UNIVERSITA’ DI PISA
Dipartimento di Giurisprudenza
Corso di laurea in Giurisprudenza
Il comitato per il controllo interno e la gestione del rischio:
poteri, doveri e responsabilità.
Il Candidato
Il Relatore
Lorenzo Pierini
Prof. Francesco Barachini
3
Indice
Introduzione ... 5
IL SISTEMA DI CONTROLLO INTERNO E IL RUOLO DEGLI AMMINISTRATORI INDIPENDENTI ... 7
1. Definizione di controllo, tipologie e rapporti tra amministrazione e controllo ... 9
2. Cosa si intende per “sistema di controllo interno” e le funzioni dei suoi attori. Il rischio quale fil rouge del sistema ... 25
3. Gli amministratori indipendenti ai sensi dell’articolo 3 del Codice di Autodisciplina ... 51
IL COMITATO PER IL CONTROLLO INTERNO E LA GESTIONE DEL RISCHIO QUALE ELEMENTO PORTANTE DELLA C.D. “ARCHITETTURA DEI CONTROLLI” DISEGNATA DAL CODICE DI AUTODISCIPLINA DELLE SOCIETA’ QUOTATE ... 71
1. La centralità dell’autodisciplina nel sistema delle fonti in tema di corporate governance e la logica del comply or explain ... 73
2. Tratti distintivi dei comitati con funzioni istruttorie, consultive, propositive ... 79
3. Le funzioni del comitato per il controllo interno e la gestione del rischio (comprese quelle in tema di OPC) e i suoi rapporti con gli altri attori che compongono la c.d. “architettura dei controlli interni”. La concorrenza tra i poteri dei vari organi: tra effetti benefici e il rischio di un default a catena del sistema dei controlli ... 87
4. Un esempio di sistema di controllo interno e governo del rischio: il sistema Pirelli ... 107
5. La previsione di un Sistema di Segnalazione delle Violazioni (Whistleblowing) ai sensi dell'art. 2 l. n. 179/2017 ... 119
LE CONSEGUENZE SUL PIANO DELLA RESPONSABILITA’ DEGLI AMMINISTRATORI DELL’ATTRIBUZIONE DI FUNZIONI SPECIFICHE AI COMPONENTI DEL COMITATO PER IL CONTROLLO INTERNO E LA GESTIONE DEL RISCHIO ... 141
Le conseguenze sul piano delle responsabilità degli amministratori dell’attribuzione di funzioni specifiche ai componenti del comitato per il controllo interno e la gestione del rischio ... 143
Conclusioni ... 167
Bibliografia ... 171
5
Introduzione
Nell’ultimo decennio, anche alla luce dei devastanti effetti prodotti dalla crisi finanziaria, è emersa chiaramente la necessità di una revisione della disciplina dei controlli interni nelle società quotate, quale elemento essenziale per garantire un efficiente esercizio dell’attività d’impresa.
Il rafforzamento degli strumenti di corporate governance già approntati è stato realizzato mediante una complessiva rilettura delle previsioni del Codice di Autodisciplina delle società quotate di Borsa Italiana, testimoniando l’idea secondo la quale l’autonomia privata, seppur in funzione integrativa o migliorativa delle regole stabilite dal legislatore, può incidere, nell’ambito dei sistemi di amministrazione e controllo, in modo più efficace rispetto a norme di legge.
L’impianto autoregolamentare si muove sulla base di una logica nota come comply or
explain, alla luce della quale le società sono libere di aderire o meno alle previsioni di tali
codici, dovendo tuttavia spiegare, in caso di mancata compliance ad alcune o a tutte le raccomandazioni, le ragioni della disapplicazione.
Il lavoro si concentra sul ruolo del comitato per il controllo interno e la gestione del rischio all’interno della “architettura” dei controlli interni disegnata dalle raccomandazioni
6
dell’autodisciplina, analizzandone i poteri e i rapporti con gli altri “attori” del sistema suggerito dal Codice.
In particolare, nella trattazione, emerge come la ricostruzione dei compiti di controllo interno del comitato in termini meramente istruttori o consultivi risulti ormai riduttiva, alla luce della possibilità per il comitato di formulare pareri di norma obbligatori ma non vincolanti al consiglio di amministrazione: tale ricostruzione trova una conferma nella prassi, come testimoniato dall’analisi del sistema di controllo interno e governo del rischio del Gruppo Pirelli.
Si dedicheranno inoltre alcune considerazioni specifiche riguardo al sistema interno di segnalazione delle violazioni, il c.d. whistleblowing, e ai riflessi prodotti, sul piano delle responsabilità, dall’introduzione degli obblighi di cui alla l. n. 179/2017.
La terza parte del lavoro, infine, individua, in capo ai componenti del comitato e agli altri amministratori dell’organo gestorio, un differente corredo di doveri informativi e, di conseguenza, specifiche responsabilità gestorie alla luce dei parametri della natura dell'incarico e delle competenze di ciascun amministratore, tracciando un quadro del sistema procedimentalizzato di flussi informativi, la cui istituzionalizzazione risulta necessaria al fine di garantire un’adeguata informativa endoconsiliare, e dunque il rispetto dell’obbligo, in capo a tutti gli amministratori, di agire in modo informato.
7
PARTE PRIMA
IL SISTEMA DI CONTROLLO INTERNO E IL
RUOLO DEGLI AMMINISTRATORI
9
1. Definizione di controllo, tipologie e rapporti tra
amministrazione e controllo
Da ormai diversi anni è emersa con una certa evidenza l'importanza di un efficiente sistema di corporate governance e dei controlli endosocietari quali strumenti di miglioramento della performance delle imprese. Paradossalmente proprio la crisi economica, di fronte alla quale tutti i sistemi di corporate governance hanno mostrato una sostanziale debolezza nel prevenire le cause e contenere gli effetti, ha dimostrato che "se le conseguenze che ne sono derivate sono state più contenute in alcuni paesi rispetto ad altri", questo è stato dovuto più "a fattori esterni che hanno indotto ad una minore propensione al rischio e ad un atteggiamento più prudente che a regole di governance più efficienti"1. Una volta superata la fase dell’emergenza2, il dibattito dottrinale si è mosso
1 Così CALANDRA BUONAURA, Crisi finanziaria, governo delle banche e sistemi di
amministrazione e controllo, in A.A.V.V., Il diritto delle società oggi. Innovazioni e persistenze, Torino, UTET, 2011, 653.
2 Tra i fenomeni maggiormente patologici che si sono verificati REBOA, Il monitoring board e gli
10
in un’ottica di più ampio respiro, mirando a sopperire alle evidenti carenze manifestate dai precedenti sistemi di corporate governance, con un’attenzione particolare al tema dei controlli interni e del presidio dei rischi aziendali.
La disciplina di una funzione di controllo è infatti essenziale per un efficiente esercizio dell'attività d'impresa3: se infatti può essere tratto un insegnamento dai devastanti effetti prodotti dalla crisi finanziaria iniziata nel 2008 è che "non può essere coltivata l'illusione che l'efficienza e il buon funzionamento delle imprese possano essere garantite dall'efficienza e dal dinamismo dei mercati finanziari"4. Per quanto, dopo dieci anni di crisi finanziaria, tale riflessione possa apparire oggi scontata, dal punto di vista sociologico è altrettanto banale che, laddove un'organizzazione riesca a raggiungere in modo soddisfacente i suoi scopi, si ingeneri nella collettività una percezione circa l'inutilità dei controlli (specialmente quelli interni) su tale organizzazione5.
Per quanto appaiano come momenti contrapposti, amministrazione e controllo appartengono ad una dimensione unitaria quali elementi ineliminabili dell'esercizio di
finanziaria, il fallimento di istituzioni creditizie, il ritiro dal mercato si strumenti finanziari devastanti (i c.d. titoli tossici)”.
3 Secondo una constatazione che in realtà può essere estesa ad ogni attività umana, come sostenuto da
RORDORF, La società per azioni dopo la riforma: il sistema dei controlli, in Foro it., 2003, 5, 184, che afferma: "non v'è fenomeno di regolamentazione giuridica della realtà che non postuli la necessità di un certo grado di controllo sull'effettivo rispetto delle regole".
4 In particolare, LIBERTINI, La funzione di controllo nell'organizzazione della società per azioni con
particolare riguardo ai c.d. sistemi alternativi, in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 15. ricorda come questa idea, secondo cui vi sono
correlazioni tra efficienza e buon funzionamento dell'impresa ed efficienza e buon andamento dei
mercati finanziari fosse caldeggiata da molti nel ventennio precedente alla crisi finanziaria.
5 Come sostenuto, già in tempi non sospetti, da JENSEN, The Modern industrial revolution. Exit and
the failure of the internal control systems, in The Journal of Finance, 1999, 28, secondo cui "By nature, organizations abhor control systems, and ineffective governance is a major part of the problems with internal control mechanisms. They seldom respond in the absence of a crysis".
11
un'attività d'impresa6. Lo stesso termine "controllo" è etimologicamente legato all'amministrazione, in quanto individua un contro-ruolo, un'attività di accertamento che risponde a regole precise e preordinata al "riscontro di dati e di fatti legati ad attività amministrative"7.
Più precisamente l'attività di controllo si sostanzia sempre in un'attività di accertamento di uno stato fattuale "che si conclude con un giudizio di conformità o difformità della situazione accertata rispetto a quanto prescritto in disposizioni di natura normativa o autoregolamentare"8: l'atto di controllo dunque assume sempre natura dichiarativa di una situazione di fatto. Inoltre, un ulteriore elemento minimo comune a tutte le differenti tipologie di controllo, è costituito dalla necessaria dimensione intersoggettiva dell'attività di controllo, in quanto il soggetto controllante opera un'attività di accertamento e revisione sull'attività realizzata da un differente soggetto controllato.
Nel diritto dell'impresa il termine "controllo societario" assume due differenti accezioni: se da un lato tale espressione qualifica "l'attitudine a determinare le scelte e ad orientare l'attività di un altro soggetto"9, rimandando al fenomeno della direzione e coordinamento di società, dall’altro, essa individua un "contro-ruolo" rispetto all'attività
6 Come ricorda anche ANGELICI, In tema di rapporti fra "amministrazione" e "controllo", in (a cura
di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 148.
7 In questi termini STELLA RICHTER JR, Il controllo all'interno dell'organo amministrativo, in (a
cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 19, che ricorda come il termine "controllo" derivi dal francese "contro-role", a sua volta l'evoluzione linguistica del termine latino tardo-medievale contra-rotulum, che indicava appunto un registro di riscontro di dati e fatti legati ad attività amministrative.
8SFAMENI, Organizzazione dell'impresa, uffici di controllo e responsabilità. Appunti., in (a cura di
Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 68, che riprende tale nozione di controllo "in senso stretto" da SALVI. Premessa a uno studio dei controlli
giuridici, Milano, Giuffrè, 1957, 68ss.
12
dell'amministrazione, il "polo opposto nel paradigma generale che caratterizza la
corporate governance della società per azioni"10.
Secondo questa seconda accezione, dunque, l'attività di controllo si sostanzierebbe in una verifica circa la rispondenza di fattispecie concrete a modelli astratti "per verificarne l'esatta coincidenza a parametri di riferimento"11. Alcuni autori12 hanno individuato un ulteriore significato del termine "controllo" affine al "to control" inglese, quale attività di guida e di governo della compagine aziendale per il raggiungimento di obiettivi prestabiliti, secondo un'accezione che non si pone in antitesi con i significati precedentemente delineati ma che si integra ad essi, nella direzione di improntare la gestione aziendale a caratteri di maggiore economicità.
La materia dei controlli societari è divenuta, specialmente negli ultimi anni, uno dei punti di maggior interesse in tema di gestione dell'impresa: in particolare è emerso un vero e proprio corpus normativo autonomo, composto tanto da norme primarie e regolamentari (specialmente nei settori vigilati) quanto dalle previsioni dell'autodisciplina, che nel complesso regolano il c.d. "sistema dei controlli". Tra gli interventi che hanno portato alla costruzione di tale corpus normativo si possono ricordare la separazione tra controllo di legalità e controllo contabile nelle società quotate, realizzato con l. n. 216/1974; la previsione nel TUF di funzioni di vigilanza sui principi di corretta amministrazione e
10GASPARRI, I controlli interni nelle società quotate. Gli assetti della disciplina italiana e i problemi
aperti, Quaderni giuridici CONSOB, 2013, 11.
11 Così GASPARRI, op. cit., 11. Ma anche secondo STELLA RICHTER JR, Il comitato controllo e
rischi, già comitato per il controllo interno, in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 105, "la verificazione o il giudizio di conformità presuppone,
oltre all'esistenza di una funzione, l'esistenza di una regola (non necessariamente giuridica), o se si vuole di un parametro (attinente alle scienze aziendalistiche)".
12 Tra cui MONTALENTI, La gestione dell'impresa di fronte alla crisi tra diritto societario e diritto
concorsuale, in Riv. dir. soc., 2011, 4, 826, allineandosi ad una teoria risalente della dottrina
nordamericana, esposta in ANTHONY, Management and Control System. A scheme of analysis, Boston, 1965, che tratteggia una tripartizione del sistema di pianificazione e controllo in
13
sull'adeguatezza degli assetti organizzativi quali compiti del collegio sindacale nelle società quotate, e l'estensione di tali poteri anche al collegio sindacale delle società non quotate con la riforma di diritto societario del 2003; ancora la previsione, con l'art.19 d.lgs. n. 39/2010, del Comitato per il controllo interno e la revisione contabile (di cui in seguito si vedranno le funzioni in un'ottica di differenziazione dello stesso dal quasi omonimo Comitato per il controllo interno e la gestione del rischio). Non mancano inoltre interventi significativi attuati con fonti non legislative: si pensi in particolare alle disposizioni regolamentari approntate dalle Autorità competenti nei settori vigilati (bancario, dell'intermediazione finanziaria, assicurativo), ma anche al ruolo centrale svolto dal Codice di Autodisciplina, che all'art.7 prevede l'istituzione di un Comitato per il controllo interno e la gestione del rischio13.
Volendo a questo punto operare una ricognizione delle varie forme che i controlli societari possono assumere, è possibile delineare quattro differenti finalità che questi possono perseguire: l'attività di controllo può infatti rappresentare uno strumento di contrasto verso gestioni infedeli, verso gestioni dissipatorie, verso gestioni inefficienti e verso gestioni illegali14, in una prospettiva di tutela degli interessi di una platea sempre più ampia di soggetti.
La prima forma di controllo, quale strumento di contrasto rispetto a gestioni infedeli, si afferma a partire dal XIX secolo, con la nomina, da parte dei proprietari del capitale, di un revisore contabile di fiducia chiamato a vigilare, tramite la visione delle scritture contabili e l'acquisizione di informazioni, sull'adempimento dei compiti da parte degli amministratori, quali gestori dell'azienda per conto dei proprietari. Questa primitiva funzione di controllo, che si innesta sul rapporto di mandato, di derivazione romanistica,
13 Una rassegna degli interventi in materia di controllo interno è presente anche in MONTALENTI,
Corporate governance e "sistema dei controlli", in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 2, e in MONTALENTI, Il sistema dei
controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2175.
14 Queste le quattro finalità dei controlli societari secondo la ricostruzione operata da LIBERTINI, op.
14
tra proprietario-mandante e gestore-mandatario, si sostanzia nella semplice attribuzione, al revisore contabile, di un incarico di natura contrattuale, con la possibilità per quest’ultimo di esercitare, in caso di accertamenti di irregolarità nella gestione, i rimedi previsti in materia di inadempimento.
La seconda forma di controllo, quale strumento di contrasto rispetto a gestioni
dissipatorie, rappresenta una forma di tutela degli interessi non più dei
proprietari-mandanti ma dei creditori, dei soci di minoranza e di tutti gli altri portatori di interessi nei confronti della società, rispetto a quei comportamenti posti in essere dai proprietari stessi in danno dell'azienda, in ragione dello schermo fornito dalla personalità giuridica. A tal fine viene accordato, ai titolari degli interessi protetti, il potere di nominare dei professionisti di fiducia chiamati ad esercitare le forme di reazione messe a disposizione dall'ordinamento in caso di accertamento di illeciti. Ed è proprio con questo intento che venne introdotto, con il codice di commercio del 1882, il collegio sindacale, istituto che fin dalla sua origine si connota per una pesante ambiguità di fondo, ovvero il fatto che la nomina dei sindaci rientri nelle competenze dell'assemblea ordinaria "in cui i soci investitori di minoranza, che pur avrebbero dovuto trovare tutela mediante l'azione dei sindaci, non avevano voce in capitolo"15.
La terza forma di controllo, quale strumento di contrasto rispetto a gestioni inefficienti, si fonda su una constatazione empirica, ovvero che ogni organizzazione complessa necessita di una funzione interna chiamata a verificare in modo costante che la gestione sia improntata a canoni efficientistici. Per assicurare lo svolgimento di un controllo continuativo sull'efficienza della gestione aziendale, la funzione di controllo ha a disposizione poteri di natura differente (gerarchici, di vigilanza informativa, ispettiva e regolamentare, di partecipazione con l'organo gestorio), anche se l'efficienza di un'organizzazione complessa può essere assicurata solo "se, al suo interno, ci sono
15 LIBERTINI, op. cit., 16. Tuttavia occorre sottolineare come il rilievo dell'inadeguatezza
dell'attribuzione del potere di nomina dei sindaci all'assemblea, dominata dalla maggioranza dei proprietari dell'impresa (critica che ha visto unanimi generazioni di commentatori del diritto commerciale), sembra perdere consistenza via via che le funzioni di controllo vengono ad essere parcellizzate ed attribuite ad organi e ad uffici differenti.
15
individui e gruppi che traggono incentivi (non solo economici ma anche in termini di avanzamenti di carriera) al loro operare proprio dall'efficiente svolgimento di una funzione di controllo"16 (fermo restando che in ogni caso tale modello organizzativo è ancor più efficiente se i poteri di controllo descritti sono affidati a soggetti indipendenti). E in particolare occorre sottolineare che, laddove si vada a conformare un controllo aziendale in termini di controllo sull'efficienza della gestione, risulterà più labile il confine tra la funzione di controllo propriamente detta e quella funzione di indirizzo di un'attività di altri propria della nozione di controllo di cui all'art.2359 c.c. e della disciplina dei fenomeni di direzione e coordinamento, in quanto la critica a una gestione dal lato dell'efficienza comporta sempre, in modo più o meno esplicito, la proposta di forme alternative nella gestione dell'impresa, con un controllo interno che in tale forma "si allontana dal tradizionale modello, puramente censorio, proprio del collegio sindacale"17.
La quarta forma di controllo, quale strumento di contrasto rispetto a gestioni illegali, ovvero il controllo di legalità, interessa tutte le altre tre forme di controllo già individuate. Nell'ambito dell'esercizio di una funzione di controllo può infatti essere accertata la violazione tanto di regole legali, siano esse norme societarie in senso stretto o norme amministrative o penali in materia di esercizio dell'attività d'impresa (si pensi ad es. alle norme in materia di redazione del bilancio o a quelle in materia di sicurezza sui luoghi di lavoro), quanto di obblighi di carattere privatistico (si pensi ad es. all'obbligo di diligenza professionale nell'esercizio della carica da parte degli amministratori). In particolare, negli ultimi anni, si è affermata l'idea secondo la quale l'attività d'impresa, in modo particolare se svolta in determinati mercati, presenti "un elevato potenziale criminogeno, nonché un elevato potenziale di formazione di monopoli o di realizzazione di altri risultati
16 Così LIBERTINI, op. cit., 16, che riprende quanto sostenuto anche da FERRO-LUZZI, Riflessioni
in tema di controllo, in (a cura di Bianchi-Ghezzi-Notari), Diritto, mercato ed etica. Dopo la crisi. Omaggio a Piergaetano Marchetti, Milano, Egea, 317.
17LIBERTINI, op. cit., 19. Verranno analizzate più avanti in modo dettagliato alcune situazioni in cui
l'attività di controllo in senso stretto conosce dei momenti di continuità con attività di natura diversa, quali quella consultiva, di natura preventiva o successiva, e quella propositiva.
16
antisociali"18. Al fine di contrastare tali deviazioni, le sole norme penali appaiono come non sufficienti, per cui, accanto a una moltiplicazione delle autorità indipendenti di vigilanza e di regolamentazione dei mercati, si fa ricorso a strumenti di controllo aziendale interno, chiamati a svolgere quello che prende il nome di controllo di
compliance a tutela non solo degli interessi di tutti i soggetti coinvolti nell'attività
d'impresa ma dell'intera comunità.
Pur ribadendo come l'emersione di nuovi strumenti di controllo interni ed esterni abbia reso inevitabili le interferenze tra uffici ed organi19, se si volesse operare una sintetica rappresentazione dei soggetti chiamati ad assicurare queste quattro differenti forme di controllo, sarebbe possibile individuare:
- a) un controllo sui rischi di gestioni infedeli o dissipatorie affidato a dei revisori dei conti professionali (o a società di revisione) ed esterni;
- b) un controllo sull'efficienza della gestione affidato quasi esclusivamente ad organi (collegio sindacale nel sistema tradizionale, consiglio di sorveglianza nel sistema dualistico e comitato di controllo sulla gestione ex art.2409 octesdecies c.c. nel sistema monistico) e ad uffici interni (internal auditing);
- c) un controllo sulla legalità della gestione affidato in via prevalente all'attività ispettiva di organi pubblici esterni ma caratterizzato in questi anni dal rafforzamento dei controlli interni.
18LIBERTINI, op. cit., 19.
19 E in particolare ENRIQUES, Il sistema dei controlli interni delle società quotate: a piccoli passi
verso una semplificazione?, in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 159ss., evidenzia: "Il sistema dei controlli delle società quotate è
caratterizzato dalla presenza di una pluralità di organismi e funzioni che convivono in modo non sempre coerente e generano spesso appesantimenti procedurali", sottolineando in particolare come "il primo passo per razionalizzare è una più chiara ripartizione di compiti e responsabilità delle diverse funzioni e strutture deputate al controllo e un migliore coordinamento tra le stesse".
17
Al netto dell'analisi delle finalità alla base delle differenti forme di controllo precedentemente esaminate, la dottrina distingue tradizionalmente tre criteri di controllo, ovvero controllo di merito, controllo di correttezza gestionale e di adeguatezza degli assetti aziendali e controllo di legalità. Per controllo di merito si intende un controllo sull'opportunità delle scelte gestorie operate, spettante tanto ai soci nei confronti dell'organo amministrativo quanto al consiglio di amministrazione nei confronti dei delegati: "si tratta di un potere di indirizzo, di condizionamento e anche di contrapposizione antagonistica, con la revoca dell'amministratore o della delega, non già di sorveglianza e verifica in funzione di eventuali iniziative sul terreno della responsabilità"20, in quanto le operazioni di carattere squisitamente gestorio poste in essere dagli amministratori sono, tra l’altro, assistite dalla c.d. business judgement rule, non essendo sindacabili né dagli organi ed uffici di controllo né dal giudice, se non in caso di evidente irrazionalità o di manifesta assenza di procedimenti di valutazione dei profili economici, finanziari e tecnici dell'operazione.
Il controllo sul rispetto dei principi di corretta amministrazione è costituito dalla verifica dell'osservanza da parte della società delle "regole tecnico-aziendalistiche, istruttorie, procedurali, decisionali, che concretano la diligenza professionale del buon amministratore"21 e spetta, con riferimento ad aspetti differenziati, tanto al consiglio d'amministrazione quanto al collegio sindacale. Questa tipologia di controllo può essere anche letta in termini di controllo sull'adeguatezza degli assetti organizzativi, ovvero sull'idoneità del sistema di organi e funzioni interne chiamate al monitoraggio dei rischi (risk management) e alla verifica del rispetto delle norme primarie e secondarie (compliance).
Il controllo di legalità si esplica invece nell'accertamento in ordine alla sussistenza di atti o comportamenti illeciti realizzati nell'esercizio dell'attività d'impresa, non soltanto con
20 Così MONTALENTI, Corporate governance e "sistema dei controlli", in (a cura di Tombari),
Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 5, ma anche
in MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2176.
18
riguardo alle disposizioni di legge o regolamentari ma anche rispetto alle norme statutarie della società.
Quanto all'oggetto del controllo, occorre distinguere tra controllo sugli atti e controllo sull'attività: e se di fronte al rischio di gestioni infedeli o dissipatorie continua ad essere operato efficacemente il controllo sugli atti, "nella sua forma ex post della revisione dei conti"22, è comunque opportuno nelle altre ipotesi, ovvero di fronte al rischio di gestioni inefficienti o illegali, allargare lo spettro di indagine all'attività d'impresa nel suo complesso, fermo restando che, in ogni caso, il controllo sull'attività non esclude delle indagini specifiche su singoli atti esecutivi o su prassi significative anche ai fini del controllo sull'adeguatezza degli assetti organizzativi.
Un'ulteriore distinzione significativa è quella che intercorre tra controllo e vigilanza: se il primo, nelle sue differenti forme, fa sempre riferimento ad un'attività di accertamento diretto23, evocando un'attività di revisione, attuata mediante "strumenti di verifica più pervasivi"24, per vigilanza si intende tradizionalmente un'attività di sorveglianza generale e solitamente indiretta, "quale normale espletamento del dovere di corretta amministrazione"25. Il legislatore tuttavia non sempre ha colto tale diversità concettuale, adoperando talvolta in modo indiscriminato le espressioni "controllo" e "vigilanza": in particolare il collegio sindacale "vigila sull'osservanza della legge e dello statuto"26, mentre la vigilanza nelle società quotate del consiglio di amministrazione sul "rispetto effettivo delle procedure"27 rimanda più propriamente a una forma di accertamento diretto (e dunque di controllo in senso stretto).
A livello operativo è possibile inoltre distinguere tra attività di controllo e attività di vigilanza sulla base di alcuni elementi: la vigilanza infatti fa sempre ricorso, diversamente
22LIBERTINI, op. cit., 21. 23SFAMENI, op. cit., 69.
24MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2177. 25SFAMENI, op. cit., 69.
26 Sia ai sensi dell'art. 2403 c.c. sia ai sensi dell'art. 149, 1co. lett.a, TUF. 27 Previsto dall'art. 154 bis, 4co, TUF.
19
dall'attività di accertamento diretto propria del controllo, a flussi di informazioni, al fine di consentire una sorta di verifica di secondo grado, di accertamento indiretto, sull'operato dei soggetti vigilati e di permettere, al soggetto chiamato a tali compiti, di incidere direttamente sulle anomalie riscontrate andando a modificare quegli aspetti dell'attività del soggetto vigilato ritenuti non conformi. L'attività di controllo in senso stretto si esplica invece in poteri non di decisione ma di segnalazione, che possono tuttavia aprire la strada ad un procedimento deliberativo in seno al soggetto competente alla modifica organizzativa: al riguardo occorre segnalare infatti il "collegamento funzionale"28 del controllo in senso stretto con un'attività di carattere consultivo-propositivo, preventiva o successiva, di formulazione di pareri, di raccomandazioni o di proposte, che viene talvolta affidata all'organo di controllo29 ma che vede in particolare la presenza di specifici uffici di controllo previsti dai regolamenti di settore30, chiamati fisiologicamente ad esprimere pareri sull'adeguatezza delle procedure o proposte di modifica organizzativa al fine di garantire l'adeguatezza degli assetti societari rispetto ai rischi di non conformità (e un esempio è dato dalla valutazione preventiva in ordine ai rischi di conformità rispetto ai piani di sviluppo strategico che gli intermediari intendono attuare). ma anche raccomandazioni circa l'assunzione di determinate modifiche organizzative in ragione dell'attività di accertamento (diretto) preventivamente svolta.
Malgrado la linea di demarcazione tra le categorie concettuali di controllo e vigilanza sia assai sfumata, "la rilevanza della distinzione risiede in particolare nel concetto di
vigilanza, che non può essere interpretato in termini di attività di ispezione diretta o
28 In questi termini SFAMENI, op. cit., 70.
29 Da segnalare, a titolo esemplificativo, il parere necessario del collegio sindacale ai sensi dell'art.
2389 c.c. sulla deliberazione del consiglio di amministrazione in ordine alla remunerazione degli amministratori investiti di particolari cariche, o la proposta all'assemblea in ordine alla nomina del revisore di cui all'art. 13 d.lgs. n. 39/2010.
30 Si fa riferimento, in particolare, alle disposizioni in materia di funzione di conformità del
Regolamento congiunto Banca d'Italia-Consob noto come Regolamento in materia di organizzazione
e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio, adottato con provvedimento del 29 ottobre 2007.
20
diffusa"31 ma che deve essere inteso come riferito a un compito generale di sorveglianza sulle aree oggetto dei poteri-doveri dell'organo di controllo, secondo una qualificazione di una funzione in termini di controllo o di vigilanza che dunque assume un rilievo cruciale in termini di ricostruzione di un diverso titolo di responsabilità.
Da tali considerazioni emerge con evidenza come non sia possibile disegnare i rapporti che intercorrono tra amministrazione e controllo in termini di netta contrapposizione, in un sistema, come quello vigente, in cui le due funzioni "confluiscono al vertice in una dimensione unitaria, quella che li rende entrambi momenti dell'attività imprenditoriale"32. Amministrazione e controllo devono infatti ad oggi essere intesi come "due versanti di un unico sistema, nell'ambito del quale gli assetti organizzativi, e dunque anche i sistemi di controllo, fanno parte integrante e qualificante della gestione"33: e in tale sistema integrato, il controllo, rimanendo in ogni caso distinto dall'attività gestoria in senso stretto, deve comunque considerarsi "come parte dell'amministrazione nell'accezione più ampia di governo dell'impresa"34. Nell'ambito del sistema descritto quindi, pur essendo comunque possibile configurare in astratto un esercizio di un'attività di amministrazione anche in assenza di forme di vigilanza su di essa, non si potrà parlare di "corretta" amministrazione senza la predisposizione da parte degli organi gestori di un adeguato
31MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2177. 32ANGELICI, op. cit., 154
33 In questi termini ABRIANI, L'organo di controllo (Collegio sindacale, consiglio di sorveglianza,
comitato per il controllo sulla gestione), in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 113, ma anche FERRO-LUZZI, op. cit., 322, che ribadisce come "nella riforma la dicotomia amministrazione-controllo sembra essere assunta come paradigma generale comune a tutti i modelli".
34 FORTUNATO, Commento all'art. 2409-septies, in (a cura di Niccolini-Stagno-D'Alcontres),
21
sistema dei controlli35, in quanto una gestione dalla quale sia assente una funzione di controllo non sarebbe né sana né prudente36.
Dalla ricostruzione operata appare chiaro l'intento del legislatore, che ha delineato il paradigma dell'adeguatezza degli assetti organizzativi come "un canone necessario di organizzazione interna dell'impresa, sul piano gestionale, amministrativo e contabile"37, conformando tale attività organizzativa come l' "a priori della corretta
amministrazione"38, nel senso che solo dopo l'assolvimento di questo dovere organizzativo, in cui è possibile far rientrare anche la necessaria predisposizione di
35 E in particolare STELLA RICHTER JR, Il controllo all'interno dell'organo amministrativo, in (a
cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 21, ma anche in STELLA RICHTER JR, Il comitato controllo e rischi, già comitato per il
controllo interno, in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino,
Giappichelli, 2015, 106, ritiene che si possa identificare "una triplice incidenza dell'azione dell'organo
amministrativo sulla materia del controllo", distinguendo tra: a) "casi in cui l'organo amministrativo
svolge attività di verificazione della regolarità o della conformità di una funzione" (ovvero casi in cui il controllo è l'oggetto della attività dell'organo amministrativo); b) "casi in cui l'organo amministrativo pone le regole e i parametri atti alla verificazione di regolarità o di conformità, ovvero crea la funzione, ma non cura di verificarne il rispetto della regolarità, che viene affidato ad altro ufficio" (ovvero casi in cui il controllo è l'oggetto di una attività di organizzazione); e c) "casi in cui l'organo amministrativo fa entrambe le cose".
36 Come rimarcato, tra gli altri, anche da PRESTI, Collegio sindacale e sistema dei controlli nel diritto
societario comune e speciale, Milano, Giuffrè, 2002, 6ss.
37MONTALENTI, Corporate governance e "sistema dei controlli", in (a cura di Tombari), Corporate
governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 3, ma anche SFAMENI,
op. cit., 73 ricorda che "l'istituzione di uffici di controllo è adempimento rigorosamente conseguente all'attività di organizzazione intesa come divisione del lavoro", sottolineando come "affinchè l'attività
di governo e vigilanza si possa fondare su informazioni provenienti da uffici d'impresa, queste devono essere attendibili. Di qui l'istituzione di uffici di controllo autonomi e dedicati, il cui livello di sofisticazione cresce con il livello di sofisticazione dell'attività d'impresa" (e, in particolare, questa affermazione sarà corroborata più avanti nella trattazione, quando si analizzeranno i tratti del Sistema di Controllo Interno e Gestione del Rischio del Gruppo Pirelli).
22
adeguati canali informativi39, l'amministrazione potrà essere considerata come "corretta" e dunque potrà essere eccepita la business judgement rule40. E una conferma rispetto alla
configurazione del sistema descritto si ha all'art. 2407, 2co, c.c., che, laddove afferma che i sindaci "sono responsabili solidalmente con gli amministratori per i fatti o le omissioni di questi quando il danno non si sarebbe prodotto se essi avrebbero vigilato in conformità degli obblighi della loro carica"41, de facto delineando una responsabilità dei sindaci solo
per difetto di vigilanza42, fa emergere in maniera implicita l'assoluta estraneità della gestione rispetto alle funzioni dell'organo di controllo (del resto la previsione di cui all'art.2407, 2co, c.c. può anche essere letta a corollario di quanto espresso a chiare lettere dall'art.2380 bis c.c., laddove afferma che "la gestione dell'impresa spetta esclusivamente agli amministratori, i quali compiono le operazioni necessarie per l'attuazione dell'oggetto sociale"43.
39 ABRIANI, op. cit., 114, sottolinea come sia possibile ritenere sussistente una "corretta"
amministrazione solo in presenza di due elementi, ovvero a) una adeguata attività di organizzazione degli assetti aziendali, amministrativi e contabili da parte dell'organo gestorio, e b) la predisposizione di adeguati canali informativi. Tale duplicazione appare superflua, in quanto l'approntamento di procedure e di flussi informativi adeguati può essere anch'esso ricompreso all'interno dell'attività di organizzazione degli assetti aziendali.
40 Alla luce della regola della business judgement rule non sono sindacabili ex post sul piano della
responsabilità quelle scelte gestorie degli amministratori che, pur avendo provocato un decremento patrimoniale alla società, siano state assunte in conformità ai canoni di corretta amministrazione, tenendo conto degli elementi valutabili al momento del contestato inadempimento.
41 Art. 2407, 2co, c.c. Responsabilità.
42 In ogni caso, come correttamente evidenziato da SCHIUMA, Le competenze dell'organo di
controllo sull'assetto organizzativo della spa nei diversi sistemi di governance, in Riv. dir. civ., 2011,
57ss., la natura solidale della responsabilità dei sindaci con quella degli amministratori non deve far dimenticare che questi rispondono per titoli di responsabilità differenti, titoli che, come sottolinea
ABRIANI, op. cit., 116, si ricavano appunto "dalla specifica relazione instaurata dall'ordinamento tra le funzioni assegnate all'organo di controllo e il corrispondente regime della responsabilità dei sindaci".
43 Ai sensi dell’art. 2380 bis. c.c. Amministrazione della società. Al più il collegio sindacale potrà
23
In ogni caso, nonostante l'assoluta estraneità dei sindaci rispetto al momento di assunzione delle scelte gestorie, la conformazione in capo ad essi di un dovere di vigilanza sulla conformità degli atti amministrativi e dell'attività rispetto ai principi di corretta amministrazione, "implica necessariamente un esame dei processi decisionali sottesi alle opzioni gestorie degli amministratori"44, che, malgrado rientrino nella loro piena discrezionalità (sono infatti assistite, sul piano della responsabilità, dall'operatività della
business judgement rule), possono comunque essere influenzate dai rilievi formulati
dall'organo di controllo nell'ambito della normale dialettica tra organi aziendali.
Ed è proprio in tale dialettica interorganica che si trova il nucleo del sistema di controllo: un sistema che non si limita ad acclarare l'esistenza di situazioni di difformità, operando solamente ex post, ma la cui funzione è piuttosto quella di prevenire situazioni di rischio per la società, con un'efficacia che "si misura nella capacità dei sindaci di venire a conoscenza dell'evoluzione della gestione e soprattutto di dissuadere un'attività amministrativa giudicata non rispondente ai principi di corretta gestione societaria e imprenditoriale"45, delineando una "spinta gentile"46 affinchè la gestione non si discosti dagli spartiti della corretta amministrazione.
funzione conoscitiva e collaborativa, come rilevato ancor prima della riforma di diritto societario da P. FERRO-LUZZI, La funzione dei sindaci nel codice civile, nella legge bancaria e nel t.u. delle leggi
sulle casse di risparmio e sui monti di pietà di prima categoria, in Banca, borsa e tit. cred., 1985, 1,
46ss., che, in relazione al comportamento dei sindaci, lo descriveva in termini di "conoscere per rilevare", ritenendo in ogni caso preclusa un'influenza sull'assunzione o sulla modifica della decisione da parte degli amministratori.
44ABRIANI, op. cit., 117. 45ABRIANI, op. cit., 117.
46 Il riferimento è alla dottrina di politica economica, poi fatta propria dalla Presidenza Obama
(2008-2012; 2012-2016), espressa in forma compiuta in THALER-SUNSTEIN, Nudge. La spinta gentile, Milano, Feltrinelli, 2009.
25
2. Cosa si intende per “sistema di controllo
interno” e le funzioni dei suoi attori. Il rischio
quale fil rouge del sistema
Il legislatore, nell'ambito della riforma del diritto societario del 2003, ha cristallizzato il principio dell'adeguatezza degli assetti organizzativi interni elevandolo "ad autentico architrave della governance della società per azioni"47: dal combinato disposto degli artt. 2381 (che impone agli organi delegati di approntare assetti organizzativi, amministrativi e contabili adeguati alla natura e alle dimensioni della società, informando il consiglio di amministrazione, al quale spetta una valutazione sull'adeguatezza sulla base delle stesse informazioni ricevute) e 2403 c.c. (che individua un dovere dei sindaci di vigilanza sul rispetto dei principi di corretta amministrazione e sull'adeguatezza degli assetti societari e sul loro concreto funzionamento) emerge chiaramente che il paradigma dell'adeguatezza
47ABRIANI, L'organo di controllo (Collegio sindacale, consiglio di sorveglianza, comitato per il
controllo sulla gestione), in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 96.
26
degli assetti non può che variare in ragione "della tipologia dell'attività esercitata, della dimensione dell'impresa e dell'articolazione della struttura finanziaria della società"48. Sulla base della medesima ratio si devono registrare una serie di interventi, sia con norme di rango primario sia con disposizioni di natura regolamentare, volti ad assicurare un rafforzamento dei presidi organizzativi e procedimentali nella disciplina delle imprese che operano nei settori vigilati (bancario, dell'intermediazione finanziaria, assicurativo). Il paradigma dell'adeguatezza degli assetti aziendali si traduce in un obbligo di predisposizione di un sistema di controllo interno adeguato rispetto alle dimensioni dell'impresa. La tematica dei sistemi di controllo interno è stata approfondita al fine di individuare delle soluzioni operative in grado di assicurare una gestione rispettosa delle previsioni legali e regolamentari e aderente a canoni efficientistici: se già negli anni '40 del Novecento i controlli interni erano stati oggetto di alcuni studi da parte della dottrina nordamericana, solo negli anni '80, di fronte all'incremento nel panorama statunitense "di procedure fallimentari a elevato impatto economico, spesso associate a componenti di grave illegalità"49 si sentì l'esigenza di una ridefinizione della relativa disciplina.
La National Commission on Fraudolent Financial Reporting (costituita da cinque importanti associazioni professionali statunitensi50), nota come Treadway Commission (dal nome del suo chairman), propose una qualificazione del fenomeno dei controlli interni quale "insieme di una serie di autonome attività ispettive condotte, a scadenze regolari, da appartenenti all'amministrazione societaria, investiti di un incarico ad hoc su presupposti di integrità e indipendenza"51: in particolare il Treadway Report indirizzò ai
48ABRIANI, op. cit., 97.
49GASPARRI, I controlli interni nelle società quotate. Gli assetti della disciplina italiana e i problemi
aperti, Quaderni giuridici CONSOB, 2013, 15.
50 Si tratta dell'American Institute of Certified Public Accountants (AICPA), dell'American Accounting
Association (AAA), dell'Institute of Internal Auditors (IIA), del Financial Executives Institute (FEI) e
dell'Institute of Management Accountants.
51 Come ricorda TONELLO, Corporate governance e tutela del risparmio, in A.A.V.V., Trattato di
27
soggetti chiamati a curare l'informativa economico-finanziaria delle società quotate una serie di raccomandazioni che si soffermavano sulla necessità di individuare un soggetto deputato alla revisione interna dei documenti e sull'effettiva operatività e competenza di comitati interni, ma che rimarcavano anche il compito del management di predisporre un adeguato sistema di controllo interno.
Le stesse associazioni che avevano partecipato alla Treadway Commission diedero vita ad un ulteriore gruppo di lavoro, il Committee of Sponsoring Organizations of the
Treadway Commission (meglio noto come CoSO), con l'intento di sviluppare un modello
di riferimento per la definizione dei sistemi di controllo interno: al termine dei lavori, nel 1992, venne pubblicato, in quattro volumi, il rapporto Internal Control: Integrated
Framework (meglio noto come CoSO Report), in cui furono individuati i tratti essenziali
del fenomeno.
In base alla definizione del CoSO Report il controllo interno è un processo, svolto dal consiglio di amministrazione, dai dirigenti e dagli altri soggetti che operano nell'azienda, che ha lo scopo di garantire la realizzazione dei tre obiettivi:
- a) dell'efficacia ed efficienza delle attività operative;
- b) dell'attendibilità delle informazioni di bilancio;
- c) della conformità alle leggi e ai regolamenti in vigore52.
28
In pochi anni il CoSO Report è divenuto il modello di riferimento più noto in tema di controlli interni ed è stato adoperato quale base di partenza non solo per lo sviluppo di codici di autodisciplina53 ma anche per la stessa legislazione54.
Una complessiva rilettura della disciplina si è avuta grazie ad un nuovo studio del CoSO, che ha incorporato la definizione di controllo interno nel più ampio fenomeno della gestione dei rischi d'impresa: nel rapporto del 2004 Enterprise Risk Management.
Integrated Framework (meglio noto come CoSO Report II), si è descritto il sistema di
controllo interno dei rischi aziendali come processo, attuato dal consiglio di amministrazione e dagli altri soggetti aziendali, caratterizzato da un approccio risk-based per la valutazione e la configurazione di un'adeguata struttura dei controlli interni, secondo una nuova definizione a cui ben presto si è adeguato anche il Codice di Autodisciplina55. E in particolare il Comitato per la Corporate Governance di Borsa
Italiana ha dedicato una riflessione specifica al tema dei controlli societari nell'ottica di
favorire il recepimento, da parte degli emittenti, di principi innovativi idonei a migliorare
53 In particolare il CoSO Report è stato ripreso nell'elaborazione, da parte del comitato "Corporate
Governance per l'Italia" di Borsa Italiana, del volume "Il Sistema di controllo interno. Un modello di
riferimento integrato per il governo d'azienda", pubblicato nel 2001. Da segnalare come anche la
definizione di controllo interno della prima edizione (luglio 2002) del Codice di Autodisciplina delle società quotate sia sostanzialmente allineata a quella del CoSO Report. La nozione all'art.9.1. affermava infatti che "il sistema di controllo interno è l'insieme dei processi diretti a monitorare l'efficienza delle operazioni aziendali, l'affidabilità dell'informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali".
54 Come dimostra l’approvazione, negli Stati Uniti, del Sarbanes-Oxley Act (2002), che ha modificato
sensibilmente le competenze e le responsabilità degli attori del sistema dei controlli interni rispetto all’impianto delineato dal CoSO Report.
55 Già nel 2006. Ad oggi l'art.7P1. afferma: "Ogni emittente si dota di un sistema di controllo interno
e di gestione dei rischi costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale".
29
il livello di governance nel panorama societario nazionale e di individuare, in sede di commento, "soluzioni anticipatorie di interventi legislativi"56.
La definizione all'art.7P1. di sistema di controllo interno quale "l'insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell'impresa sana, corretta e coerente con gli obiettivi prefissati"57, permette di cogliere quale sia la ratio della predisposizione del sistema: infatti "vengono inseriti nell'organizzazione societaria uffici, funzioni, principi di comportamento e regole di controllo; tutti procedimenti per garantire un corretto esercizio dell'impresa societaria"58. L'efficacia del modello descritto dipende dall'integrazione del sistema negli assetti organizzativi della società, dal suo "innervarsi lungo l'intera articolazione organizzativa e le stesse dinamiche operative della società"59, con la necessaria previsione dunque di forme di coordinamento tra gli attori del sistema al fine di "evitare
56 Come sottolineato da DI NOIA-PUCCI, Il nuovo codice di autodisciplina delle società quotate:
motivazioni e principali novità, in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 154. A titolo esemplificativo delle soluzioni anticipatorie di
interventi legislativi si può ricordare la prefigurazione, nell'edizione del luglio 2015 del Codice di Autodisciplina, in sede di commento all'art.7, della best practice circa l'approntamento "di un sistema interno di segnalazione da parte dei dipendenti di eventuali irregolarità o violazioni della normativa applicabile e delle procedure interne (c.d. sistemi di whistleblowing), che garantisca un canale informativo specifico e riservato nonché l’anonimato del segnalante", poi fatto oggetto della l. n. 179/2017.
57BORSA ITALIANA-COMITATO PER LA CORPORATE GOVERNANCE (a cura di) - Codice
di Autodisciplina delle società quotate, luglio 2018. Art.7P1. Sistema di controllo interno e di gestione
dei rischi, 31.
58FERRO-LUZZI, L'articolo 136, comma 2-bis del Testo unico bancario, in (a cura di
Abbadessa-Cesarini), La legge per la tutela del risparmio. Un confronto tra giuristi ed economisti, Bologna, Il Mulino, 2007, 113ss.
30
sovrapposizione di ruoli e inefficienza, vuoti organizzativi e conflittualità tali da minare la cultura del controllo che dovrebbe invece animare il sistema di controllo interno"60. Il sistema di controllo interno si compone di un insieme di elementi di natura eterogenea e tra loro coordinati: in particolare è possibile individuare all'interno del sistema una "parte normativa", composta dalle procedure e dai flussi informativi che intercorrono tra gli attori del sistema, e una "parte strutturale", riferita agli uffici e alle funzioni aziendali coinvolte, chiamate ad assicurare un costante monitoraggio delle diverse tipologie di rischio che possono minare un efficiente esercizio dell'attività. Ne emerge un sistema che
è allo stesso tempo momento e strumento di gestione: "momento, perchè è parte precipua
dei doveri degli amministratori di predisporre l'organizzazione e che la stessa sia adeguata; strumento, perchè è il modo per avere completa visibilità prima e intervenire poi sull'organizzazione medesima"61.
L'approntamento di tale complesso di procedure e strutture aziendali risulta funzionale a garantire la conformità delle operazioni aziendali ai piani industriali e al core business della società (ovvero all'oggetto e agli scopi sociali) e consente l'assunzione di decisioni consapevoli da parte del management. In particolare, come espressamente delineato all'art.7P2 del Codice di Autodisciplina, il sistema "concorre ad assicurare"62 deliberazioni improntate al rispetto di quattro profili.
- a) Il sistema di controllo interno deve innanzitutto garantire la salvaguardia degli assets
aziendali63, per cui questo deve essere congegnato non solo al fine di proteggere l'impresa da fenomeni di danneggiamento, a prescindere dal fatto che questi siano o meno di natura dolosa o siano dovuti a circostanze interne o esterne alle dinamiche aziendali, ma anche
60 In questi termini LAGHI, La relazione logica e funzionale tra i due tipi di controllo, in (a cura di
Bianchini-Di Noia), I controlli societari. Molte regole, nessun sistema, Milano, Egea, 2010, 156.
61CHIAPPETTA, Il controllo interno tra compliance normativa e attività gestionale, in (a cura di
Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 54.
62 Questa è l'espressione adoperata all'art.7P2. del Codice di Autodisciplina.
63 Il riferimento al concetto di patrimonio sociale deve essere infatti inteso come riferito a tutti gli
31
per evitare che questa subisca delle perdite eccessivamente gravose da situazioni di perdita di dati informatici, di attrezzature o di capitale umano indispensabile64 per l’esercizio dell’attività.
- b) Gli attori e le procedure che compongono il complesso dei controlli contribuiscono anche all'assunzione di decisioni improntate all'efficienza e all'efficacia dei processi
aziendali: i diversi attori del sistema, nell'ambito dei loro compiti specifici, partecipano a
un più generale processo di analisi di dati, che poi vengono messi a disposizione degli amministratori, al fine di consentire interventi mirati che assicurino l'assunzione di scelte gestorie effettivamente in grado di migliorare la produttività aziendale65.
- c) Tale struttura risulta inoltre funzionale a garantire anche l'affidabilità delle
informazioni finanziarie fornite agli organi sociali e al mercato, in quanto la presenza di
soggetti diversi, nel reticolo dei controlli interni, impegnati a verificare la correttezza e l'attendibilità dei dati e a vario titolo potenzialmente responsabili in caso di inadempimento dei loro compiti, sembrerebbe, almeno in astratto, potenzialmente idonea a ridurre il rischio di infedeltà dell'informativa.
- d) Infine gli attori del sistema dei controlli interni contribuiscono ad assicurare una
gestione sociale improntata al rispetto delle leggi e dei regolamenti vigenti e conforme all'oggetto e agli scopi sociali, nell’ambito del c.d. controllo di compliance, funzionale a
ridurre "il livello di esposizione e di vulnerabilità dell'impresa rispetto a eventuali reazioni sanzionatorie"66.
La complessità della grande impresa contemporanea, in cui il potere gestorio, per quanto organizzato, è diffuso e articolato, e in cui "la direzione suprema degli affari si estrinseca, da un lato, in linee direttrici generali, dall'altro nella verifica dell'efficienza e dell'efficacia
64 In termini di know-how.
65 Ad esempio, come si vedrà analizzando i tratti del sistema di controllo interno e gestione del rischio
del Gruppo Pirelli, alla luce dei dati raccolti è possibile individuare i fornitori dai quali acquistare a prezzi più convenienti le materie prime necessarie alla produzione.
66ANACLERIO-MIGLIETTA-SALVI-SERVATO, Internal auditing. Una professione in continua
32
dell'azione di altri soggetti"67 postula una sostanziale bipartizione tra controlli diretti e controlli indiretti. Questa "architettura dei controlli"68 affonda le sue radici nei controlli di linea (detti anche "di primo livello"), ovvero nei controlli diretti, svolti dalle stesse strutture produttive, tesi ad assicurare che le operazioni aziendali siano svolte "correttamente". Nelle procedure di controllo, tuttavia, "molte istanze procedono non già ad atti di ispezione e di controllo diretto bensì ad atti di accertamento presso le istanze inferiori"69, ovvero pongono in essere controlli indiretti, basati sui flussi informativi che vengono indirizzati alle funzioni aziendali competenti da parte delle strutture chiamate allo svolgimento dei controlli diretti: le informazioni vengono analizzate e filtrate al fine di individuare delle forme di intervento mirate sugli aspetti di non conformità, mediante un'attività di monitoraggio e gestione del rischio aziendale. L' "architettura dei controlli", tra l’altro, non si esaurisce con i controlli di secondo livello ma è completata dal controllo di assurance (o di terzo livello) svolto dalla funzione di internal audit: questo soggetto consente, nell'ambito del processo di gestione dei rischi, "di assistere il management ai massimi livelli aziendali, tramite la formulazione di analisi, valutazioni, rapporti e raccomandazioni di miglioramento"70, rappresentando dunque un mediatore di processi, un connettore di conoscenza71.
Si è allora in presenza di un sistema in cui l'amministratore delegato è destinatario di informative dal preposto al sistema di controllo interno, il quale a sua volta le riceve dai suoi sottoposti operanti direttamente presso le strutture produttive, mentre il consiglio di amministrazione, al fine di valutare l'adeguatezza del sistema di controllo interno e gestione del rischio, è destinatario delle attestazioni di adeguatezza degli assetti realizzate
67MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2176. 68 Tale fortunata espressione si deve a Montalenti ed è presente in tutti gli scritti dell'autore in materia
di controlli societari.
69MONTALENTI, Corporate governance e "sistema dei controlli", in (a cura di Tombari), Corporate
governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 8.
70DITTMEIER, Internal Auditing, chiave per la corporate governance, Milano, Egea, 2010, 131. 71 In questi termini MAZZONI, Le politiche di comunicazione delle grandi imprese operanti su
33
dagli organi delegati già verificate dal preposto al controllo interno e dal collegio sindacale. Si delinea dunque un sistema "a piramide rovesciata"72, costellato di un gran numero di funzioni di controllo indiretto e fondato sull'esile vertice dei controlli diretti, chiamati a reggere l'intera architettura.
Gli elementi di criticità di tale configurazione sono macroscopici: in caso di inadeguatezza dei controlli diretti fallirebbe l'intero sistema. Pertanto è necessario l'approntamento di presidi adeguati, di "controllori dei controllori, i quali verifichino, periodicamente ma in modo sistematico e diretto, che i controlli diretti siano effettuati in modo adeguato"73: pur presentando maggiori strumenti di autocorrezione, i controlli indiretti, proprio perchè fondati sull'efficacia e sulla sistematicità di quelli diretti, non potrebbero infatti scongiurare da soli il rischio di un default a catena del sistema.
Conformemente all'approccio risk-based suggerito dal CoSO Report II del 2004, il Codice di Autodisciplina, in sede di commento all'art.774, innesta il sistema dei controlli interni sulla nozione di rischi aziendali e sulla loro identificazione, valutazione e monitoraggio, individuando dunque il rischio quale il fil rouge dell'intero sistema dei controlli interni75. L'organizzazione del sistema deve essere quindi modulata sulle differenti tipologie di rischio che interessano l'impresa76 e il modo di condurla, con un sistema che deve essere
72MONTALENTI, Corporate governance e "sistema dei controlli", in (a cura di Tombari), Corporate
governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 8.
73MONTALENTI, Corporate governance e "sistema dei controlli", in (a cura di Tombari), Corporate
governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 8.
74BORSA ITALIANA-COMITATO PER LA CORPORATE GOVERNANCE (a cura di), op. cit.,
Commento all'art.7, 35.
75 Anche STELLA RICHTER JR, Il comitato controllo e rischi, già comitato per il controllo interno,
in (a cura di Abbadessa), Dialogo sul sistema dei controlli nella società, Torino, Giappichelli, 2015, 109, ravvisa proprio nel rischio il filo conduttore dell'intero sistema.
76 Il che spiega l'assenza di una descrizione unitaria della c.d. "architettura dei controlli", come
delineato anche nel Commento all'art.7 del Codice di Autodisciplina, laddove si afferma che "questa
dipende da una serie di variabili specifiche di ogni singolo emittente, quali il tipo di attività svolta, la dimensione, la struttura del gruppo e il contesto regolamentare".
34
"integrato" nell'assetto organizzativo, amministrativo e contabile della società: questa previsione non rappresenta un mero preziosismo lessicale, ma implica la qualificazione del sistema non quale mera procedura organizzativa, ma come "elemento della conduzione dell'impresa coerente con gli obiettivi aziendali e come strumento di attuazione del principio di corretta gestione sotto il profilo della completezza informativa e procedurale"77, al fine di garantire l'adozione di decisioni gestorie consapevoli.
La costruzione di un sistema di controllo interno adeguato rispetto alla struttura e all'ambito operativo della società presuppone una preventiva valutazione dei rischi che la interessano78: e in particolare, affinchè sia possibile un adeguato monitoraggio dei rischi, assume una rilevanza centrale la predisposizione di flussi informativi e di comunicazione tra i diversi attori del sistema. La realizzazione di reti di condivisione di informazioni tra le diverse funzioni aziendali permette infatti al consiglio di amministrazione di intervenire in modo rapido e mirato per far fronte a ciascun specifico fattore di rischio e per prevenire l'insorgenza di fenomeni analoghi, pur con la consapevolezza che "destinare capitali all'impresa comporta un rischio che nessun livello di conoscenza può eliminare"79.
La valutazione e il monitoraggio delle aree di rischio che possono interessare la società presuppone quindi un esame preventivo delle categorie dei rischi aziendali80. Accanto ai
77MONTALENTI, Il sistema dei controlli societari: un quadro d'insieme, in Giur. It., 2013, 10, 2179. 78 In particolare CHIAPPETTA, Il controllo interno tra compliance normativa e attività gestionale,
in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a., Torino, Giappichelli, 2013, 56, sottolinea proprio come "metro valutativo dell'efficacia del sistema di controllo interno è proprio la capacità di prevenire (anche evitandoli), mitigare e, in generale, governare i rischi".
79 Così PESCATORE, La società quotata in borsa, in BUONOCORE, Manuale di diritto
commerciale, Torino, Giappichelli, 376, il quale in ogni caso ritiene "indispensabile che chi affronta
(i rischi che connotano l'esercizio dell'attività d'impresa) disponga di elementi di giudizio che, per qualità ed ampiezza, orientino con sufficiente discernimento la decisione".
80 Non è banale quanto affermato da CHIAPPETTA, Il controllo interno tra compliance normativa e
attività gestionale, in (a cura di Tombari), Corporate governance e "sistema dei controlli" nelle s.p.a.,
