I sistemi di controllo e l’internal auditing 1.6
1.6.1 Il sistema di controllo interno
Stante l’esigenza di integrazione, la prima cosa da comprendere è la definizione del sistema di controllo. Prima di arrivare alla definizione occorre peraltro avere chiaro come i sistemi di controllo si sono evoluti negli ultimi decenni. A tale proposito possiamo osservare che il controllo è legato all’attività di amministrazione (anzi ne è quasi il sinonimo) e si manifesta:
- nello svolgimento del processo di pianificazione, programmazione e controllo;
- nella definizione dei modelli di governo aziendale basati sulla logica della compliance (controllo di conformità) tesa ad abbattere i «rischi» intesi come eventi che possono
La gestione delle risorse umane
66
accadere e mettere a repentaglio l’attività aziendale nel perseguimento delle sue stra-tegie, nel rispetto delle norme, nella tutela dalle frodi aziendali ecc.
Questa seconda dimensione del controllo si è sviluppa negli ultimi anni.
Sulla base di tale evoluzione il sistema di controllo è definito come: un processo, svolto dagli organi di governo, dai dirigenti e da altri operatori della struttura aziendale, che si pre-figge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie:
- efficacia ed efficienza delle attività operative;
- attendibilità delle informazioni di bilancio;
- conformità alle leggi e ai regolamenti in vigore.
Tale sistema è integrato nei più generali assetti organizzativi e di governo dell’ente. Con-tribuisce a una conduzione dell’organizzazione coerente con gli obiettivi aziendali definiti dagli organi di governo, favorendo l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio aziendale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità delle informazioni fornite agli organi, il rispetto di leggi e regolamenti nonché dello statuto e delle procedure interne.
Il sistema di controllo si svolge su tre livelli:
- Primo livello di controlli: definisce e gestisce i controlli di linea, insiti nei processi opera-tivi, e i relativi rischi. È esercitato dai dirigenti e dal personale secondo le normali proce-dure interne. Implica il controllo contabile, degli atti dei dipendenti, ecc.
- Secondo livello di controlli: presidia il processo di gestione e controllo dei rischi legati all’operatività garantendone la coerenza rispetto agli obiettivi aziendali e rispondendo a criteri di segregazione che consentono un efficace monitoraggio. Questa seconda li-nea di controllo può essere attuata attraverso vari sistemi e soggetti. Ne sono esempi i preposti al controllo di sicurezza sul lavoro, il responsabile anticorruzione, il controllo legale, audit sistemi qualità (ISO 14001, 18001, 27001 ecc.), il controllo di gestione a livello aziendale, i sistemi di gestione della performance, il fraud audit ecc. A volte, a se-conda del livello di strutturazione delle attività il confine tra il primo e il secondo livello può essere abbastanza labile.
- Terzo livello di controlli: fornisce assurance, ovvero valutazioni «indipendenti» sul di-segno e sul funzionamento del complessivo sistema di controllo interno accompagnato da piani di miglioramento definiti dal management. Questa forma di controllo è tipica-mente svolta dall’attività di audit.
La gestione delle risorse umane
Figura 1.1 – I livelli di controllo.
Affinché tutte le attività di controllo siano tra loro integrate e ben funzionanti è quindi necessario che esse siano inserite all’interno del sistema sopra brevemente descritto e in organizzazioni nelle quali vi sia un adeguato «ambiente di controllo» inteso come corretta sensibilità e attenzione dei soggetti aziendali alle attività di controllo derivanti dai loro valori e integrità.
In questo contesto i principali strumenti di controllo di secondo livello in uso presso le amministrazioni pubbliche e gli enti sanitari sono dati da:
- La gestione delle performance. La gestione delle performance è stata introdotta nell’or-dinamento con il D.lgs. 150/09 (titolo II), perfezionando precedenti strumenti di direzio-ne per obiettivi già presenti direzio-nelle aziende sanitarie in particolare orientati all’attuaziodirezio-ne di sistemi retributivi collegati ai risultati (individuali o di gruppo). Gli obiettivi di perfor-mance dovrebbero essere collegati alle strategie aziendali e definiti con precisione nella loro ricaduta operativa. Sono inseriti all’interno di un «piano della performance»
che verrà rendicontato a fine periodo attraverso una «relazione sulla performance». È stato inoltre istituito un organo volto ad assicurare il corretto sviluppo del ciclo della performance nelle sue diverse parti (organismo indipendente di valutazione o nucleo di valutazione).
La gestione delle risorse umane
68
- Il controllo di gestione. Il controllo di gestione assume vari significati nelle diverse ti-pologie di organizzazioni. In generale è comunque orientato a rilevare i risultati delle attività svolte rispetto a quelle programmate, sia dal punto di vista economico che dal punto di vista della produzione svolta.
- I controlli di integrità relativi all’anticorruzione. L’attività di anticorruzione è stata intro-dotta dalla legge 190 ed è essenzialmente una forma di risk management orientata alle frodi e alla prevenzione dei fenomeni corruttivi. Come ogni attività di questo tipo si svi-luppa attraverso una analisi dei rischi in relazione ai processi organizzativi principali, che prevede specifiche azioni di contrasto. Oltre all’attività di risk management come sempre in questi casi si prevedono anche azioni value-oriented quali formazione, codici etici, whisterblower, ecc., volte a contrastare la corruzione e a creare un ambiente di controllo favorevole. Tutto ciò la norma prevede sia inserito all’interno di uno specifico piano anticorruzione svolto su direttive di un’apposita autorità (Autorità nazionale anti-corruzione - ANAC).
A questi controlli se ne aggiungono normalmente molti altri, quali per esempio i controlli finanziari, i controlli di qualità, il risk management, i controlli inerenti la sicurezza sul lavoro e altri controlli in relazione ai processi operativi tipici di ogni azienda sviluppati da specifiche funzioni aziendali e non dai manager operativi.
L’audit costituisce un’attività di controllo di terzo livello. È un’attività indipendente e obiet-tiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance.
Tale forma di controllo è ancora di fatto significativamente assente nelle amministrazioni pubbliche, ma sarebbe probabilmente sempre più utile considerando la complessità che stanno assumendo i sistemi di controllo interno.
Sintesi
Il controllo è dato dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei princi-pali rischi. Esso contribuisce a una conduzione dell’azienda coerente con gli obiettivi definiti dagli organi di governo, favorendo l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi azien-dali, l’affidabilità delle informazioni fornite agli organi e al mercato, il rispetto di leggi e rego-lamenti nonché dello statuto sociale e delle procedure interne.
L’attività di controllo si sviluppa su tre livelli. Il primo livello di controlli è quello effettuato dai manager di linea relativo ai processi operativi, e ai relativi rischi, sulla base delle speci-fiche procedure interne. Il secondo livello è sviluppato da specispeci-fiche funzioni aziendali e si sviluppa attraverso vari sistemi e soggetti; ne sono esempi i preposti al controllo di sicurezza sul lavoro, il responsabile anticorruzione, il controllo legale, audit sistemi qualità (ISO 14001, 18001, 27001 ecc.), il controllo di gestione a livello aziendale, i sistemi di gestione della performance, il fraud audit ecc. A volte, a seconda del livello di strutturazione delle attività, il confine tra il primo e il secondo livello può essere abbastanza labile. VI è infine un terzo livel-lo di controllivel-lo che assicura il corretto funzionamento complessivo e l’efficacia dei processi di controllo. Questa forma di controllo è tipicamente svolta dall’attività di audit.
Ripasso
Come si definisce il sistema di controllo interno?
Il controllo è dato dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi al fine di avere una conduzione dell’azienda coerente con le strategie aziendali.
In generale quali sono gli ambiti di controllo?
I tre ambiti di controllo riguardano:
- l’efficacia ed efficienza delle attività operative;
- l’attendibilità delle informazioni di bilancio;
- la conformità alle leggi e ai regolamenti in vigore.
Quali sono i livelli del controllo?
Ci sono tre livelli di controllo: il primo livello di controlli è quello effettuato dai manager di linea relativo ai processi operativi; il secondo livello è sviluppato da specifiche funzioni aziendali preposte alle diverse forme di controllo; il terzo livello assicura la funzionalità del sistema di controllo attraverso l’attività di audit.
La gestione delle risorse umane
72