3.1 Il questionario secondo il modello del Coso Report
3.1.2. Scheda di analisi dei rischi e delle attività di controllo
Come precisato nel paragrafo che tratta degli strumenti relativi alla analisi dei rischi e alle attività di controllo, la direzione fissa gli obiettivi per ciascuna attività significativa dell’azienda, analizza i rischi legati alla loro realizzazione, predispone piani, programmi e altre azioni finalizzati a neutralizzarli e istituisce appositi controlli per verificare la corretta attuazione di questi ultimi. Tuttavia gli strumenti relativi alla valutazione dei rischi e alle attività di controllo non consentono di esaminare tale processo a livello di singola attività. Per ovviare a questo limite, è stata creata un’apposita scheda separata.
La direzione potrebbe aver già documentato tale processo. In caso contrario, potrà avvalersi del supporto fornito dalla scheda in oggetto, che una volta compilata, potrà essere rivista dal valutatore. Qualora invece la direzione non disponesse della necessaria documentazione, il valutatore potrà eventualmente decidere di compilarla personalmente esaminando il processo suddetto e le attività a esso collegate. A tale proposito, il “Manuale di riferimento” fornisce un valido aiuto per l’individuazione degli obiettivi specifici di ciascuna attività, l’analisi dei rischi, nonché la scelta delle azioni da intraprendere e dei controlli da predisporre.
Il Manuale di Riferimento è uno strumento concepito per aiutare il valutatore a completare la “Scheda di analisi dei rischi e delle attività di controllo”.
Il Manuale presenta esempi di obiettivi, rischi e “punti da esaminare per azioni/attività di controllo” applicabili ad attività aziendali di tipo standard. I punti elencati in quest’ultima colonna possono facilitare l’identificazione dei provvedimenti più indicati rispetto ai rischi da fronteggiare e le attività di controllo necessarie affinché tali provvedimenti trovino reale attuazione. In essa figurano inoltre degli indicatori di particolare utilità ai fini dell’esecuzione del controllo.
63 La seconda colonna, contrassegnata dalla testata “O,B,C,”, indica la categoria di appartenenza degli obiettivi (O = attività operative, B = informazioni di bilancio e C =
conformità). Questa classificazione non è tassativa e può variare in base alle circostanze. Figura 4. Il manuale non ha la pretesa di fornire un elenco completo di tutti gli obiettivi, i rischi o i punti da esaminare, ma può essere utile per individuare i problemi più significativi.
Figura 4, Il Manuale di riferimento per la Scheda di valutazione dei rischi e delle attività di controllo.
Obiettivi O-B-C Rischi Punti da esaminare per
attività di controllo
64 3.2. I limiti del sistema di controllo interno
Dopo aver analizzato l’intero sistema di controllo interno proposto dal Coso Framework, si può dire che per quanto ben progettato e gestito, il sistema di controllo interno può fornire ai dirigenti e agli amministratori solo una ragionevole sicurezza sulla realizzazione degli obiettivi aziendali. La probabilità di questa realizzazione risente dei limiti insiti in tutti i sistemi di controllo interno. Questi includono la possibilità di errori nelle decisioni umane e degli inconvenienti che ne possono derivare. I controlli inoltre possono essere vanificati dalla collusione di due o più persone e dalla capacità del management di aggirare il sistema di controllo interno. Un altro fattore limitativo è l’esigenza di un equilibrio costi-benefici del controllo.
La ragionevole sicurezza
Il controllo interno è stato a volte considerato come il mezzo per evitare che un’azienda commetta errori, ossia per assicurare che raggiunga sempre i suoi obiettivi correlati alla gestione, alla redazione dei bilancio e al rispetto della normativa. In questo senso lo si configura, come una terapia per tutti i mali di un’azienda, reali e potenziali. Ma quest’immagine è in parte illusoria.
Nel considerare i limiti del controllo interno, si devono tenere presenti dei concetti. Innanzitutto, il controllo interno, anche se efficace, agisce a livelli diversi con riferimento ai diversi obiettivi. Per quanto riguarda gli obiettivi di efficacia ed efficienza della gestione operativa di un’azienda il controllo interno può aiutare il management nel venire a conoscenza dei progressi più o meno realizzati. Non può invece fornire alcuna sicurezza, anche se ragionevole, che gli obiettivi stessi saranno conseguiti. In secondo luogo, il controllo interno non può fornire la sicurezza assoluta nei confronti di nessuna delle tre categorie di obiettivi.
La prima serie di limitazioni dipende dal fatto che alcuni eventi sfuggono assolutamente a ogni potere di controllo del management. Quanto alla seconda, si identifica con l’assioma che nessun sistema potrà mai fare tutto ciò per cui è stato predisposto. Il meglio che ci si può attendere da un sistema di controllo interno, è l’ottenimento di una ragionevole sicurezza.
Parlare di ragionevole sicurezza certamente non implica che i sistemi di controllo interno siano frequentemente inefficaci. Molti fattori, singolarmente e collettivamente, avvalorano il concetto di ragionevole sicurezza. L’effetto congiunto di controlli mirati a una molteplicità di obiettivi e la natura multifunzionale dei controlli riducono certamente il rischio che un’azienda possa mancare i propri obiettivi. Inoltre, le normali attività giornaliere e le responsabilità delle persone operanti ai diversi livelli di un’organizzazione sono rivolte al raggiungimento degli obiettivi aziendali.
In effetti, in un campione di aziende bene controllate, è molto probabile che la maggioranza abbia normalmente nozione del proprio avanzamento verso gli obiettivi operativi, che realizzi
65 regolarmente i propri obiettivi di conformità alla normativa e che produca regolarmente, in un periodo dopo l’altro e in un esercizio dopo l’altro, bilanci attendibili. Tuttavia, a causa dei limiti intriseci accennati sopra, non sussiste alcuna garanzia che non si produca mai, ad esempio, un evento incontrollabile, un errore o un’errata segnalazione. Anche un valido sistema di controllo interno, insomma, può venire meno al suo compito. La sicurezza ragionevole non è mai assoluta. Si può quindi dire che un sistema di controllo interno, anche se progettato al meglio, offre solo una ragionevole sicurezza che gli obiettivi aziendali vengano realizzati, in quanto non è sempre possibile:
Evitare un errore umano nell’operatività o nel percorso decisionale;
Evitare disfunzioni del sistema di controllo stesso;
Prevenire deroghe da parte del management;
Prevenire collusione tra più persone.
L’efficacia dei controlli trova un limite nel rischio di errore umano quando si prendono delle decisioni aziendali. Tali decisioni sono prese in base a giudizi umani, in un determinato momento, sulla base delle informazioni disponibili e sotto la spinta e l’urgenza delle circostanze. Alcune decisioni basate sul giudizio umano possono poi, in chiave retrospettiva, rivelarsi la causa di risultati mediocri e avere bisogno di modifiche.
La natura delle decisioni connesse al sistema di controllo interno, che sono basate sul giudizio umano, è riferita al rapporto costi- benefici.
Le risorse umane sono sempre limitate. Le aziende devono pertanto tenere conto del rapporto tra costi e benefici dei controlli che si vogliono attivare.
Nel decidere l’attivazione di un determinato controllo si dovrà pertanto considerare il rischio di insuccesso e gli effetti potenziali, unitamente ai suoi costi di attuazione. Per un’azienda industriale, per esempio, può non valere la pena di istituire un sofisticato sistema di monitoraggio per le scorte di materie prime a basso costo, non deperibili e di facile reperimento e stoccaggio.
L’analisi dei costi e benefici per l’attuazione dei controlli si effettua con diversi gradi di precisione. In generale è più facile affrontare l’aspetto dei costi, che in molti casi si possono quantificare con una certa precisioni. Solitamente si tiene conto di tutti i costi diretti, connessi alla costituzione del sistema di controllo interno e dei costi indiretti effettivamente misurabili. Alcune aziende tengono conto anche dei costi-opportunità collegati all’impiego delle risorse.
In alcuni casi, però, la quantificazione dei costi può essere più difficile. Può essere difficile quantificare il tempo e lo sforzo da dedicare a determinati fattori dell’ambiente di controllo, come l’importanza attribuita dal management ai valori etici o la competenza del personale; la valutazione dei rischi; la raccolta di informazioni esterne, come le ricerche di mercato sull’evoluzione delle preferenze della clientela. La valutazione dei benefici poi è senz’altro evidente, ma difficile da
66 quantificare. Per stabilire i vantaggi potenziali si possono comunque considerare alcuni fattori: la probabilità di insorgenza di situazioni indesiderabili, le caratteristiche delle attività e i possibili effetti finanziari o gestionali sull’azienda.
La complessità intrinseca alla determinazione costi - benefici aumenta per effetto dell’interazione dei controlli con la gestione aziendale. Quando i controlli sono integrati, o sono incorporati nei processi aziendali e manageriali, è difficile isolarne sia i costi che i benefici.
Molto spesso, inoltre, controlli diversi possono contribuire, singolarmente o congiuntamente, ad attenuare un particolare rischio.
La determinazione del rapporto costi – benefici varia notevolmente anche in funzione delle caratteristiche dell’azienda. Per esempio, un sistema computerizzato che elabora informazioni sulla frequenza degli ordini da parte dei singoli clienti, sull’importo unitario egli ordini e sul numero degli articoli per ciascun ordine è di grande importanza in una società di vendita per corrispondenza. Per un cantiere che produce barche a vela personalizzate e di alta classe, dati dettagliati per ciascun profilo di cliente hanno un’importanza molto ridotta: un sistema informativo del genere probabilmente non coprirebbe i costi. A causa della particolare irrilevanza di una specifica attività o del rischio relativo, può essere addirittura inutile compiere qualsiasi analisi costi - benefici. Lo sforzo di condurre questa analisi può non essere giustificato.
Il problema è di trovare il giusto equilibrio. Un controllo eccessivo è dispendioso e controproducente. I clienti che ordinano per telefono non gradiranno procedure troppo complicate nei linguaggi. Una banca che costringe i suoi potenziali clienti a fare i salto mortali per ottenere un mutuo non concluderà molti contratti. Mentre dei controlli troppo superficiali daranno luogo a un eccesso di crediti di rischio. In un ambiente caratterizzato da un’elevata concorrenza, dunque, si richiede un giusto equilibrio. E, nonostante le difficoltà, le decisioni basate su costi - benefici continueranno a essere fatte.
Le disfunzioni
Un altro limite del sistema di controllo interno sono le disfunzioni. Anche se ben concepiti, i sistemi di controllo interno possono essere oggetto di disfunzioni o debolezze. Il personale può interpretare male le istruzioni, può compiere errori di giudizio, o sbagliare per incuria, per distrazione, per stanchezza.
Inoltre un sistema di controllo interno è tanto efficace quanto lo sono i responsabili del suo funzionamento. Anche nelle aziende meglio controllate, con un elevato grado di integrità e si sensibilizzazione al controllo, un manager può essere in grado di derogare al controllo interno.
67 Il termine deroghe è adoperato qui per indicare il mancato rispetto delle politiche e delle procedure di controllo, per scopi illeciti, per trarne personale vantaggio oppure per presentare migliori risultati di bilancio o dissimulare la non conformità agli obblighi di legge.
La deroga non va confusa con gli interventi compiuti dal management per modificare a fini leciti le politiche o le procedure prescritte. Questi interventi si rendono necessari per gestire transazioni straordinarie e atipiche oppure eventi in relazione ai quali il normale sistema di controllo è inadeguato. Tutti i sistemi di controllo interno devono prevedere l’intervento eccezionale del management, perché nessun sistema può essere impostato in modo da prevenire qualunque situazione. Queste iniziative del management sono generalmente manifeste e documentate o comunque portate a conoscenza del personale interessato, mentre le deroghe non vengono pubblicizzate, nell’evidente intento di nasconderle.
Le collusioni
Ulteriore limite al sistema di controllo interno è il verificarsi di collusioni tra le persone. Atti di collusione tra due o più individui possono sfociare in deficienze di controllo. Persone che agiscono di comune accordo per commettere o occultare un altro soggetto a controllo possono spesso alterare dati contabili o altre informazioni in modi non individuabili dal sistema di controllo. Si ha collusione, per esempio, tra un dipendente addetto a un’importante funzione di controllo e un cliente, un fornitore o un altro dipendente. Sui livelli differenti, diversi responsabili di divisione o di settori di vendita possono accordarsi nell’eludere controlli, affinché i risultati realizzati possano apparire conformi agli obbiettivi di budget o a quelli assegnati per le incentivazioni.
Per concludere si può dire che il sistema di controllo interno, nonostante non assicuri una assoluta sicurezza che gli obiettivi aziendali vengano realizzati, è un valido strumento di analisi e può aiutare le aziende a migliorare la propria gestione, a preparare bilanci attendibili o a conformare l’azienda alle norme in vigore.
68 3.3. I soggetti coinvolti nel sistema di controllo interno
Il controllo interno viene svolto da numerose persone, ciascuna con notevoli responsabilità.
È necessario distinguere tra coloro che fanno parte del sistema di controllo e coloro che, pur non appartenendovi, possono con le loro attività influire sul sistema stesso o contribuire alla realizzazione degli obiettivi aziendali.
Tutte le persone che appartengono a un’azienda fanno parte del suo sistema di controllo interno. Esse contribuiscono, ciascuna a suo modo, all’efficacia del controllo interno, cioè a ottenere una ragionevole sicurezza sul raggiungimento degli obiettivi dell’organizzazione.
Anche le parti esterne possono contribuire a questo fine, fornendo informazioni utili allo svolgimento del controllo aziendale oppure attraverso azioni ugualmente utili per il raggiungimento degli obiettivi dell’azienda. Tuttavia, tale contributo diretto o indiretto agli obiettivi aziendali non implica la loro appartenenza al sistema di controllo interno dell’azienda.
Possiamo quindi dire che ogni persona che opera in un’organizzazione ha responsabilità per il controllo interno. Il management, però, è responsabile di tutto il sistema: il Ceo ne ha la responsabilità ultima e ne assume praticamente la paternità.
I responsabili amministrativi e finanziari hanno una collocazione centrale nella dinamica del controllo esercitato dal management, sebbene questo abbia ruoli di rilievo e risponda del controllo delle rispettive unità. I revisori interni, a loro, volta, contribuiscono all’efficacia continua del sistema di controllo interno, pur non avendo responsabilità primarie nella sua attuazione e gestione.
Numerose parti esterne, come i revisori indipendenti, contribuiscono spesso al raggiungimento degli obiettivi aziendali e apportano informazioni utili per il buon funzionamento del controllo interno, ma non rispondono della sua efficacia né fanno parte del sistema di controllo interno.
In un’azienda quindi ogni persona ha un ruolo nello svolgimento del controllo interno. I ruoli variano quanto a responsabilità e coinvolgimento.
Andiamo adesso ad analizzare i principali soggetti coinvolti nel sistema di controllo interno identificandone i ruoli.
In ogni organizzazione, la scala gerarchica si ferma al Ceo, il quale è un componente del consiglio di amministrazione di una società per azioni o altra azienda organizzata in modo analogo, al quale il consiglio stesso ha delegato i propri poteri.
Il Ceo ha quindi la responsabilità e la titolarità definitiva del sistema di controllo interno.
Uno degli aspetti più importanti di tale responsabilità è quello di assicurare l’esistenza di un ambiente di controllo positivo. Più di ogni altra persona o funzione, il Ceo dà il buon esempio, seguendo i principi di una condotta accettata che influenzano così i fattori dell’ambiente di controllo
69 e gli altri componenti dello stesso. L’influenza del Ceo sull’intera organizzazione è chiara e non lascia dubbi. Al contrario, la sua influenza sulla scelta degli amministratori è qualche volta meno evidente. Un Ceo con alti principi etici può fare molto per ottenere che il consiglio rispecchi tali valori. Al contrario, un Ceo che manca di integrità non è in grado oppure non trova la volontà di favorire la nomina di amministratori integri. Una persona che fa parte di numerosi consigli di amministrazione e di audit committee afferma con decisioni che egli respingerebbe un invito a partecipare come consiglieri in una società, se dovesse avere qualche dubbio sull’integrità del Ceo. Consigli di amministrazione e audit committee efficaci osserveranno attentamente l’integrità e i valori etici dell’alta direzione per stabilire la solidità del sistema di controllo interno.
Tra le responsabilità del Ceo c’è quella di supervisionare l’operatività di tutti i componenti del controllo interno. Il Ceo vi provvede.
- Assicurando guida e orientamento ai dirigenti superiori. Il Ceo, con il loro aiuto, stabilisce i valori, i principi e le principali politiche gestionali che costituiscono la base del sistema di controllo interno dell’azienda.
- Incontrando periodicamente i dirigenti superiori responsabili delle maggiori aree funzionali per esaminare le loro responsabilità, compreso il modo in cui tengono sotto controllo le loro attività. Il Ceo verrà a conoscenza dei controlli inerenti alle loro attività, dei miglioramenti necessari e dell’avanzamento dei provvedimenti in corso. Per lo svolgimento di questo suo compito è indispensabile che il Ceo precisi chiaramente le informazioni di cui ha bisogno.
Il management è direttamente responsabile di tutte le attività di un’azienda compreso il suo controllo interno.
I dirigenti responsabili delle singole unità organizzative rispondono del controllo interno in relazione agli obiettivi delle stesse. Essi guidano lo sviluppo e l’attuazione delle politiche e delle procedure di controllo interno riguardanti tali obiettivi e ne assicurano la conformità con gli obiettivi generali. Impartiscono, per esempio, direttive sulla struttura organizzativa, sui sistemi di assunzione e formazione del personale, come pure sulla predisposizione del budget e sui sistemi informativi necessari per il controllo dell’attività dell’unità. In questo senso, nel trasferimento delle responsabilità verso il basso, ciascun dirigente diviene a sua volta il Ceo nella sua sfera di responsabilità.
I dirigenti affidano solitamente il compito di istituire procedure specifiche di controllo alle persone incaricate di particolari funzioni o uffici dell’unità. Queste persone a loro volta svolgono un ruolo più diretto nel delineare e svolgere particolari procedure e spesso sono direttamente responsabili delle stesse, come quelle di autorizzazione per l’acquisto di materie prime, per l’accettazione di nuovi
70 clienti o per l’esame dei rapporti di produzione al fine di controllare il prodotto in uscita. Esprimeranno anche raccomandazioni sui controlli, ne monitoreranno l’applicazione e si incontreranno con i manager di livello più elevato per riferire sul funzionamento dei controlli.
In funzione del numero dei livelli gerarchici di un’azienda, questi responsabili di funzioni o uffici, quadri intermedi o supervisori, possono essere direttamente coinvolti nell’esecuzione dettagliata delle politiche e delle procedure di controllo. E’ loro la responsabilità di intervenire sulle anomalie o altri problemi che di volto in volta possono presentarsi. Ciò può comportare indagini sugli errori di immissione di dati o sulle attività operative riportate sui tabulati delle anomalie, analisi dei motivi di scostamento rispetto al budget dei costi dell’unità o follow- up sugli ordini dei clienti relativi a consegne parziali o sulla situazione delle scorte di magazzino. I problemi più importanti, siano essi casi isolati oppure indicativi di fatti più preoccupanti, vengono riferiti ai livelli superiori.
Ciascun manager deve disporre dei necessari poteri per svolgere le sue funzioni, ma allo stesso tempo deve rendere conto della sua attività ai suoi superiori gerarchici. Ciascun manager è responsabile verso i diretti superiori per la parte del sistema di controllo interno di sua competenza, come il Ceo verso il consiglio di amministrazione.
Sebbene differenti livelli gerarchici abbiano competenze e funzioni distinte in materia di controllo, le azioni dei singoli responsabili devono integrarsi nel sistema di controllo interno.
L’alta direzione aziendale è quindi il soggetto di maggiore autorità16 responsabile della gestione dei
rischi in azienda e, con la supervisione del Comitato per il controllo interno e con il supporto attivo dei responsabili di ogni funzione aziendale, è tenuta a compiere una “ricognizione auto valutativa complessiva del proprio sistema di controllo interno”17.
Il risultato di questa ricognizione consiste nell’individuazione delle aree di rischio gestite in modo ottimale e delle circostanze in cui il controllo è insufficiente o eccessivo, al fine di pianificare poi le azioni di miglioramento da implementare.
Il management risponde al consiglio di amministrazione18 il quale ha il ruolo di governance, guidare e
supervisionare l’azienda. Nella scelta del management, il consiglio di amministrazione ha un ruolo importante nel definire le attese in termini di integrità e di valori etici e può confermare le sue attese esercitando la propria supervisione. Analogamente, attribuisce i poteri di determinate decisioni chiave, il consiglio di amministrazione può giocare un ruolo nella determinazione degli obiettivi
16 L’alta direzione in relazione alle responsabilità che assume, è l’interlocutore privilegiato del Collegio