettaglio su alcuni spunti emersi.
· COVER STORY
PRODURRE VALORE
Nicolò Zanghi, partner KPMG Advisory, ha presentato in apertura dell’incontro il sondaggio Seeking value through Internal Audit, nell’ambito del quale KPMG ha interpel- lato, a livello internazionale, CFO e presidenti degli Audit Committee sulle aspettative nei confronti della professio- ne: emerge chiaramente che, in uno scenario in forte evo- luzione o, ancora meglio in “disruption”, proprio i rischi emergenti sono la categoria che gli Internal Auditor devo- no guardare con maggiore attenzione.
Solo il 10% di CFO e presidenti di Audit Committee (Figu- ra 1) ha una ragionevole aspettativa che l’Internal Audit sia
“sul pezzo” rispetto ai rischi emergenti, mentre il resto del campione o non ha un’opinione (85%) o pensa invece che l’Internal Auditor non possa portare contributi significa- tivi da questo punto di vista (5%). Ciò ha rappresentato il punto di partenza per la verifica di quali siano le opportu- nità di evoluzione e di crescita della professione.
Gli stakeholder si aspettano soprattutto una maggiore di- versificazione degli skill dell’Internal Audit: il 61% ritiene che si debba giocare a tutto campo e si debbano mettere a disposizione tutte le capacità necessarie per poter produr- re un efficace reporting e un’analisi del sistema di controllo interno e della governance (Figura 2)
Per fare questo, l’IA dovrebbe diversificare il portafoglio
delle proprie attività, che non possono più essere soltan- to quelle tradizionali sui processi ma anche, per esempio, quelle che riguardano la Corporate Governance, tema di cui spesso si parla ma che non è usuale vedere in molti pia- ni di Audit delle organizzazioni, piuttosto che in un’attività concentrata sul tema estremamente attuale della cultura aziendale.
Viene quindi richiesto un ulteriore passo in avanti per una maggiore diversificazione degli skill e del portafoglio dei servizi, anche al fine di diventare più proattivi nei confron- ti dei numerosi stakeholder dell’Internal Audit.
La richiesta per quanto riguarda propriamente la funzione di IA, proveniente dal 50% degli stakeholder, è che produ- ca realmente valore e spunti interessanti di miglioramento dei processi e di protezione dai rischi e, in generale, dal 44% viene indicata la necessità di un miglioramento del- la qualità dei risultati. Il 55% richiede che l’Internal Audit sia in grado di affrontare la complessità che caratterizza l’organizzazione e il suo contesto e perciò ci si aspetta una maggiore corrispondenza alla difficoltà di raggiungere gli obiettivi.
Emerge qui un tema classico, ossia quello di diventare un business partner, per essere più vicini agli interessi e alla protezione degli obiettivi strategici dell’impresa anche quando questi si spostano in territori non necessariamente
Maggiore
55%
corrispondenza agli obiettivi
Diventare un business
47%
partner strategico
Utilizzare
38%
maggiormente la tecnologia
FIG. 2
COME DOVREBBE EVOLVERE
L’INTERNAL AUDIT?
DIVERSIFICARE
61%
abilità/attività
DIVENTARE PIÙ PROATTIVO:
Con gli stakeholder
51%
Apportando valore
49%
Come funzione
50%
Nel dare informazioni
44%
Apportando qualità
44%
FIG. 1 NUOVO APPROCCIO AL RISCHIO
La Funzione IA identifica e risponde adeguatamente ai rischi emergenti?
Totalmente d’accordo
0%
Abbastanza
d’accordo
10%
Nè d’accordo
né in disaccordo
85%
Abbastanza in disaccordo
5%
Totalmente in disaccordo
0%
ai quali, se si intende assumere il ruolo di business partner, bisogna porre la massima attenzione.
Il 38% del campione sostiene che l’Internal Audit debba poi diventare decisamente più evoluto in termini di utiliz- zo della tecnologia poiché ciò sicuramente aumenterebbe la velocità di esecuzione delle prestazioni.
L’esame degli scenari e delle problematiche che si verifi- cano negli ambienti aziendali in cui si stanno evolvendo i sistemi avanzati che stanno cambiando il modo di lavorare è stato al centro dell’analisi KPMG I processi di trasforma- zione e l’impatto della tecnologia, presentata al CAE Pro- gram da Danila De Pascale e Paolo Lavatelli, entrambi partner KPMG Advisory.
Nel contesto descritto dalla ricerca, dove rischi nuovi, come quelli geopolitici, si assommano alle insidie portati dall’innovazione tecnologica, occorre comprendere qua- le sia lo stato dell’arte e il livello di maturità della profes- sione di Internal Auditor in Italia e se sia attrezzata per
DISALLINEAMENTO IA - BUSINESS
Le considerazioni sulla trasformazione dei modelli di busi- ness, sui rischi emergenti e sui cambiamenti in atto in am- bito tecnologico nelle imprese hanno costituito spunti per la tavola rotonda moderata da Paolo Mantovano, partner KPMG Advisory. Tema centrale è risultato il gap tra Au- dit e Business: rispetto ai rischi evidenziati nelle analisi a livello internazionale, sembra infatti che l’Internal Audit focalizzi la propria attenzione su aree diverse rispetto a quelle prioritarie per le imprese. Per le aziende questo di- sallineamento è piuttosto evidente, come sottolineato da Massimo Ferrari, General Manager Corporate & Group CFO di Salini Impregilo, il quale ha confermato che “la distanza tra l’Internal Audit e il Business è una certezza e tale divario aumenta in continuazione in ogni settore.
Ciò è dovuto al fatto che la funzione di IA è ‘tirata per la giacca’ da più parti: soprattutto dalle normative, ma an-
· COVER STORY
che dalla Corporate Governance con tutti i ruoli e i giusti protagonismi che nel tempo si sono affermati. A piani di Audit già di per sé carenti rispetto alle risorse disponibili (e al follow up delle Audit precedenti), e mentre i rischi si aggiungono in continuazione, si affollano le richieste, per esempio, del Collegio Sindacale, del Presidente Comi- tato Rischi, delle Autorità di Vigilanza nei settori rego- lamentati. C’è però anche una buona notizia: i CEO e il management interpretano finalmente l’Internal Audit e le funzioni di controllo come uno strumento fondamentale per la gestione dell’azienda. E, in effetti, l’Audit è funzione chiave per operare un quadro di sintesi e questo per nu- merosi motivi: in primo luogo, per il suo posizionamen- to organizzativo gerarchico, affermatosi in tutti i settori come una funzione indipendente che riporta al Board; in secondo luogo, perché la categoria degli Auditor si è evolu- ta nel tempo, aggiungendo ottime metodologie e alta pro- fessionalità; e, infine, per le capacità acquisite nel gestire i vari ambiti di business, che sono uniche rispetto alle altre funzioni di controllo.
Rimane fondamentale il fatto che l’Internal Audit deve ge- stire una valutazione del sistema dei controlli e deve sup- portare il Board e il CEO nel continuo e non soltanto nel compito finale che fa periodicamente nella sua relazione”.
A conferma delle problematiche relative alla distanza per- cepita tra IA e business, Paolo Chiaverini, Chief Opera- ting Officer di Cerved Group, ha affermato che l’approccio dell’Internal Audit deve essere da business partner strate- gico, inteso come rapporto propositivo-consulenziale.
“Cerved Group è una data company che rappresenta un laboratorio perfetto come modello di interazione e colla- borazione tra business e sviluppo, essendo anche un’im- presa ad altissimo tasso di innovazione e una public com- pany in cui gli aspetti reputazionali sono molto rilevanti, divenuta anche una ‘agile company’. Gli Internal Auditor dell’azienda devono avere un ruolo ed un coinvolgimento
già a partire dallo sviluppo dei progetti, partecipando al cambiamento in modo diretto. Pertanto è necessario che in un’azienda che ha fatto un grande processo di trasfor- mazione ci sia anche un necessario cambiamento del ruo- lo dell’Internal Audit, più partecipativo e meno ispettivo.”
HELICOPTER VIEW
Ma che cosa si può fare allora per ridurre questo divario e chi può attivare un maggiore coinvolgimento dell’IA nei processi di business? Secondo Paola Schwizer, Presidente Nedcommunity, serve maggiore dialogo fra azienda e sta- keholder e bisogna porre al centro il concetto di integra- zione: “Il contesto in cui viviamo oggi, con cambiamenti continui e rischi molto visibili in tanti settori, crea infatti un ambiente competitivo molto turbolento, dove saper fare strategia diventa fondamentale e il rischio di commettere errori di valutazione diventa ben più alto. Tutti i processi strategici che guidano le scelte aziendali più importanti, compresi quelli di redazione dei business plan e dei pia- ni di Audit, andrebbero riformulati: non è più sufficiente basarsi su previsioni ed estrapolazione di tendenze, ma oc- corre soprattutto prepararsi ad affrontare sfide e scenari diversi.
Facendo un esempio riguardante il sistema bancario, ci si potrebbe chiedere: fra 3-5 anni esisteranno ancora gli istituti di credito come li abbiamo sempre conosciuti?
Quale impatto potrebbe avere sul settore, per esempio, il Fintech? In altri termini, al manifestarsi di prospetti- ve inattese, l’azienda sarebbe in grado di affrontare con successo le nuove condizioni competitive? Tali valutazioni non possono però trovare posto nelle sedi classiche in cui si svolgono le riunioni dei consigli di amministrazione o essere affrontate con gli strumenti tradizionali di analisi.
È necessario sviluppare capacità di immaginazione, con- testi e meccanismi nuovi di dialogo e confronto fra attori interni ed esterni. Per Nedcommunity, sarebbe fondamen-
tra i vari fattori che determinano le performance azienda- li. L’Internal Audit ha una formidabile capacità di leader- ship nello sviluppo di un processo di integrated thinking perché ha una “helicopter view” sui processi aziendali; può mettere a fattor comune le metriche e le informazioni che vengono prodotte dalle diverse aree e ricondurle a un siste- ma informativo al servizio dei processi strategici in capo al board, potendo monitorare l’evoluzione dei processi di trasformazione a 360 gradi e produrre knowledge sharing.
Perché ciò accada, è tuttavia fondamentale che l’IA, a sua volta, inizi a incorporare logiche di integrated thinking nella propria attività, ad esempio considerando informa- zioni e dati in tema di governance e altri fattori ESG, con cui ha meno familiarità”.
LA VISIONE DEL CAE
In un contesto aziendale in cui persistono ancora per- plessità sul ruolo che la funzione di IA deve rivestire, una risposta concreta arriva da Norbert Lommer, Chief Au- dit Executive di Allianz Italia. Se da una parte è univer- salmente riconosciuto il compito della funzione di IA di sovrintendere e garantire il Sistema dei controlli interni, si percepisce contestualmente il suo insufficiente coinvol- gimento nei processi di business. Lommer conferma come, nella sua realtà, sia invece da tempo intervenuta un’impor- tante inversione di tendenza: “oggi l’80% dei circa 40 in- ternal auditor del nostro gruppo proviene da un’esperienza importante di business. Negli ultimi anni il top manage- ment del Gruppo assicurativo Allianz ha investito molto su
curativo diventa un requisito fondamentale per poter for- nire un riscontro costruttivo in fase di audit. Chiaramente lo stesso discorso vale per tutti i processi aziendali relativi, per esempio, alla gestione finanziaria, amministrativa e a tutto il mondo IT. La sfida più importante che abbiamo affrontato in questo percorso evolutivo è stata il bilancia- mento tra le competenze di business con le competenze tecniche: l’internal auditor deve necessariamente avere una preparazione tecnica importante. Per questo motivo un grosso investimento è stato fatto anche sul fronte del- la formazione tecnica, attraverso corsi specifici in aula e affiancamento on the job. Oltre all’aspetto di business ri- tengo molto importante la conoscenza approfondita della strategia che l’azienda intende perseguire; per questo mo- tivo, a mio avviso, la partecipazione dei responsabili delle funzioni di audit ai comitati manageriali diventa fonda- mentale, per comprendere al meglio l’evoluzione del busi- ness e le scelte strategiche maturate e, personalmente, non credo che la partecipazione come uditore a questi comitati possa in alcun modo minacciare l’indipendenza della fun- zione. Del resto, come potrebbe l’IA essere vicina al busi- ness e supportarlo al meglio se il CAE non è aggiornato sulle strategie, le performance di business e le operazioni straordinarie?”.
La sfida per il futuro è quindi quella di condividere con l’Internal Audit le scelte strategiche promosse dalle azien- de, facendola partecipare ai comitati manageriali per crea- re i presupposti per svolgere al meglio l’attività e diventare un vero business partner strategico.
