Il numero complessivo dei controlli attivi in un’organizzazione è sempre estremamente alto. Fa parte del normale funzionamento di ogni processo o attività, partire da un obiettivo, definire delle regole per raggiungerlo, metterle in pratica e poi controllare costantemente l’allineamento rispetto l’obiettivo assegnato. Ogni controllo, qualunque esso sia, rappresenta una parte della conoscenza dell’organizzazione stessa e questa conoscenza deve essere riportata ai corretti responsabili perché possano decidere in modo consapevole, basandosi sui fatti, e creare del valore per l’organizzazione.
Il principale valore di un sistema di controllo è di rendere comprensibile ai vertici aziendali il legame obiettivo – rischio – controllo, assicurando tempestività e correttezza nelle valutazioni, per migliorare l’efficacia delle decisioni. È possibile raggiungere questo scopo ma servono delle metodologie pragmatiche e semplici, oltre a strumenti adeguati a supportare il modello di funzionamento stabilito, possibilmente riutilizzando parti di processi già esistenti in azienda ed incrementando la collaborazione tra di essi.
Controlli e organizzazione
I controlli non sono tutti dello stesso tipo. Possono essere specifici ad una macchina, ad un processo produttivo, alle prestazioni di una persona, ad una transazione finanziaria, alla soddisfazione cliente, all’esposizione di dati riservati, alle caratteristiche del prodotto, alla sicurezza fisica e così via. Alcuni hanno un risultato numerico ed altri qualitativo; alcuni hanno una frequenza regolare ed altri si applicano solo dopo un preciso evento; alcuni sono affidabili ed altri vanno attentamente verificati.
I controlli possono essere suddivisi in due grandi categorie:
- Controlli organizzativi—Controlli di alto livello, legati formalmente agli obiettivi aziendali e dedicati alle verifiche dei processi. Questi controlli sono rivolti al management e condivisi con ogni soggetto interessato.
- Controlli operativi—Controlli finalizzati a monitorare le performance di una specifica attività. Questi sono utilizzati dagli operativi e non hanno valore esternamente al processo proprietario.
Ad esempio, la verifica del pagamento di ogni fattura è operativo, mentre l’indicatore mensile del totale scaduto su pagato è organizzativo.
I soli controlli di interesse per il controllo interno sono quelli rilevanti per gli obiettivi aziendali, quindi una porzione di quelli chiamati organizzativi. Non si intende che i controlli operativi siano meno importanti ma i loro risultati sono già riassunti nei controlli organizzativi e comunque, per la loro numerosità e specificità, non sarebbero facilmente interpretabili dalla direzione aziendale. Con questa suddivisione, abbiamo compiuto una focalizzazione su un insieme di controlli che comporta una riduzione del loro numero, e benché rimanga alto, sarà più gestibile.
La corretta comunicazione dei risultati di valutazione del controllo organizzativo ai vertici aziendali è una parte fondamentale del controllo interno. Affinché la comunicazione sia efficace ed affidabile, serve una particolare attenzione a semplificare ogni complessità nella descrizione del controllo e ad attribuire schematicamente le responsabilità, per agevolare la comprensione e l’importanza del controllo stesso. Per semplificare, è anche possibile condensare in un singolo controllo di tipo organizzativo tutti i risultati dei controlli operativi tra loro omogenei. Ad esempio, il controllo organizzativo “obbligo di verifica della fatturazione” condensa in un unico elemento tutti i controlli di verifica di ciascuna fattura emessa o ricevuta. Difficilmente poniamo in relazione la singola fattura direttamente con gli obiettivi di business ma, il totale del fatturato e le modalità di composizione di tale numero, certamente sì. L’aggregazione, di molti controlli operativi su un singolo controllo organizzativo, riduce ovviamente il dettaglio ma aumenta la capacità di creare un vista d’insieme del funzionamento del processo e questo aiuta il management a percepire la presenza di eventuali anomalie.
Nei sistemi gestionali rilevanti, ogni singolo evento deve essere controllato, per dare garanzia degli aspetti autorizzativi e di correttezza. La numerosità dei controlli sui sistemi, però, non preoccupa minimamente perché saranno automatici. Non richiedono alcuno sforzo da parte del personale coinvolto perché un significativo aiuto a diminuire le operazioni di controllo è dato dall’uso di appositi strumenti software che simulano l’attività umana quali, ad esempio, CAATs1, gli RPA2 o gli AI Bots3.
In termini pratici, queste categorie di software fanno una o più di una delle seguenti funzioni, per esempio, correlare dati tra sistemi diversi, estrarre dei dati da un sistema per trasformarli in un metadato per un altro, inserire degli allarmi dal confronto tra sistemi diversi, ricercare specifiche combinazioni di dati, accedere ad informazioni di applicazioni su Internet, ripetere sequenze di comandi manuali, preparare delle sintesi ordinate secondo i criteri assegnati oppure distribuire le risultanza secondo workflow prestabiliti. Ci sono altre funzionalità ma già queste chiariscono l’enorme potenziale che deriva dall’impiego di queste classi di software automatizzati per svolgere attività ripetitive, molto complesse, senza errore e generalmente ritenute poco gratificanti dagli operativi.
Legami tra rischi e controlli
Queste considerazioni fanno capire che la selezione di quali controlli inserire nell’insieme dei controlli organizzativi, che costituisce la base del controllo interno, non è un problema da sottovalutare. I controlli di interesse sono gli stessi presenti nel Risk Register4 perché già abbinati agli obiettivi di business ed individuati tramite risk analysis, possiamo proprio dire che sono controlli basati sul rischio. Esiste un chiaro legame tra minacce, controlli e rischi per tramite della vulnerabilità (figura 1), che deriva direttamente dalle definizioni di questi concetti.
Nello stesso tempo, i controlli organizzativi sono analoghi a quelli utilizzati dal Capability Maturity Model (CMM)5, anche se con differente granularità, per preparare la mappa delle vulnerabilità aziendali6 perché, per sua definizione, è costituito da controlli rilevanti ai fini degli obiettivi aziendali. E’ intuitivo aspettarsi un forte legame tra i due strumenti, CMM e Risk Register, pur attinenti a due diversi processi organizzativi, il controllo interno e la gestione del rischio. In comune, dal punto di vista organizzativo, hanno lo stesso legame con gli obiettivi aziendali. I controlli sono legati tramite la valutazione delle prestazioni erogate mentre i rischi sono legati dalla valutazione della prospettiva futura di mancare l’obiettivo.
Il registro dei rischi è lo strumento atto a garantire che tutti gli scenari di rischio identificati siano presi in considerazione e incorporati nel profilo di rischio a livello aziendale. Brevemente, ogni scenario di rischio, è costituito da un record che lo descrive e lo valuta in funzione di, un evento che crea le condizioni di rischio, la risorsa od una sua parte da proteggere sia essa tangibile che intangibile, ed ovviamente tutti i fattori di rischi che caratterizzano lo scenario di rischio, descritti tramite una analisi SWOT7 (figura 2). È possibile dare enfasi ai fattori di rischio a maggior criticità con qualche simbolo grafico posto vicino al nome.
In questo scenario, sono rappresentate tutte le misure messe in atto per trattare il rischio. L’insieme delle misure di contenimento è formato da azioni o attività già implementate, dette controlli correnti, o attività pianificate per il futuro, dette contromisure. In generale ci riferiremo a questo insieme con il termine generico di controllo senza distinguere sul livello di attuazione di ciascuna misura. Questi controlli nascono come risposta di contrasto al rischio a seguito di un’analisi di rischio; quindi, dire che il controllo organizzativo viene stabilito nel registro del rischio è corretto.
Fattori di rischio di implementazione o efficacia del controllo, possono essere graficamente rappresentati sul controllo stesso, ad esempio con icone, simboli o colori. Aggregando i record del registro a parità di rischio oppure asset oppure controllo, si facilita la comprensione delle relazioni tra rischi o tra rischi e controlli, fornendo nel contempo la giusta attenzione verso quelli necessari di correzioni. La presenza dell’asset (che significa valore per l’organizzazione) su ogni riga (che rappresenta un rischio), aiuta a comprendere il valore reale del rischio. La comprensione dei fenomeni serve ad incrementare la fiducia sull’efficacia del trattamento dei rischi.
Sistema di gestione dei controlli
Il CMM è lo strumento usato per dare una valutazione di capacità a portare a termine il compito assegnato. Questa capacità è detta maturità ma il suo opposto, la vulnerabilità, è un sinonimo di rischio. È rappresentato da una lista con tutte le macro attività a livello aziendale che sono rilevanti per il raggiungimento degli obiettivi. La valutazione della macro attività è un controllo organizzativo, meglio se di tipo qualitativo, per permettere un giudizio che richiami facilmente il livello di applicazione della misura a cui fa riferimento. In generale il processo di valutazione è manuale (figura 3) ma, come già detto, per i controlli a livello di sistema è raccomandato l’uso della tecnologia RPA, naturalmente quando possibile.
La decisione sulla composizione della lista di controllo non nasce in questo modello di maturità. Questo è solo un collettore di tutte le azioni, regole, procedure, processi che sono stati definiti per il buon funzionamento del business. L’intero universo dei controlli nel CMM copre tutti i processi aziendali ed allora, il risultato della maturità raggiunta diviene la bussola da seguire per prendere le decisioni ad alto livello. Poiché la maturità ha un inverso nella vulnerabilità, che è sinonimo di rischio abbiamo un parallelo con il risk register.
I controlli correnti e le contromisure sono definiti nel risk register e rappresentano i controlli che si devono ritrovare nella checklist del CMM. Per garantire la coerenza tra i due insiemi, si deve stabilire un legame formale tra i due ambienti. I rispettivi utilizzi sono diversi, ed anche la loro granularità, ma possiamo pensare ad una relazione molti-a-uno tra il registro del rischio ed il CMM. Il controllo inserito nel CMM ha un livello di sintesi superiore rispetto a quello nel registro rischi, in quando non declina una attività nel dettaglio ma opera a livello aggregato di categoria o gruppo per migliorare la capacità di lettura del fenomeno e far emergere solo ciò che è più significativo.
Ad esempio, supponiamo che nel registro dei rischi, in ambito Acquisti, ci sia un controllo sull’aggiornamento della procedura di definizione dei livelli di firma ed un altro sull’aggiornamento della procedura sulla qualità fornitori. A livello di CMM ci sarà un unico controllo che stabilisce che l’aggiornamento di tutte le procedure interne per gli Acquisti è su base annua. Il senso è lo stesso, ma nel primo caso si utilizza per richiamare un dettaglio sull’attività da fare, mentre nel secondo espone una regola da rispettare. Quest’ultimo modo permette una compattazione dei controlli più sintetica e quindi più focalizzata.
Come creare il legame controllo-rischio
Come creare praticamente questo legame controllo- rischio, tra due sistemi diversi, è abbastanza semplice ed efficace. Supponiamo si debba aggiungere una nuova contromisura all’interno del registro dei rischi. Un modo è crearla e poi in un secondo momento cercare di definire i legami con il CMM ma si intuisce che non è un sistema pratico. Meglio scegliere direttamente il controllo della lista dei controlli del CMM e poi personalizzarla nel controllo desiderato modificandone la descrizione. Questo modo di procedere ha indubbi vantaggi. Crea automaticamente il legame in fase di inserimento della contromisura in modo robusto (automatico) e trasparente per l’utente. Tutti gli attributi definiti nel controllo sul CMM vengono immediatamente ereditati da quello sul registro di rischio.
A questo punto la nuova contromisura comincia la sua vita come attività implementata in risposta al livello di rischio valutato. Sarà arricchita con ulteriori attributi quali, ad esempio, l’assegnazione della responsabilità e la valutazione delle sue performance. Alcuni di questi dati sono raccolti periodicamente dal CMM in automatico, e con un opportuno algoritmo di consolidamento, attribuiti ai parametri di valutazione della maturità. Nel caso in cui, un controllo del CMM sia aggiornato in automatico, l’aggiornamento manuale viene bloccato per evitare possibilità di errore (oltre che attività non necessaria).
Con meccanismi di automazioni abbiamo la possibilità di ridurre il lavoro di aggiornamento del CMM. Se pensiamo al numero di controlli del CMM (qualche centinaio almeno) e la necessità di aggiornarli periodicamente, per ogni entità individuata nell’organizzazione, abbiamo evidenza del risparmio introdotto. Tutti i controlli abbinati al risk register, senza dimenticare quelli aggiornabili dal controllo interno tramite RPA, costituiscono in media una buona quota dei controlli totali. Se vogliamo accrescere l’accuratezza della valutazione di maturità del controllo, allora dobbiamo aumentare la frequenza degli aggiornamenti del modello. Ridurre il numero di quelli che necessitano l’aggiornamento manuale, rende fattibile un iterazione più veloce di valutazione della maturità.
Come Adattare il Registro del Rischio all’Organizzazione
Se pensiamo ad una corporate suddivisa in più organizzazioni tra loro separate, probabilmente ognuna con autonomia decisionale e diversa sensibilità verso il profilo di rischio definito a livello centrale, potremmo avere la necessità di creare logicamente dei registri dei rischi specifici per essere aderenti alle necessità locali. Il registro del rischio è unico a livello corporate ma si può adattarlo a tutte le esigenze di differente dettaglio operativo usando lo stesso approccio della costituzione del CMM8.
Per semplicità, ipotizziamo la corporate creata da alcune entità operanti su famiglie prodotto diverse. A livello corporate, il quartier generale è proprietario di un unico elenco di rischi e di un unico modello di maturità che condivide con le sue entità. A livello entità la situazione è analoga, con meno rischi e controlli operativi, ma con la differenza che le entità non sono autonome nell’inserire nuovi controlli o nuovi rischi. Devono riceverli dalla corporate e poi possono, se ne ravvedono la necessità, adattare le descrizioni in modo da migliorare la comprensione locale. Il legame rischi o controlli corporate verso rischi o controlli entità è di tipo uno a molti sulla base del dettaglio che desiderano gestire.
Questo implica la necessità di definire un algoritmo di consolidamento verso il livello corporate. Ci sono varie logiche possibili ma fondamentalmente si tratta di scegliere tra una media pesata e la scelta del “peggiore” ad ogni passo di aggregazione. La scelta del “peggiore” è computazionalmente estremamente semplice e quindi veloce, consolidare al volo sarà sempre possibile ma esprime pessimismo e paura per il futuro. La media ponderata è più realistica ma potrebbe richiedere qualche processo di aggiornamento batch delle aggregazioni nelle grandi organizzazioni perché il tempo di calcolo può essere significativo.
Avendo integrato i processi del CMM e del registro del rischio, sia tra le loro strutture che tra la corporate e le sue organizzazioni, abbiamo un flusso coerente di informazioni di controllo tra tutti i processi della corporate governance (figura 4). Come conseguenza, tutti i processi aziendali saranno risk-based in modo implicito dato dal legame tra controlli e rischi. Potrebbe sembrare che siano necessarie delle duplicazioni di inserimento di stessi dati per configurare e valutare i controlli nei due strumenti, ma non è così. Al livello corporate tutto è aggregato automaticamente, anche se è prevista la possibilità di inserire rischi ad alto livello senza alimentazione da parte delle entità. Ad esempio, per gestire situazioni di rischi non-operativi oppure simulazioni, i cui esiti non si vogliono condividere.
Al livello di entità avviene l’inserimento della valutazione sia dei controlli che dei rischi. Come ordine logico, prima avviene la valutazione dei rischi locali nel risk register. Qui, i controlli sono valutati nell’ambito della analisi del rischio ma sono derivati, come elementi di anagrafica ed opportunamente personalizzati, dall’elenco che costituisce il modello di maturità. A seguito di questa valutazione, sempre al livello dell’entità, sono automaticamente aggregati per generare la valutazione delle corrispondenti categorie di controllo nel CMM. Quindi, nel data-entry del CMM è inibita la modifica diretta, e solo i controlli non derivati dal risk register (e non automatici) saranno ancora valutabili manualmente. Questo metodo evita inutili duplicazioni di dati. Inoltre, l’ultima valutazione è sempre presente nel data-entry ed eventualmente può essere confermata con un singolo click rendendo veramente minimo lo sforzo di aggiornamento manuale.
La sequenza di aggiornamento della struttura anagrafica dei controlli e dei rischi ha il seguente ordine. Innanzitutto, i controlli ritenuti aziendalmente rilevanti sono inseriti nel CMM. Questo è un controllo aggregato che può essere inteso anche come categoria di controllo, visto il suo atteso livello di sintesi. Ricordiamo che il controllo è un’attività svolta come conseguenza di una regola, una procedura, una policy, una legge, uno standard o un requisito cliente, ma comunque, sempre importante al fine del raggiungimento degli obiettivi. Anche il Controllo Interno può proporre nuovi controlli per i propri processi, ad esempio, considerando i risultati degli audit di certificazione standard, si possono estrarre i suggerimenti dell’audit report ed adattarli per individuare nuovi controlli per il modello di maturità.
Poi, nell’ambito del risk register, a seguito della analisi del rischio eseguita abbinando lo scenario del rischio con i KPI dei controlli correnti, si valuta se il livello di rischio è accettabile, altrimenti, deve essere trattato inserendo le contromisure. Questo passo, si compie scegliendo i controlli dal modello di maturità, per conservarne perennemente il legame, e poi personalizzandoli per aderire adeguatamente alla contromisura voluta. Quello generato è il controllo di trattamento rischio, che rimane agganciato al modello di maturità per il tramite del codice posseduto dal controllo del modello di maturità di origine. Il legame così formato permette di mantenere attiva l’interfaccia di scambio automatico di informazioni tra le due strutture.
Analizzando lo scenario di rischio complessivo dell’azienda, in funzione degli obiettivi di business, possiamo individuare o nuove categorie o nuovi eventi di rischio, che successivamente verranno dettagliati all’interno del registro del rischio. Nello stesso contesto dobbiamo anche eliminare quelli non più rilevanti, per mantenere le dimensioni di entrambe le liste, dei rischi e dei controlli, su valori equilibrati per essere gestibili e fruibili con facilità. Sinteticamente, il risk register è anche lo strumento per definire gli asset rilevanti, i fattori di rischio ed i controlli su cui valutare la performance. In pratica, si raccolgono nel registro del rischio le valutazioni manuali dei responsabili di processo e di rischio, mentre nel CMM le valutazioni di maturità dei propri controlli. Una pipeline dai sistemi gestionali recupererà tutte le informazioni idonee ad una valutazione automatica, e quando possibile, questa è la scelta da preferire.
Presentazione dei Risultati su Controllo e Rischio
Il CMM ha informazioni aggregate di maturità dei processi e permette di creare mappe di vulnerabilità per le presentazioni ad alto livello. Come discusso precedentemente, è anche ben legato al risk report aziendale e questa connessione rende possibile la creazione di cruscotti secondo le più svariate prospettive. Le categorie di rischio si possono dettagliare per evento di rischio, lo stesso per i macro controlli in controlli operativi e contemporaneamente le informazioni corporate possono essere investigate per singola entità o per confronto tra entità o anche secondo periodi temporali diversi.
In generale, gli strumenti di gestione rischio o di controllo non hanno necessità di conservare un storia molto lunga. Sono essenzialmente strumenti predittivi e la storia non è per investigare sul passato ma per disegnare le curve sui trend futuri. Per far questo è sufficiente salvare l’immagine trimestrale per non più di quattro trimestri passati. Nel database, ogni immagine si ottiene copiando i dati correnti su apposite colonne della stessa tabella. In questo modo, tutte le immagini trimestrali sono sempre in linea e le query sono più semplici ed efficienti. Ad esempio, con una singola query si può creare una rappresentazione del rischio, anche arricchita di clip art per visualizzare il trend senza cali di prestazioni.
La solida integrazione tra i dati di controllo e quelli di rischio, ossia tra il CMM ed il risk register, abilita ogni processo decisionale ad operare secondo le logiche risk-based. La capacità di agire in ambito operativo, con informazioni agganciate e validate a livello di obiettivo aziendale, è un indubbio vantaggio per la corporate governance. Se il cruscotto dei rischi e controlli, con opportuni filtri, viene reso disponibile a tutti i processi operativi, è ragionevole aspettarsi un miglioramento della comunicazione tra i processi e della consapevolezza del valore delle proprie azioni rispetto agli obiettivi di business. Inoltre, come ulteriore conseguenza, anche un deciso miglioramento della capacità di reazione ai problemi.
Livello di fiducia
La capacità di decidere e la velocità di esecuzione sono molto legate al livello di fiducia che diamo alle informazioni ricevute. Un solido meccanismo di validazione delle informazioni che raccogliamo dai processi di controllo e di rischio può agevolare questo. L’attività di Internal Audit9 è quella che lavora per garantire la fiducia verso i sistemi di gestione ma non sempre ha la prontezza di seguire esaustivamente la continua evoluzione dei processi aziendali. Un piano annuo che non viene rivisto a fronte di ogni evento importante, dà ovviamente una buona risposta per ciò che è compreso nel piano stesso ma, non focalizzandosi sui cambiamenti, non riuscirà a fornire la garanzia sulle valutazioni del sistema di controllo, necessaria a creare un clima di fiducia, utile al processo decisionale per compiere delle scelte consapevoli.
Per svolgere più velocemente le visite di audit è necessario distinguere tra diverse tipologie di audit, bilanciando tra la profondità dell’analisi ed il livello di indipendenza. Anziché un unico tipo di intervento di audit, esteso a tutti i processi interni, si possono suddividere gli interventi secondo quattro distinti gradi di audit (figura 5).
Ad ogni grado di audit crescente, si raggiunge un livello di fiducia superiore ma nello stesso tempo, a fronte di una profondità di analisi maggiore ed incremento dell’impiego di risorse, di contro la velocità di verifica sarà inferiore.
- Audit di grado 0—Verifica sui sistemi aziendali gestita interamente da strumenti automatici, come replica delle equivalenti verifiche umane. È un tipo di audit in grado di elaborare grandissime quantità di dati, con continuità, con accuratezza ed ovviamente senza pregiudizi. L’intervento degli automi software è sempre sull’intero perimetro di audit. L’audit umano, garantisce l’integrità e la qualità del lavoro svolto da questi strumenti, verificandone la configurazione e l’operatività.
- Audit di grado 1—Verifica gestita dal management dell’entità, per coprire l’intero perimetro di controllo e da attuarsi in modalità di auto-valutazione. La frequenza di aggiornamento valutazioni è legata al verificarsi di un cambiamento significativo ma mai superiore al semestrale. Il repository ideale per queste attività è il CMM in quanto è strutturato per entità e contiene la lista di controllo completa, con una buona sintesi dei fatti salienti riscontrati.
- Audit di grado 2—Verifica gestita a livello di vertice aziendale o di direzione di processo, per coprire il proprio perimetro di controllo e da attuarsi in modalità remota. La frequenza di audit è legata alla valutazione dell’analisi di rischio dei processi da valutare o se il valor medio di maturità dei processi in esame si discosta sensibilmente da quello rilevato nell’entità. Il CMM è dotato di funzioni di sovrascrittura delle valutazioni del livello entità da parte dello staff direzionale.
- Audit di grado 3—Verifica gestita a livello di auditor di processo o dello staff di risk monitoring, per coprire un perimetro di controllo prestabilito in fase di definizione dell’audit e da attuarsi direttamente presso la location dell’entità. La frequenza di audit è legata all’analisi di rischio dell’intera checklist, sia per valutazioni ad elevato rischio che discostanti dal valor medio. Anche questo livello di audit è gestito nel CMM e consente di intervenire in modifica sulle valutazioni dei due precedenti gradi di audit. Le tecniche di audit saranno le interviste e l’osservazione mentre le eventuali evidenze saranno prodotte direttamente dall’entità sotto audit.
- Audit di grado 4—Verifica gestita a livello di auditor, interno o esterno, per coprire un perimetro di controllo prestabilito (es. processo acquisti, sicurezza informatica) in fase di definizione della visita di audit e da attuarsi direttamente presso la location dell’entità. La frequenza di audit è legata all’analisi di rischio sull’intera checklist, sia per valutazioni ad elevato rischio che per entità che si discostano dal valor medio. Anche questo livello di audit è gestito nel CMM e consente di intervenire in modifica sui tre precedenti gradi di audit. Tutte le tecniche di audit possono essere utilizzate ed in particolare, le evidenze saranno direttamente prodotte dagli auditor o, se strettamente sotto il loro controllo, dal personale dell’entità.
Il processo di audit viene definito basandosi principalmente sugli esiti delle valutazioni dei controlli. Secondo una frequenza prestabilita si effettua la valutazione di tutti i controlli con il coinvolgimento dei responsabili di processo tramite auto-valutazione. Poi, basandosi sull’analisi di questa valutazione, si continua iterando di rischio in rischio con un livello di profondità della verifica sempre maggiore ma riducendo anche il numero di controlli verificati. Questo compromesso, di accettare le auto-valutazioni se a rischio basso o nell’intorno del valor medio di una data categoria, ma di verificare in modo mirato le altre, coinvolgendo anche soggetti diversi dallo staff dell’Internal Audit per il supporto operativo, trova giustificazione nei principi guida dell’ITIL10 e nella metodologia Agile11. Iterando più volte si raffina il risultato ad ogni ciclo ma ad un costo decisamente inferiore a quello di compiere un unico programma di audit tradizionale completo sull’intero perimetro di business e di controllo.
Abbiamo visto che il piano di audit è guidato dalle valutazioni di rischio e che l’audit assicura l’efficacia dei controlli. Il vantaggio per il CMM è di avere la garanzia che le valutazioni di maturità rispondono alla realtà. Può sembrare complicato mantenere l’allineamento tra i controlli, i rischi e gli audit test ma in pratica è estremamente semplice. Tra i controlli del CMM ed i rischi del registro esiste una tabella di relazione ed un modulo di data-entry per i cambi di relazione. Analogamente, tra i controlli del CMM e gli audit test esiste una tabella di relazione con un opportuno modulo di data-entry per la loro gestione. Basandosi sul rischio e su queste relazioni, l’emissione dell’audit plan può essere un processo automatico, un vero Internal Audit basato sul rischio.
Conclusioni
Il mondo della corporate governance ha sempre posto una grande attenzione nell’organizzarsi efficacemente per monitorare le performance dei processi interni e, nello stesso tempo, garantire la fiducia necessaria verso gli indicatori raccolti, per prendere delle decisioni consapevoli. Ha quindi necessità di appoggiarsi ad un modello di riferimento che sappia assicurare la tracciabilità del processo di costruzione della valutazione (principio di trasparenza), la condivisione dei risultati con tutti i soggetti interessati (collaborazione), la tempestività nel recepire i cambiamenti nel business (aggiornamento), la sinteticità delle informazioni (comunicazione efficace) pur mantenendo un corretto costo di funzionamento (sostenibilità).
La soluzione, che risponde ai presupposti precedenti, è l’utilizzo a livello aziendale del CMM integrato con il risk register. Questo legame, tra i controlli di ogni processo ed i rischi individuati, consente la giusta sintesi delle informazioni per il management, affinché sia chiaro, il valore del controllo ed il contesto aziendale dello scenario di rischio. La chiarezza di questa comunicazione alla direzione, è una leva per l’approvazione di contromisure efficaci. La manutenzione della lista dei controlli, dei rischi e la loro valutazione è un ciclo virtuoso che migliora iterativamente. In sintesi, il CMM cura la gestione dei controlli e, tramite la collaborazione con l’Internal Audit, garantisce la correttezza delle loro valutazioni, mentre il risk register cura la definizione e la valutazione dei rischi. Di contro, anche l’Internal Audit, trae un proprio beneficio in quanto può essere organizzato in modo agile ed efficace.
Il CMM, il registro dei rischi ed il piano di audit condividono la stessa base dati e questo garantisce una sicura coerenza dei dati oltre a consentire adattamenti della struttura dati e del reporting con semplicità e celerità. In questa modalità, tutti i processi di possono realisticamente definirsi risk-based perché, per il tramite dei controlli, sono integrati con il modello di maturità ed il registro dei rischi. Queste interconnessioni garantiscono un efficace processo comunicativo per la pronta identificazione delle vulnerabilità e, conseguentemente, abilitano la capacità di reazione e di miglioramento del monitoraggio delle attività di contenimento del rischio.
Il disegno della corporate governance deve essere adattato per definire il chiaro posizionamento organizzativo della gestione del registro del rischio e del modello di maturità. Certamente il cambiamento non è solo nel disegno organizzativo ma anche operativo. Adottare dei software che emulano il comportamento umano nel controllo, richiede sicuramente maggiori competenze interne, che però, sono interamente ripagate dall’aumentato numero di controlli e dal miglioramento della qualità. Se poi, il timore del cambiamento è solo per dei costi non ben compresi, allora è necessaria un’analisi costo- beneficio per avere la risposta per la propria realtà.
Riferimenti
1 Chartered Institute of Internal Auditors, “Computer Assisted Audit Techniques (CAATs),” 2020, https://www.iia.org.uk/resources/delivering-internal-audit/computer-assisted-audit-techniques-caats/
2 ISACA®, Implementing Robotic Process Automation (RPA), USA, 2020
3 Symeonides, M.; “Virtual Agent vs. AI Bot: What’s the Difference?” Axios Blog, 26 January 2021
4 ISACA®, CRISC Review Manual, 6th Edition, USA, 2015, https://www.isaca.org/resources
5 CMMI Institute, https://cmmiinstitute.com/
6 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 4,” ISACA® Journal, vol. 3, 2020, https://www.isaca.org/archives
7 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 1,” ISACA Journal, vol. 2, 2019, https://www.isaca.org/archives
8 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 2,” ISACA Journal, vol. 2, 2019, https://www.isaca.org/archives
9 Sbriz, L.; “Enterprise Risk Monitoring Methodology, Part 3,” ISACA Journal, vol. 6, 2019, https://www.isaca.org/archives
10 Symeonides, M.; “The Seven Guiding Principles of ITIL 4,” Axios Blog, 2 January 2020
11 Manifesto for Agile Software Development, “Principles Behind the Agile Manifesto,” https://agilemanifesto.org/principles.html
LUIGI SBRIZ | CISM, CRISC, CDPSE, ISO/IEC 27001 L A, ITIL V4, NIST CSF, UNI 11697:2017 DPO
È stato responsabile del monitoraggio dei rischi presso un’azienda multinazionale del settore automotive per oltre sette anni. In precedenza, è stato responsabile della gestione dei servizi e delle risorse ICT nell’area Asia-Pacific (Cina, Giappone e Malesia) e, prima ancora, è stato responsabile della sicurezza delle informazioni a livello mondo per più di sette anni. Per quanto attiene al monitoraggio interno del rischio, ha sviluppato una metodologia originale unendo un'analisi del rischio operativo con una conseguente valutazione del rischio basata sul livello di maturità dei processi. Inoltre, ha progettato uno strumento di cyber monitoring ed un sistema integrato tra monitoraggio del rischio, modello di maturità e audit interno. Sbriz è stato anche consulente per sistemi di business intelligence per parecchi anni. Può essere contattato su LinkedIn (https://it.linkedin.com/in/luigisbriz) oppure su http://sbriz.tel.