Di Tonio Di Domenico, Senior Sales Manager presso Compet-e.
Negli ultimi mesi, nei miei articoli, ho parlato spesso della parte più “alla moda” del GRC: la gestione del rischio. Framework, mappe dei rischi, approcci evoluti, integrazione con la strategia. Tutti temi importanti, stimolanti, e – diciamolo – anche piuttosto sexy dal punto di vista professionale. Ma il GRC non vive solo di ciò che è visibile, strategico o facilmente raccontabile.
Esiste una parte più silenziosa, meno celebrata, raramente al centro dei convegni. Una parte fatta di verifiche puntuali, evidenze, campioni, domande scomode e risposte che devono reggere alla prova dei fatti. È la verifica dei controlli. È l’Internal Audit.
Se il risk management è la musica che tutti riconoscono, l’audit è il suono che arriva quando la stanza è quasi buia e qualcuno sta cercando la verità attraverso le evidenze, senza fare rumore. Proprio come in Private Investigations dei Dire Straits.
“Investigations”: una parola che pesa
Già il titolo del brano è rivelatore. Investigations non è una parola neutra. Evoca sospetto, colpa, colpevoli da smascherare. Non è “assessment”, non è “review”, non è “continuous improvement”. E questo dice molto della percezione che, ancora oggi, circonda l’Internal Auditor. Sulla carta il ruolo si è evoluto: da controllore a partner del business, da cacciatore di errori a agente di miglioramento, da funzione reattiva a leva di governance.
Nella pratica, però, l’auditor si ritrova spesso a fare i conti con un’immagine diversa: quella di chi arriva “a cercare problemi”, di chi “verbalizza osservazioni sui rapporti”, di chi “non capisce le pressioni operative”. Esattamente come l’investigatore della canzone: presente, silenzioso, metodico… e per questo guardato con diffidenza.
Il lato meno raccontato dell’audit: la frustrazione
Ascoltando Private Investigations colpisce il tono: lento, ripetitivo, quasi ossessivo. Mark Knopfler parla di “checking out the reports”, “digging up the dirt”, “And when I find the reason, I still can’t get used to it”. Chi fa Internal Audit riconosce subito queste sensazioni.
Perché uno degli aspetti meno raccontati dell’audit è la frustrazione:
- ritrovare gli stessi rilievi di anni precedenti
- ascoltare le stesse giustificazioni (“mancanza di tempo”, “priorità diverse”, “ci stiamo lavorando”)
- verificare controlli formalmente esistenti ma sostanzialmente inefficaci
Nel brano l’introduzione è emblematica: “It’s a mystery to me, the game commences”. È una frase che potrebbe stare in molte relazioni di audit. Perché, nonostante policy, procedure e controlli, certi problemi continuano a ripresentarsi come se nulla fosse cambiato.
“Same problems, same excuses”
L’audit, a differenza di altre componenti del GRC, ha una caratteristica poco gratificante: rende visibile ciò che non funziona.
E lo fa con metodo, evidenze, tracciabilità. Non con percezioni, non con storytelling. Questo porta inevitabilmente a scontrarsi con una realtà scomoda: molti problemi non sono nuovi, molti rischi sono noti, molti controlli falliscono sempre nello stesso punto.
Nel brano ritorna questa sensazione di ciclicità, quasi di stallo. L’investigazione va avanti, ma il quadro che emerge è sempre lo stesso. Ed è esattamente ciò che accade quando l’Internal Audit diventa lo specchio di un’organizzazione che sa cosa dovrebbe fare, ma non riesce a farlo con continuità.
Perché l’Internal Audit resta fondamentale (anche se non è sexy)
Forse è proprio questo il motivo per cui l’audit non è “alla moda”. Non promette visioni future, non disegna mappe eleganti, non parla di maturità ideali.
Parla di realtà.
Come in Private Investigations, l’audit non cerca applausi. Cerca coerenza tra ciò che è dichiarato e ciò che accade davvero. E finché esisterà questa distanza, il suo ruolo resterà scomodo. Ma indispensabile. Perché senza qualcuno disposto a fare domande ripetitive, a tornare sugli stessi punti, a non accontentarsi delle stesse risposte… il GRC rischia di restare solo una bella colonna sonora.
Forse il vero problema non è che l’Internal Audit venga percepito come poco sexy. Forse il problema è che ci ricorda, con ostinata regolarità, che la governance non si misura dalle intenzioni ma dalla capacità di rendere i controlli vivi, efficaci e sostenibili nel tempo.
Come in Private Investigations, qualcuno deve continuare a controllare i fatti, a seguire le tracce, a fare domande che sembrano ripetitive proprio perché le risposte lo sono.
E allora la domanda diventa questa: siamo davvero pronti a considerare l’Internal Audit non come un’investigazione “contro” qualcuno, ma come uno specchio necessario per far funzionare meglio ciò che diciamo di governare?