Dal 1999 quotidiano di approfondimento sulla sicurezza sul lavoro per RSPP, RLS, tecnici della prevenzione, esperti 81/08, consulenti e addetti alla sicurezza.
Norme e regolamenti, da almeno un decennio, hanno moltiplicato il numero degli
organi e delle funzioni aziendali con compiti di vigilanza e controllo
sull’assetto organizzativo dell’aziendale e sui suoi processi.
Come hanno risposto le aziende? Facendo quello che appariva necessario:
costituendo, cioè, strutture dotate della richiesta "autonomia ed
indipendenza". Il che, nel tempo, ha portato alla proliferazione delle
strutture di controllo.
Senza alcuna pretesa, provo quindi ad esporre la mia idea in proposito che è
semplicemente lo sviluppo di un modello
organizzativo aziendale nel quale si cerca di assegnare i "nuovi"
compiti alle "vecchie" funzioni, per recuperare l’efficacia e
l’efficienza nell’azione di controllo. Ma andiamo con ordine.
---- L'articolo continua dopo la pubblicità ----
Il contesto Negli ultimi 10 anni il numero dei soggetti
che, a diverso titolo, hanno il compito di vigilare sull’azienda e sui suoi
processi è progressivamente aumentato.
Se prendiamo come riferimento una società quotata, con un modello di governance
tradizionale, gli organi interni e le funzioni aziendali cui sono affidati
compiti di vigilanza e/o controllo sono infatti:
- il collegio sindacale;
- il comitato per il controllo interno;
- l'organismo di vigilanza ex d.lgs
231/01 (facoltativo, ma non per le società quotate del segmento STAR);
- il dirigente preposto alla redazione dei documenti contabili e societari;
- la funzione di compliance, ove prevista da norme o regolamenti;
- il c.d. responsabile per la privacy;
- il responsabile degli adempimenti per la sicurezza sul luogo di lavoro
(generalmente il datore di lavoro);
- la funzione di internal audit;
- la funzione qualità (per le società in possesso della relativa certificazione).
Poiché per il legislatore il compito di vigilanza va sempre di pari passo con
l’autonomia e l’indipendenza, nell’esercizio di tale compito, le aziende hanno
ritenuto opportuno dotare ciascun organo o soggetto di una struttura (più o
meno organizzata) per lo svolgimento di tale attività; di fatto, queste
strutture, spesso, oltre all’attività di vigilanza, si “preoccupano” anche di
emanare procedure e di gestire la mappatura dei rischi per gli aspetti di
competenza. Chi ha adottato, anche inconsapevolmente, questa soluzione si trova
oggi con un modello di controllo che ricorda un patchwork, con sovrapposizioni
e buchi, forse efficace ma sicuramente non efficiente.
Questa soluzione ha, infatti, determinato una moltiplicazione delle strutture
di controllo, con conseguente:
- moltiplicazione degli audit sulle strutture operative;
- proliferazione delle procedure e disposizioni di controllo emesse dai diversi
enti;
- dispersione sia delle conoscenze professionali, sia dell’ambiente in cui si è
chiamati ad operare;
- rischio, in assenza di un coordinamento delle attività, di duplicare i
controlli su alcune aree trascurandone altre.
Che fare, allora?
Una proposta per un modello di controllo
integrato Rinviando ad un successivo approfondimento il tema delle relazioni tra i
soggetti deputati al controllo, in questa sede ci concentriamo sull’attività di
vigilanza e di gestione dei rischi aziendali.
Come già premesso, non stiamo parlando di un’idea rivoluzionaria ma,
semplicemente, di un modello
di controllo nel quale ogni soggetto si limita a fare quello che è chiamato a
fare (e che, si spera, sappia fare meglio di chiunque altro).
Ovvero:
- la funzione di risk
management, ove prevista, o in alternativa la funzione di internal audit
predispone e mantiene aggiornata la mappatura e valutazione di tutti i rischi
aziendali, inclusi quelli che hanno la loro fonte nella normativa o nei
regolamenti;
- in questo è supportata dalla funzione di compliance, che traccia per ogni
processo aziendale i relativi rischi normativi;
- i diversi soggetti con compiti di controllo predispongono il proprio piano delle
attività di vigilanza (per la parte pianificabile, si intende);
- la funzione di internal audit, con la supervisione del comitato per il
controllo interno, predispone il piano delle attività di audit integrato con le
attività "commissionate" dai soggetti con compiti di controllo
(chiamiamolo il piano integrato delle attività di audit);
- la funzione di internal audit svolge le attività di controllo previste nel
piano integrato delle attività di audit, riferendo per gli aspetti di
competenza, ed indipendentemente dal fatto che ne sia il
"committente", agli organi di controllo competenti, al management
ed al vertice aziendale (questo è il primo importante risultato: le strutture
amministrative e operative saranno oggetto di un solo audit, che verifica tutti
gli aspetti programmati);
- le attività di vigilanza che – per carenza di risorse o mezzi - non è stato
possibile integrare nel piano integrato delle attività di audit, sono affidate
per l’esecuzione ad auditor esterni sotto la supervisione diretta degli organi
di controllo "committenti";
- la funzione di organizzazione redige e rivede le procedure aziendali per
integrare i presidi di controllo secondo le indicazioni degli organi e funzioni
deputati al controllo (ecco il secondo risultato: per ogni processo
formalizzato c’è una ed una sola procedura aziendale che integra tutti i punti
di controllo necessari per presidiare i relativi fattori
di rischio, indipendentemente dalla loro natura);
- il management approva le procedure ed il vertice aziendale le emana;
- la funzione qualità garantisce la coerenza formale del complesso sistema
delle procedure aziendali, e ne garantisce l’attualità.
In questo modello, quindi:
- i controlli sono attribuiti e concentrati nella
funzione di internal auditing, in quanto è la struttura aziendale che “per
definizione” deve possedere le competenze tecniche e professionali per svolgere
le attività di verifica;
- la formalizzazione dei presidi di controllo è assegnata nella sua complessità
alla funzione di organizzazione, in quanto funzione che conosce il linguaggio
necessario per codificare correttamente i processi in procedure, secondo
standard condivisi.
Tutto qua? Sì, tutto qua. Ma, in questo modo, abbiamo:
- cancellato con un colpo di spugna le strutture “a supporto” dei soggetti con
compiti di vigilanza (manterranno giusto il ruolo di segreteria tecnica, ma con
un diverso organico!);
- evitato che le strutture operative siano oggetto di molteplici audit sui
medesimi processi;
- creato i presupposti per avere un complesso di procedure aziendali omogeneo
ed organico;
- accentrato la gestione del database dei rischi aziendali (o della risk and
control matrix);
- diminuito la proporzione dei dipendenti impiegati in attività di vigilanza
sul totale dei dipendenti.
E l’autonomia di vigilanza e controllo? Tutto molto bello, ma come si concilia l’autonomia di vigilanza e controllo
con questo modello?
Beh, in capo ai soggetti con funzioni di vigilanza rimane il compito
fondamentale di definire le attività di verifica, e di vagliare i risultati
forniti dalla funzione di internal audit; rimane il potere di audire
direttamente i responsabili di aree e funzioni così come quello, nel rispetto
del budget di spesa assegnato, di commissionare verifiche “ad hoc” e non
programmate a professionisti esterni.
Obiezioni e conclusioni L'obiezione, a mio avviso più ragionevole, fino ad ora sollevata è che
questa soluzione tocca i rapporti di potere aziendali. In altre parole, toglie
“collaboratori” ad alcune persone.
In parole ancora più semplici: strutture più snelle, meno persone, “meno
potere”.
E che, per questo, non passerà mai.
Ma, in quanto portatrice di maggiore efficienza, ed anche di maggiore
efficacia, dovrebbe invece trovare il pieno appoggio del vertice aziendale
(Consiglio di Amministrazione, Amministratore Delegato, Direttore Generale)
appoggio e sostegno necessari proprio per superare le inevitabili resistenze
interne.
Tutto questo, ovviamente, in attesa di un intervento legislativo che,
riflettendo sulla struttura di controllo codificata nel tempo da leggi e
regolamenti, porti ad una razionalizzazione di strutture e funzioni.
