SISTEMA DI CONTROLLO INTERNO Princip

8.P.1. Il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati.

8.P.2. Un efficace sistema di controllo interno contribuisce a garantire la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti.

8.P.3. Il consiglio di amministrazione valuta l’adeguatezza del sistema di controllo interno rispetto alle caratteristiche dell’impresa.

8.P.4. Il consiglio di amministrazione assicura che le proprie valutazioni e decisioni relative al sistema di controllo interno, alla approvazione dei bilanci e delle relazioni semestrali ed ai rapporti tra l’emittente ed il revisore esterno siano supportate da un’adeguata attività istruttoria. A tal fine il consiglio di amministrazione costituisce un comitato per il controllo interno, composto da amministratori non esecutivi, la maggioranza dei quali indipendenti. Se l’emittente è controllato da altra società quotata, il comitato per il controllo interno è composto esclusivamente da amministratori indipendenti. Almeno un componente del comitato possiede una adeguata esperienza in materia contabile e finanziaria, da valutarsi dal consiglio di amministrazione al momento della nomina.

Criteri applicativi

8.C.1. Il consiglio di amministrazione, con l’assistenza del comitato per il controllo interno: a) definisce le linee di indirizzo del sistema di controllo interno, in modo che i principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre criteri di compatibilità di tali rischi con una sana e corretta gestione dell’impresa;

b) individua un amministratore esecutivo (di norma, uno degli amministratori delegati) incaricato di sovrintendere alla funzionalità del sistema di controllo interno;

c) valuta, con cadenza almeno annuale, l’adeguatezza, l’efficacia e l’effettivo funzionamento del sistema di controllo interno;

d) scrive, nella relazione sul governo societario, gli elementi essenziali del sistema di controllo interno, esprimendo la propria valutazione sull’adeguatezza complessiva dello stesso.

Il consiglio di amministrazione, inoltre, su proposta dell’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno e sentito il parere del comitato per il controllo interno, nomina e revoca uno o più soggetti preposti al controllo interno e ne definisce la remunerazione coerentemente con le politiche aziendali.

8.C.2. Il consiglio di amministrazione esercita le proprie funzioni relative al sistema di controllo interno tenendo in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale. Una particolare attenzione è rivolta ai modelli di organizzazione e gestione adottati ai sensi del d.lgs. 8 giugno 2001 n. 231.

8.C.3. Il comitato per il controllo interno, oltre ad assistere il consiglio di amministrazione nell’espletamento dei compiti indicati nel criterio 8.C.1:

a) valuta, unitamente al dirigente preposto alla redazione dei documenti contabili societari ed ai revisori, il corretto utilizzo dei principi contabili e, nel caso di gruppi, la loro omogeneità ai fini della redazione del bilancio consolidato;

b) su richiesta dell’amministratore esecutivo all’uopo incaricato esprime pareri su specifici aspetti inerenti alla identificazione dei principali rischi aziendali nonché alla progettazione, realizzazione e gestione del sistema di controllo interno;

c) esamina il piano di lavoro preparato dai preposti al controllo interno nonché le relazioni periodiche da essi predisposte;

d) valuta le proposte formulate dalle società di revisione per ottenere l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti;

e) vigila sull’efficacia del processo di revisione contabile;

f) svolge gli ulteriori compiti che gli vengono attribuiti dal consiglio di amministrazione; g) riferisce al consiglio, almeno semestralmente, in occasione dell’approvazione del bilancio e della relazione semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno.

8.C.4. Ai lavori del comitato per il controllo interno partecipa il presidente del collegio sindacale o altro sindaco da lui designato.

8.C.5. L’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno:

a) cura l’identificazione dei principali rischi aziendali, tenendo conto delle caratteristiche delle attività svolte dall’emittente e dalle sue controllate, e li sottopone periodicamente all’esame del consiglio di amministrazione;

b) dà esecuzione alle linee di indirizzo definite dal consiglio di amministrazione, provvedendo alla progettazione, realizzazione e gestione del sistema di controllo interno, verificandone costantemente l’adeguatezza complessiva, l’efficacia e l’efficienza; si occupa inoltre dell’adattamento di tale sistema alla dinamica delle condizioni operative e del panorama legislativo e regolamentare;

c) propone al consiglio di amministrazione la nomina, la revoca e la remunerazione di uno o più preposti al controllo interno.

8.C.6. I preposti al controllo interno:

a) sono incaricati di verificare che il sistema di controllo interno sia sempre adeguato, pienamente operativo e funzionante;

b) non sono responsabili di alcuna area operativa e non dipendono gerarchicamente da alcun responsabile di aree operative, ivi inclusa l’area amministrazione e finanza;

c) hanno accesso diretto a tutte le informazioni utili per lo svolgimento del proprio incarico; d) dispongono di mezzi adeguati allo svolgimento della funzione loro assegnata;

e) riferiscono del loro operato al comitato per il controllo interno ed al collegio sindacale; può, inoltre, essere previsto che essi riferiscano anche all’amministratore esecutivo incaricato di sovrintendere alla funzionalità del sistema di controllo interno. In particolare, essi riferiscono circa le modalità con cui viene condotta la gestione dei rischi, nonché sul rispetto dei piani definiti per il loro contenimento ed esprimono la loro valutazione sull’idoneità del sistema di controllo interno a conseguire un accettabile profilo di rischio complessivo.

8.C.7. L’emittente istituisce una funzione di internal audit. Il preposto al controllo interno si identifica, di regola, con il responsabile di tale funzione aziendale.

8.C.8. La funzione di internal audit, nel suo complesso o per segmenti di operatività, può essere affidata a soggetti esterni all’emittente, purché dotati di adeguati requisiti di professionalità e indipendenza; a tali soggetti può anche essere attribuito il ruolo di preposto al controllo interno. L’adozione di tali scelte organizzative, adeguatamente motivata, è comunicata agli azionisti e al mercato nell’ambito della relazione sul governo societario.

Commento

Il Comitato sottolinea la centralità del consiglio di amministrazione in materia di controllo interno: ad esso spetta la responsabilità dell’adozione di un sistema adeguato alle caratteristiche dell’impresa.

Il Comitato raccomanda che il consiglio di amministrazione si organizzi in modo tale da poter affrontare questa tematica con la dovuta attenzione e il necessario livello di approfondimento. In tale ottica riveste un’importanza cruciale una buona organizzazione dei lavori, di modo che le questioni connesse al controllo interno, in generale, e al risk management, in particolare, siano discusse in consiglio con il supporto di un adeguato lavoro istruttorio.

L’attività istruttoria è svolta tipicamente dal comitato per il controllo interno, composto da amministratori non esecutivi, in maggioranza indipendenti (ovvero esclusivamente indipendenti, nel caso di emittente controllato da altra società quotata), cui sono attribuite funzioni consultive e propositive; il ruolo di tale comitato rimane distinto rispetto a quello attribuito dalla legge al collegio sindacale, che si caratterizza invece per una funzione di verifica prevalentemente ex post.

Il Comitato è consapevole che, al di là della diversa funzione ricoperta, il comitato per il controllo interno svolge attività il cui ambito oggettivo è in parte coincidente con le aree sottoposte alla vigilanza del collegio sindacale. Ritiene, peraltro, opportuno che il consiglio di amministrazione benefici di un adeguato supporto istruttorio in tali materie e che questo possa essere proficuamente svolto dal comitato per il controllo interno. In tale contesto, si raccomanda agli emittenti di coordinare l’attività del comitato in questione con quella del collegio sindacale. Nell’ambito di tale coordinamento, gli emittenti potranno prevedere che alcune funzioni previste dal presente articolo – in particolare quelle indicate alle lettere c), d) ed e) del criterio 8.C.3 – siano svolte dal collegio sindacale; ciò a condizione che questo avvenga secondo modalità equivalenti che consentano al consiglio di amministrazione di trovare nei lavori del collegio sindacale, ad esso resi tempestivamente disponibili, adeguata disamina delle materie oggetto delle proprie responsabilità.

Conformemente al principio introduttivo, le scelte organizzative effettuate a tale riguardo e le relative motivazioni sono comunicate agli azionisti e al mercato nella relazione sul governo societario.

Le prerogative del comitato per il controllo interno indicate nel Codice rappresentano un elenco aperto, che si può arricchire di ulteriori funzioni. Un ruolo importante può essere attribuito a tale comitato nella predisposizione dei presidi volti a garantire la trasparenza e correttezza delle operazioni con parti correlate e nella stessa approvazione di queste operazioni, come illustrato nell’articolo 9.

a cura di Colombo L., Cencioni A., in Amministrazione & Finanza 19/2005

I modelli di pianificazione e controllo di gestione da un lato e di controllo rischi dall’altro presentano significative similitudini in termini di «approccio metodologico». In entrambi i casi il processo si articola in tre momenti: top-down (definizione delle strategie, degli obiettivi e linee guida e loro deployment), bottom-up (definizione dei valori di dettaglio, aggregazione e validazioni intermedie), approvazione e diffusione (formalizzazione finale dei dati e sua diffusione a tutti i livelli aziendali responsabilizzati).

Nel processo top-down, la tolleranza al rischio deve essere definita a partire dalle preferenze degli azionisti e del CdA dell’azienda, tenendo anche conto della vision e della strategia di sviluppo futuro scelta dall’alta direzione. La pianificazione deve incorporare gli effetti della concentrazione e della diversificazione delle diverse business unit e anche gli impatti delle variazioni nel ciclo macroeconomico dell’economia reale. La definizione ex-ante delle aspettative di rendimento e delle tolleranze al rischio dell’azienda deve essere poi completata e tradotta in un sistema coerente di limiti e di valutazione della performance, compatibile con il profilo e la filosofia precedentemente definiti. L’approccio top-down suggerito deve comunque essere completato da un flusso di ritorno bottom-up, e come tutti i processi di gestione del profilo di rischio/rendimento, per risultare efficaci, devono essere necessariamente collegati alla struttura di valutazione, retribuzione e incentivazione del management e dei dipendenti dell’azienda e come il processo di integrazione risulti al momento sia prospettico che dinamico.

Lo sviluppo di un percorso comune ai due processi permette di individuare numerose opportunità di integrazione nei seguenti ambiti:

la definizione e deployment di strategie e obiettivi;

l’elaborazione congiunta di dati economici, operativi e di rischio (rettifica per l’impatto dei rischi rilevati);

lo sviluppo di strumenti a supporto dell’elaborazione dei dati;
la definizione delle responsabilità per la gestione dei dati;
lo sviluppo di strumenti a supporto dell’analisi dei risultati.

Il Modello di Controllo Integrato (ICM) nasce dall’integrazione dei due approcci metodologici ed in particolare con l’introduzione dell’elemento rischio all’interno del modello di pianificazione e controllo di gestione (Tavola 1).

Il nuovo modello integrato ha l’obiettivo di supportare il management nelle attività di pianificazione e controllo introducendo l’elemento rischio, e il relativo processo di gestione, come strumento di valutazione oggettiva e affidabile del livello di raggiungibilità dei risultati attesi dal processo di pianificazione. L’inserimento del fattore rischio all’interno del nuovo modello di controllo integrato richiede di:

rivedere i principi base del modello di controllo di gestione esistente, in quanto basato su grandezze economico-finanziarie normalmente «assolute», ovvero non necessariamente rettificate dell’impatto generato dai rischi, ponderato per la probabilità di accadimento stimata;

introdurre un nuovo elemento di analisi e monitoraggio periodico, quale, appunto, il rischio;

rivedere i processi, i ruoli, le responsabilità e gli strumenti di elaborazione e analisi, al fine di inglobare i rischi nel processo esistente di pianificazione e controllo;

definire nuove strutture/viste di reporting che pongano in relazione grandezze economico finanziarie con quelle di rischio;

allineare processi, procedure, strutture organizzative e sistemi informativi/strumenti al modello to be.

Realizzare un modello di controllo integrato

Il modello di controllo integrato ICM nasce dall’integrazione del modello di pianificazione e controllo, dei processi di gestione dei rischi e del contesto «azienda» (organizzazione, processi, strumenti e procedure - Tavola 2).

I tre elementi agiscono in modo sinergico per il recepimento degli obiettivi strategici e per il conseguimento dei rispettivi risultati. L’integrazione di questi tre elementi in un unico modello di riferimento consente di trasformare il processo di pianificazione e controllo in una

living strategy dove:

(i) il piano strategico è uno strumento «vivo»;

(ii) sono eseguite analisi per sviluppare «risposte alternative» a «scenari alternativi»; (iii) la strategia è collegata sistematicamente agli eventi di mercato/azioni operative; (iv) è migliorata la generazione di soluzioni per soddisfare le esigenze dei clienti; (v) prodotti/strategie sono sviluppati in modo iterativo;

(vi) i clienti, le conoscenze e la distribuzione sono gestite come risorse;

(vii) esiste un approccio strutturato di allineamento del «sistema azienda» inteso come: a. organizzazione: i ruoli e le responsabilità interne all’azienda sono fondamentali per

funzionamento e il governo efficace ed efficiente del modello di controllo integrato;

b. processi: la sequenza delle attività relative ai processi aziendali deve essere adeguata (es. maggior articolazione, dettaglio, punti di controllo, altro) per l’applicabilità del modello di controllo integrato;

c. strumenti: i sistemi informativi aziendali hanno un ruolo centrale per quanto riguarda la raccolta, la combinazione, l’elaborazione e la sintesi dei dati aziendali; d. procedure: l’attivazione dei processi, ruoli e responsabilità, funzionali al nuovo

modello, è possibile solo attraverso la formalizzazione e la condivisione di procedure che devono essere rese operative.

La fusione dei tre elementi e di conseguenza l’inserimento della dimensione rischio all’interno del modello di pianificazione e controllo tradizionale, non causa cambiamenti

logici dei singoli modelli ma ne arricchisce in modo significativo i contenuti e i rispettivi processi.

Gli elementi qualificanti del modello di controllo integrato risiedono soprattutto a livello di oggetti di controllo e di tipologie di analisi che sono completate con l’introduzione dell’elemento rischio sia come elemento di controllo sia come fattore di monitoraggio (cfr Tavola 3).

Il modello di pianificazione e controllo di gestione subisce quindi un cambiamento di contenuti, in termini di arricchimento, integrando nuove logiche di elaborazione. Il legame tra obiettivi strategici/piani di azione e dati dei Centri di Costo/Direzioni non è più un elemento di aleatorietà attribuito alla responsabilità dei singoli ma diventa palese (in coerenza ai livelli di accesso alle informazioni) e formalizzato. Ogni previsione è infatti associata e intrinsecamente legata ad un evento/rischio e come tale svuotata dal contenuto di aleatorietà. Il monitoraggio dei risultati del processo integrato di elaborazione delle previsioni (Tavola 4 e 5) richiede nuove viste di analisi in grado di supportare il management nel monitoraggio costante del livello di raggiungimento degli obiettivi strategici (analisi delle differenze tra pianificato ed effettivo), permettendo di verificare gli impatti economici/finanziari/operativi in base a variazioni delle probabilità di accadimento di eventi/rischi previsti.

La numerosità, diversità e complessità degli oggetti di controllo richiede, all’interno del processo di pianificazione e controllo integrato, l’assegnazione di nuove responsabilità per la gestione degli oggetti di controllo tradizionali e per la gestione dell’oggetto rischio.

Le responsabilità formalizzate a livello di modello ICM garantiscono la diffusione e il monitoraggio delle combinazioni eventi / rischi / risultati nell’ambito delle rispettive aree. Il modello, così disegnato dovrà quindi essere implementato attraverso un percorso che si caratterizza per la continua iterazione tra il processo di pianificazione e controllo e quello di gestione dei rischi. Tale percorso può essere in sintesi cosi descritto (cfr il flusso logico descritto in Tavola 6):

definizione e assegnazione degli obiettivi strategici di business, dei correlati rischi e delle relative responsabilità secondo un’ottica Top-Down;

creazione, modifica, aggiornamento del modello di controllo integrato ICM;

l’elaborazione dei dati (Bottom-Up) effettuata attraverso la continua interazione tra elementi economico/finanziari e rischi. Tale attività sono svolte e documentate a partire dalle unità elementari (Centro di Costo) e quindi aggregate ai livelli superiori;
monitoraggio degli eventi/rischi e dei relativi effetti sugli elementi economici e

operativi con l’obiettivo di definire azioni correttive e possibili revisioni della pianificazione.

Un esempio di concreta applicazione del modello ICM

Il caso qui illustrato presenta un esempio concettuale di pratica applicazione del modello di controllo integrato.

La società «Alfa» opera nel settore dell’impiantistica ed è composta da tre divisioni; per semplicità di esposizione il caso è riferito alla divisione «Alfa Uno».

L’unità di business «Alfa Uno» presenta un budget annuale redatto con una metodologia consolidata che non tiene formalmente evidenza degli elementi di rischio che impattano sui propri risultati (si veda la Tavola 7).

L’unità di business, su input della direzione avvia un’attività di risk assessment finalizzata alla predisposizione di un budget che rappresenti gli scenari di rischio della divisione.

L’effettuazione dell’attività risk assessment sulla divisione fa emergere la presenza di due rischi significativi relativi all’area degli approvvigionamenti:

rischio 1: dipendenza da un fornitore unico per l’approvvigionamento di un componente critico;

rischio 2: carenze nelle attività di negoziazione desumibili da variazioni significative e anomale del costo unitario di acquisto di alcuni materiali.

La significatività di tali rischi viene valutata in funzione del loro possibile impatto sulle performance aziendali (rappresentate dai valori di budget riportati nella Tavola 8) e della probabilità di accadimento.

In particolare l’attività di valutazione porta a stimare l’impatto potenziale delle due categorie di rischio come segue:

rischio 1 (in caso di impossibilità di approvvigionamento del fornitore unico):

o maggior costo dei materiali (es. +10% dovuto alla necessità di approvvigionarsi con urgenza presso fornitori non abituali) e maggiori costi di logistica (es. +20% legati alla necessità di approvvigionarsi, per esempio, in un’altra nazione);

o minori ricavi (es. -20% dovuto alla perdita di ricavi legati ad un improvviso stop di produzione causati dalla mancanza di materiale);

rischio 2: (in caso di incapacità a gestire imprevedibili incrementi dei costi di approvvigionamento):

o incrementi significativi del prezzo dei materiali (es. +20% medio nell’anno a causa di incapacità di negoziazione con i fornitori).

Gli impatti sul conto economico previsionale («al lordo» delle possibili azioni correttive) dei fenomeni sopradescritti possono essere rappresentati come segue (i rischi selezionati sono quelli che oltre a presentare impatti rilevanti, presentano alta probabilità di accadimento in quanto attualmente «non gestiti»).

Alla luce della significatività di tali fenomeni il management decide di valutare le possibili strategie di gestione dei rischi considerandone il possibile effetto costo / beneficio. In particolare il management identifica le seguenti azioni:

azione al rischio 1:

o sostegno al fornitore tramite dilazioni di pagamento e/o partecipazione al capitale di rischio;

o ricerca di fornitori alternativi e definizione di accordi contrattuali;
azioni al rischio 2:

o definizione di una procedura formale di negoziazione e monitoraggio fornitori;

o assunzione di buyer esperti.

Il management ritiene che tali azioni (e il sostenimento dei relativi costi) consentano di ridurre notevolmente i due rischi riconducendolo negli ambiti dell’accettabile variabilità del budget (i «rischi netti » vengono ridotti al 10% circa dei «rischi lordi»).

Pertanto il nuovo budget integrato con lo scenario di rischio potrà essere cosi rappresentato come mostrato in Tavola 10.

Il management è ora in grado di elaborare molteplici scenari di budget valutando gli impatti sulle grandezze evidenziate di:

o variazioni nella probabilità di accadimento dei rischi;

o differenti azioni di contrasto ai rischi.

Le informazioni qualitative relative alla casistica dei rischi identificati, alle modalità di determinazione degli effetti ed alle strategie di risposta implementate dal management dovranno ovviamente essere oggetto di specifica reportistica sui rischi.

L’applicazione del modello di controllo integrato ha pertanto consentito al management della divisione Alfa 1 di:

o collegare le variabili economico-finanziarie a quelle di rischio;

o dare evidenza dell’impatto «lordo» di tali rischi sulle performance aziendali;

o identificare costi/benefici delle possibili azioni correttive;

o definire nuovi scenari di budget che tengano conto dei rischi residui (ove presenti) e delle strategie di risposta che la società intende implementare;

o costruire un meccanismo formale di reportistica sui rischi integrati nell’ambito del processo di budget;

o responsabilizzare il management sulla gestione dei rischi.

In un’ottica consolidata le informazioni prodotte potranno quindi essere aggregate ed utilizzate per definire eventuali strategie di gestione dei rischi a livello centrale.

Completata la fase di pianificazione, sulla base delle responsabilità e degli strumenti definiti all’interno del modello ICM, il management della società Alfa non si limiterà al monitoraggio

Nel documento Risk management & assessment (pagine 174-192)