La nostra professione gira attorno ai concetti di rischio e controllo. Il controllo è ciò che gestisce un rischio, e per capire se riesce nello scopo, bisogna descriverne bene il funzionamento e sottoporlo poi - per così dire - al test sul campo. Facile a dirsi, difficile da mettere in pratica. Vediamo insieme cinque suggerimenti pratici in cinque minuti soltanto.

La documentazione dei controlli interni è diventata un esercizio sempre più diffuso presso le aziende, spesso come risultato delle esigenze di conformità ai requisiti di legge (D.Lgs. 231/2001; Privacy; L. 262/2005; per citare alcuni esempi più diffusi). Pertanto, di fronte alla documentazione dei controlli interni, sempre più di frequente sorgono alcuni dei seguenti quesiti:

• è un controllo, un’attività o cos’altro?
• è sufficientemente descritto e documentato?
• quanti attributi dei controlli devono essere rilevati ed esplicitati?
• è realmente un controllo chiave?
• quanti controlli documentare in un processo?

In corrispondenza di ciascun quesito, cercheremo di fornire una risposta mediante l’illustrazione di pratici criteri facilmente impiegabili da chi è chiamato a predisporre la documentazione dei controlli interni, a rivedere la stessa quando prodotta da altri o semplicemente ad utilizzarla ai fini dell’esercizio del controllo o ai fini del testing del controllo.

. è un controllo, un’attività o cos’altro?

Sebbene sia abbastanza diffuso il ricorso a tecniche come i verbi di controllo (autorizzare, confrontare, validare, confermare, riconciliare, etc.), così come alle tante distinzioni teoriche tra attività e controlli, alla fine tali tecniche non sempre riescono a risolvere il dilemma in questione: l’inventario è un’attività, un processo/sotto-processo o un controllo? Il quesito è particolarmente ricorrente per chi si trova di fronte a documentazioni actvity based dei controlli, dove è centrale l’elencazione delle attività, dei rischi ad esse inerenti e dei controlli a presidio di tali rischi.

Per sgomberare il campo da qualsiasi dubbio può essere decisivo il ricorso alla definizione che Sawyer ci offre dei mezzi di controllo in quella che è da molti considerata la bibbia dell’Internal Auditing (Sawyer’s Internal Auditing):<<The employment of all the means devised in an enterprise to promote, direct, restrain, govern, and check upon its various activities for the purpose of seeing that enterprise objectives are met. These means of control include, but are not limited to, form of organization, policies, systems, procedures, instructions, standards, committees, charts of accounts, forecasts, budgets, schedules, reports, records, checklists, methods, devices, and internal Auditing>>.

L’ampiezza della definizione di sopra rende difficile ogni ulteriore commento o tentativo di risposta al quesito in esame. Solo un consiglio pratico nei casi in cui sorge il dilemma: lasciate perdere i verbi di controllo o le definizioni teoriche delle attività e dei controlli. Piuttosto domandatevi: quanto è qui descritto

• concorre in qualche modo a ridurre il rischio (riducendone la probabilità di accadimento o il suo eventuale impatto)?
• o, nel caso di impiego degli obiettivi di controllo (i.e. tutte le fatture di vendita sono registrare in contabilità generale), contribuisce a raggiungere l’obiettivo di controllo desiderato?  

se la risposta è positiva, siete di fronte ad un controllo. Se è negativa, allora dovete riscrivere (o far riscrivere) il controllo e passare alla riga successiva!

. è sufficientemente descritto e documentato?

Anche in questo caso, diverse sono le tecniche che ci possono aiutare nella descrizione di un controllo; la più ricorrente è la 4W2H, secondo la quale nel descrivere un controllo devono essere esplicitati almeno: Who, When, Why, What evidence, How, How often. In realtà anche in questo caso, la praticità suggerisce che potete concludere che un controllo è sufficientemente descritto e documentato se una terza persona distinta da quella che ha predisposto la documentazione del controllo dispone di tutte le informazioni per disegnare una procedura di test ed eseguirla.

Fate attenzione che qui (testabilità efficiente del controllo) si colloca il crinale tra la cattiva e la buona qualità della descrizione e documentazione del controllo: se non avete intenzione di scoprire in sede di testing che la documentazione dei controlli è inadeguata e che deve essere integrata o peggio rifatta, non mancate di porvi e rispondere al quesito in esame per tempo.

. quanti attributi dei controlli devono essere rilevati ed esplicitati?

Ovviamente non esiste una risposta in termini assoluti alla domanda in esame. E’ la natura del progetto che definisce in linea di massima gli attributi dei controlli (frequenza, tipologia, natura, evidenza, etc.) che devono essere rilevati ed esplicitati. Poiché sempre e comunque dovremmo essere in grado di dimostrare internamente (i.e. ad un Organismo di Vigilanza) o esternamente (i.e. in un procedimento penale in cui la società è indagata ex D.Lgs. 231/2001) che il controllo è stato efficacemente svolto nel tempo, come per il precedente quesito la risposta sta nell’esigenza di testare i controlli. Tutto ciò che è necessario ai fini della testabilità efficiente deve essere rilevato ed esplicitato, tutto il resto è un sovrastato che ha un costo probabilmente molto maggiore rispetto al suo beneficio.

In genere diffidate di chi vi propone una scheda di controllo che ha più attributi che dettagli descrittivi del controllo in se!

è realmente un controllo chiave?

Questo quesito e quello successivo introducono uno dei temi di maggiore criticità in un progetto di identificazione e documentazione dei controlli, particolarmente di compliance: costo di documentazione, di impianto del controllo (se nuovo), di esercizio nel tempo, di mantenimento della documentazione e, soprattutto, di testing. Tali costi sono tutti in relazione diretta con il numero dei controlli che scaturirà a termine della fase di documentazione e valutazione dei controlli interni. Ecco allora che per tentare di mettere un freno alle mappature infinite e alla produzione di kg di carta, si ricorre al concetto di controllo chiave. In linea di massima un controllo è qualificabile chiave se quando omesso, il rischio non sarebbe meglio gestito da uno o da altri controlli.

In termini pratici, anche qui il suggerimento è di tenere sempre a mente che i controlli hanno un costo (documentazione, impianto, esercizio, mantenimento documentazione, testing). A parità di efficacia del controllo nell’azione di contrasto al rischio, la preferenza va data ai controlli detective con una frequenza di svolgimento più bassa; allo stesso modo, i controlli automatici di natura preventiva hanno il pregio di avere un costo marginale di esercizio praticamente nullo.

 . quanti controlli documentare in un processo?

Non esiste anche qui una risposta in termini assoluti. Le considerazioni svolte in precedenza che girano intorno al costo dei controlli interni, sono ovviamente centrali nella risposta anche a questo quesito. Il consiglio è quello di avere fin dall’inizio del progetto un numero medio target per area, al fine di mettere un forte freno alla proliferazione (anche solo a livello documentativo!) dei controlli. Ciò sarebbe poi un ulteriore pungolo al focus sui controlli realmente chiave.

Spesso il numero è il risultato della tecnica usata per la documentazione dei controlli: tipicamente una tecnica activity based porta all’esplosione del numero dei controlli e alla focalizzazione sui controlli di linea/primo livello; una tecnica risk based, consente invece di fare leva sulla capacità di uno stesso controllo di gestire più rischi inerenti a più aree/processi, mantenendo “limitato” il numero complessivo dei controlli.

Per concludere, di fronte alla documentazione dei controlli interni non sottovalutate gli effetti ed i costi che essa comporterà nel futuro: una puntuale documentazione dei controlli interni ai fini della loro testabilità efficiente, focalizzata su un numero non eccessivo di controlli è nella sostanza quello di cui avete bisogno.