Governance e controllo nella PMI

 Governance e controllo nella PMI

La crisi della PMI, cui si è aggiunta la drammatica congiuntura determinata dal COVID-19, è data da diversi fattori concomitanti, due dei quali sono certamente la mancanza di un’appropriata governance aziendale e un adeguato sistema di controllo. La governance aziendale stabilisce gli standard e definisce le procedure; i controlli interni assicurano che standard e procedure siano rispettate. Non monitorare attentamente le politiche contabili, trascurando di identificare e classificare in modo adeguato temi come i ricavi, gli oneri finanziari, gli inventari, la svalutazione di attività, ecc. significa muoversi nella più totale approssimazione. Se si pensa che ancora oggi la proposta consulenziale di maggior successo per le PMI è il controllo di gestione, non ci si può meravigliare se la crescita e l’espansione non risultino tra le priorità delle stesse PMI. Anzi, per quelle imprese coraggiose, ma imprudenti e prive di governance, che intraprendano l’internazionalizzazione, questa si trasforma in un boomerang terribile, che ne determina la morte. Un utilizzo disinvolto e personale delle risorse aziendali e assenza di rendiconti finanziari strutturati e ricorrenti, sono problemi comuni che le PMI devono affrontare a causa dell’assenza di sistemi di controllo interni. Certo che se chi dovrebbe essere interessato a che si implementino i sistemi di controllo è il primo a non volerli, non si va molto lontano. Ma, la realtà è implacabile: le aziende che si concentrano su una governance efficace con un processo di audit integrato e lavorano per raggiungere un’attribuzione credibile del loro rischio sistemico, sono quelle che raggiungono prima e meglio il successo, godendo, tra l’altro, di molteplici fonti di finanziamento.

Dall’articolo del 2011 di Dominic S. B. Soh e Nonna Martinov-Bennie, “The internal audit function: Perceptions of internal audit roles, effectiveness and evaluation”, si evince che il problema non è solo italiano, ma globale. Ma, mentre negli altri paesi europei e negli USA il tema è la scarsa qualità dei processi di audit e le rudimentali governance esistenti, da noi, a distanza di dieci anni dall’articolo, si parla di assenza totale di entrambi. Cercare risorse nel mercato finanziario evoluto, significa competere con l’universo mondo, spesso più attrezzato sul tema e, quindi, più credibile e rassicurante. La crescita non passa solo dalle buone idee, requisito essenziale, ma anche dalle buone pratiche di controllo. Ora, dopo le dichiarazioni di merito generale, provo a dare qualche indicazione pratica.

In linea di massima ci sono tre tipi di controllo (vedi la relazione dell’Institute of Internal Audit – IIA, 2015):

  1. preventivo;
  2. investigativo;
  3. correttivo.

I controlli preventivi sono per lo più basati su processi e attribuiscono i ruoli e gli approcci al controllo, in funzione del “posizionamento” all’interno del flusso procedurale. Il principio base è quello della separazione operativa e di responsabilità dei passaggi chiave. Un esempio classico è la separazione delle funzioni e responsabilità tra chi propone una spesa, chi la approva e chi la effettua concretamente. Lo stesso potrebbe avvenire per l’accettazione di una resa o l’emissione di un rimborso.

I controlli investigativi sono controlli interni ex post progettati per identificare problemi che già esistono. Volendo restare negli esempi già fatti, la riconciliazione dei conti bancari a seguito di specifiche operazioni come pagamenti, rimborsi o altro, appartiene a questa famiglia. Ma anche la verifica degli inventari a seguito di una conta fisica o di un calcolo puramente contabile.

I controlli correttivi sono controlli interni che intervengono nel processo di riparazione delle problematiche create dallo scostamento dalle performance standard legali, statutarie, procedurali, economiche, finanziarie o di planning.

Se è pur vero che l’efficacia dei controlli interni dipende dalle procedure utilizzate per le azioni preventive, investigative e correttive, è anche vero che l’autentico successo dipende dalla reattività della direzione, dalla corretta valutazione dei risultati e dalla qualità delle azioni di follow-up. Sulla base delle linee guida del CoSO (Committee of Sponsoring Organizations of the Treadway Commission) in materia di ERM – Enterprise Risk Management, si possono identificare nove parametri fondamentali dei controlli interni.

  • La metodologia è il cuore dell’attività di auditing, in quanto riflette l’approccio alla valutazione e alla qualità della stessa. La metodologia deve riflettere, per esempio, la modalità ottimale per ottenere la perfetta corrispondenza tra i dati raccolti e la lista di dati d’acquisirsi. Acquisire dei dati senza sapere se sono quelli giusti o, peggio, se sono tutti quelli acquisibili e necessari, inficia la validità stessa della metodologia. L’efficacia della metodologia deve garantire la qualità e profondità dei dati raccolti per la revisione.
  • La documentazione si riferisce all’archiviazione e al recupero delle informazioni per il processo di audit e il follow-up.
  • La pianificazione si riferisce alla definizione dei piani operativi, finanziari e strategici del processo di audit, con la definizione dei tempi e della qualità delle risorse.
  • Le persone che sono deputate alle attività di audit devono essere formate in modo appropriato e avere la consapevolezza delle loro responsabilità. Inoltre, devono essere dotate di sufficiente autonomia per condurre liberamente la loro attività.
  • Il sistema (prevalentemente informatico) si riferisce al livello dei flussi di informazioni standardizzate e all’affidabilità dei documenti che le rappresentano per il processo di valutazione.
  • Il rischio si riferisce alla profondità delle valutazioni sullo stesso, sia esso operativo o strategico, e dei relativi piani di mitigazione e recupero.
  • La revisione riguarda la fase di doppio controllo della qualità dei processi di audit finanziari e non finanziari, soprattutto sotto il profilo operativo.
  • La proprietà (ownership) e la responsabilità indicano se l’audit è una funzione silos, non soggetta al controllo delle funzioni aziendali e con ownership diffusa e condivisa in azienda o un’attività guidata con ownership e controllo affidata ai vari leader.

La tabella 1 presenta gli elementi che compongono le aree chiave dell’audit interno e la loro maturità e le fasi ad ogni livello.

Fasi di maturità dei controlli interni
Livello 1Livello 2Livello 3Livello 4Livello 5
DocumentazioneDocumentazione solo ad hoc e disorganicaDocumentazione scarna e non monitorata

regolarmente

Documentazione strutturata

ma non monitorata

Documentazione strutturata

monitoraggio dei

rapporti

Documentazione ampia, completa e strutturata

con una dettagliata

procedura di monitoraggio

PianificazioneNessuna pianificazionePianificazione basata su

procedure operative standard principalmente

finanziarie

Pianificazione basata su strumenti per la misurazione della redditività e delle leve economiche e finanziariePianificazione di un approfondito controllo dei driver della redditività, sulla base dei parametri del settore e pianificazione dei processi d’intercettamento dei fattori di costo anomali. Coinvolgimento estemporaneo del top managementLa pianificazione supporta le strategie aziendali attraverso svariati misuratori e si avvantaggia di tecniche di business intelligence. Il top management è pienamente coinvolto.
PersoneSemplici auditor con competenze di revisione

e nessuna conoscenza del settore di riferimento

Personale interno con funzione di audit, ma con

limitata conoscenze di business e scarse

risorse

Personale con un ragionevole mix di

Competenze di revisione tradizionale

e di business

Revisori esperti

con una ragionevole

esperienza di

business e

nel settore specifico

Grande mix di

tradizionali

competenze di revisione ed

esperienza nel settore

completate da

conoscenza delle dinamiche di business e pensiero

critico

SistemaSolo manuale

dei sistemi

Manuale dei sistemi e tecnologie di raccolta, registrazione e memorizzazione dei datiSistemi per l’acquisizione e la condivisione dei dati con alcuni

auditor in tempo reale

Sistemi real time di acquisizione dati e auditingTecnologia leader

(data mining,

analisi, ecc.) e

auditing in tempo reale

accessibile da

ovunque

Risk ManagementValutazione del rischio limitata, nessuna identificazione formale, né piani di mitigazione e recuperoValutazione focalizzata del rischio, approccio una tantum, piani limitatiValutazione più ampia del rischio (sia a livello micro che macro), identificazione formale e metodi di mitigazione e recuperoValutazione completa e olistica del rischio (sia a livello micro che macro)Ampia e completa valutazione olistica del rischio (sia a livello micro che macro), ampia gestione del rischio
Revisione L’attenzione è principalmente sulle transazioni finanziarie e su processi di revisione specifici.L’attenzione è principalmente sulle transazioni finanziarie e di compliance, è ragionevolmente formale, con un follow-up limitatoL’attenzione è principalmente sulle transazioni finanziarie, di compliance e operative con rapporti formali e periodici di follow-upL’attenzione si concentra principalmente sulle transazioni finanziarie, di compliance, operative e sui sistemi IT con rapporti formali e periodici di follow-upAmpia revisione delle transazioni finanziarie, di compliance, operative e dei sistemi IT, seguita da un rapporto di follow-up formale e continuo
Ownership e responsabilitàLimitato a un dipartimento, poche risorse, per lo più analisi post-hoc, incline ai rischi di esecuzioneResponsabilità ampiamente definite a livello di business e ownership a livello di Business leaderA quanto descritto al livello precedente, si aggiunge qualche risposta proattiva a livello di singolo ufficioOwnership e responsabilità ben definite a livello di gestori dei processi, leader dei processi, management e direzioneIntegrazione a tutti i livelli, dal responsabile del processo, al leader, alla direzione e al board, insieme a controlli dettagliati del rischio

Continuare a ripetere che la PMI è la grande risorsa del nostro paese, ma non avere il coraggio (o l’interesse) di dichiarare cosa sia meglio per essa, equivale ad incrementare il senso di smarrimento e frustrazione di quegli imprenditori che non aspettano altro che ricevere il giusto e qualificato sostegno per uscire da un’impasse infinito. Governance e controllo non sono più un’opzione, sono una componente irrinunciabile del business, proprio nel momento stesso in cui si stia pensando come ampliarlo e farlo crescere. Solo in un contesto con procedure e controlli codificati si può innestare una nuova avventura imprenditoriale di allargamento del proprio business, perché l’obiettivo di un imprenditore non dev’essere solo prendere rischi, ma cogliere tutte le opportunità, in un quadro di rassicurante certezza che il rischio, inevitabile, sia monitorato e controllato.

Giuseppe Andò

https://www.linkedin.com/in/giuseppeando/

C-level, Executive, Team & Career Coach. Associate Coach Marshall Goldsmith Stakeholder Centered Coaching. Member of Board EMCC Italia (European Mentoring & Coaching Council).

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.