Il termine Audit proviene da “ascolto”. Le origini della parola risalgono al mondo romano ed indicavano quei soggetti che controllavano l’amministrazione del denaro pubblico mediante “l’audizione” dei risultati contabili. Quindi il termine veniva impiegato per indicare delle attività di controllo di natura fiscale e contabile.

Questa parola viene oggi comunemente impiegata indicando uno strumento per capire se nelle varie aree ed attività di un “sistema aziendale” vengono rispettate le procedure predisposte, se sono chiari ruoli e doveri e se obiettivi e policy aziendale sono correttamente gestiti e perseguiti. Lo scopo è quello di adempiere agli obblighi normativi destinati ad una azienda. Ma soprattutto quello di assegnare adeguata copertura alle attività aziendali che presentano maggio grado di rischiosità.

Un audit efficace dovrebbe essere condotto da un auditor professionista di comprovata esperienza e competenza tecnica. L’attività dell’auditor dovrà avvenire in piena collaborazione con tutto lo staff aziendale. Ciò al fine di ottenere una raccolta dati più completa possibile che, indagando sulle cause, permetterà di evidenziare gli obiettivi mancati e le difformità rispetto alle azioni adottate. Solo in questo modo l’auditor, dopo aver mappato le aree di rischio, potrà prospettare soluzioni adeguate alla struttura e alle diverse esigenze aziendali.

Audit e gestione del rischio

La necessità di disporre di un modello di gestione del rischio, in ambito aziendale e in alcune categorie professionali, è stata particolarmente avvertita negli ultimi anni. Attraverso la gestione del rischio, infatti, si è in grado di controllare non solo l’assetto procedurale e organizzativo dell’ente, ma anche la salvaguardia del patrimonio aziendale, dell’assetto economico finanziario, nonché l’efficacia e l’efficienza dell’intera gestione aziendale.

Dalle varie disposizioni normative emerge una maggiore rilevanza attribuita sia ai sistemi di controllo interno e di gestione dei rischi, ma anche ai sistemi di responsabilità in capo alle società, al management e agli organi di controllo interno. Basti pensare ad esempio:

il Decreto Legislativo 231/01 e annesse Linee Guida approvate dalle principali associazioni di categoria (es. Confindustria, ABI, ecc.), per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. n. 231/2001;

Come si conduce l’audit

L’efficacia del processo di auditing dipende dalla tipologia di analisi condotta dell’auditor, dalla disamina dei protocolli, dalle modalità di acquisizione delle informazioni e dei dati ottenuti dall’auditor. Per avere una conoscenza completa dell’organizzazione aziendale, dunque, deve essere predisposta dall’auditor una adeguata e specifica procedura di analisi.

Ecco allora che la predisposizione di una check list è il primo step per la raccolta dei dati e delle informazioni, tenendo ben presente la realtà aziendale.

Nell’attività di audit si possono poi identificare tre macro categorie di impostazione:

per adeguamento normativo;

per ottimizzazione di specifico processo;

con domande integrative (estremamente personalizzata a seconda dei requisiti richiesti).

Ciascuna di queste categorie deve ricomprendere tre fasi:

1. progettazione della verifica: identificazione delle aree da “auditare”, definizione degli strumenti da utilizzare e pianificazione delle attività di raccolta dati.

2. analisi documentale e verifica dell’adeguatezza dei protocolli rispetto alla normativa interessata.

3. Valutazione rispetto ai parametri audit e dei risultati ottenuti, elaborazione statistica degli stessi ed eventuale piano di miglioramento con le misure da adottare.

E’ fondamentale almeno nella fase numero 2 l’acquisizione di informazioni attraverso interviste con impiegati, organi dirigenziali ed altre persone, ispezioni ed indagini, osservazioni sulle attività e le condizioni e l’ambiente di lavoro, richieste di conferma, ricalcolo o riesecuzione, nonché disamina di documenti specifici, procedure e prassi eventualmente istituite, procedure di analisi comparativa

Concluse queste fasi l’auditor potrebbe giungere a 2 risultati differenti:

le NON CONFORMITA’ (minore o maggiore) 

le OSSERVAZIONI (e/o RACCOMANDAZIONI)

L’auditor nel rilevare le non conformità o esprimere delle osservazioni, potrà nel primo caso dettagliare i gap riscontrati ossia i punti di discordanza tra quanto definito nelle procedure, o le inadempienze normative; nel secondo caso offrire indicazioni per l’applicazione di diversi processi finalizzati ad ottenere migliorìe, modifiche, attraverso i quali offrire obiettivi raggiungibili attraverso l’adozione di misure (processi, funzioni, ecc.) alternative.

A conclusione del processo di auditing, l’auditor dovrà procedere alla elaborazione di una relazione scritta, dalla quale emergeranno importanti spunti per il miglioramento dei processi, della gestione o dello stato di compliance dell’area indagata.

Per fare un esempio, al termine di un audit condotto su un sistema di gestione per la qualità, verranno prodotti dei risultati che forniranno il punto di partenza per identificare migliorie ai processi con l’obiettivo di offrire al cliente un prodotto/servizio perfettamente in linea con le sue aspettative.

In conclusione

Ogni azienda, come del resto ogni studio professionale, dovrebbe cogliere l’importanza di dotarsi di un sistema di controllo e di gestione dei rischi. Tale impianto è costituito da procedure, protocolli, strutture organizzative che garantiscono il corretto funzionamento dell’organizzazione. L’audit, in questo sistema, è lo strumento per eccellenza per valutare e monitorare l’adeguatezza delle misure adottate. Solo in questo modo, ragionando cioè in termini sistemici e procedurali, si riesce a salvaguardare il patrimonio dell’organizzazione, sia essa azienda o studio professionale.