Governance, Risk Management e Controllo Interno: le nuove sfide dell’ IS Auditor; un punto di vista indipendente.

http://www.isacaroma.it/html/newsletter/?q=node/38

http://www.isacaroma.it/pdf/news/0411-protiviti.pdf

Alberto Carnevale e Giacomo Galli, Managing Directors di Protiviti, network internazionale indipendente, leader nell’offerta di servizi di Risk Consulting e Internal Auditing, hanno gentilmente accettato di rispondere a qualche domanda sul processo di selezione e formazione del proprio personale professionale.

Grazie per la collaborazione. Volete rapidamente descriverci Protiviti?

Protiviti è un gruppo di consulenza indipendente dai network di revisione contabile, con sede in California e filiali in Francia, Inghilterra, UK, Giappone, Australia e Italia. Protiviti è leader nell’offerta di servizi consulenziali di Corporate Governance, Risk Management e Internal Auditing. Protiviti è controllata da Robert Half International Inc., leader nei settori del lavoro temporaneo professionale e manageriale nonché del reclutamento specializzato.

Il Gruppo conta nel mondo oltre 1.000 professionisti dipendenti e un data base di circa 70.000 risorse a progetto. Dal 1° gennaio 2004, Protiviti ha aperto una propria filiale in Italia, con sedi a Milano e Torino, che ad oggi può già contare oltre 40 professionisti, tra personale dipendente e risorse a progetto. L’offerta di Protiviti in Italia è rivolta alle aziende che intendono adeguarsi ai più elevati standard qualitativi in tema di Governance, Risk Management e Controllo Interno.

Come si pronuncia Protiviti?

Protiviti si legge all'italiana, con l'accento sulla o.

Da che esperienze professionali provenite?

Alberto Carnevale è stato il responsabile dei servizi di risk consulting in Italia di una delle “big four” ed è docente presso il Master di Direzione di Impresa del corso di Enterprise Risk Management presso l’ Università di Torino.

Giacomo Galli è stato amministratore delegato di una società di risk consulting appartenente al network di una delle “big four” in Italia, nonché responsabile nazionale, per lo stesso network, dei servizi consulenziali di Capital Market, Finanza Derivata e Risparmio Gestito.

L’intero staff della società italiana è composto da professionisti con competenze specifiche nelle tre aree di attività descritte e con esperienze maturate in Italia e all’estero.

Precedentemente avete lavorato in network di società di revisione; ora siete a capo di una società di consulenza indipendente. Ci sono differenze di fondo nell’approccio ai controlli e all’audit?

La possibilità di concentrare le nostre energie sulle tematiche legate al risk consulting e all’internal auditing consente di proporre un approccio molto più articolato e sempre aderente alle esigenze del cliente. Le nostre persone non sono distratte da altre attività che per forza di cosa sono tipiche di un network di revisione esterna. Inoltre le nostre competenze professionali sono valorizzate dalla possibilità di dare un reale punto di vista indipendente che non è influenzato da alcun “retropensiero” legato a passati o futuri altri incarichi di revisione esterna o consulenziali.

Come avviene il processo di selezione del vostro personale professionale? Preferite assumere neolaureati da formare o cercate anche professionisti già esperti? Investite molto in formazione?

Cerchiamo entrambe le figure professionali. Stiamo crescendo rapidamente ma abbiamo adottato e intendiamo mantenere un rigidissimo processo di selezione ricercando l’eccellenza delle nostre risorse. Gli investimenti in formazione (erogata dal nostro personale esperto, acquisita dall’esterno da università ed associazioni e fornita dal nostro network in remoto o presso sedi estere) sono cospicui e rappresentano una delle principali voci di spesa della nostra società.

Qual è la carriere prevista?

Il percorso di carriera è molto semplice (pochi gradi dal livello di ingresso, al passaggio a consultant e senior consultant, fino ai livelli dirigenziali) e in nessun caso legato ad automatismi temporali. Ogni persona in Protiviti ha chiaro in mente quali sono i suoi obiettivi per il passaggio al grado superiore e sa cosa deve dimostrare per ottenere tale passaggio. Ciò avviene al momento giusto seguendo un processo di valutazione molto diretto e semplificato dalle dimensioni “gestibili” della nostra struttura.

Aziendalmente, favorite l’ottenimento di certificazioni professionali quali CISA, CISSP, CIA o BS7799 – Lead Auditor? Avete molti consulenti “certificati”?

Noi paghiamo ai nostri dipendenti i costi relativi alla formazione e all’iscrizione agli esami per l’ottenimento delle principali certificazioni professionali. Ad oggi alcune nostre risorse hanno già ottenuto significati attestati dalle principali categorie di settore.

Il vostro approccio per i servizi di Risk Consulting e Internal Auditing si basa su standard internazionali (quali?), su metodologie proprietarie o su una via di mezzo?

La base di tutta la nostra metodologia è legata a standard internazionali di riferimento ed in particolare al COSO. Siamo onorati di segnalare al riguardo che uno dei nostri Managing Director Statunitensi, James De Loach, fa parte del Board del COSO. Riteniamo di avere sviluppato la piu’ completa, dettagliata e robusta metodologia esistente su tali servizi. Inoltre la filosofia della nostra organizzazione è che tale struttura è un patrimonio comune e quindi abbiamo creato un sito (www.knoledgeleader.com) dove, gratuitamente per i primi 30 giorni, è possibile accedere all’intero insieme della nostra metodologia.

Negli ultimi mesi eventi importanti in ambito internazionale e nazionale hanno spinto le autorità di controllo e le stesse società di revisione e consulenza verso un rafforzamento dei controlli e dell’indipendenza. Qual è la posizione di Protiviti a riguardo? Ciò implica un cambiamento anche per la professionalità degli auditor?

La nostra posizione è che la funzione di internal auditor oggi viene sempre piu’ investita da responsabilità e nuove mission. Questo comporta la necessità di una sostanziale rivisitazione dei tradizionali skill degli auditor interni e quindi il bisogno di aggiornare le professionalità alle mutate richieste dell’ambiente di controllo. Noi ci proponiamo come reale interlocutore delle funzioni di internal auditor: il primo loro consulente esclusivo ed indipendente.

Si parla sempre più di società dell’informazione; che riflesso ha ciò per l’auditing, il controllo e la sicurezza? Non si rischia di essere messi in difficoltà dalla quantità di informazioni che ci arrivano?

Il concetto di società dell’informazione è ormai una realtà ed il fattore produttivo scarso è proprio l’informazione! Il problema risiede nella selezione delle informazioni utili per adempiere ai propri compiti nella maniera più efficace ed efficiente. La conseguenza è che occorre studiare e implementare sistemi che consentano il trattamento di informazioni con contenuto meno strutturato del classico dato numerico; un esempio su tutti sono le informazioni relative ai rischi operativi. La vera difficoltà sarà di natura culturale e dovrà vedere impegnate le organizzazioni complesse a tutti i livelli, a partire dal Top Management.

Parlando di Technology Risk qual è la vostra opinione a riguardo? Spesso la gestione dei rischi IT viene risolta solo con un approccio per prodotti. È sufficiente?

Le infrastrutture tecnologiche a presidio dei rischi sono necessarie. Ma l’esperienza ci dice che il rapporto tra l’utente e la tecnologia è il punto di snodo essenziale. In nessun caso il comportamento umano può essere codificato e preventivamente monitorato con controlli automatici. E’ un problema culturale ed è legato ai processi core di ogni attività. Riteniamo essenziale, in tema di Technology Risk, un approccio che contemperi tali esigenze e che non sia racchiuso nella “torre eburnea” dell’IT aziendale.

Privacy, d.lgs. 231/2001, Business Continuity, Basilea II, Corporate Governance… sembrerebbe un mercato di servizi per le imprese in grande espansione. C’è spazio solo per le grandi multinazionali o serve un approccio specialistico?

L’approccio che noi riteniamo vincente è quello specialistico. Questo non vuol dire però che crediamo nel proliferare di piccole “boutique” locali. Le tematiche sono tali che la necessità di poter contare su esperienze a livello multinazionale e su risorse di un grande gruppo investite nella ricerca continua non può non essere tenuta in conto nella stesura di un serio Business Model. Ecco perché riteniamo di avere un reale vantaggio competitivo sul mercato

Avete qualche consiglio per chi volesse intraprendere questa professione?

Chiunque vuole seriamente intraprendere questa professione deve essere intimamente convinto che il controllo non è e non deve essere una attività fine a se stessa o avulsa dal core business aziendale. Un professionista della materia deve essere consapevole che è partecipe della catena del valore di una azienda e come tale si deve comportare.

Avete qualche lettura da consigliare ai nostri lettori anche non direttamente connessa a questo mestiere?

“Accounting for growth: Stripping the camouflage from company accounts” di Terry Smith, un vecchio libro sempre interessante su come le aziende cercano, a volte, strade “alternative” ai propri problemi.

Grazie e buon lavoro!

Link ed approfondimenti

Protiviti Italia:

http://www.protiviti.it

http://www.protiviti.it/it/downloads/protiviti-corp-brochure.pdf

Protiviti USA:

http://www.protiviti.com

KnowledgeLeader:

http://www.knoledgeleader.com

Contatti:

contatti@protiviti.it