Il processo di Audit: che cos’è e come può essere condotto in maniera efficace. (mini-guide)

Il termine Audit proviene da “ascolto”. Le origini della parola risalgono al mondo romano ed indicavano quei soggetti che controllavano l’amministrazione del denaro pubblico mediante “l’audizione” dei risultati contabili. Quindi il termine veniva impiegato per indicare delle attività di controllo di natura fiscale e contabile.

Questa parola viene oggi comunemente impiegata indicando uno strumento per capire se nelle varie aree ed attività di un “sistema aziendale” vengono rispettate le procedure predisposte, se sono chiari ruoli e doveri e se obiettivi e policy aziendale sono correttamente gestiti e perseguiti. Lo scopo è quello di adempiere agli obblighi normativi o ad ottenere/mantenere una certificazione dei sistemi di gestione qualora questi siano stati implementati in azienda. Ma soprattutto quello di assegnare adeguata copertura alle attività aziendali che presentano maggio grado di rischiosità.

Nel caso in cui l’azienda si sia già dotata di un sistema di gestione, in conformità, ad esempio, a quanto disposto dalle normative ISO, si rende necessario condurre periodicamente degli audit volti ad indagare se le procedure poste in essere siano compatibili con la realtà aziendale e se le stesse procedure siano correttamente applicate ed attuate.

Un audit efficace dovrebbe essere condotto da un auditor professionista di comprovata esperienza. L’attività dell’auditor dovrà avvenire in piena collaborazione con tutto lo staff aziendale. Ciò al fine di ottenere una raccolta dati più completa possibile che, indagando sulle cause, permetterà di evidenziare gli obiettivi mancati e le difformità rispetto al modello adottato. Solo in questo modo l’auditor, dopo aver mappato le aree di rischio, potrà prospettare soluzioni adeguate alla struttura e alle diverse esigenze aziendali.

Audit e gestione del rischio

La necessità di disporre di un modello di gestione del rischio, in ambito aziendale e in alcune categorie professionali, è stata particolarmente avvertita negli ultimi anni. Attraverso la gestione del rischio, infatti, si è in grado di controllare non solo l’assetto procedurale e organizzativo dell’ente, ma anche la salvaguardia del patrimonio aziendale, dell’assetto economico finanziario, nonché l’efficacia e l’efficienza dell’intera gestione aziendale.

Dalle varie disposizioni normative emerge una maggiore rilevanza attribuita sia ai sistemi di controllo interno e di gestione dei rischi, ma anche ai sistemi di responsabilità in capo alle società, al management e agli organi di controllo interno. Basti pensare ad esempio:

  • Regolamento UE n. 679/2016 e annesse Linee Interpretative emesse dal Garante della Privacy italiano;
  • il Decreto Legislativo 231/2007 in attuazione della direttiva 2005/60/CE concernente la prevenzione dell’utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo, come modificato ed integrato dal Decreto Legislativo 90/2017;
  • il Codice di Autodisciplina delle società quotate emanato da Borsa Italiana S.p.A.;
  • il Decreto Legislativo 231/01 e annesse Linee Guida approvate dalle principali associazioni di categoria (es. Confindustria, ABI, ecc.) per la costruzione dei modelli di organizzazione, gestione e controllo ex DLgs n. 231/2001;
  • articolo 2428 del Codice Civile e articolo 154 bis del TUF relativo all’attestazione di attendibilità sul contenuto della relazione sulla gestione da parte del Dirigente Preposto;
  • Standard Internazionali per la Pratica Professionale dell’Internal Auditing.

Come conoscere e verificare il proprio assetto organizzativo ed il rispetto delle diverse norme e standard? Conducendo uno o più audit.

Come si conduce l’audit

L’efficacia del processo di auditing dipende dalla tipologia di analisi condotta dell’auditor, dalla disamina dei protocolli, dalle modalità di acquisizione delle informazioni e dei dati ottenuti dall’auditor. Per avere una conoscenza completa dell’organizzazione aziendale, dunque, deve essere predisposta dall’auditor una adeguata e specifica procedura di analisi.
Ecco allora che la predisposizione di una check list è il primo step per la raccolta dei dati e delle informazioni, tenendo ben presente la realtà aziendale.
Nell’attività di audit si possono poi identificare tre macro categorie di impostazione:

  • per adeguamento normativo;
  • per ottimizzazione di specifico processo;
  • con domande integrative (estremamente personalizzata a seconda dei requisiti richiesti).

Ciascuna di queste categorie deve ricomprendere tre fasi:

  • 1. progettazione della verifica: identificazione delle aree da “auditare”, definizione degli strumenti da utilizzare e pianificazione delle attività di raccolta dati.
  • 2. analisi documentale e verifica dell’adeguatezza dei protocolli rispetto alla normativa interessata.
  • 3. Valutazione rispetto ai parametri audit e dei risultati ottenuti, elaborazione statistica degli stessi ed eventuale piano di miglioramento con le misure da adottare
  • .

E’ fondamentale almeno nella fase numero 2 l’acquisizione di informazioni attraverso interviste con impiegati, organi dirigenziali ed altre persone, ispezioni ed indagini, osservazioni sulle attività e le condizioni e l’ambiente di lavoro, richieste di conferma, ricalcolo o riesecuzione, nonché disamina di documenti specifici, procedure e prassi eventualmente istituite, procedure di analisi comparativa

Concluse queste fasi l’auditor potrebbe giungere a 2 risultati differenti:

  • le NON CONFORMITA’
  • le OSSERVAZIONI

L’auditor nel rilevare le non conformità o esprimere delle osservazioni, potrà nel primo caso dettagliare i gap riscontrati ossia i punti di discordanza tra quanto definito nelle procedure, o le inadempienze normative; nel secondo caso offrire indicazioni per l’applicazione di diversi processi finalizzati ad ottenere migliorìe, modifiche, attraverso i quali offrire obiettivi raggiungibili attraverso l’adozione di misure (processi, funzioni, ecc.) alternative.

A conclusione del processo di auditing, l’auditor dovrà procedere alla elaborazione di una relazione scritta, dalla quale emergeranno importanti spunti per il miglioramento dei processi, della gestione o dello stato di compliance dell’area indagata.

Per fare un esempio, al termine di un audit condotto su un sistema di gestione per la qualità, verranno prodotti dei risultati che forniranno il punto di partenza per identificare migliorie ai processi con l’obiettivo di offrire al cliente un prodotto/servizio perfettamente in linea con le sue aspettative.

In conclusione

Ogni azienda, come del resto ogni studio professionale, dovrebbe cogliere l’importanza di dotarsi di un sistema di controllo e di gestione dei rischi. Tale impianto è costituito da procedure, protocolli, strutture organizzative che garantiscono il corretto funzionamento dell’organizzazione. L’audit, in questo sistema, è lo strumento per eccellenza per valutare e monitorare l’adeguatezza delle misure adottate. Solo in questo modo, ragionando cioè in termini sistemici e procedurali, si riesce a salvaguardare il patrimonio dell’organizzazione, sia essa azienda o studio professionale.