Il difficile rapporto tra metodo di indagine, lo sviluppo dell’attività di audit e l’organizzazione dei report con i risultati.
Sernet Riqualificazioni opera nell’ambito delle verifiche su procedure d’appalto e nell’ambito della validazione di progetti da porre a base di gara. Benchè nella seconda fattispecie citata sussistano difficoltà oggettive nell’individuare non tanto il perimetro di indagine, quanto la stratificazione degli ambiti da verificare ed il livello di approfondimento da perseguire, nell’attività di verifica delle procedure di affidamento dei lavori pubblici e della gestione dei conseguenti contratti, le difficoltà metodologiche si moltiplicano di fronte al difficile rapporto che si potrebbe creare con la Committenza di fronte a situazioni potenzialmente critiche.
Dunque, anche nello sviluppo dell’attività, le decisioni degli Auditors sono soggette a numerosi elementi critici che potrebbero in qualche modo indebolire la credibilità degli esiti finali, qualora davvero la Committenza ritenesse opportuno, per qualche ragione, non riconoscere tali esiti, o, anche più semplicemente, non ritenerli convenienti.
E’ dunque un mestiere difficile quello degli Auditors, chiamati molte volte a verificare l’operato del Committente stesso dell’incarico di audit.
Riassunto
Il presente intervento illustra una situazione esemplificativa in modo da far emergere gli snodi fondamentali che richiedono, da parte degli Auditors, una riflessione particolare, un’attenzione insomma che rafforzi la consistenza professionale del proprio lavoro e ponga le premesse migliori alla sostenibilità degli esiti finali di fronte alle sollecitazioni successive.
Viene pertanto individuato un caso di società di diritto privato a capitale pubblico che opera sia in regime di DLGS 231/01 che di Codice Appalti, vengono individuati gli obiettivi e le prescrizioni dell’incarico di audit, sommariamente le difficoltà che possono emergere, le scelte operative degli Auditors, gli elementi qualificanti dell’attività e le criticità non risolte del proprio lavoro.
L’INQUADRAMENTO DELL’ATTIVITA’
Immaginiamo pertanto la situazione in cui una società di diritto privato a capitale pubblico abbia come uno dei propri obiettivi sociali principali quello di realizzare opere finanziate con fondi pubblici e dunque si tratti di un soggetto giuridico che contemporaneamente sia sottoposto al DLGS 231/01 “Responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica” ed al codice appalti DLGS 163/06.
Supponiamo che tale soggetto abbia adottato un modello organizzativo 231 e che l’Organismo di Vigilanza nominato dalla società proponga al Consiglio di Amministrazione un Piano di Audit che includa un audit specifico sulle procedure di affidamento dei lavori, considerando dunque il Codice Appalti. Supponiamo inoltre che il Capitolato, attraverso il quale si deve affidare ad un soggetto indipendente esterno l’audit delle procedure, preveda una metodologia che include un Risk Assessment iniziale sviluppato attraverso interviste e un successivo audit attraverso verifiche documentali.
La prima fase dovrà essere condotta dai consulenti ricorrendo o avendo come riferimento a un approccio metodologico di Control Risk Self Assessment (CRSA) che è metodo valutato ottimale (best practise) nell’ambito delle attività di internal auditing per l’individuazione e l’analisi dei controlli posti in essere nei processi svolti nelle organizzazioni. Il CRSA è anche adottato per fronteggiare i rischi che un’organizzazione si trova a sostenere. Il CRSA, nell’incarico in oggetto, è utilizzato per rilevare e valutare, in generale, i rischi di compliance e con particolare riguardo i rischi di commissione di reati rilevanti ai fini del: – D. Lgs. 231/01, – D.Lgs. 81/08, – D.Lgs.163/06, D.Lgs. 152/06. Nella conduzione delle fasi del progetto, i consulenti, che opereranno da facilitatori, faranno riferimento all’approccio Coso Internal Control – Integrated Framework e alle indicazione di principio delle Linee guida di Confindustria.
In questa situazione gli Auditors esterni incaricati si sono prefissi in particolare i seguenti obiettivi:
- la rilevazione dell’efficacia del sistema dei controlli in essere nella società per i processi indicati;
- la verifica (audit) di compliance dei processi di affidamento di lavori, di architettura e di ingegneria (applicazione del “Codice degli appalti”);
- la verifica della “tracciabilità delle attività” .
Il punto di partenza sono pertanto le procedure interne formalizzate dalla società e la normativa di riferimento. In particolare si analizzano i seguenti aspetti:
1) se le procedure interne adottate sono coerenti con la normativa di riferimento;
2) se le procedure adottate vengono operativamente seguite dalla struttura della società;
3) se vengono effettuati i controlli sull’applicazione delle procedure;
4) se esistono spazi di miglioramento di tali procedure;
5) se avviene regolarmente l’aggiornamento di tali procedure.
L’approccio metodologico è di tipo euristico “a spirale” procedendo a partire dal testo normativo generale e della procedura interna, intervistando gli owners dei processi, condividendo le criticità ogni volta emergenti con la Direzione Internal Audit e adattando il proprio approccio a tali criticità nelle azioni successive, con step settimanali di confronto, volti a congelare le situazioni ritenute “sufficientemente conosciute” e ad approfondire quelle ritenute non ancora adeguatamente definite da parte degli Auditors. Il livello di “sufficienza” dell’approfondimento è il tema di continuo confronto con la Direzione Internal Audit e rappresenta il primo vero importante scoglio sul quale occorre la più ampia “sicurezza” del riscontro effettuato.
Operativamente, al fine di predisporre work in progress i report di audit affinando progressivamente il lavoro, si procede ogni passaggio con la seguente metodologia:
1) Si organizzano in colonne per fasi i riferimenti normativi generali, le procedure interne, le frasi verbalizzate nelle interviste, i riscontri documentali, le conclusioni degli Auditors.
2) Si costruiscono i collegamenti logici e lessicali tra le varie colonne e si verificano in modo il più oggettivo possibile i collegamenti, verificando la possibilità di giungere a delle conclusioni e la sostenibilità delle stesse di fronte a terzi soggetti che non partecipano direttamente ai processi esaminati e che dunque conoscono poco o nulla dei dettagli operativi dell’attività esaminata.
AUDIT E RISK ASSESSMENT IN PARALLELO – ATTIVITA’ A RISCHIO CREDIBILITA’
L’attività illustrata in precedenza, che si svolge di continuo durante tutta l’attività di audit e di risk assessment, comporta un esasperante lavoro di messa in discussione e dunque di verifica, parallelamente ad un’attività pratica di:
- verbalizzazione di questionari ed interviste
- condivisione della verbalizzazione con la revisione da parte di tutti i partecipanti alle riunioni
- congelamento definitivo dei verbali
- catalogazione dei riscontri documentali e creazione del dossier di audit
- continua verifica normativa al fine di adeguare le domande per le successive riunioni
- continua verifica delle date dei processi esaminati per verificare le sequenze temporali degli atti e le coerenze
- ricostruzione degli elementi motivazionali dei processi e verifica della loro tracciabilità
- analisi degli elementi di trasversalità dei processi, individuazione dei modus operandi, separando elementi individuali/occasionali da elementi organici/ripetuti che assumono dunque rilevanza “aziendale”
- registrazione dei rischi di commissione atti illegittimi distinguendoli possibilmente dal rischio di commissione di veri e propri reati.
Occorre rilevare che in un quadro aziendale ad elevato livello di consapevolezza dei rischi e di normale stress lavorativo, la gestione di tali elementi di analisi non dovrebbe comportare agli Auditors momenti di difficoltà operativa estrema. Tuttavia, in un quadro aziendale sottoposto a stress particolare, con deadline critica per il raggiungimento di ogni obiettivo di consegna, in assenza di una struttura organizzativa consolidata su standards professionali di alto livello, diffusi e monitorati, la situazione rischia di degenerare avvitandosi in una concatenazione di inadempienze che comportano livelli di rischio non accettabili.
UN CONTESTO AZIENDALE CRITICO – LE DIFFICOLTA’ A SOSTENERE LE CONCLUSIONI
In un contesto di questo genere, è possibile che le attività di audit precedentemente elencate comportino le seguenti difficoltà:
a) interpretare le volontà degli attori, i collegamenti con le carenze procedurali e possibili negligenze e/o le omissioni.
b) Interpretare le dichiarazioni riportate sui verbali, che a causa del continuo lavoro di condivisione e revisione dei partecipanti, sono privi di quelle sfumature e di quelle percezioni che l’ascolto in diretta hanno consentito, distinguendone il peso dagli elementi documentali che comunque sono dotati di una differente consistenza interpretativa.
c) Addentrarsi in delicate interpretazioni giuridiche, soprattutto nel tentare di dare risposte in tema di distinzione tra illecito amministrativo e illecito penale, negligenza o grave negligenza, omissione o grave omissione.
d) Interpretare il confronto con il Committente come una normale attività utile a verificare il proprio lavoro e non come la volontà del Committente di limitare le possibili conseguenze del report di audit.
e) Decidere quando la tipologia delle risposte è tale da porre un limite alle successive domande per non interferire in eventuali attività mirate da parte degli organismi di controllo.
Le scelte che noi operiamo, nell’ipotetica situazione esemplificata, possono essere sinteticamente riassunte nella tabella seguente:
|
Criticità |
Scelte suggerite |
| Interpretare le volontà degli attori, i collegamenti con le carenze procedurali e possibili negligenze e/o omissioni. | Si registrano i fatti e non si forniscono interpretazioni sulle volontà di alcuno. In questo senso l’audit non risolve tutti i dubbi che potrebbero insorgere ma fornisce gli elementi base al Committente per poter agire con ulteriori accertamenti o altre attività. |
| Interpretare le dichiarazioni riportate sui verbali, che a causa del continuo lavoro di condivisione e revisione dei partecipanti, sono privi di quelle sfumature e di quelle percezioni che l’ascolto in diretta hanno consentito, distinguendone il peso dagli elementi documentali che comunque sono dotati di una differente consistenza interpretativa | Si ricercano riscontri documentali alle affermazioni verbali. Nel caso si fosse dovuto sviluppare una conclusione solo sulla scorta di affermazioni verbali, tale conclusione la si riporta con l’evidenza di potenziali rischi e non con l’affermazione di fatti avvenuti. |
| Addentrarsi in delicate interpretazioni giuridiche, soprattutto nel tentare di dare risposte in tema di distinzione tra illecito amministrativo e illecito penale, negligenza o grave negligenza, omissione o grave omissione. | Si evita nell’approccio la sovrapposizione tra illeciti amministrativi ed illeciti penali (abuso d’ufficio), poiché, si tratta di ambiti interpretativi non di chiara lettura, ampiamente dibattuti in ambito giuridico. Dunque si evidenziano i fatti a giudizio degli Auditors con dubbio di correttezza. Si rileva infatti come in sede amministrativa si consolidano anche atti non legittimi, mentre l’azione penale non prevede giustamente tale conseguenza. Non è compito degli Auditors affrontare un tema di questa natura. Relativamente alla negligenza e alle omissioni, si provvede a segnalare il livello di attenzione su determinati fatti, senza però giungere a conclusioni che ad avviso degli Auditors dovrebbero seguire accertamenti più puntuali ed una dialettica con maggiori garanzie per gli operatori coinvolti. |
| Interpretare il confronto con il Committente come una normale attività utile a verificare il proprio lavoro e non come la volontà del Committente di limitare le possibili conseguenze del report di audit. | Primo, verificare se il Committente smentisce elementi sostanziali e comprovati sui quali si basano le conclusioni. Le attività di condivisione dei documenti con le strutture dirigenziali coinvolte prevengono per lo più il rischio di errori grossolani. Secondo, riflettere, nella dialettica con il Committente, sulla forma linguistica con la quale vengono riportate le conclusioni, assumendo un atteggiamento prudente che possa tenere conto di aspetti non conosciuti e di conseguenza non sufficientemente ponderati. |
| Decidere quando la tipologia delle risposte è tale da porre un limite alle successive domande per non interferire in eventuali attività più mirate da parte degli Organismi di Controllo. | L’audit ha l’obiettivo di valutare più responsabilità organiche all’azienda che responsabilità individuali, ancorché non siano rilevanti rispetto ad un modus operandi generale di una parte o di tutta l’azienda. Nel momento in cui le risposte lascino intendere comportamenti personali non leciti da parte di qualche operatore, è necessario ad avviso degli Auditors non proseguire nell’accertamento di tali comportamenti con ulteriori domande dirette agli operatori stessi, ma segnalare il fatto agli Organismi di Controllo in modo che possano agire come meglio ritengono negli accertamenti necessari. In questo senso si evidenziano i fatti meritevoli di successivo approfondimento. |
IL REPORT FINALE
Il rapporto finale di sintesi deve avere pertanto una facile leggibilità riportando schemi e collegamenti, definire compiutamente i limiti dell’audit e richiamare puntualmente le fonti di riferimento, in modo da favorire una credibilità complessiva del lavoro, evitando autoreferenzialità e illazioni di stile giornalistico.
Agli esiti dell’attività svolta in un contesto critico, a seguito delle scelte metodologiche descritte, corrispondono, dal punto di vista professionale, degli elementi di forza e degli elementi di debolezza, così brevemente sintetizzabili:
- I contenuti del report sono fortemente argomentati anche da un approccio metodologico rigoroso ed in questo senso risultano meno vulnerabili dalle azioni di discredito alle quali potrebbero essere sottoposti.
- In alcuni casi i fatti registrati potrebbero assumere significato soprattutto se associati tra loro. La questione è però delicata, poiché il collegamento dovrebbe essere analiticamente dimostrato. Ecco allora che occorre accettare di limitare la forza espressiva del report se non si è in grado di dimostrare analiticamente una relazione certa. Tale aspetto potrebbe essere interpretato come una debolezza, ma in realtà consente egualmente agli Organismi di Controllo di valutare in autonomia se esiste qualche collegamento o vi è la necessità di accertarlo. Il rischio sotteso è che si lasci lo spazio per interpretazioni “naturalmente conservative” da parte degli Organismi di Controllo, non fornendo ragioni sufficienti a successivi interventi o attività di controllo. A parere di chi scrive, però, anche una sola ipotesi azzardata e facilmente smentita produce un danno di credibilità tale da rendere inefficace anche l’intero lavoro di audit. Da qui l’esigenza di non sviluppare voli pindarici per dimostrare teoremi solo plausibili, ma non sufficientemente sicuri nel lavoro di accertamento svolto al momento.