Corporate Governance:
approccio progettuale integrato ed innovativo
di Massimo Carosella
Nella mia esperienza di consulente, ho sempre tentato di mettere in luce, talvolta non senza difficoltà, il ruolo vitale che l’informazione gioca per il management.
In realtà ciò che ritengo veramente cruciale è il presentare quell’informazione in modo da permettere al manager di essere capace di vedere tutte le relazioni tra i diversi dati in un contesto efficiente e facile da usare.
In questo senso sono sempre stato consapevole del fatto che la tecnologia può rivestire un ruolo molto importante nel determinare i successi di un progetto di consulenza: prima di tutto può accrescere la misurabilità dei risultati di un processo, lasciando così a conoscenza del Cliente il valore aggiunto del progetto stesso che concerne l’organizzazione della sua compagnia o il Conto Profitti & Perdite o i flussi di cassa, etc…
Ormai da qualche lustro, il mondo della consulenza propone i più diversi tipi di approccio progettuale.
Essi, però, quanto alle scelte di fondo ed alle competenze messe in campo, possono essere, con ottima approssimazione, raggruppati in due grandi categorie.
Nella prima categoria includerei le Aziende che adottano un approccio per così dire tradizionale, in cui il consulente analizza la situazione del cliente “as is”, rilevando eventuali criticità ed opportunità e focalizzando la propria attenzione sui bisogni del cliente, sia espressi sia latenti; il risultato prodotto è, in genere, uno studio-proposta delle aree da migliorare e delle modalità per conseguire tali miglioramenti.
Dall’altra parte, ci sono Aziende orientate allo sfruttamento della tecnologia per soddisfare i bisogni dei clienti attraverso la ricerca e la modellazione di strumenti software organizzati in architetture più o meno complesse. Tali strumenti, attraverso efficienti funzionalità di modeling, reporting e simulazione, permettono ai decisori di disporre della necessaria conoscenza derivata dagli asset informativi disponibili.
Ora, ci sono aree della Gestione d’Impresa che, sia per l’incremento del corpus normativo di riferimento, sia per nuove sensibilità culturali, ambientali e sociali, pur mantenendo un unico destinatario della propria attività (l’azienda stessa) hanno dovuto confrontarsi con una varietà di discipline, di regole e, in ultima analisi, di conoscenze decisamente più ampia e diversificata di quanto non fosse in passato.
Da un lato, ciò ha favorito il passaggio dal concetto di Management Control & Planning a quello di Corporate Governance, incorporando in questa anche istanze etiche, sociali, ambientali, prima estranee alle finalità primarie dell’Impresa.
Dall’altro ha determinato, per il Manager, la necessità di integrare non più solo dati intrinsecamente correlati come quelli della contabilità e, per esempio, quelli delle vendite ma informazioni assolutamente destrutturate e variegate, tra l’altro non sempre gestite in forma digitale.
A titolo di esempio, non sfuggirà a nessuno come le competenze necessarie per offrire un servizio affidabile ed efficace di consulenza nell’area della Corporate Governance, prima quasi esclusivamente economico-ingegneristiche, oggi devono arricchirsi di contributi ambientali, legali, sociali, etc.
Sull’altro versante si presenta un problema di strumenti interpretativi di dati non immediatamente esprimibili secondo l’abituale “logica binaria”. L’azienda IT non è detto che possieda (e non è certo un suo limite) le competenze per derivare informazioni gestibili elettronicamente da concetti, leggi, regolamenti, aspettative, etc.
Il problema che deriva da questo stato di cose è che, oggi più che mai, la scelta “manichea” tra un approccio spiccatamente tradizionale-metodologico ed uno tecno-centrato rischia di lasciare scoperte ed inesplorate tematiche ed istanze di ineludibile importanza.
A scatenare la forte sensibilizzazione verso questo tema, nella mia esperienza recente, è stato il confronto con tematiche progettuali complesse come quella, generale, della Corporate Social Responsibility e quella, particolare, della responsabilità amministrativa delle Società (D. Lgs. 231/01).
Il tema principale della revisione organizzativa a fini di tutela dalla commissione di reati (di natura, evidentemente, prettamente giuridica):
- si coniuga o, meglio, si inserisce in un contesto economico-organizzativo esteso a tutta l’azienda;
- fa propri dati ed informazioni non sempre provenienti da supporti digitali comodamente replicabili;
- richiede una multidisciplinarietà di competenze che spaziano dal diritto penale, all’analisi dei processi, alle tecniche di risk management, all’ingegneria societaria.
Pur riuscendo a trovare soluzioni a ciascuno di questi problemi individualmente ed anche al complesso di essi, restava insoluto quello del rendere misurabili certi fenomeni o certe informazioni e, poi, di integrarli in un modello che fosse in grado di derivarne un’informazione complessiva.
Tale difficoltà si è rivelata già in fase di creazione dei team di progetto, allorché si è dovuto prendere atto della differenza di linguaggio e di strumenti interpretativi tra le diverse figure professionali coinvolte.
Anche quando la coesione del team è stata finalmente raggiunta, il problema della normalizzazione di tutti i dati disponibili ha impegnato in maniera strenua i membri del team: i modelli si sono succeduti ai modelli, la metodologia è stata ripetutamente affinata includendo tecniche di diverse provenienze ed aree di applicazione, le strutture dei dati sono state esplorate alla ricerca di quella che garantisse massima efficienza nella fase di implementazione del modello e, contemporaneamente, assicurasse la massima completezza e versatilità di esplorazione delle informazioni di output.
La decisione che abbiamo preso, come imprenditori della consulenza, è stata di investire nella realizzazione di un Modello che
- valorizzasse, sul piano della varietà e della completezza dei contenuti, i contributi di professionalità di spicco nel campo giuridico, sociale, ambientale, manageriale, etc.,
- ne consentisse l’efficiente e coerente normalizzazione ed integrazione,
- garantisse la possibilità di esplorare gli output in maniera indipendente sia dalla struttura dei dati, sia da attività di programmazione, non alla portata di un utente non specialista.
La nostra idea di realizzare un simile Modello ha trovato ulteriore stimolo nella presa d’atto che il mercato della consulenza nell’area del risk management (Corporate Social Responsibility, SOX e SEC negli Stati Uniti, Corporate Administrative Responsibility nell’Unione Europea) è pieno di Società che normalmente usano strumenti di archiviazione dati, come database o spreadsheet, che però, proprio per le difficoltà di integrazione e di applicazione di cui si diceva prima, non consentono di gestire ogni singola fase di un progetto orientato alla Legal Compliance.
E nessuno di questi strumenti registra in uno specifico database cosa era “prima, durante e dopo”: è importante conservare la storia dei Processi Aziendali in modo da analizzarne gli scostamenti, le correzioni e le decisioni e misurarne i risultati.
Prima di tutto, quello di cui si è rilevata la mancanza sono le funzionalità di reporting che traducano il livello di rischio e l’efficacia di ogni azione correttiva in numeri, controllino il processo di Risk Mitigation basandosi sulle evidenze del Piano di Azioni correttive e che abilitino l’utente a misurare ed analizzare, in qualsiasi momento, il gap tra il livello di rischio corrente e quello atteso.
Il software è stato concepito grazie alle numerose esperienze di consulenza nelle aree della Corporate Governance e della Gestione e Pianificazione di Controllo.
Infatti, esso riunisce tutte queste esperienze, tutti gli appunti, i documenti relativi ai vari progetti e li organizza sotto forma di un software che è in grado di rispondere e soddisfare alcune richieste espresse dalle Aziende con cui abbiamo lavorato. Il software si avvale di alcune metodologie di Business Process Reengineering (BPR) e delle tecniche di internal auditing conosciute in tutto il mondo, come quelle descritte nei Report1 e Report2 del COSO (Committee of Sponsoring Organizations).
Il Modello è stato definito secondo 3 dimensioni (del resto tipiche di un’attività di Auditing) che ne hanno orientato anche lo sviluppo.
- Obiettivi
- Controlli
- Azioni
Gli obiettivi, in una visione del tutto generale, sono quelli dell’efficienza, dell’economicità e dell’efficacia della gestione.
La loro declinazione in obiettivi più specifici dipende in genere dalla natura dell’attività dell’Impresa, dalla sua organizzazione e dai processi fondamentali che in essa vengono svolti per conseguire l’oggetto sociale.
Essi possono essere divisi in obiettivi globali, in quanto perseguiti in ogni processo dell’Impresa, ed obiettivi specifici, in quanto strettamente correlati, per natura e per responsabilità, al singolo processo.
Ritengo utile precisare che l’approccio secondo il quale sono stati individuati ed organizzati gli obiettivi è coerente con i principi della Corporate Social Responsibility: pertanto a quelli tradizionali di tipo economico-finanziario-organizzativo, si uniscono altri volti a società, territorio, ambiente, etc.
A titolo di esempio, alcuni obiettivi globali possono essere individuati in:
- Condivisione della remunerazione del capitale
- Trasparenza informativa
- Investimenti etici nel lungo termine
- Corretto rapporto qualità/prezzo del prodotto/servizio
- Correttezza della procedura di selezione dei Fornitori e delle relazioni con essi
- Contributi allo sviluppo locale
- Formazione continua
- Sistema di deleghe e lavoro di gruppo
mentre, tra gli obiettivi di processo (a titolo di esempio viene usato il processo Purchasing) vi saranno:
- Correttezza della procedura di selezione dei Fornitori e delle relazioni con essi
- Corretta gestione dell’acquisto di beni e servizi
- Efficienza nella gestione dei contratti di fornitura
- Astensione dall’utilizzo di beni e/o servizi prodotti con l’uso di lavoro minorile o in schiavitù.
I controlli definiscono attività e regole operative tese a verificare il livello di capacità, da parte dell’Organizzazione e delle procedure operative che in essa vengono applicate, di conseguire gli obiettivi globali e di singolo processo.
Tale livello viene espresso in termini di capacità di minimizzare il rischio che possano verificarsi un evento o una circostanza (comportamento illecito, lacuna organizzativa, carenza procedurale, etc.) che ostacolano o impediscono del tutto il conseguimento di uno o più obiettivi.
Le azioni sono tutta la serie di nuove attività, protocolli operativi, procedure, regole – o le modifiche di attività, protocolli, procedure e regole già esistenti - che si ritiene debbano essere introdotti nell’organizzazione al fine di potenziare l’attitudine di questa a scongiurare i rischi che possono pregiudicare il raggiungimento degli obiettivi aziendali e/o di processo.
Le fasi di applicazione del Modello
Il Modello supporta l’intero ciclo di Compliance Modeling and Auditing. In particolare, possiamo individuare 4 fasi fondamentali di cui qui di seguito delineeremo l’articolazione:
- Analisi preliminare;
- Risk Assessment;
- Action Plan;
- Follow Up.
Per ciascuna fase verranno indicati sinteticamente obiettivi, principali attività da svolgere ed output..
Fase 1 - Analisi preliminare
Obiettivi:
- Comprendere le attese della Direzione Aziendale in relazione all’attività progettuale;
- Delineare il Business Model dell’azienda.
Attività principali:
- Rilevazione delle diverse aree organizzative;
- Rilevazione, per ciascun’Area organizzativa, della mission e delle regole operative;
- Rilevazione delle procedure (se esistenti) per ogni area organizzativa;
- Analisi dei processi: individuazione, articolazione in attività e rapporto tra ciascuna di esse e le altre (input/output, sequenza cronologica, workflow, document stream, etc.);
- Sistematizzazione degli obiettivi rilevati e definizione del responsabile;
- Individuazione dei fattori di rischio che possono compromettere il conseguimento degli obiettivi.
Fase 2 - Risk Assessment
Obiettivi:
- Individuare gli obiettivi di ciascun processo e i relativi i fattori critici di successo;
- Misurare il rischio potenziale dell’Azienda, articolandone la natura per processo e tipo di rischio;
- Identificare e valutare i rischi che possono compromettere il raggiungimento degli obiettivi ed i controlli in essere.
Attività principali:
- Predisposizione di Check Lists per singola area di responsabilità. Le domande che le comporranno saranno tese a mettere in luce l’esistenza o l’inesistenza di lacune, carenze, comportamenti che possano compromettere il conseguimento dell’obiettivo a cui il Fattore di Rischio si riferisce.
- Ogni risposta verrà pesata in funzione dell’attitudine dei controlli predisposti a ridurre possibili rischi.
- Al termine della fase di compilazione della Check List da parte del soggetto destinatario, il punteggio calcolato in base al peso delle diverse risposte fornite determinerà il Valore del Rischio complessivo.
Fase 3 – Matrice dei Rischi e Protocolli di Azioni Correttive
Obiettivi:
- Identificare e formalizzare gli interventi da attuare nel periodo considerato, principalmente in base ai risultati del risk assessment.
Attività principali:
- La Matrice dei Rischi, output della Fase precedente, fornirà le linee guida secondo le quali individuare le azioni correttive idonee a riportare il Valore di Rischio ad un livello accettabile come compromesso tra minimizzazione del rischio e costo da sostenere per la sua riduzione.
- Le singole azioni andranno definite in termini di peso relativo, cioè di contributo individuale a ridurre il rischio a cui si riferiscono. Inoltre di ciascuna azione correttiva andrà definita la scadenza di attuazione ed il responsabile.
- Definizione degli interventi di Audit;
- Predisposizione del Piano;
- Approvazione del Piano.
Fase 4 – Monitoraggio e Follow Up
Obiettivo:
- Determinare l’adeguatezza e l’efficacia delle azioni correttive intraprese dal management in risposta ad un rilievo di audit.
Attività principali:
- Verifica dell’attuazione delle azioni correttive;
- Accettazione del livello di rischio obiettivo.
- Il monitoraggio del Piano di Auditing così tracciato verrà attuato mediante checkup periodici o estemporanei (tipicamente all’evidenziarsi di un’area/situazione di criticità) sul livello di attuazione di ciascuna azione e, in caso di scostamenti, mediante azioni di sollecitazione e/o di ritaratura di pesi, scadenze ed altri attributi.
Come si vede, la metodologia consegue le aspettative di partenza, in termini di integrazione, velocità ed economicità.
L’integrazione è conseguita attraverso:
- il passaggio, dall’obbligo di attingere ad una pluralità di strumenti e competenze, ad un approccio progettuale unico, in cui il lavoro di mediazione e di integrazione tra le diverse tematiche è stato fatto a monte,
- il fatto che, partendo dall’analisi dei processi, vengano seguite ed analizzate tutte le fasi dell’intervento fino al monitoraggio dell’Action Plan con un Modello unico, ma adattabile ai diversi focus ambientale, sociale, etico, organizzativo, economico;
- l’ambito di applicazione all’intera Azienda, alla sua specifica struttura, ai suoi vincoli ed alle sue strategie;
- l’integrazione del tutto verso un cruscotto di Balanced Scorecard, per monitorare, in modo del tutto innovativo, il grado di perseguimento delle strategie aziendali.
Il drastico abbattimento dei tempi di elaborazione di gran parte delle attività è la prova dell’accresciuta velocità di progettazione e di realizzazione del Modello.
Essa si traduce in un sensibile vantaggio economico rappresentato dal fatto che, a parità di output, per molte attività e per la fase di Follow Up,
- risulta eliminato l’intervento di consulenti esterni,
- viene ridotto l’impegno di risorse interne e
- attraverso le funzionalità implementate nella tecnologia, si consegue un taglio sensibile dell’entità dell’investimento,
per un risparmio complessivo notevole (talora dell’ordine del 40%!) sul costo medio di un Progetto CSR.
Massimo Carosella, ingegnere e consulente di Direzione dal 1985, dal 1998 è impegnato nella consulenza direzionale assistita da supporti tecnologici che vanno dagli iniziali DSS agli attuali strumenti di Management Intelligence con funzioni di simulazione e di analisi evolute. E’ CEO della C.C.S. – Carosella Corporate Solutions, con sede nell’area di Dallas, Texas – USA. In essa ha implementato e messo a punto un approccio innovativo alla Corporate Governance, con particolare attenzione verso i temi della Corporate Social Responsibility, assistito in ciò da applicazioni software sviluppate in-house, integrate nell’approccio e innovative nella loro unicità sul mercato.