Secondo quanto descritto nel Codice di Autodisciplina, il sistema di controllo interno e di gestione dei rischi è «l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi»108. Il sistema di controllo interno di un’azienda è un insieme integrato di persone, procedimenti e risorse che servono a monitorare l’attività aziendale per ridurre gli ostacoli che si possono trovare nel raggiungere i target attesi. Un adeguato sistema di controllo interno è richiesto per assumere decisioni consapevoli per salvaguardare il patrimonio sociale e per eseguire le attività in maniera efficacia ed efficiente. Le caratteristiche principali del sistema relativo ai controlli interni e alla gestione dei rischi sono ad esempio:
• Garantire che lo svolgimento delle funzioni da parte degli amministratori e dei dipendenti della società sia conforme alle leggi e ai regolamenti e allo Statuto. È un sistema per garantire che lo svolgimento delle funzioni degli amministratori e dipendenti della società sia effettuato in modo efficiente;
• Conservazione e gestione delle informazioni relative all'esercizio delle funzioni da parte degli amministratori delegati. Il sistema conserverà e gestirà documenti scritti in base alle leggi, ai regolamenti e alle regole interne della società. Inoltre, sono stabilite norme sulla sicurezza delle informazioni e politiche di protezione delle informazioni personali in relazione alla gestione delle informazioni; • Sistema di regole riguardanti la gestione del rischio di perdita dell'azienda; • Pone focus sull'integrità della gestione, la competenza dei dipendenti, la tenuta dei registri, i doveri discreti e altre garanzie di sistema; 108 Comitato per la Corporate Governance, “CODICE DI AUTODISCIPLINA”, luglio 2018 www.borsaitaliana.it
• Stabilisce protocolli e procedure che il personale e i consulenti devono seguire. Questi protocolli consolidati aiutano a portare ordine e coesione alle aziende, poiché tutti sanno cosa ci si aspetta; • Stabilire controlli interni può aiutare le aziende a prevenire o ridurre le frodi e i furti all'interno delle proprie organizzazioni. I controlli interni possono includere attività come la riconciliazione di estratti conto bancari e revisioni di audit interni, che possono scoprire se il denaro dell'azienda viene sottratto dalla direzione o dai dipendenti; • I controlli interni separano i compiti che i dipendenti hanno garantendo che ci sia un sistema di controlli equilibrato.
Il COSO framework individua cinque componenti del controllo interno (monitoraggio, attività di controllo, informazione e comunicazione, valutazione del rischio, ambiente di controllo) e tre obiettivi: “efficienza operativa - controllo di gestione; adeguatezza informativa - controllo amministrativo e contabile; e conformità alla normativa109.
L'ambiente di controllo è l'insieme di standard, processi e strutture che forniscono la base per eseguire il controllo interno all'interno dell'organizzazione. L'ambiente di controllo comprende l'integrità e i valori etici dell'organizzazione; i parametri che consentono al consiglio di amministrazione di esercitare le proprie responsabilità di supervisione e controllo della governance; la struttura organizzativa e l'attribuzione di autorità e responsabilità; il processo per attrarre, sviluppare e trattenere individui competenti; e il rigore riguardo alle misure di performance, incentivi e premi per guidare la responsabilità per le performance. L'ambiente di controllo che ne risulta ha un impatto pervasivo sul sistema complessivo di controllo interno. La valutazione del rischio comporta un processo dinamico e iterativo per identificare e valutare i rischi per il raggiungimento degli obiettivi. Pertanto, la valutazione del rischio costituisce la base per determinare come saranno gestiti i rischi. La direzione specifica gli obiettivi all'interno delle categorie relativi alle operazioni, alla comunicazione e alla conformità normativa con sufficiente chiarezza per poter identificare e analizzare i rischi per tali obiettivi. La valutazione del rischio richiede inoltre che il management tenga conto dell'impatto di possibili cambiamenti nell'ambiente del proprio modello di business che 109 Protiviti Inc., The Updated COSO Internal Control Framework Frequently Asked Questions, Ed 3, 2014. www.protiviti.com
potrebbe rendere inefficace il controllo interno. L'organizzazione considera il potenziale di frode nella valutazione dei rischi per il raggiungimento degli obiettivi. Donald Cressey, un criminologo americano ha elaborato la “teoria delle frodi”110 che spiega i fattori (pressioni finanziarie e emotive; razionalizzazione/giustificazione personale di azioni disoneste; opportunità di agire senza essere catturati) che portano a frodi e altri comportamenti non etici. Quando le aziende e le organizzazioni comprendono il triangolo delle frodi, possono combattere più efficacemente i comportamenti criminali che incidono negativamente sulle loro operazioni. Figura 31: Il triangolo delle frodi Fonte: yellowbook-cpe.com
Informazione e comunicazione: l’organizzazione genera o ricava informazioni di qualità per supportare gli altri componenti del controllo interno e provvede a comunicare le informazioni all’interno e all’esterno dell’organizzazione.
Le attività di controllo sono le azioni stabilite attraverso politiche e procedure che aiutano la direzione a garantire che le direttive per mitigare i rischi per il raggiungimento degli obiettivi siano realizzate. Le attività di controllo vengono eseguite a tutti i livelli dell'entità, in varie fasi all'interno dei processi aziendali e nell'ambiente tecnologico. Possono essere di natura preventiva o investigativa e possono comprendere una serie di attività manuali e automatizzate come autorizzazioni e approvazioni, verifiche, riconciliazioni e revisioni delle prestazioni aziendali. La separazione delle funzioni è in genere integrata nella selezione e nello sviluppo delle attività di controllo. Laddove la separazione dei compiti non è pratica, la direzione seleziona e sviluppa attività di controllo alternative.
Il monitoraggio: L'organizzazione seleziona, sviluppa ed esegue valutazioni finalizzate per accertare se le componenti del controllo interno sono presenti e funzionanti, valuta e comunica tempestivamente le carenze del controllo interno alle parti responsabili dell'azione correttiva, incluso l'alta dirigenza e il consiglio di amministrazione, a seconda dei casi.
Come si può notare che la moderna concezione dei controlli interni ruota intorno al concetto di rischi aziendali, alla loro identificazione, valutazione e monitoraggio, sono due attività tra di loro collegati e per essere efficaci devono essere ben coordinate ed interdipendenti, inoltre il sistema organizzativo complessivo deve essere integrato a livello amministrativo, contabile e operativo. Va tenuto conto che anche i controlli più ben progettati possono fallire, a causa di errori che possono derivare da incomprensioni di istruzioni, errori di giudizio, fatica oppure la direzione potrebbe ignorare la struttura e la conformità potrebbe deteriorarsi nel tempo. Il codice di autodisciplina individua i “ruoli e le responsabilità” 111 dei soggetti coinvolti nell’attività di controllo interno e gestione: • Il Consiglio di Amministrazione si occupa della gestione dell’impresa (art. 2380- bis, c.c.); valutazione periodica dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile dell’impresa (art. 2381, c.c.); l’esame dei piani strategici industriali e finanziari predisposti dagli organi delegati (art. 2381, c.c.); nomina il comitato controllo rischi e l’amministratore delegato;
• Il Comitato Controllo e Rischi è composto da amministratori indipendenti, questo organo di natura consultiva monitora l’attività di internal audit sul Sistema di Controllo Interno e relaziona periodicamente al Consiglio di Amministrazione sulle eventuali azioni da intraprendere;
• L’amministratore esecutivo incaricato ha il compito di coordinare il sistema di controllo interno alle condizioni operative, legislative e regolamentare dell’organizzazione, progettare, realizzare e gestire il sistema di controllo interno; chiedere all’internal audit lo svolgimento di verifiche su specifiche aree e sul rispetto delle regole e procedure interne; informare tempestivamente il
presidente del Consiglio, il presidente del comitato controllo e rischi e il presidente del collegio sindacale;
• Il collegio Sindacale è l’organo che sorveglia sulla corretta amministrazione, sull’adeguatezza dell'apparato organizzativo, del sistema amministrativo e contabile e del sistema di controllo interno; controlla il rispetto delle leggi e dello statuto e l’adeguatezza delle scelte ai principi di prudenza e corretta amministrazione;
• L’organismo di vigilanza interviene sui reati societari previsti dal decreto 231 e fornisce informazioni all’organo amministrativo e collegio sindacale delle eventuali violazione rispetto al modello di prevenzione dei reati;
• L’internal Audit dipende dal consiglio di amministrazione, ha il compito di verificare “l’operatività e l’idoneità del sistema di controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato dal consiglio di amministrazione, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi”112. Questa funzione può essere trasmesso anche ad un soggetto esterno verificando i requisiti di professionalità, indipendenza e organizzazione. Figura 32: attori del controllo interno Fonte: www.gruppowasteitalia.it 112 Comitato per la Corporate Governance, CODICE DI AUTODISCIPLINA, luglio 2018. www.borsaitaliana.it