Sistema di controllo interno e di gestione dei rischi

Il sistema di controllo interno e di gestione dei rischi (135), come definito nel Codice all’art. 7, principio 7.P.1., è «costituito dall’insieme di regole, procedure e strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi». È possibile articolare il sistema di controllo interno e gestione dei rischi su tre livelli: il primo livello comprende controlli svolti dai responsabili di ciascuna area operativa aziendale, il secondo riguarda i controlli dei rischi tipici aziendali e il terzo livello riguarda i controlli svolti dalla funzione aziendale di internal auditor. La tipologia dei controlli risulta dunque da un lato articolata in controlli attinenti all’aspetto gestionale, dall’altro in controlli relativi alla vigilanza. Dalla versione attuale dell’articolo emerge che, come già nelle versioni precedenti, il sistema dei controlli interni – come sopra descritto – è considerato condizione necessaria per una buona governance. I sistemi di controllo interno e di gestione dei rischi risultano concepiti come un sistema unitario, come si evince anche dalla rubricazione dell’articolo, che è stato così pensato al fine di perseguire l’obiettivo – in linea con le posizioni espresse dalla Commissione europea (136) – di diffondere maggiormente la «cultura del rischio», inserendo la funzione di

(135_{) Per approfondimenti sul tema M.}_S_TELLA_R_{ICHTER JR}_{, Il comitato controllo e}

rischi già comitato per il controllo interno, in Osservatorio di diritto civile e commerciale, 2012, pp. 67 ss.; M.STELLA RICHTER JR,Il controllo all’interno dell’organo amministrativo, in Corporate governance e sistema dei controlli, a cura di U. Tombari, 2013, Torino; G. STRAMPELLI, Sistemi di controllo e indipendenza nelle società per azioni, 2013; P. MONTALENTI, Sistemi di controllo interno e corporate governance: dalla tutela delle minoranze alla tutela della correttezza gestoria, in Rivista del diritto commerciale, 2012, pp. 243 ss.;.

(136_{) La Commissione europea ha affermato in proposito che «ogni società (…) deve}

far fronte ad un ampio ventaglio di rischi, sia interni che esterni legati alle proprie caratteristiche». In linea con tali affermazioni il Codice di autodisciplina ha sottolineato come l’intero sistema dei controlli persegua il fine di consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi (7.P.1.). Si osserva che a seguito della novella del 2011 ciò che è stato rivoluzionato è lo stesso modo di concepire i controlli nell’attività d’impresa, al cui centro viene messo il «monitoraggio costante dell’attività e dei rischi di impresa». Cfr. M.BIANCHINI e C. DI NOIA, I controlli societari. Molte regole, nessun sistema, 2010, Milano e anche OCSE, Corporate Governance and the Financial Crisis: Conclusions and Emerging good practices to enhance implementation of the Principles, 2010, che aveva affermato come una delle più importanti lezioni apprese dalla recente crisi è stato il fallimento dei rischi, la cui gestione risulta troppo spesso distaccata dalla predisposizione delle strategie aziendali e dalla loro attuazione.

gestione dei rischi all’interno del sistema di controllo interno. L’articolo così strutturato si propone inoltre di attribuire al consiglio di amministrazione unitamente al comitato per il controllo interno e la gestione dei rischi un ruolo fondamentale nella definizione della natura e del livello del rischio in relazione agli obiettivi aziendali, e di strutturare il sistema di controllo interno in base alle competenze dei vari soggetti coinvolti nell’esercizio di questa funzione. L’articolo 7 lasciando ogni società libera di scegliere come organizzare strutturalmente il proprio sistema di controllo interno, formula una serie di raccomandazioni riguardanti i vari attori coinvolti.

Il primo attore coinvolto nel sistema di controllo interno è il consiglio di amministrazione. Il Codice integra le disposizioni già attribuite al consiglio dal codice civile (137) che vengono maggiormente specificate e rese più operative. Il Codice prevede che il consiglio di amministrazione definisca le linee di indirizzo del sistema di controllo interno e di gestione dei rischi, determini il grado di compatibilità di tali rischi con una gestione dell’impresa coerente con gli obiettivi strategici individuati e valuti l’adeguatezza del sistema dei controlli (138_{), da}

effettuarsi con cadenza almeno annuale. Il secondo soggetto designato a svolgere funzioni di controllo interno e gestione dei rischi è l’amministratore (o gli amministratori) incaricato/i del sistema di controllo interno e gestione dei rischi (139) che sono amministratori individuati, su raccomandazione del Codice, all’interno del consiglio di

(137_{) Il Codice civile all’art. 2381, comma 3 prevede che gli amministratori abbiano il}

dovere di valutare l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società e il generale andamento della gestione.

(138_{) Le tre funzioni menzionate sono previste rispettivamente ai principi 7.C.1., 7.C.1}

e 7.P.3.

(139_{) Ai sensi dell’art. 2381 c.c., tali amministratori dovrebbero essere ricompresi}

negli organi delegati, disciplinati dall’articolo citato al comma 5. Tale norma prevede che la cura dell’adeguatezza dell’assetto organizzativo, amministrativo e contabile rispetto alla natura e alle dimensioni dell’impresa sia una competenza tipica degli organi delegati. A seguito della riforma del 2003, è pacifico che il sistema del controllo interno sia “parte e, allo stesso tempo, elemento essenziale degli assetti organizzativi” di una società e che la sua “istituzione” e il suo “mantenimento” rientrano in quelle funzioni operative che si concretizzano nella creazione dell’assetto organizzativo, amministrativo e contabile della società, tipicamente attribuite all’organo delegato. Dall’attribuzione di tali funzioni si può qualificare questo soggetto come organo delegato. Per approfondimenti si vedano P.MONTALENTI, I controlli societari: recenti riforme, antichi problemi, in Banca borsa e titoli di credito, 2011, pp. 535 ss. e, per tutti, A. MAFFEI ALBERTI, Commentario breve al diritto delle società, 2011, Padova.

amministrazione i quali devono istituire e garantire un efficace funzionamento del sistema di controllo interno e gestione rischi (140). Tale soggetto si occupa di individuare i rischi aziendali principali e di dare esecuzione alle linee di indirizzo definite dal consiglio di amministrazione in materia di controlli interni, curandone realizzazione e verificandone costantemente l’adeguatezza e l’efficacia, prevedendo inoltre che l’amministratore incaricato possa chiedere alla funzione di

internal audit di svolgere verifiche su determinate aree operative e che

debba riferire al consiglio di amministrazione o al comitato controllo interno eventuali criticità riscontrate. Il Codice si riferisce a questo particolare amministratore come soggetto incaricato, cioè chiamato a svolgere una specifica funzione essendo qualificato come amministratore esecutivo. Il comitato controllo e rischi, la cui costituzione è raccomandata nell’articolo 7, principio 7.P.3. a., ha il ruolo di affiancare il consiglio con alcune funzioni di supporto tra cui quella di esprimere pareri in merito ad alcuni aspetti nell’identificazione del rischio aziendale, quella di esaminare le relazioni periodiche sulla valutazione del sistema di controllo e gestione rischi e l'obbligo di supportare con un'adeguata attività istruttoria le valutazioni e le decisioni del consiglio di amministrazione relative alla gestione di rischi derivanti da fatti pregiudizievoli di cui il consiglio di amministrazione sia venuto a conoscenza. Il comitato ha inoltre alcuni compiti con riferimento alla funzione di internal audit che riguardano l’esame delle relazioni prodotte dalla stessa e il monitoraggio sotto profili di autonomia, adeguatezza ed efficacia. In ultima analisi il comitato, assieme al dirigente preposto, valuta il corretto utilizzo dei principi contabili all’interno dei documenti societari e riferisce a tal proposito al C.d.A. almeno ogni sei mesi e, in ogni caso, in occasione dell’approvazione della relazione finanziaria annuale e semestrale. L’articolo prosegue precisando la composizione del comitato controllo

e rischi (141) e viene specificato nel commento che, nell’ottica di snellire le strutture di governance, tale comitato può non essere costituito, laddove questo sia coerente con la struttura dell’emittente (come specificato anche nel commento dell’articolo 4). Una posizione centrale viene riconosciuta all’interno del sistema dei controlli alla funzione aziendale dell’internal audit – o revisione interna – che compie un’attività di controllo di «terzo livello». Questa figura verifica tramite un piano di audit approvato dal consiglio di amministrazione che il sistema di controllo e gestione rischi sia idoneo ed operativo. È tenuta a disporre relazioni in merito con cadenza periodica e, contestualmente, a comunicarle a tutti i soggetti coinvolti nel sistema di controllo, creando così un costante flusso informativo. Il Codice delinea una serie di garanzie a tutela dell’indipendenza del responsabile dell’internal

audit, da intendersi soprattutto come un’autonomia di giudizio. È

previsto poi che il responsabile della funzione sia nominato dal consiglio di amministrazione su proposta dell’amministratore incaricato del sistema di controllo interno, previo parere favorevole del comitato controllo e rischi e sentito il collegio sindacale. Come già considerato per il consiglio di amministrazione anche per il collegio sindacale, che fa parte dei diversi attori del sistema di controllo, il Codice di autodisciplina integra e specifica quanto già previsto dal codice civile, attribuendo al Collegio lo specifico compito di vigilare sull’efficacia del sistema di controllo e gestione dei rischi ponendolo al vertice del sistema di vigilanza di un emittente, profilo che sarà esaminato più approfonditamente nel prosieguo.

Una tematica recentemente introdotta che viene poi esaminata nell’articolo 7 è quella dell’introduzione del concetto del c.d.

whistleblowing, (commento all'art. 7 del Codice): nel quadro dei sistemi

di controllo interno e di gestione dei rischi, il Comitato ha voluto

(141_{) Come detto in precedenza, il Comitato deve essere composto nella sua totalità di}

amministratori indipendenti o, alternativamente, da amministratori non esecutivi purché in maggioranza indipendenti e con Presidente indipendente. Nel caso in cui l’emittente sia soggetto a direzione e coordinamento altrui, il Comitato deve essere formato soltanto da amministratori indipendenti e, in ogni caso, almeno un componente deve aver maturato un’esperienza adeguata in materia contabile e finanziaria o di gestione dei rischi 7.P.4.

sottolineare l'importanza rivestita dalle funzioni legali e di compliance con particolare riferimento, rispettivamente, al presidio legale e di non conformità, ivi incluso anche il rischio della commissione di illeciti penali a danno o nell'interesse dell'azienda. Sempre in questa prospettiva, il Comitato raccomanda ora, almeno per le società emittenti appartenenti all'indice FTSE-MIB, che si dotino di un sistema interno di segnalazione da parte dei dipendenti di eventuali irregolarità o violazioni della normativa applicabile e delle procedure interne, in linea con le best practices esistenti in ambito nazionale e internazionale, che garantiscono un canale informativo specifico e riservato nonché l'anonimato del segnalante.

Nel documento Il Codice di autodisciplina delle società quotate come strumento di corporate governance (pagine 88-92)