3.1. Aspetti introduttivi
I grandi fallimenti e gli scandali finanziari degli ultimi decenni hanno fatto vacillare drasticamente la fiducia degli stakeholder.
Un caso, ormai ben noto a tutti per la risonanza internazionale che lo ha caratterizzato, il caso Enron, si è purtroppo rivelato un episodio non isolato: si pensi infatti alla crisi e al dissesto Parmalat in Italia, seguito da altri “clamorosi” fallimenti sia a livello nazionale che internazionale.
Sono soltanto due punte di un grosso iceberg emerso da un oceano solo apparentemente pacifico.
I crack finanziari hanno infatti messo in luce un elemento, forse troppo spesso trascurato, che si è invece rivelato la chiave di volta per il successo delle società: il sistema di governance.
Nei casi ricordati la governance societaria è risultata traballante, deficitaria, avvezza a pratiche scorrette.
Ecco perché impellenti sono stati gli interventi legislativi in materia.
Le leggi ed i regolamenti emanati si sono posti, quale principale obiettivo, la restituzione della fiducia ai risparmiatori.
In prima battuta, sono stati i Paesi anglosassoni ad affermare, soprattutto attraverso l’emanazione del Sarbanes Oxley Act nell’anno 2002, la volontà di potenziare il sistema di controllo interno delle imprese.
La sezione 404 della c.d. Sox ha infatti introdotto obblighi di certificazione inerenti ai controlli interni al fine di assicurare l’integrità, l’accuratezza, la completezza delle informazioni e la tempestività delle comunicazioni al mercato.217
Successivamente, anche in Italia sono state emanate leggi e regolamenti che hanno messo in evidenza l’importanza del sistema di controllo interno.
La locuzione “sistema di controllo interno” ha fatto la sua prima comparsa nel quadro normativo italiano con il D.Lgs. 24 febbraio 1998, n. 58.
217
Si percepisce dunque come anche in questo caso riveste un ruolo fondamentale il sistema informativo aziendale. Il rispetto infatti dell’integrità, dell’accuratezza, della completezza nonché la loro tempestività sono tutti elementi che determinano l’efficacia del sistema informativo.
Relativamente al tema in commento, si ricordano poi, in particolare, il D.Lgs. 231/2001, la Legge 62/2005 (c.d. legge del market abuse), la Legge 262/2005 e il nuovo Codice di Autodisciplina della Borsa emesso a marzo del 2006.
Tali testi sono stati poi integrati da regolamenti e normative di dettaglio.
Un simile quadro normativo ha determinato la nascita di numerosi attori del controllo, a presidio dell’intero sistema aziendale.
A fronte del proliferare dei testi legislativi, negli ultimi anni ha assunto sempre più importanza il tema della compliance, intesa come insieme di attività idonee a prevenire l’emersione di rischi derivanti dalle possibili violazioni di leggi e regolamenti.
L’attività di compliance, talvolta introdotta nelle aziende come una vera e propria funzione218, diventa dunque indispensabile per prevenire il rischio di non conformità delle attività della struttura aziendale alle norme ed ai regolamenti in vigore ed evitare quindi sanzioni, talvolta anche pesanti219. Si tratta, in altre parole, di un processo, trasversale, costruito attorno a specifiche responsabilità e presidi organizzativi ed operativi con il compito di:
- identificare e monitorare, con un approccio continuativo, le diverse norme che interessano la struttura aziendale e valutare il loro impatto, organizzativo e quantitativo, sull’intera gestione aziendale;
- disegnare ed implementare strategie organizzative, procedurali ed informatiche, idonee ad assicurare il presidio dei rischi di non conformità precedentemente individuati;
- creare ed incentivare flussi comunicazionali continui tra le diverse funzioni interessate;
- verificare e monitorare l’adeguatezza degli approcci organizzativi e procedurali. Queste attività richiedono enormi sforzi, sia in termini di risorse umane che tecnologiche ed i costi aumentano tanto più quanto più sono numerosi i diversi attori del controllo interno.
218
Per il controllo di conformità la Banca d’Italia richiede l’istituzione di una apposita funzione.
219
Si veda per un approfondimento GENOVESE F., LENOCI F., L’eccezionale valenza della
3.2. Attori e costi del controllo interno
Gli attori del controllo interno sono numerosi: il Consiglio di Amministrazione, il Comitato per il Controllo Interno, il Collegio Sindacale, l’Organismo di Vigilanza ex D.Lgs 231/2001, l’internal auditor, il dirigente preposto alla redazione dei documenti contabili e societari ex L. 262/2005, il controller, il risk manager. Tali soggetti, se da un lato hanno contribuito in maniera considerevole alla diffusione della cultura al controllo interno, dall’altro hanno purtroppo condotto verso una frammentazione dell’attività di controllo, dovendo ciascuno agire secondo una normativa specifica, diversa dalle altre, con il potenziale rischio di sovrapposizione tra l’una e l’altra attività.
Non solo: gli interventi legislativi sempre più articolati ed ambiziosi e la sempre più complessa gestione aziendale hanno comportato un aumento numerico dei controlli, tanto da rendere necessaria una codifica delle varie tipologie di controllo ed un inglobamento delle stesse nel sistema.
Ciò significa, come già affermato in precedenza, che negli anni non sono soltanto aumentati i soggetti – interni ed esterni – adibiti al controllo, ma si è anche ampliato l’oggetto stesso del controllo.
Ora, non si può non osservare come un potenziamento non coordinato del controllo, anziché fornire ausilio alla gestione, può generare seri appesantimenti delle attività e rallentamenti dei flussi informativi, con conseguenze, seppur indirette, sui costi aziendali. Le aziende dovranno quindi porre particolare attenzione alla definizione di un equilibrato assetto organizzativo dell’attività di controllo interno, poiché uno scarso coordinamento ed una scarsa integrazione condurranno inevitabilmente in una perdita di efficienza e dunque di un aggravio continuo, e molto spesso significativo, in termini di costi. Diventa così importante studiare un approccio sistemico dell’attività di controllo interno aziendale caratterizzato dalla sua capacità di variare la sua articolazione rispetto alla variabile organizzativa e decisionale.220
220
Rileva Carlesi «Lo studio e l’adozione dell’approccio sistemico all’attività di controllo aziendale si è concentrata particolarmente sull’aspetto dinamico e sulla sua articolazione rispetto alla variabile organizzativa e decisionale». CARLESI G., Il sistema integrato dei controlli
aziendali. Un modello progettuale, Rivista Italiana di Ragioneria e di Economia Aziendale, n. 7 e
La definizione di un equilibrato assetto organizzativo è dunque necessaria al fine di favorire l’integrazione e il coordinamento tra i diversi attori del controllo interno.
Come approfondiremo nel proseguo, anche la società di revisione in questa fase svolge un ruolo estremamente di rilievo. Essa, infatti, nel corso dell’attività di verifica del bilancio, effettua l’analisi e la valutazione del sistema di controllo interno valutando dunque l’efficacia e l’efficienza dell’attività di controllo in rapporto ai rischi connessi all’informativa di bilancio, fornendo successivamente raccomandazioni per le disfunzionalità rilevate. Non solo: anche la Consob, la Banca d’Italia, l’ISVAP, nel corso delle loro verifiche potrebbero rilevare delle disfunzioni nei controlli interni, richiamando l’attenzione su determinati punti critici e mantenendo così alta la “tensione” all’attività di controllo dei diversi attori coinvolti spingendo in questo modo la ricerca delle diverse e migliori forme di integrazione. L’attività di controllo interno, viene effettuata da diversi attori, interni ed esterni, i quali al fine di ricercare la massima efficienza, devono sviluppare le proprie attività in maniera coordinata ed integrata.
Esamineremo, nel paragrafo successivo, seppur brevemente, le diverse attività svolte dai principali attori del controllo interno sopra menzionati. Prima però si ritiene opportuno fare un cenno ai principali costi derivanti dall’attività di controllo interno.
La determinazione dei costi scaturenti dalle attività di controllo non è semplice. Il
management tende generalmente a sopravvalutare gli esborsi ad esse correlati, in
quanto, trattandosi di attività non immediatamente remunerative, bensì comportanti effetti nel lungo termine, stenta a comprendere appieno il valore dei benefici che ne potrebbero derivare in futuro alla struttura gestita.
Dai tanti controlli possono derivare costi maggiori connessi ai carichi di lavoro, ai tempi di elaborazione dati, ecc., oneri indirettamente imputabili ai costi dell’area personale, di formazione professionale, di consulenze esterne ed interne nonché agli investimenti in tecnologie informatiche.
In questo tipo di attività i costi del personale sono particolarmente elevati, sia per la professionalità richiesta, quasi sempre specialistica, sia per le ore di lavoro necessarie per lo svolgimento dei complessi step procedurali di controllo. Ad essi
si aggiunge il costo per la formazione professionale. Anche i costi per le
consulenze esterne hanno un peso rilevante per il processo di conformità, in
quanto, soprattutto nelle fasi di start-up, risulta indispensabile l’appoggio esterno di specialisti. Cospicua è infine la spesa per investimenti in Information
Techonology, che deve essere considerata sia un investimento per l’analisi delle
informazioni necessarie, sia per il monitoraggio continuo della compliance della struttura aziendale.
In questo senso, la creazione di una funzione centralizzata di compliance, come centro di spesa, può rappresentare una garanzia per una più adeguata distribuzione delle risorse in azienda.
Quest’ultima, se dotata di risorse adeguate, può fornire un prezioso contributo alla gestione del rischio, purché si faccia riferimento ad un responsabile, all’uopo nominato, in grado di coordinare e sovrintendere le diverse attività221.
Si comprende, quindi, l’importanza, per la buona riuscita del progetto, che la Direzione Aziendale preveda, a supporto dell’attività della funzione di
compliance, un adeguato budget finanziario.
Tra l’altro, a farsi carico dei rischi derivanti dalla mancanza di compliance a leggi e regolamenti sono proprio i vertici aziendali, che fanno così direttamente le spese della mancanza di risorse destinate alla funzione preposta a tale attività.
In particolare, il Consiglio di Amministrazione e il Collegio Sindacale (oppure, ove le società adottino un modello diverso da quello tradizionale, il Consiglio di Sorveglianza e il Consiglio di Gestione nel caso del modello dualistico; il Consiglio di Amministrazione nel modello monistico), in quanto responsabili del sistema dei controlli interni, sono anche responsabili dell’attività di compliance. Poiché la funzione di conformità è chiamata a collaborare con tutte le altre funzioni (attori) del controllo interno, si rende opportuno analizzare le relazioni
221
«Per quanto riguarda la dotazione della funzione di compliance di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere, le attività di conformità possono essere svolte da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della funzione, ovvero da dipendenti integrati nelle diverse aree operative (ad esempio, legale, organizzazione, gestione del rischio operativo), purché il processo di gestione del rischio e l’operatività della funzione siano ricondotti ad unità mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attività, anche attraverso la predisposizione di un apposito programma di attività.» GENOVESE F., LENOCI F., opera citata, pag. 26.
possibili, o meglio, auspicabili, tra la funzione di compliance e le altre funzioni (questo aspetto sarà affrontato successivamente in uno specifico paragrafo).
Preme fin d’ora sottolineare la necessità di un approccio sempre più coordinato ed integrato agli aspetti inerenti sia al disegno del sistema di controllo interno sia al suo effettivo funzionamento, al fine di garantire, da un lato, valutazioni coerenti da parte di tutti gli attori coinvolti, dall’altro, di rendere sempre più efficiente l’azione di controllo.
3.3. Attività e ruoli dei principali attori del controllo interno
Tra i vari attori del controllo interno, il Consiglio di Amministrazione si occupa di un vastissimo insieme di attività che possiamo ricondurre alle seguenti funzioni:
a) una funzione strategica, consistente nell’indirizzare e contribuire al processo di formazione della strategia d’impresa;
b) una funzione di controllo222, che ha come principale obiettivo quello di salvaguardare l’interesse degli azionisti;
c)
una funzione di gestione dell’ambiente, che ha come precipuo obiettivo quello di gestire i rapporti tra l’impresa e soggetti esterni ad essa.Il Consiglio di Amministrazione inoltre riveste un ruolo determinante nel contribuire alla realizzazione di un efficace ed efficiente controllo interno e all’implementazione ed al funzionamento del sistema di controllo integrato.
Spetta ad esso infatti decidere quali altri organi di controllo faranno parte del sistema integrato stesso, nominare al suo interno un Organismo di Vigilanza ex D.Lgs 231/2001, costituire un Comitato per il Controllo Interno, creare altri organi interni quali l’internal auditing, il risk manager, il controller, ecc.
Il Consiglio di Amministrazione ha dunque il delicato compito di creare le condizioni ideali per favorire non solo l’applicazione dei controlli interni, ma anche la loro integrazione.223
222
Per approfondimenti si veda BORSA ITALIANA, Codice di autodisciplina, opera citata, pag. 39.
223
Bertini, parlando di dissesti aziendali, rileva l’importanza del clima aziendale e dei valori etici dell’Alta Direzione e dell’influenza che rivestono per il sistema di controllo interno. BERTINI U.,
Dissesti aziendali e sistemi di controllo interno, in Studi e Note di Economia, 2° quadrimestre,
Il Comitato per il Controllo Interno riveste un ruolo determinante soprattutto per l’assetto organizzativo del sistema di controllo integrato. Tale organo è deputato, in particolare, a monitorare i meccanismi di controllo interno ed esterno, attraverso l’attribuzione di specifici compiti, i quali dovranno essere indicati nel regolamento dell’organo stesso, opportunamente approvato dal Consiglio di Amministrazione.224
Il Comitato per il Controllo Interno svolge inoltre funzioni fondamentali per una adeguata implementazione dell’attività di controllo integrato. Esso deve coordinare sistematicamente la propria attività con quella del Collegio Sindacale, operando gli stessi su campi similari. Lo scambio continuo di informazioni tra i due organi può risultare fondamentale per ricercare opportune sinergie. Si specifica inoltre che, nel contesto anglosassone, il Comitato per il Controllo Interno, è il principale interlocutore per l’internal auditing.225
Tra i vari attori del controllo interno si ricorda poi il Collegio Sindacale, introdotto nel 1882 con il Codice di Commercio e che rappresenta una peculiarità del nostro Paese226.
Le sue funzioni sono state progressivamente modificate a seguito di una serie di interventi normativi. La Legge Draghi prevede, per le società quotate che il Collegio Sindacale effettui la vigilanza «sull’osservanza della legge e dell’atto costitutivo, sul rispetto dei principi di corretta amministrazione, sull’adeguatezza della struttura organizzativa della società, (…) del sistema di controllo interno e del sistema amministrativo - contabile»227.
La Legge Draghi ha dunque affidato al Collegio Sindacale una funzione di «vigilanza sulla gestione»228, che si estende a tutta l’attività aziendale, anche
224
Per un approfondimento in merito ai compiti dell’audit commettee si veda ALLEGRINI M., BIANCHI MARTINI S. (a cura di), La corporate governance in Italia, Regno Unito e Stati Uniti.
Modelli e pratiche a confronto, Milano, FrancoAngeli, 2006, pag. 73.
225
Periodicamente infatti l’internal auditing riferisce i risultati dell’attività svolta e le eventuali carenze del sistema di controllo interno al Comitato per il Controllo Interno. Per un approfondimento si veda LAWRANCE P.K., Audit commettee and internal auditing, in Internal
Auditor, Altomonte Springs, Dicembre, 1992.
226
Per un approfondimento in merito alle funzioni del Collegio Sindacale si veda BERTINI U., Le
funzioni del Collegio sindacale e il controllo della gestione, in AA.VV., Saggi di Ragioneria e di economia aziendale: scritti in onore di Domenico Amodeo, Padova, Cedam, 1987.
227
Art. 149 del D.Lgs n. 58 del 1998.
228
Afferma Bertini «Il collegio sindacale è l’organo dotato dei più ampi poteri di controllo. (…) entra nel cuore della gestione, che ha la possibilità di indagare sia sotto il profilo politico che operativo». BERTINI U., Dissesti aziendali e sistemi di controllo interni, opera citata, pag. 10.
politica ed operativa della gestione, lasciando alla società di revisione la verifica in materia contabile. In tema di controllo interno, la vigilanza del Collegio Sindacale sull’adeguatezza si sviluppa attraverso funzioni sia di controllo diretto che di supervisione degli organi adibiti al controllo. In corrispondenza dei compiti che gli sono stati affidati, il Collegio Sindacale si trova spesso ad interagire con gli altri attori del controllo interno, sia interni che esterni, ponendosi al centro di ricorrenti flussi informativi che si sviluppano tra i diversi attori del controllo.229 Altro attore del controllo interno è l’Organismo di Vigilanza previsto dal D.Lgs 231/2001. La sua istituzione, pur essendo necessaria, non basta per esimere le società dalla responsabilità amministrativa ed evitare sanzioni interdittive e pecuniarie. Tale attore, attraverso la creazione di un apposito sistema di controllo interno, può infatti prevenire tutta una serie di rischi e di reati rientranti nel campo di applicazione del Decreto citato. L’Organismo in questione si avvale della funzione di internal auditing in particolare per lo svolgimento delle verifiche sui modelli di organizzazione, gestione e controllo.
La funzione di internal auditing è una funzione di presidio del sistema di controllo interno che ha come interfaccia altri attori del controllo interno quali: il Comitato per il Controllo Interno, il Collegio Sindacale, l’Organismo di Vigilanza e il Dirigente preposto alla redazione dei documenti contabili e societari (attore del controllo interno già analizzato in precedenza).
Altro attore che può contribuire positivamente allo sviluppo del modello di controllo integrato è il controller. A tale figura viene attribuito il compito di strutturare in azienda la contabilità direzionale e strategica, monitorandone il funzionamento e promuovendo integrazioni nell’ottica del miglioramento continuo. Il controller ha inoltre il compito di gestire il sistema controllo di gestione, cercando di modellare la sua struttura tecnica alle diverse esigenze informative dei destinatari dei report. In quanto conoscitore dei fabbisogni informativi degli utenti aziendali, esso può interfacciarsi, più o meno costantemente, con gli altri attori del controllo interno, al fine di valutare, di
229
Per un approfondimento su questo tema si veda CONSIGLIO NAZIONALE DEI DOTTORI COMMERCIALISTI, Guida operativa sulla vigilanza del sistema di controllo interno, CNDC – CNR, 1999, pag. 7.
concerto con quest’ultimi, l’adeguatezza del controllo rispetto ai rischi e le possibili aree di miglioramento.
Va infine ricordata la figura del risk management, titolare di specifiche competenze in materia di identificazione, valutazione e fronteggiamento dei rischi. Il continuo scambio di flussi informativi tra la detta figura e gli altri attori del controllo interno in tema di rischio può certamente favorire lo sviluppo dell’approccio integrato all’attività di controllo interno.
3.4. Lo studio di un approccio sistemico all’attività di controllo
interno
Come già rilevato in precedenza, dalla frammentazione dell’attività di controllo e dal numero sempre maggiore dei soggetti in essa coinvolti, sono derivati ingenti costi a carico delle strutture aziendali.
Un approccio “tradizionale” all’attività di controllo e di compliance alle diverse normative può facilmente condurre alla creazione di flussi informativi incoerenti tra i vari “controllori”, ad un disallineamento rispetto alle dinamiche aziendali, controlli non ottimizzati e ripetitivi, nonché ad una scarsa possibilità di effettuare un monitoraggio ben strutturato.
Oltre ai costi non indifferenti per le realtà aziendali, l’eccessivo numero di “controllori” può determinare altresì notevoli criticità, apparentemente opposte tra loro, causa di importanti diseconomie nella gestione.230
Da un lato, infatti, si presenta il rischio di un eccesso di controllo, rischio tanto più grave se riscontrato su attività a scarso valore aggiunto, dall’altro, il rischio di una carenza di controllo, provocato dal mancato coordinamento tra i diversi attori, particolarmente grave se riferito ad attività determinanti per il successo aziendale231.
230
Per un approfondimento sulle possibili pratiche da utilizzare per un approccio integrato all’attività di controllo si veda WINOGRAND B.N., GERSON J.S., BERLIN B.L., Audit
Practices of PricewaterhouseCoopers in Auditing: a Journal of Practice& Theory, Vol. 19, n. 2,
2000.
231
In questo senso rileva anche D’Onza: «L’elevato numero di attori risente, in larga parte, dei cambiamenti normativi in materia di corporate governance che hanno caratterizzato lo scenario italiano in questi ultimi anni.» e successivamente afferma «Questi interventi sembrano aver determinato una maggiore sensibilità al tema del controllo interno e della gestione dei rischi e potrebbero aver attivato, in alcuni casi, dei comportamenti virtuosi tesi a rafforzare l’efficacia del
Il controllo deve dunque essere focalizzato su elementi che consentono all’azienda di mantenere le condizioni di equilibrio durevole oppure di massimo equilibrio.232 Sia la duplicazione dei controlli sia la loro carenza comportano la necessità di effettuare operazioni volte a rimediarvi, generando così inefficienze interne. Si ricorda che anche il Giannessi considerava, quali coordinate indispensabili per realizzare il successo aziendale, la giusta interazione tra i fattori, interni ed esterni, che influiscono sull’andamento dell’azienda233. Il suo pensiero è infatti orientato