E’ soprattutto la dottrina di derivazione anglosassone a mettere in luce la necessità della presenza di un’interrelazione stretta tra governo societario e controllo interno, interrelazione che va al di là dell’applicazione del controllo interno sui processi aziendali, per estenderlo anche alla verifica della appropriata gestione dei valori etici, dei codici di comportamento e delle linee guida per la gestione del rischio indicati dalla direzione aziendale.173
Per questo motivo, nel presente paragrafo, si utilizzerà, come modello di analisi, il
CoSo Report. Il CoSo Report è composto da cinque componenti:
- l’ambiente di controllo; - la valutazione dei rischi; - l’attività di controllo;
- le informazioni e la comunicazione; - il monitoraggio.174
Queste cinque componenti sono qui rappresentate secondo un ordine piramidale.
173
Ci riferiamo a tal proposito al sistema di controllo interno così come impostato dal Committee of Sponsoring Organization (COSO), ovvero un modello integrato di controllo interno e della gestione del rischio, pubblicato nel 1992 negli Stati Uniti a cura della Tradeway Commission. Tale sistema di controllo è “costruito” sulla base di alcune componenti: ambiente di controllo,
valutazione del rischio, attività di controllo, informazione e comunicazione e monitoraggio. In
particolare, l’ambiente di controllo si basa sui valori etici dell’azienda che vengono indicati dal management aziendale e trasmessi a tutta l’organizzazione attraverso codici di condotta. L’ambiente di controllo esprime dunque «l’attitudine al controllo» diffusa ed incorporata nell’impresa.
Tale sistema di controllo interno prevede inoltre l’identificazione, l’analisi e la valutazione dei rischi che l’impresa deve fronteggiare. Identificati i rischi il management dovrà studiare le modalità attraverso le quali potrà gestire efficacemente il rischio stesso.
174
Figura 3.1. – Il sistema di controllo interno
L’ambiente di controllo è posto alla base della nostra piramide immaginaria, essendo esso il risultato dell’insieme di valori, idee, convinzioni sia degli amministratori che dell’alta direzione in riferimento dal ruolo assunto dall’attività di controllo nell’impresa.175
In particolare, gli studi sul controllo direzionale hanno posto sovente l’attenzione sulle variabili sociali collegate all’attività di controllo.
L’ambiente di controllo è il substrato su cui si sviluppano tutte le attività aziendali. Si tratta di una componente astratta ed immateriale, costituta da capitale intangibile. Il suo valore intrinseco rappresenta un fattore determinante per il raggiungimento degli obiettivi aziendali.
Alcuni autori evidenziano l’importanza, per impostare un efficace sistema di controllo, dei fattori organizzativi, umani e sociali176. In questo contesto, lo “stile di controllo”177 dell’Alta direzione risulta essere dunque un elemento determinante per lo sviluppo di un processo di controllo efficace.
175
Per approfondimenti si veda CORBELLA S., opera citata, 2000, pag. 321.
176
Si veda BRUNETTI G., Il controllo di gestione in condizioni ambientali perturbate, Milano, Franco Angeli, 1989, pag. 101.
177
Stile di controllo, ovvero modo con cui i manager si relazionano con i propri subalterni nello sviluppo e nella gestione di un sistema di controllo. In merito allo stile di controllo rileva Amigoni
Altri autori evidenziano, quale elemento fondamentale, la “cultura del controllo” ricomprendendo dunque entro il concetto in esame anche elementi sociali esterni quali le istituzioni, la politica, la cultura.178
La letteratura sulla corporate governance identifica invece l’ambiente di controllo nella cultura organizzativa, che definisce il livello di sensibilità dei membri dell’organizzazione alle effettive esigenze di controllo.
Nell’ambiente di controllo vengono ascritti, ad esempio, i valori etici e i codici di comportamento, la competenza del personale e la sua integrità morale, la filosofia e lo stile direzionale, le politiche dell’organizzazione e della gestione delle risorse umane e la motivazione delle stesse.179
L’ambiente di controllo risulta pertanto essere la base del processo decisionale del sistema umano “di vertice” volto alla manifestazione di volontà di porre in essere o meno delle attività di controllo interno.180
In un’ottica prettamente legata al controllo, trattasi della risultante di un insieme di valori, idee, convincimenti, principi dell’alta direzione in ordine al ruolo svolto dal controllo interno nell’organizzazione, ovverosia della “cultura al controllo” di un’impresa, come caratteristica distintiva della stessa.
Tali fattori influenzano il sistema di controllo conducendolo verso un continuo e costante rafforzamento, non soltanto nella fase di disegno e progettazione, ma
«Il sistema di controllo deve essere gestito in modo tale da assicurare la congruenza tra gli obiettivi dei diversi operatori d’impresa in modo da dirigerne correttamente l’operato. Tale modalità di gestione può essere definita “stile di controllo”.» AMIGONI F., I sistemi di controllo
direzionale, Milano, Giuffrè, 1979, pag. 80. Anche Castellano afferma «Lo stile di controllo,
derivante dall’interazione delle componenti sociale, umana e motivazionale dei sistemi di controllo, deve tendere ad indirizzare il comportamento dei soggetti responsabili delle varie unità organizzative allo scopo di trovare una possibile forma di contemporaneo perseguimento di obiettivi individuali ed aziendali.» CASTELLANO N., Controllo di gestione ed informazioni. Un
approccio integrato, Milano, Giuffrè, 2003, pag. 140.
178
Riccaboni afferma che ci sono in azienda alcuni elementi immateriali attraverso i quali si può percepire l’orientamento al controllo della singola struttura aziendale «dai profili istituzionali peculiari della singola azienda, dalle caratteristiche culturali e sociali del capitale umano dell’azienda e del territorio di riferimento nonché dal modo in cui i vertici aziendali intendono, o devono, gestire le relazioni con i vari portatori di interesse». RICCABONI A., Un commento sul
controllo di gestione in Merloni Elettrodomestici, in PAOLINI A., Il controllo di gestione nelle imprese. Recenti considerazioni e quattro esperienze a confronto, Milano, Giuffrè, 2004, pag. 151.
179
Anche Comoli, identifica tra i fattori inerente l’ambiente di controllo: integrità e valori etici, competenza del personale, filosofia di controllo/stile di direzione, struttura organizzativa, organi amministratori indipendenti dalle direzioni esecutive, assegnazione di autorità e responsabilità, gestione delle risorse umane. Per un approfondimento su queste tematiche si veda COMOLI M.,
opera citata, pag. 57 – 62.
180
Sulla centralità del sistema decisionale nell’ambito degli strumenti di supporto direzionale si veda OLIVOTTO L., Valore e sistemi di controllo, Milano, McGraw-Hill, 2000, pag. 28 – 44.
anche nell’attività operativa di carattere “quotidiano”.181 Gli strumenti di controllo interno possono dunque essere stimolati o talvolta ostacolati dall’ambiente di controllo.182 La diffusione, all’interno dell’organizzazione, di codici di comportamento può non soltanto enfatizzare e rafforzare la cultura al controllo interno già presente in azienda, ma anche costituire uno stimolo per coloro che non hanno ancora manifestato la giusta consapevolezza verso l’importanza del controllo interno aziendale.183
La diffusione di tali codici deve essere naturalmente accompagnata da uno sforzo attivo e costante dell’azienda volto a realizzare le condizioni idonee a garantirne l’efficacia, non avendo infatti alcuna utilità la mera traduzione degli stessi in atti formali.184
La creazione e la diffusione di codici di comportamento, che definiscono la base comune di valori cui deve essere informata l’azione di chiunque vada ad interagire con la compagine aziendale, si rivela determinante soprattutto laddove la struttura aziendale presenti un’elevata varietà di soggetti, diversi tra loro per estrazione culturale, esperienza professionale, credenze religiose, ecc.185
Tale componente, oltre ad essere riconosciuta dal nuovo Principio di revisione numero 315, era già in precedenza prevista anche dal Principio di revisione numero 400, che, nel descrivere il significato dell’ “ambiente dei controlli” sanciva: l’ambiente dei controlli «…rappresenta l’atteggiamento generale, la consapevolezza e le azioni intraprese dalla Direzione relativamente all’importanza attribuita nell’ambito della società al sistema di controllo interno».
181
«L’ambiente di controllo esercita un’influenza profonda sul modo in cui le attività sono strutturate, gli obiettivi stabiliti e i rischi valutati. Inoltre, esso influisce sulle attività di controllo, sui sistemi informativi e di comunicazione e sulle attività di monitoraggio. Questo vale non solo per la loro progettazione, ma anche per il loro funzionamento quotidiano. L’ambiente di controllo è influenzato dalla storia e dalla cultura dell’azienda e incide, a sua volta, sulla sensibilità del personale alle esigenze di controllo.» COOPERS & LYBRAND, opera citata, pag. 31.
182
GIOVANNONI E., La cultura del controllo nel governo dell’azienda. Presupposto teorici ed
evidenze empiriche, Padova, Cedam, 2004.
183
Per un approfondimento si veda DI TORO P., Governance, etica e controllo. Assetti societari,
codici di autodisciplina e audit interno, Padova, Cedam, 2000. BALDARELLI M.G., L’etica nella governance: un paradosso o una sfida?, in Revisione Contabile, n. 57, 2004
184
FIORELLI – ROONEY, Federal sentencing guidelines: a guide for internal auditors, IIA, 1996.
185
Enfasi all’ambiente di controllo viene data, in maniera particolare, in alcuni testi di auditing di recente emanazione. Si veda HINNA L., MESSIER W.F., Opera citata, Milano, McGrawHill, 2007. LIVATINO M., PECCHIARI N., POGLIANI G., Principi e metodologie di auditing, Milano, Egea, 2007.
Il rispetto delle norme etiche non è di per sé intrinseco all’esistenza di codici scritti ma è assicurato dalle azioni e dagli esempi che vengono dati dall’Alta Direzione.
Si comprende come questo elemento costituisca la chiave di volta per il successo del sistema di controllo interno.
“Un ambiente fortemente governato dall’etica a tutti i livelli gerarchici è vitale per il benessere dell’organizzazione, delle persone e delle aziende rientranti nel suo raggio d’influenza e del pubblico in genere. L’etica contribuisce in modo rilevante all’efficacia delle politiche e dei sistemi di controllo messi a punto da un’azienda e influisce sui comportamenti che sfuggono ai sistemi di controllo, per quanto gli stessi siano sofisticati”.186
Spesso si tende a trascurare, a torto, l’importanza dei valori etici e dell’integrità morale dei soggetti che operano all’interno delle imprese. E invece è stato probabilmente proprio il venir meno di tali fattori la causa prima alla base dei drammatici dissesti economici finanziari degli ultimi anni.
Uno studio condotto in America alla fine degli anni ’80187 ha evidenziato come i valori etici possano essere messi in crisi da alcuni fattori legati all’organizzazione aziendale: gli incentivi e le “tentazioni”.
Le persone possono infatti essere deviate dai giusti comportamenti per effetto di logiche premiali distorte. Una forte tensione alla performance o al risultato possono infatti facilmente distogliere il lavoratore dalla necessaria correttezza ed autenticità dei dati elaborati per condurlo verso il più compiacente percorso della falsificazione e della simulazione, finalizzato a fargli conseguire, almeno apparentemente, il massimo risultato e, di conseguenza, il premio promesso.
Pratiche fraudolente e atti illeciti possono altresì derivare dalle c.d. “tentazioni”. Trattasi, ad esempio, di scarsi controlli che fanno perdere di vista alla direzione il governo dei singoli processi aziendali, di un inadeguato sistema sanzionatorio, privo di efficacia deterrente alla commissione di frodi, di una accentuata
186
Così recita il Report of the National Commission on Fraudolent Financial Reporting, National Commission on Fraudolent Financial Reporting, 1987.
187
MERCHANT K.A., Fraudolent and Questionable Financial Reporting. A Corporate
decentralizzazione delle responsabilità che impedisce di rilevare le decisioni prese ai livelli più bassi dell’organizzazione.
Accanto ai due fattori critici appena descritti, lo studio menziona l’ignoranza. In molti casi cioè il personale che commette frodi non sa che il comportamento posto in essere è scorretto.
Ecco che la diffusione dei codici di condotta e la comunicazione delle buoni prassi assurge un ruolo centrale per assicurare il regolare funzionamento della macchina azienda.
Nondimeno, va assicurata la competenza e l’aggiornamento del personale, oltreché la sua motivazione. Il capitale umano costituisce infatti un valore da proteggere e riqualificare continuamente. Senza competenza e volontà di fare non si arriva da nessuna parte e il management non può realizzare da solo gli obiettivi aziendali! Il management pianifica, programma, delega, indirizza e controlla; in altre parole, costruisce l’intelaiatura su cui poi le varie figure impiegate nell’azienda andranno ad operare. Tutto il personale, in varia misura, ciascuno per le mansioni affidate e per le competenze possedute, contribuisce alla mission aziendale e, così come l’errore commesso ad un livello anche basso può riverberarsi, se non corretto, ai livelli successivi, producendo conseguenze anche gravi, allo stesso modo un buon lavoro concorre al perseguimento dei risultati prefissati.
Si osserva che la maggior parte degli elementi componenti l’ambiente di controllo fin qui descritti (valori etici, incentivi, aggiornamento, motivazione, competenze) possono essere ricondotti, più o meno direttamente, entro le politiche di gestione delle risorse umane, ossia entro il sistema di governo del personale adottato dall’azienda.
Le politiche di cui trattasi si estendono su un raggio d’azione estremamente ampio e variegato, informando tutte le fasi della vita lavorativa all’interno dell’impresa. L’assunzione, la gestione dei piani di carriera (progressioni interne, conferimento di incarichi e attribuzione di deleghe e poteri), la formazione, la valutazione, il sistema premiante non sono altro, infatti, che estrinsecazioni della politica di gestione delle risorse umane scelta dalla singola realtà.188
188
Illustrato dunque l’ambiente di controllo, come la base su cui poggia, secondo il modello di sistema di controllo interno di matrice anglosassone preso a riferimento (Coso Report), la piramide del sistema medesimo, esaminiamo il gradino successivo: la valutazione dei rischi.
In un’ottica prettamente giuridica, è la stessa imputazione giuridica dell’impresa all’imprenditore che implica l’imputazione, al medesimo, del correlativo “rischio”.
Molteplici sono gli elementi di rischio cui può essere soggetta la gestione aziendale189.
Il rischio può avere origini interne o esterne all’azienda e quindi provenire da fattori ostativi scaturenti a diversi livelli dell’organizzazione, piuttosto che da elementi estranei ad essa, dipendenti, ad esempio, dal mercato, dai competitors, da mutamenti legislativi o economici.
L’individuazione e la valutazione dei rischi e il successivo controllo costituiscono due elementi essenziali per il buon governo aziendale.
La prima attività ha ad oggetto l’individuazione e la valutazione degli eventi che possono pregiudicare il raggiungimento degli obiettivi a cui il controllo è finalizzato; la seconda ha lo scopo di mitigare/contrastare gli eventi ostativi individuati.
Una preventiva “mappatura” dei rischi cui può essere soggetta la realtà esaminata costituisce un passaggio indispensabile per la costruzione di un solido sistema di controllo interno.
L’identificazione e l’analisi dei rischi è un processo continuo e iterativo, spesso integrato con il processo di pianificazione. Tali attività devono infatti essere parti integranti del business aziendale e come mezzi attraverso i quali massimizzare le opportunità aziendali nonché ridurre le potenziali perdite dovute ad imprevisti. Poiché spesso un singolo fattore di rischio, se trascurato, può pregiudicare seriamente il raggiungimento degli obiettivi aziendali, è necessario procedere anzitempo alla sua individuazione e ponderazione, al fine di chiarire l’entità di un suo possibile impatto sulla realtà studiata e suggerirne le possibili azioni correttive.
189
Per un approfondimento in merito allo studio rischio in azienda si veda: BERTINI U., opera
Si pensi, ad esempio, al rischio di ritardo nella consegna di una merce. Tale rischio, se riproposto più volte nell’arco di un periodo anche breve, può mettere gravemente in discussione la fiducia del cliente.
Un management consapevole, anziché essere colto di sprovvista di fronte ad un simile evento, sarà anche capace di gestire la criticità rilevata, adottando la soluzione a suo avviso più idonea per evitare il ritardo.
L’azienda potrà, ad esempio, decidere di ricorrere all’assunzione di ulteriori unità di personale con contratti di lavoro di tipo flessibile, oppure ampliare la cerchia dei propri fornitori, oppure ancora investire nell’acquisto di macchinari più all’avanguardia, o infine modificare la propria organizzazione (anche mediante esternalizzazione di un ramo di attività) e il sistema delle deleghe.
E’ bene tener presente che la scelta della strategia risolutiva più adeguata dipende dalla causa determinante il problema.
Si rivelerà sicuramente inappropriato infatti, nel caso di specie, ricorrere a nuove assunzioni (anche se a termine) se l’origine del ritardo non è imputabile ad una scarsità di personale rispetto ai carichi di lavoro, bensì alla ritardata consegna delle materie prime da parte dei fornitori.
In tal caso, invero, il ricorso ad ulteriori unità potrebbe persino provocare una situazione di inutile sovra organico.
Un buon sistema di controllo interno non può esimersi pertanto dalla presa in carico dei rischi, ossia dalla loro individuazione e valutazione.
Chiaramente, “il controllo diventa più difficile in assenza di un processo di pianificazione strategica che fissi gli obiettivi di riferimento”.190
Il Coso Report non affronta il tema della pianificazione strategica e operativa, ma evidenzia che il processo di identificazione e formulazione degli obiettivi aziendali rappresenta una condizione preliminare e indispensabile per poter parlare di rischio. E’ indiscutibile infatti l’impossibilità di individuare e analizzare le possibili deviazioni dagli obiettivi prefissati senza aver prima individuato gli stessi obiettivi.
Per quanto riguarda gli obiettivi specifici, si osserva che essi possono essere ricondotti entro tre categorie:
190
- obiettivi gestionali relativi alle attività operative; - obiettivi inerenti all’informativa di bilancio;
- obiettivi inerenti alla conformità alle leggi e ai regolamenti vigenti.
È evidente dunque che l’applicazione di idonei strumenti, volti alla gestione dei rischi, possono efficacemente contribuire al raggiungimento degli obiettivi di
business. Alla base di un loro utilizzo ci deve essere tuttavia una adeguata
valutazione in termini di costi e benefici. Il responsabile di processo, adibito all’individuazione nonché alla specifica valutazione dei rischi, potrà e dovrà utilizzare strumenti volti alla valutazione dei rischi in termini di probabilità ed impatto. Ciò rende necessaria un’analisi approfondita dei controlli attivi in azienda, nonché una loro valutazione in termini di efficacia degli stessi. In quest’ambito, per controlli si intende tutto ciò che l’azienda ha realizzato per ridurre la probabilità o l’impatto dei rischi rilevati.
In quest’ottica deve essere potenziato sia l’aspetto “informale” del controllo, sia l’aspetto “formale”. Con il primo termine, si vuole far riferimento all’attività di “autocontrollo” come insieme di comportamenti informali che determinano e condizionano il comportamento individuale.191 Il controllo può essere, e deve essere, anche “formale” ovvero formalizzato in apposite carte di lavoro in grado anche di evidenziare i soggetti effettivamente responsabili. La giusta integrazione tra queste due tipologie di controllo è certamente la strada da percorrere nelle moderne strutture aziendali, nelle quali la forte professionalità e competenza delle persone deve essere necessariamente integrata con adeguati strumenti in grado di formalizzare e responsabilizzare gli individui, membri dell’organizzazione.
Dopo aver posto in essere questo tipo di attività ed aver individuato e valutato i rischi, l’organizzazione aziendale è in grado di compiere gli interventi successivi:
- accettazione del rischio: non viene cioè intrapreso alcun intervento; - riduzione del rischio: il rischio viene mitigato in termini di probabilità ed
impatto attraverso la definizione di opportuni piani d’azione;
191
Rileva Bastia «Per autocontrollo si deve intendere un complesso di meccanismi informali che determinano o condizionano il comportamento individuale in base a prerogative del tutto individuali e personali, quali: l’educazione; il senso del dovere e di responsabilità; il curriculum di studi e le esperienze professionali acquisite; la capacità e abilità personali, le motivazioni individuali; la stima in sé; la ricerca di autorealizzazione.». BASTIA P., Sistemi di pianificazione e
- trasferimento a terzi del rischio: il rischio viene gestito, ad esempio, mediante una polizza di assicurazione o una joint venture;
- eliminazione del rischio: elusione del rischio evitando di svolgere un
business o un’attività considerati troppo rischiosi per l’azienda.
In questa sede il riferimento specifico è all’individuazione ed alla valutazione dei rischi inerenti all’informativa di bilancio, ossia all’attività di individuazione dei rischi cui si può incorrere nella preparazione del bilancio192 e alla correlata adozione di provvedimenti necessari per fronteggiarli efficacemente.
La valutazione inerente all’informativa di bilancio può essere, a sua volta, scomposta in base a diversi livelli di sintesi/analisi, secondo l’attività svolta dalla stessa società oggetto di analisi. L’individuazione e la formalizzazione di obiettivi, a livello globale e particolare, costituiscono attività determinanti a far comprendere le priorità di intervento e l’individuazione di attività ad alto rischio. Ma i rischi devono essere individuati anche a livello di attività: solo così infatti è possibile focalizzare l’attenzione sulle principali divisioni o funzioni.193
Secondo il Coso Report è importante che sia costantemente effettuata un’analisi