Come per ogni organizzazione che attua il ciclo di Deming in riferimento ad uno o più aree di compliance, dopo il momento della pianificazione e della messa in opera di quanto definito, arriva la fase del controllo. Una delle attività principali che riguardano questo terzo stadio è la conduzione degli audit interni ed esterni.
La rubrica AssetProtection, ovvero Riflessioni su sicurezza e terrorismo, a cura di Anthony Cecil Wright, presidente Anssaif (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria). Per consultare gli articoli precedenti clicca qui.Nel corso di tutto questo semestre abbiamo ripetutamente cercato di mettere in evidenza e di trattare da un lato le buone pratiche che riguardano la valutazione e la gestione dei rischi, dall’altro di condividere le resistenze comuni e le argomentazioni più logiche per disfarle.
Anche per gli audit non mancano alcune obiezioni ricorrenti, sollevate istintivamente dalle persone coinvolte che manifestano un livello di consapevolezza ancora in fase di evoluzione.
Il commento solitamente bisbigliato, che si ripete come una cantilena sia per gli audit interni che per quelli esterni è riferito all’auditor: “Speriamo che non se ne accorga, che non lo veda”.
In questo caso le considerazioni sono due. Se si tratta di un problema già noto all’organizzazione, perché non condividere con l’auditor le modalità di gestione identificate e le operazioni già compiute? Non potrà fare altro che acquisire un’evidenza positiva circa la capacità dell’organizzazione di identificare e trattare situazioni non conformi, fornendo eventualmente ulteriori spunti di miglioramento. Di contro, qualora l’organizzazione non avesse già provveduto a trattare la situazione non conforme, il fatto che la rilevi l’autor e che metta nero su bianco l’evidenza, inducendo l’azienda a trattarla, rappresenta in ogni caso l’opportunità di gestire una situazione potenzialmente dannosa.
Esistono poi delle obiezioni più specifiche che riguardano gli audit interni. Per lo più vengono identificati come un’attività che ha luogo a causa dell’assenza di fiducia per l’operato svolto dai responsabili. Ad un secondo e più elevato gradino di problematicità, possono anche essere interpretati come una gran perdita di tempo.
Non è mia intenzione cadere nel banale, ma è opportuno condividere una considerazione ad ampio spettro, valida per giustificare qualsiasi forma di controllo: l’uomo è per sua natura imperfetto, può sbagliare. Inoltre chi sviluppa non solo potrebbe avere interesse nel non mettere in evidenza alcune falle del processo ma, molto più semplicemente, potrebbe non rendersene conto.
C’è poi chi dubita dell’utilità degli audit interni se già vengono investite risorse economiche per la conduzione degli audit esterni. Solitamente gli audit interni vengono pianificati, ed in alcuni casi condotti dal personale interno preposto a questa funzione con l’ausilio di professionisti esterni.
Chi meglio di un interno conosce le criticità dell’organizzazione, sapendo individuare anche quelle di carattere più operativo, e riesce a percepire anche gli obiettivi impliciti oltre a quelli esplicitamente condivisi? Un interno ha la possibilità di andare a mettere il naso negli angoli più nascosti, dove un esterno probabilmente non arriverebbe.
Proprio in questo senso non è difficile ascoltare anche critiche opposte, rivolte agli auditor esterni: “Che ne sa di come è effettivamente organizzato il lavoro?”. Gli auditor esterni degli enti certificatori, avendo l’opportunità di vedere molte realtà differenti nel corso della propria attività ed avendo maturato in molti casi una competenza e un’esperienza focalizzata su differenti sistemi di gestione e standard, hanno la capacità di meglio interpretare ciò che stanno fotografando. Sanno collocarlo in un ambito molto più ampio della sola realtà oggetto di controllo e sono in grado di muoversi trasversalmente tra i requisiti di normative differenti.
In conclusione gli audit interni ed esterni, proprio per l’elevato valore aggiunto delle attività, dovrebbero essere interpretati non come momento di agonia per il conseguimento del certificato ma come occasione di confronto per l’individuazione di aree critiche oppure di miglioramento.
L’interazione dei due distinti processi e la collaborazione tra i team non può che giovare allo stato di compliance dell’organizzazione, senza trascurare l’importante occasione di confronto ed ulteriore education per tutte le persone coinvolte, trasformando di fatto una routine apparentemente seccante in un momento di evoluzione collettiva.