Corporate governance, internal auditing, risk management: è possibile un approccio low-cost?
Inserito da Redazione il Ven, 2006-07-14 16:11
Certificazioni professionali | IIA | IS Audit & Control | IT Colloquia | Luglio 2006 | Rischi
060714-operari
Colloquio con Vittorio Gennaro, fondatore di operàri,
sulla gestione dei rischi in azienda. I vantaggi dell’auto
valutazione.
IsacaRoma: Buongiorno dottor Gennaro e grazie per la collaborazione. Vuole presentarsi rapidamente e presentare anche operàri la società in cui lavora e che lei stesso ha fondato?
Vittorio Gennaro: Ringrazio innanzi tutto il vostro chapter per l'invito a partecipare rivolto alla mia società. operàri nasce ad inizio 2004, dopo un'esperienza decennale, da parte dei soci fondatori, nelle big four; l'idea è semplice, ma innovativa: fare consulenza specialistica in materia di rischio e controllo, a qualità almeno pari a quella delle big four, ma ad un prezzo volutamente low-cost, normalmente il 50% circa dei prezzi a cui eravamo abituati. Forse un'idea pazza, che disturba la quiete competitiva dei grandi, ma il ruolo di un imprenditore è necessariamente creativo.
Siamo partiti in questo modo, senza brand conosciuto, senza nessuna copertura alle spalle, solo con la nostra volontà, la determinazione verso la qualità, lo spirito di sacrificio che ci contraddistingue. Eravamo sconosciuti, e probabilmente lo siamo ancora per molti, ma vogliamo sicuramente essere diversi dagli altri, etici, se può intendere correttamente il significato: le sembra normale vendere un neo-laureato con due settimane di formazione a 80 euro l'ora? Va dai clienti ad insegnare o ad imparare? Abbiamo introdotto solo un po’ di buon senso: nessuno di noi ha meravigliose auto aziendali, né segretarie personali.
IR: Da cosa deriva la denominazione della società?
VG: In latino operàri letteralmente significa “lavorare” ma non volevamo sembrare particolarmente sofisticati; il messaggio è: facciamo consulenza operativa, quella vera, lavoriamo e ci sporchiamo le mani, siamo operai della consulenza e non ce ne vergogniamo.
Non vendiamo le luci lontane un network internazionale, ma la nostra conoscenza, il nostro sudore e il nostro cervello. I clienti apprezzano e ringraziano, per il lavoro fatto e per il risparmio.
IR: Parliamo di gestione dei rischi in azienda. Lei è certificato CCSA. Vuole spiegarci di cosa si tratta e come si ottiene tale certificazione? In Italia è molto diffusa?
VG: La certificazione CCSA è relativa alle competenze di gestione dei processi di auto-valutazione dei rischi e dei controlli. In Italia è di introduzione recente; al momento sono circa 100 i professionisti certificati, ma la crescita è rapida. Ho scritto recentemente (pdf, 63 K) in un articolo della Rivista dell’Associazione Italiana Internal Auditors che la migliore metafora dei progetti di auto-valutazione dei rischi e dei controlli è quella del “ponte” tra chi conosce il metodo, ma non i rischi nel loro dettaglio, e chi conosce i rischi ma fatica ad esprimerli con le parole giuste.
IR: Ritiene che la certificazione CCSA si diffonderà nel nostro paese?
VG: Penso che questa certificazione possa crescere ulteriormente; è innanzi tutto una certificazione su tecniche ed abilità più “soft”, ma con questo non si immagini che sia semplice svolgere il ruolo di esperto certificato in questi progetti. Anzi ci vuole una esperienza significativa, ben oltre quello che possa essere rappresentato dal processo di certificazione, che deve essere inteso come un primo passo, essenziale, e non un punto di arrivo.
IR: Funzione davvero l’autovalutazione in azienda? L’autovalutazione dei rischi ha delle specificità?
VG: Ho iniziato a partecipare a progetti di auto-valutazione nel 1998 e ammetto che la diffidenza iniziale era molta. Io mi ero formato a Londra e la prima sensazione fu: “non funzionerà mai in Italia”. Affinché siano utili, i processi di autovalutazione devono compiersi in un ambiente dove sono rispettati tre messaggi fondamentali:
IR: Come avviene nella pratica l’autovalutazione? Che processi si innescano fra gli attori?
VG: In termini di risultato concreto devo fare un distinguo: durante il processo di auto-valutazione il clima è positivo, l'acqua bolle, è frizzante. Successivamente il processo virtuoso tende ad acquietarsi, non sempre si aprono cantieri di lavoro per la migliore gestione del rischio, e se si aprono se ne perde l'entusiasmo per strada, presi da mille problemi e mille altre priorità. Il cerchio non sempre si completa: i progetti sono ancora spesso fotografie istantanee e non dei film.
IR: Qual è il ruolo del consulente / facilitatore nei progetti di autovalutazione del rischio?
VG: Egli è moderatore e facilitatore dei momenti identificativi e valutativi, gestisce il gruppo di valutatori, controlla i tempi e il metodo. Agevola la discussione, distribuisce gli interventi dei partecipanti, chiarisce o chiede di chiarire le informazioni, rende fluida la dinamica di gruppo, evita che si creino contrapposizioni o attriti. Non ha opinioni, o meglio, se le ha le tiene per sé. Se è esterno all'azienda è da un certo punto di vista un bene, perché gli è difficile giudicare e ha un punto di vista neutrale, fresco. Da quanto ho detto finora è però chiaro che questo ruolo è di metodo, ma anche di esperienza. Non basta la certificazione, bisogna fare i progetti sul campo. Un suggerimento alle aziende, pertanto: se volete chiamare un consulente a supporto, nel ruolo di facilitatore, chiedetene le credenziali e verificatele.
E ricordate che a gestire il workshop non è un brand internazionale, ma una persona in carne ed ossa.
IR: Lei si definisce (anche) un metodologo. In ambito risk management. Le metodologie abbondano anche se COSO - ERM sembra stia assumendo un ruolo sempre più di rilievo. Che ne pensa? Si andrà verso il "pensiero unico"? È un bene?
VG: Diciamo che apprezzo le questioni di metodo. In tutti questi anni nella professione, ho imparato che nel nostro ambito i temi si possono ridurre facilmente in un linguaggio comune: il rischio è un evento incerto con conseguenze avverse. Probabilità e impatto sono il nostro pane quotidiano. Il resto è dettaglio metodologico, questione terminologica. Ma non andremo facilmente verso una “teoria generale del rischio”, perché l'investimento operativo già fatto dalle aziende è troppo significativo per modificare di imperio l'esistente. Consideri che quando negli Stati Uniti hanno definito quale framework metodologico dovesse essere utilizzato nei progetti Sarbanes-Oxley, l'ERM era praticamente disponibile nella versione pressoché finale. Eppure ha prevalso il COSO, del 1992, per gli ingenti investimenti già fatti. Lo stesso dicasi in Italia: Banca d'Italia, e il Comitato di Basilea, propongono proprie classificazioni dei rischi; l'ISVAP segue qualche anno dopo e propone una propria terminologia; non mi sorprenderebbe se Consob il prossimo anno proponesse un proprio punto di vista sull'applicazione pratica dei requisiti previsti dall'articolo 154-bis del TUF. Chi lavora nel campo, tuttavia, si muove agevolmente da un framework all'altro e tutto ciò non ci spaventa.
IR: Infine lei è associato all’AIIA, l’Associazione Italiana Internal Auditors, e partecipa al Comitato Editoria e Pubblicazioni di tale associazione. Come funziona la comunicazione nell’area dell’auditing in generale e del risk management in particolare? I clienti sono sensibili a questi temi? Che iniziative sarebbero auspicabili a riguardo?
VG: Apprezzo lo sforzo di innovazione che l'Associazione Italiana Internal Auditors ha fatto negli ultimi anni. Onestamente è stato un salto generazionale di importanza significativa. Ora l'Associazione comincia a dialogare con le imprese, con le Authority, propone position paper, dà interpretazioni. La rivista, nella veste grafica rinnovata, è moderna, leggera, attuale. La presenza nelle università è aumentata. Davvero una svolta epocale, nel suo complesso. Ora bisogna andare oltre, forse bisogna aprire le porte anche ai non addetti ai lavori. Forse parlo con spirito eccessivamente commerciale, essendo prima di tutto un imprenditore, ma credo che la rivista dovrebbe arrivare gratuitamente sul tavolo di tutti i CEO e CFO delle società quotate nonché dei membri dei Comitati per il Controllo Interno e, perché no, presso i Sindaci. È importante diffondere il linguaggio: non le dico talvolta che difficoltà a comprendersi anche sui termini utilizzati.
IR: Quale è secondo lei un passo importante per i professionisti CIA e per l'Associazione nel suo complesso?
VG: In termini prospettici, bisogna imparare a fare pressione anche sul legislatore. La chiarezza e la specificità dei termini talvolta aiuterebbe a comprendere gli intenti. Se ciò che stava a cuore a chi ha scritto l'articolo 154-bis era proprio il sistema di controllo interno nel dominio amministrativo-contabile, perché non ha usato questa terminologia, perché non ha fatto riferimento al COSO, se non altro nella relazione che accompagna la legge? E noi dell'Associazione dove eravamo in quei mesi? Le colpe vanno condivise: la concertazione - per usare un termine che va di moda – non avviene, neppure quella tecnica, perché non siamo ancora sufficientemente visibili.
Per contro, ma senza lanciare un messaggio polemico, penso che i collegi sindacali debbano essere aperti anche (non dico solo) a coloro che sono CIA. È venuto meno in molti casi il controllo contabile, ed ora i sindaci si occupano innanzi tutto di controllo interno. Eppure l'Associazione non rappresenta un ordine professionale e la certificazione non ha valore legale in Italia; di conseguenza siamo esclusi dalla partecipazione a questo ruolo istituzionale.
IR: Siamo in piena estate... È tempo di letture sotto l'ombrellone: cosa si porterà dietro (e consiglia ai nostri lettori)?
VG: In euforia post vittoria mondiale, avrei detto “Il conflitto epidemico”, saggio ora non più recente, ma sempre attuale di Guido Rossi. Di agevole lettura, fa pensare e riflettere, e se non altro dà un tono nei confronti del vicino di ombrellone. Non lo consiglierei ai colleghi single, tuttavia, a meno che non sia loro intenzione rimanere tali.
IR: Grazie dottore e a presto
VG: Grazie a voi e buona estate.
Può essere contattato via sito web
IsacaRoma: Buongiorno dottor Gennaro e grazie per la collaborazione. Vuole presentarsi rapidamente e presentare anche operàri la società in cui lavora e che lei stesso ha fondato?
Vittorio Gennaro: Ringrazio innanzi tutto il vostro chapter per l'invito a partecipare rivolto alla mia società. operàri nasce ad inizio 2004, dopo un'esperienza decennale, da parte dei soci fondatori, nelle big four; l'idea è semplice, ma innovativa: fare consulenza specialistica in materia di rischio e controllo, a qualità almeno pari a quella delle big four, ma ad un prezzo volutamente low-cost, normalmente il 50% circa dei prezzi a cui eravamo abituati. Forse un'idea pazza, che disturba la quiete competitiva dei grandi, ma il ruolo di un imprenditore è necessariamente creativo.
Siamo partiti in questo modo, senza brand conosciuto, senza nessuna copertura alle spalle, solo con la nostra volontà, la determinazione verso la qualità, lo spirito di sacrificio che ci contraddistingue. Eravamo sconosciuti, e probabilmente lo siamo ancora per molti, ma vogliamo sicuramente essere diversi dagli altri, etici, se può intendere correttamente il significato: le sembra normale vendere un neo-laureato con due settimane di formazione a 80 euro l'ora? Va dai clienti ad insegnare o ad imparare? Abbiamo introdotto solo un po’ di buon senso: nessuno di noi ha meravigliose auto aziendali, né segretarie personali.
IR: Da cosa deriva la denominazione della società?
VG: In latino operàri letteralmente significa “lavorare” ma non volevamo sembrare particolarmente sofisticati; il messaggio è: facciamo consulenza operativa, quella vera, lavoriamo e ci sporchiamo le mani, siamo operai della consulenza e non ce ne vergogniamo.
Non vendiamo le luci lontane un network internazionale, ma la nostra conoscenza, il nostro sudore e il nostro cervello. I clienti apprezzano e ringraziano, per il lavoro fatto e per il risparmio.
IR: Parliamo di gestione dei rischi in azienda. Lei è certificato CCSA. Vuole spiegarci di cosa si tratta e come si ottiene tale certificazione? In Italia è molto diffusa?
VG: La certificazione CCSA è relativa alle competenze di gestione dei processi di auto-valutazione dei rischi e dei controlli. In Italia è di introduzione recente; al momento sono circa 100 i professionisti certificati, ma la crescita è rapida. Ho scritto recentemente (pdf, 63 K) in un articolo della Rivista dell’Associazione Italiana Internal Auditors che la migliore metafora dei progetti di auto-valutazione dei rischi e dei controlli è quella del “ponte” tra chi conosce il metodo, ma non i rischi nel loro dettaglio, e chi conosce i rischi ma fatica ad esprimerli con le parole giuste.
IR: Ritiene che la certificazione CCSA si diffonderà nel nostro paese?
VG: Penso che questa certificazione possa crescere ulteriormente; è innanzi tutto una certificazione su tecniche ed abilità più “soft”, ma con questo non si immagini che sia semplice svolgere il ruolo di esperto certificato in questi progetti. Anzi ci vuole una esperienza significativa, ben oltre quello che possa essere rappresentato dal processo di certificazione, che deve essere inteso come un primo passo, essenziale, e non un punto di arrivo.
IR: Funzione davvero l’autovalutazione in azienda? L’autovalutazione dei rischi ha delle specificità?
VG: Ho iniziato a partecipare a progetti di auto-valutazione nel 1998 e ammetto che la diffidenza iniziale era molta. Io mi ero formato a Londra e la prima sensazione fu: “non funzionerà mai in Italia”. Affinché siano utili, i processi di autovalutazione devono compiersi in un ambiente dove sono rispettati tre messaggi fondamentali:
- nessuna scusa;
- nessuna lamentela;
- nessuna copertura.
IR: Come avviene nella pratica l’autovalutazione? Che processi si innescano fra gli attori?
VG: In termini di risultato concreto devo fare un distinguo: durante il processo di auto-valutazione il clima è positivo, l'acqua bolle, è frizzante. Successivamente il processo virtuoso tende ad acquietarsi, non sempre si aprono cantieri di lavoro per la migliore gestione del rischio, e se si aprono se ne perde l'entusiasmo per strada, presi da mille problemi e mille altre priorità. Il cerchio non sempre si completa: i progetti sono ancora spesso fotografie istantanee e non dei film.
IR: Qual è il ruolo del consulente / facilitatore nei progetti di autovalutazione del rischio?
VG: Egli è moderatore e facilitatore dei momenti identificativi e valutativi, gestisce il gruppo di valutatori, controlla i tempi e il metodo. Agevola la discussione, distribuisce gli interventi dei partecipanti, chiarisce o chiede di chiarire le informazioni, rende fluida la dinamica di gruppo, evita che si creino contrapposizioni o attriti. Non ha opinioni, o meglio, se le ha le tiene per sé. Se è esterno all'azienda è da un certo punto di vista un bene, perché gli è difficile giudicare e ha un punto di vista neutrale, fresco. Da quanto ho detto finora è però chiaro che questo ruolo è di metodo, ma anche di esperienza. Non basta la certificazione, bisogna fare i progetti sul campo. Un suggerimento alle aziende, pertanto: se volete chiamare un consulente a supporto, nel ruolo di facilitatore, chiedetene le credenziali e verificatele.
E ricordate che a gestire il workshop non è un brand internazionale, ma una persona in carne ed ossa.
IR: Lei si definisce (anche) un metodologo. In ambito risk management. Le metodologie abbondano anche se COSO - ERM sembra stia assumendo un ruolo sempre più di rilievo. Che ne pensa? Si andrà verso il "pensiero unico"? È un bene?
VG: Diciamo che apprezzo le questioni di metodo. In tutti questi anni nella professione, ho imparato che nel nostro ambito i temi si possono ridurre facilmente in un linguaggio comune: il rischio è un evento incerto con conseguenze avverse. Probabilità e impatto sono il nostro pane quotidiano. Il resto è dettaglio metodologico, questione terminologica. Ma non andremo facilmente verso una “teoria generale del rischio”, perché l'investimento operativo già fatto dalle aziende è troppo significativo per modificare di imperio l'esistente. Consideri che quando negli Stati Uniti hanno definito quale framework metodologico dovesse essere utilizzato nei progetti Sarbanes-Oxley, l'ERM era praticamente disponibile nella versione pressoché finale. Eppure ha prevalso il COSO, del 1992, per gli ingenti investimenti già fatti. Lo stesso dicasi in Italia: Banca d'Italia, e il Comitato di Basilea, propongono proprie classificazioni dei rischi; l'ISVAP segue qualche anno dopo e propone una propria terminologia; non mi sorprenderebbe se Consob il prossimo anno proponesse un proprio punto di vista sull'applicazione pratica dei requisiti previsti dall'articolo 154-bis del TUF. Chi lavora nel campo, tuttavia, si muove agevolmente da un framework all'altro e tutto ciò non ci spaventa.
IR: Infine lei è associato all’AIIA, l’Associazione Italiana Internal Auditors, e partecipa al Comitato Editoria e Pubblicazioni di tale associazione. Come funziona la comunicazione nell’area dell’auditing in generale e del risk management in particolare? I clienti sono sensibili a questi temi? Che iniziative sarebbero auspicabili a riguardo?
VG: Apprezzo lo sforzo di innovazione che l'Associazione Italiana Internal Auditors ha fatto negli ultimi anni. Onestamente è stato un salto generazionale di importanza significativa. Ora l'Associazione comincia a dialogare con le imprese, con le Authority, propone position paper, dà interpretazioni. La rivista, nella veste grafica rinnovata, è moderna, leggera, attuale. La presenza nelle università è aumentata. Davvero una svolta epocale, nel suo complesso. Ora bisogna andare oltre, forse bisogna aprire le porte anche ai non addetti ai lavori. Forse parlo con spirito eccessivamente commerciale, essendo prima di tutto un imprenditore, ma credo che la rivista dovrebbe arrivare gratuitamente sul tavolo di tutti i CEO e CFO delle società quotate nonché dei membri dei Comitati per il Controllo Interno e, perché no, presso i Sindaci. È importante diffondere il linguaggio: non le dico talvolta che difficoltà a comprendersi anche sui termini utilizzati.
IR: Quale è secondo lei un passo importante per i professionisti CIA e per l'Associazione nel suo complesso?
VG: In termini prospettici, bisogna imparare a fare pressione anche sul legislatore. La chiarezza e la specificità dei termini talvolta aiuterebbe a comprendere gli intenti. Se ciò che stava a cuore a chi ha scritto l'articolo 154-bis era proprio il sistema di controllo interno nel dominio amministrativo-contabile, perché non ha usato questa terminologia, perché non ha fatto riferimento al COSO, se non altro nella relazione che accompagna la legge? E noi dell'Associazione dove eravamo in quei mesi? Le colpe vanno condivise: la concertazione - per usare un termine che va di moda – non avviene, neppure quella tecnica, perché non siamo ancora sufficientemente visibili.
Per contro, ma senza lanciare un messaggio polemico, penso che i collegi sindacali debbano essere aperti anche (non dico solo) a coloro che sono CIA. È venuto meno in molti casi il controllo contabile, ed ora i sindaci si occupano innanzi tutto di controllo interno. Eppure l'Associazione non rappresenta un ordine professionale e la certificazione non ha valore legale in Italia; di conseguenza siamo esclusi dalla partecipazione a questo ruolo istituzionale.
IR: Siamo in piena estate... È tempo di letture sotto l'ombrellone: cosa si porterà dietro (e consiglia ai nostri lettori)?
VG: In euforia post vittoria mondiale, avrei detto “Il conflitto epidemico”, saggio ora non più recente, ma sempre attuale di Guido Rossi. Di agevole lettura, fa pensare e riflettere, e se non altro dà un tono nei confronti del vicino di ombrellone. Non lo consiglierei ai colleghi single, tuttavia, a meno che non sia loro intenzione rimanere tali.
IR: Grazie dottore e a presto
VG: Grazie a voi e buona estate.
Chi è Vittorio Gennaro?
Vittorio Gennaro - CIA, CCSA - 38 anni, è socio e amministratore in operàri, società di consulenza low cost specializzata in corporate governance, internal auditing e risk management. Laureato in Economia Aziendale presso l'Università Luigi Bocconi a Milano, ha esperienza decennale maturata dapprima in PricewaterhouseCoopers (a Londra e a Milano) e successivamente in Deloitte, con specializzazione nelle applicazioni metodologiche CRSA e di analisi e valutazione del sistema di controllo interno. Ha svolto significativa attività di ricerca e docenza per corsi di formazione presso società di consulenza, clienti e presso le Università di Cagliari e Torino. Ha ricoperto il ruolo di Preposto per il Controllo Interno presso una società quotata al MTAX.Può essere contattato via sito web
» email this story | printer friendly version | 5125 reads
