L'attivita di Internal Audit: il caso dell'Azienda Ospedaliero - Universitaria Pisana

UNIVERSITA’ DI PISA

DIPARTIMENTO DI ECONOMIA E MANAGEMENT

CORSO DI LAUREA IN STRATEGIA, MANAGEMENT E CONTROLLO TESI DI LAUREA

L'ATTIVITÀ DI INTERNAL AUDIT:

IL CASO DELL'AZIENDA OSPEDALIERO - UNIVERSITARIA PISANA

RELATORE:

Chiar.mo Prof. Giuseppe D’Onza

CANDIDATO: Domenico Bucalo

Sommario

Prefazione ... 4

Capitolo 1. Il Sistema di Controllo Interno ... 6

1.Evoluzione del concetto di Controllo Interno ... 6

2.Definizione legislativa ... 8

3.Principi, obiettivi e livelli di presidio del SCI... 11

4.Modello integrato di riferimento per la valutazione del SCI: CoSO Report I ... 13

4.1. Le novità introdotte con l’aggiornamento del 2013 ... 21

5.La normativa collegata al tema dei controlli nella pubblica amministrazione ... 22

Capitolo 2. Internal Auditing: un’evoluzione continua ... 29

1.Origini dell’attività d’Internal Auditing ... 29

2.Riferimenti alla professione: il framework considerato ... 34

2.1. International Professional Practices Framework ... 34

2.2. Il Codice Etico ... 36

2.3. La Definizione di internal auditing ... 38

2.4. Standard Internazionali per la Pratica Professionale dell’internal auditing ... 40

2.4.1. Standard di Connotazione ... 41

2.4.2. Standard di Prestazione ... 46

3.Il Processo di internal auditing ... 53

Capitolo 3.L’Internal Auditing nell’Azienda Ospedaliero – Universitaria Pisana ... 59

1.La nascita dell’Ospedale di Pisa ... 59

2.Da Ospedale ad Azienda Ospedaliera Universitaria ... 60

3.Riferimenti al tema dei controlli interni da parte della Regione Toscana ... 64

4.Indicatori, analisi temporale e valutazione della performance ... 69

4.U.O. Internal Audit ... 81

5.Conclusioni ... 85

ALLEGATO 1 ... 89

ALLEGATO 2 ... 103

Prefazione

Il sistema di corporate governance da diversi decenni si trova al centro di un contesto dinamico contraddistinto da liberalizzazione, avanzamento tecnologico e crescente competizione a livello globale, in cui rinnovarsi diventa un aspetto fondamentale, causa anche negli anni più recenti il verificarsi di crisi aziendali di particolare rilievo; si pensi a titolo puramente esemplificativo agli scandali finanziari di Enron, Worldcom, Parmalat, o a casi recenti come quello della banca statunitense Wells Fargo sanzionata per 185 milioni di dollari per attività illecite ai danni dei correntisti (Il Sole 24 Ore, 2016), o casi di corruzione, sempre più attuali, come quello avvenuto in Grecia, dove la Novartis, azienda farmaceutica svizzera, avrebbe pagato tangenti a 4000 persone per favorire l'acquisto di propri prodotti (La Repubblica, 2017).

In questo scenario vi è sempre più la necessità di rafforzare, da un lato sistemi di regole e sanzioni come avvenuto in Italia con l’introduzione della responsabilità amministrativa delle società e degli enti (D.lgs. 231/2001), le disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari (D.lgs. 262/2005), il Codice di autodisciplina della Borsa Italiana (luglio 2015) o le disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione (L. 190/2012); dall’altro di definire sempre più un insieme di strumenti manageriali di gestione dei rischi, che permettano all’azienda di domare i rischi e le conseguenze che essi comportano, come l’Internal Audit ed il sistema di controllo interno, considerati pilastri portanti della corporate governance, a cui viene attribuito il compito di mettere sotto controllo i processi volti ad indirizzare e gestire l’attività dell’azienda, con l’obiettivo primario di salvaguardare ed incrementare nel tempo il valore creato dall’azienda per gli azionisti e gli stakeholders.

Partendo dalla definizione di Sistema di Controllo Interno (per brevità SCI), ossia “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale” (Borsa Italiana, 2015) la tesi sarà strutturata nella seguente modo:

 nel 1° Capitolo si analizzerà il Controllo Interno, partendo dall’evoluzione del controllo, cui segue un’analisi del Sistema di Controllo Interno (per brevità, SCI). In seguito esporrò il Framework CoSo Report Committee of Sponsoring Organizations of the Tradeway Commision “Internal Control – Integrated Framework”, modello maggiormente utilizzato per valutare il SCI, analizzando le cinque componenti presenti nel modello nella prima versione del 1992, fino a giungere alle novità introdotte nell’aggiornamento del 2013. Verrà infine discussa la normativa relativa ai controlli nel settore della pubblica amministrazione.

 nel 2° Capitolo si introdurrà l’attività di Internal Audit attraverso un breve resoconto cronologico volto a evidenziare l’evoluzione di questo strumento manageriale, cui segue lo studio dei documenti principali per lo svolgimento dell’attività, emanati dall’ Institute of Internal Auditors (per brevità, IIA) analizzando i principali documenti presenti nell’International Professional Practices Framework il modello presentato dall’IIA, revisionato ogni due anni, che ha visto recentemente aggiornati i Principi Fondamentali per la Pratica Professionale dell’Internal Auditing (Ottobre 2016);

 nel 3° Capitolo si affronterà la tematica oggetto di studio da una prospettiva empirica, applicando i concetti affrontati nei precedenti capitoli all’interno della Azienda Ospedaliero – Universitaria Pisana, nella quale durante il mio periodo di tirocinio all’interno dell’U.O. Internal Audit, ho avuto la possibilità di lavorare alla redazione del manuale di Internal Auditing e dei documenti necessari per l’avvio dell’attività. L’elaborato terminerà presentando nelle conclusioni una possibile strategia di audit che potrebbe essere adottata all’interno dell’AOUP a partire dal 2018.

Capitolo 1. Il Sistema di Controllo Interno

1. Evoluzione del concetto di Controllo Interno

L’avvio dello sviluppo metodologico a sistema del Controllo Interno (per brevità espositiva – CI) viene attribuito soprattutto agli Stati Uniti a partite dal secolo scorso (Ferrarini). Difatti, verso la fine degli anni 1950 si iniziò a discutere di CI non più in una prospettiva esclusivamente contabile1 ma in un contesto più ampio, andando a distinguere tra controlli amministrativi e controlli contabili (Committee on Auditing Procedure, AICPA, 1958): i primi comprendono il piano dell’organizzazione e tutti i metodi e procedure che si riferiscono principalmente all’efficienza operativa e l’adesione alle politiche manageriali, i secondi si riferiscono direttamente alla salvaguardia del patrimonio e all’affidabilità dei documenti finanziari. Successivamente, nel Principio di Revisione n.54 del Committee on Auditing Procedure tale distinzione viene approfondita; i controlli amministrativi, in aggiunta a quanto scritto precedentemente utilizzano analisi statistiche, spazio – temporali, performance report dei dipendenti e controlli di qualità, che conducono all’autorizzazione delle operazioni da parte degli amministratori. Per quanto attiene i controlli contabili esse comprendono anche controlli sul sistema di approvazione e di autorizzazione, separazione dei compiti relativi alla gestione dei dati e alla redazione di accounting reports, controlli fisici e revisione interna (Committee on Auditing Procedure, AICPA, 1972). Tale nozione di controllo contabile fu recepita nel 1977 dal Foreign Corrupt Practices Act divenendo requisito per le società quotate ai sensi del Securities Exchange Act del 1934. Sempre in questo periodo storico all’interno della letteratura economico – aziendale comincia a farsi largo un nuovo modo di intendere il termine “controllo”, non più solamente riferito al mezzo per giungere ad una ragionevole sicurezza, ma un significato più propriamente affine al termine inglese “to control” (D'Onza, Il sistema di controllo interno nella prospettiva del risk management, 2008), quindi di potere, o in maniera maggiormente idonea, di guida e governo

1 _{Fino al decennio precedente, il controllo interno era associato alla revisione contabile come strumento}

che servisse per agevolare il compito dei revisori esterni, poiché la sempre più crescente dimensione organizzativa delle aziende rendeva impossibile verificare tutte le procedure dell’universo aziendale; si rese necessario fare ricorso allo strumento statistico del campionamento, con la conseguenza che per i revisori era divenuto necessario porre attenzione al controllo interno affinché le procedure contabili e amministrative definite facessero da garante per assicurare la veridicità e completezza dei documenti contabili sottoposti a revisione. (U.S. Securities and Exchange Commission (SEC), 2003)

dell’attività aziendale per il perseguimento degli obiettivi stabiliti. Ma come spesso accade, sarà quando si raggiungerà un momento di profonda crisi, tale da rendere necessaria una manovra urgente, che si introdurrà un modello destinato a sopperire le evidenti inefficienze dei controlli operanti fino alle metà degli anni 1980 (Gasparri, 2013); in questo periodo, a seguito del reiterarsi di procedure fallimentari negli Stati Uniti, associate molto spesso ad elementi di grave illegalità, fu stabilita la National Commission on Fraudolent Financial Reporting, originariamente patrocinata da cinque importanti associazioni professionali statunitensi2 per lo studio dei fattori causali della più diffusa comunicazione sociale, il falso in bilancio. Nel 1987 venne pubblicato il Report of Fraudulent Financial Reporting3 concentrandosi maggiormente sui controlli interni come strumento di prevenzione delle frodi contabili. Partendo da un’analisi sui controlli esistenti, il Treadway Report propose una chiave di lettura in cui si mettessero in evidenza i difetti del controllo interno attraverso una serie di verifiche ispettive, condotte regolarmente da soggetti facenti parte dell’amministrazione societaria che occupassero un ruolo ad hoc fondato sui presupposti d’integrità ed indipendenza (Tonello, 2006). Il tutto adottando una politica di gestione del rischio che da un lato evidenziasse le aree maggiormente esposte al rischio e dall’altro rafforzasse le aree più deboli mediante protocolli comportamentali che avessero un impatto positivo sull’organizzazione. Viene attribuita maggiore importanza all’ambiente di controllo, ai codici di comportamento, all’obiettività della funzione di revisione interna, nonché la capacità del management di valutare tramite apposite relazioni l’efficienza del controllo interno.

Successivamente le cinque associazioni diedero vita a un sottogruppo, il Committee of Sponsoring of Treadway Commission (CoSO) con lo scopo di realizzare uno studio tecnico in tema di controlli interni, commissionato alla società di revisione Coopers&Lybrand (ora PricewaterhouseCoopers, PWC), che definisse un modello di riferimento utile come manuale operativo per il management, che ebbe come risultato, nel 1992, un rapporto in quattro volumi intitolato “Internal Control: Integrated Framework” noto come “CoSO Report”(analizzato nel proseguo della trattazione) che in pochi anni è divenuto uno dei modelli maggiormente conosciuti a livello mondiale (Mosco & Lopreiato, 2009), schema di riferimento per la predisposizione dei codici di autodisciplina4 internazionali tra i quali l’Italia.

2 _{American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA),} Institute of Internal Auditors (IIA), Financial Executives Institute (FEI), Institute of Management accountants

(IMA).

3 _{visionabile al sito www.coso.org/Publications/NCFFR.pdf}

4 _{l’AICPA ha incluso la definizione di controllo interno fornita dal CoSO Report nello Statement on} Auditing Standards No.78.

Nel 2004, uno studio sempre a cura del CoSO ha unificato la nozione di sistema di controllo interno con quella di gestione del rischio, si tratta del rapporto “Enterprise Risk Management – Integrated Framework” noto come “CoSO Report II” in cui viene ampliato l’ambito del controllo interno e data molta più enfasi al tema del controllo dei rischi aziendali, definito come un procedimento da effettuare per la definizione della strategia aziendale.

L’adozione di un approccio basato sui rischi in sede di identificazione e valutazione dei controlli interni è stata suggerita in ambito nazionale anche nell’ultima edizione5, datata luglio 2015 del Codice di Autodisciplina di Borsa Italiana6, mentre, in ambito assicurativo è stata introdotta con la circolare ISVAP n.577/D del 30/12/20057, nonché in ambito bancario con il D.M.05/08/2004, con cui il Ministero dell’economia e delle finanze ha emanato criteri generali e linee di indirizzo in materia di organizzazione e governo societario delle banche.

2. Definizione legislativa

Il concetto di sistema di controllo interno non ha una chiara definizione e non risulta regolato da una disciplina di carattere generale; nonostante ciò, il termine “sistema di controllo interno” rientra nelle competenze affidate alla vigilanza dell’organo di controllo (collegio sindacale)8 nel sistema delineato dal T.U.F.9, con esclusivo riferimento alle società quotate, a partire dall’entrata in vigore del D.lgs. 58/98 (PricewaterhouseCoopers Advisory Spa, 2013). In seguito anche il D.lgs. 06/03 “Riforma organica della disciplina delle società di capitali e società cooperative” ha contribuito a determinare l’attuale configurazione del sistema di controllo interno, seguendo le best practices internazionali, attribuendo al CdA il compito di

5 _{già presente nelle precedenti versioni del Codice di Autodisciplina di Borsa Italiana del 2006 e 2011.} 6 _{art. 7.P.1. “Ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi costituito}

dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale e internazionale.”

7 _{contenente “Disposizioni in materia di sistema dei controlli interni e gestione dei rischi”}

8 _{’art. 149, co. 1, lett. c), TUF, secondo cui “Il collegio sindacale vigila: (…) c) sull’adeguatezza della}

struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo - contabile nonché sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione”, mentre l’art. 150, co. 4, TUF, afferma che “Coloro che sono preposti al controllo interno riferiscono anche al collegio sindacale di propria iniziativa o su richiesta anche di uno solo dei sindaci”

9 _{Testo unico delle disposizioni in materia di intermediazione finanziaria, noto più semplicemente come}

testo unico della finanza o anche legge Draghi, è la principale fonte normativa vigente nella Repubblica Italiana in materia di finanza e di intermediazione finanziaria.

monitorare sull’attività gestoria da parte degli amministratori esecutivi ed individuando diversi soggetti nell’ambito dei controlli endosocietari10

.

Con riferimento alle società quotate, il Codice di Autodisciplina di Borsa Italiana (per brevità - Codice ‘Preda’), definisce il SCI “un’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale ed internazionale”. (Comitato per la Corporate Governance - Borsa Italiana, 2015) In queste parole ben si percepisce come il SCI venga considerato un elemento fondamentale della governance, dando maggiore enfasi ai rischi, avendo come obiettivo la “conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal CdA”11

, in cui il controllo interno può essere considerato un processo e non un evento isolato o una circostanza unica, ma una serie di azioni riguardanti l’attività aziendale ponendo particolare attenzione ai soggetti e alle competenze svolte, con l’obiettivo di fornire al management CdA solo una ragionevole certezza sulla realizzazione degli obiettivi aziendali.

Per quanto riguarda i soggetti coinvolti nel SCI secondo il Codice Preda, si possono identificare12:

 CdA, che definisce le linee di indirizzo e valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società, in cui:

o uno o più Amministratori delegati, incaricati di istituire ed implementare tale sistema, curano l’assetto organizzativo, amministrativo e contabile, facendo sì che sia adeguato alla natura e alle dimensioni dell’impresa;

o il Comitato di controlli e rischi, supporta le valutazioni e le decisioni del CdA relative al SCI e le gestioni dei rischi;

10

con il D.lgs. 37/2004 possono essere adottati anche il modello monistico e dualistico di governance che prevedono rispettivamente come organo di controllo endosocietario:

 il comitato per il controllo di gestione, nominato dal CdA e formato da amministratori privi di funzioni gestionali e con poteri simili a quelli dei sindaci;

 il consiglio di sorveglianza, composto da almeno tre membri anche non soci, nominati dall’assemblea, che uniscono ai poteri dei sindaci, alcuni rilevanti poteri assembleari, come l’approvazione del bilancio, la nomina e la revoca dei membri del consiglio di gestione ed il loro compenso.

11 _{Articolo 7, punto 2 del Codice di Autodisciplina}

12 _{nell’analisi dei diversi ruoli si sa riferimento ad un modello di governance tradizionale in cui come}

organo amministrativo si ha il Consiglio di Amministrazione o l’Amministratore unico, come organo di controllo il Collegio Sindacale ed entrambi gli organi vengono nominati dall’Assemblea dei soci.

 Collegio Sindacale, vigila sull’efficacia e sul funzionamento del sistema, che sia adeguato da un punto organizzativo, amministrativo e contabile;

 Internal Audit, dove il Responsabile Internal Audit, verifica, sia in via continuativa sia in relazione a specifiche necessità e nel rispetto degli standard internazionali, l’operatività e l’idoneità del sistema di controllo interno e di gestione dei rischi, attraverso un piano di audit, approvato dal CdA, basato su un processo strutturato di analisi e prioritizzazione dei principali rischi;

 Organismo di Vigilanza, ex D.Lgs. 231/01, chiamato a vigilare sulla reale efficacia dei modelli organizzativi in concreto adottati al fine di prevenire i rischi di reato di cui a Decreto medesimo;

 Dirigente Preposto ex L. 262/05, cui è affidato il compito di predisporre adeguate procedure amministrative e contabili finalizzate all’elaborazione del bilancio e di ogni altra informativa finanziaria in risposta alla serie di scandali finanziari e dissesti finanziari negli anni precedenti;

 altri ruoli e funzioni aziendali, con determinati compiti in tema di controllo interno e gestione dei rischi, articolate per dimensione e complessità dell’impresa.

Figura 1 - Schema ruoli/relazioni nel SCI secondo il Codice di Autodisciplina Fonte: NED Community

Una definizione maggiormente coerente sia con il codice di autodisciplina che con gli elementi costitutivi dei modelli integrati (in seguito verrà illustrato il CoSo Report) è la seguente: “l’insieme dei mezzi (persone, procedure e risorse) adottati al fine di mitigare i rischi che potranno ostacolare il raggiungimento degli obiettivi di un’organizzazione, in linea con le corrette politiche di risk management.”, andando ad estendere ben oltre le attività tipiche delle funzioni amministrative - contabili o delle procedure interne13. Un’interpretazione della definizione sopra riportata vedrebbe nel board l’input di un processo in grado di definire una strategia aziendale in linea con il risk appetite identificato, che con un coerente assetto organizzativo possa giungere ad un’idonea valutazione dei rischi/opportunità insiti nel contesto aziendale, ottenendo come output un coerente sistema dei controlli.

Figura 2 - Dalla identificazione del rischio alla definizione del Sistema di Controllo Interno

3. Principi, obiettivi e livelli di presidio del SCI

L’architettura del SCI va definita in maniera specifica per ogni singolo caso, in base al tipo di attività svolta, alla dimensione della società, alla struttura del gruppo, al contesto regolamentare. Come già esposto precedentemente, parlando dei soggetti, il SCI deve essere “integrato” nell’assetto organizzativo, amministrativo – contabile e di governo societario e le sue componenti devono essere quanto più possibile coordinate e interdipendenti.

13

Carolyn A. Dittmeier, op. cit., p. 137

BOARD STRATEGIA AZIENDALE E LIVELLO DEL RISCHIO

ACCETTABILE DEFINIRE UN COERENTE ASSETTO ORGANIZZATIVO RISCHI/OPPORTUNITA’ DEFINIRE COERENTE ASSETTO SCI

I principi su cui fondare l’architettura sono (Bignami Associati):

 la separazione di ruoli e compiti (segregation of duties), che ha come obiettivo primario quello di ridurre il rischio di frodi ed errori, e viene perseguita attraverso la suddivisione delle attività/responsabilità, relative ad un determinato processo aziendale, tra differenti funzioni/individui;

 l’accountability di informazioni e processi, intesa quale attribuzione della responsabilità incondizionata in capo a un soggetto (o a un gruppo di soggetti) del risultato conseguito da un’organizzazione, sulla base delle proprie capacità, abilità ed etica14;

 la tracciabilità dei dati e delle informazioni, in modo da rendere attendibile, ricostruibile e valutabile un’attività o un processo.

Considerati i principi di un SCI, gli obiettivi attribuiti al SCI sono riconducibili a: (Marchi, 2012)

 presidio dell’economicità considerando l’efficacia (l’attendibilità in termini di confronto tra obiettivi prestabiliti e risultati raggiunti) e l’efficienza (la capacità di raggiungere gli obiettivi con un utilizzo ponderato del capitale umano e materiale, detto in altri termini, giusto bilanciamento tra acquisizione di risorse ed incremento dei costi);

 presidio dell’attendibilità del sistema informativo aziendale, sia per le informazioni verso gli stakeholder attraverso gli strumenti di reporting, che interne, in grado di soddisfare particolari obiettivi conoscitivi (Ernst & Young);

 conformità alle normative applicabili, l’accertamento del rispetto sia della normativa in capo allo svolgimento dell’attività operativa d’impresa che della regolamentazione specifica di settore in cui l’azienda opera.

Sul piano organizzativo, è necessario distinguere tre livelli in cui è articolato il SCI nel suo complesso:

 di primo livello, si definiscono e gestiscono controlli insiti nei processi operativi che richiedono un insieme di competenze specifiche del settore di appartenenza e dei relativi rischi. Consistono in controlli di carattere procedurale, informatico,

14 _{la revisione dell’attendibilità dei sistemi informativi aziendali si riferisce a due dimensioni:}

 dimensione informativa, riferita alla raccolta, trattamento ed elaborazione delle informazioni;

 dimensione organizzativa, rivolta alla suddivisione delle attività di rilevazione e controllo dei dati.

comportamentale, amministrativo-contabile, ecc. svolte sia da chi mette in atto una determinata attività, sia da chi ha la responsabilità di supervisione (solitamente nell’ambito della stessa unità organizzativa o funzione) diretti ad assicurare un idoneo svolgimento delle operazioni da un punto di vista operativo, strategico, normativo.

 di secondo livello, volti a presidiare il processo di gestione dei rischi legati all’operatività della gestione, sono controlli trasversali sui rischi e sulle conformità, garantendo la coerenza rispetto agli obiettivi aziendali e rispettando i criteri di segregazione che permettono un idoneo monitoraggio. Tipicamente vengono svolti da funzioni di staff (es. funzione compliance, Risk Officer, Dirigente Preposto);

 di terzo livello, fornisce l’assurance sul disegno e sulla funzionalità complessiva del sistema, attraverso valutazioni indipendenti volte sulla completezza, funzionalità ed adeguatezza dei sistemi e delle procedure, tale attività è di competenza dell’internal audit.

Figura 3 - Principi, livelli ed obiettivi del Sistema di Controllo Interno

4. Modello integrato di riferimento per la valutazione del SCI: CoSO Report

I

La prima versione del CoSo Internal Control – Integrated Framework del 1992 rappresenta il primo modello di SCI elaborato dal Committee of Sponsoring Organizations of

PRINCIPI DEL CONTROLLO • ADEGUATA SEPARAZIONE DEI COMPITI • ACCOUNTABILITY DI INFORMAZIONI E PROCESSI • ADEGUATA DOCUMENTAZIONE E REGISTRAZIONE DELLE ATTIVITA'/PROCESSI LIVELLI DI CONTROLLO • PRIMO LIVELLO: CONTROLLI

INSITI NEL PROCESSO OPERATIVO • SECONDO LIVELLO:

CONTROLLI TRASVERSALI SU RISCHI E CONFORMITA’ • TERZO LIVELLO: CONTROLLI

GESTIONALI OBIETTIVI DEL CONTROLLO • ECONOMICITA’ DELLE ATTIVITA' OPERATIVE (PERFORMANCE OBJECTIVES) • ATTENDIBILITA’ DEL SISTEMA INFORMATIVO AZIENDALE (REPORTING OBJECTIVES) • CONFORMITA’ ALLE

NORMATIVE APPLICABILI (COMPLIANCE OBJECTIVES)

the Treadway Commission, afferma che il CI: “[…] è un processo mediante il quale il consiglio di amministrazione, il management e tutto il personale, ottengono una ragionevole certezza sulla realizzazione degli obiettivi riferibili all’efficacia ed efficienza delle operazioni, attendibilità delle informazioni di bilancio, conformità alle leggi e regolamenti applicabili15” (Coopers & Lybrand, 2004). È evidente come gli elementi cardine di un sistema di controllo risultano essere:

 il processo16, da intendere una moltitudine di attività che abbraccia l’impresa nel suo complesso, al cui interno vengono svolte una sequenza di procedure (se formalizzate) o più in generale di azioni con il fine di aggiungere/conservare valore all/dell’impresa.

 tutti i soggetti “interni” all’azienda, indispensabili sia per l’attuazione dei meccanismi di controllo, sia per un miglioramento dei sistemi stessi attraverso un duplice approccio di tipo top down e bottom up che possa dare avvio ad un flusso informativo che generi segnali di feedback control17 e di feedforward18 control (Marasca, Marchi, & Riccaboni, 2008);

 per il raggiungimento di obiettivi a breve termine, che analiticamente vengono distinti in: un impiego efficiente ed efficace delle risorse aziendali (Operational Objectives ), che venga data un affidabile informazione verso l’esterno, soprattutto per quanto attiene gli schemi di bilancio (Financial reporting Objectives) e che vi sia l’osservanza da parte dell’azienda delle leggi e dei regolamenti applicabili (Compliance Objectives), in modo da garantire la salvaguardia del processo di creazione del valore evitando possibili sanzioni e danni reputazionali (D'Onza, Il sistema di controllo interno nella prospettiva del risk management, 2008). Il fine è quello di generare un “equilibrio economico a valere nel tempo”, perseguire il fine di fare azienda.

15_{Internal control is a process, effected by an entity’s board of directors, management, and other}

personnel, designed to provide reasonable assurance regarding the achievement of objectives relating to operations, reporting, and compliance. (Committee of Sponsoring Organizations of the Treadway Commission,

2013)

16 _{ISO 9000 afferma: “il processo è l’insieme di attività correlate ed interagenti che trasformano elementi}

in entrata in elementi in uscita”.

17

riguarda il monitoraggio delle differenze tra i risultati desiderati e risultati ottenuti tramite analisi degli scostamenti o delle varianze, molto importante per individuare azioni correttive da apportare al piano redato ad inizio anno amministrativo.

18 _{le previsioni e di conseguenza i vari budget vengono redatti sulla base di informazioni acquisite}

Figura 4 - La definizione di SCI del CoSO Report - Internal Control

Accanto agli obiettivi il modello inserisce una seconda dimensione in grado di creare un forte collegamento con i primi, le cinque componenti del SCI, definiscono nel loro insieme il SCI dell’azienda e derivano dal modo in cui il vertice gestisce l’azienda stessa (Comoli, 2002). Le componenti vengono così suddivise (Committee of Sponsoring Organizations of the Treadway Commission, 2013):

Figura 5 - Il Framework Coso Report I

1. Ambiente di Controllo (Control Environment): viene influenzato molto dallo stile del vertice aziendale, dalle competenze degli impiegati, dalla struttura organizzativa e dai valori etici che vengono determinati dal CdA e comunicati al personale insieme alle norme di condotta dell’organizzazione, stabilendo opportune sanzioni in caso di violazione, giungendo ad ogni singola unità

Processi

Soggetti «interni»

operativa. Lo stile di comando19 andrebbe concepito come uno strumento organizzativo flessibile che fosse in grado di differenziarsi in relazione ai diversi tipi di azienda, in relazione al tempo, ai diversi settori aziendali (per una stessa azienda), alla situazione contingente, alle problematiche aziendali ed ai risultati da raggiungere. Le competenze, le conoscenze e le abilità sono elementi che andrebbero considerati sempre di più, sono la leva che “capitale umano” contribuisce a generare sul valore dell’azienda, la funzione HR (Human Resource) nasce da quando la competenza viene considerata come una variabile strategica, considerandola come risorsa e non più come un costo da aggiungere in Conto Economico, sancendo la nascita dello Strategic Human Resource Management come unione tra Resource Management e Strategic Management (Mancini). I valori etici o cultura organizzativa di una società rappresentano un elemento fondamentale poiché influenzano tutti gli altri elementi che vanno a comporre il SCI, dalla fase di progettazione sino a quella di monitoraggio (Beretta, 2004), per tale motivo il top management societario dovrà essere il promotore della diffusione di tali valori in quanto il loro atteggiamento andrà ad influenzare in maniera significativa l’ambiente di controllo di una società, quindi il clima nel quale le persone svolgono la propria attività e le proprie funzioni del controllo. A tal fine risulta importante che vengano effettuate opportune comunicazioni interne in modo tale da far comprendere a tutto il personale le finalità perseguite dall’organizzazione, ponendo rilevanza alla stretta relazione tra i comportamenti di ogni singolo soggetto facente parte dell’organizzazione ed il raggiungimento degli obiettivi aziendali. All’interno del CoSo Report sono evidenziati alcuni fattori organizzativi che potrebbero influenzare la probabilità di frodi o di falso in

19 _{secondo una prima teoria è possibile distinguere tre differenti stili di comando:}

 stile autoritario: il vertice definisce le modalità di svolgimento del lavoro e impartite al subordinato, le cui valutazioni vengono effettuate sulla base di apprezzamenti personali volti all’esame dei comportamenti anziché dei risultati.

 stile democratico: in cui vi è una “trattativa” nella quale vengono concordati le modalità di svolgimento del lavoro e le valutazioni sono basate sull’apprezzamento dei fatti.

 stile permissivo: le modalità di svolgimento del lavoro sono autodefinite dai subordinati, eventualmente assistiti dai superiori e le valutazioni vengono effettuate sulla base di un’autovalutazione. (Lewin, Lippitt, & White, 1939)

Una seconda teoria è quella della teoria contingente, La teoria contingente, successiva a quella degli stili, respinge l’idea che esista un solo stile di leadership eccellente, suggerendo che l’efficacia di un particolare stile comportamentale possa dipendere dalle situazioni oltre che dall’orientamento del leader e dalle caratteristiche dei collaboratori (Kreitner & Kinicki)

bilancio (Internal Compliance Corporation), vengono classificati distinguendo tra “Incentivi e Tentazioni”:

 tra gli incentivi distinguiamo:

o esercitare pressione per raggiungere obiettivi non realistici, riferiti soprattutto al breve periodo;

o ricompense collegate al raggiungimento di elevate performance; o variazioni troppo alte nel bonus plan;

 tra le tentazioni possano evidenziarsi:

o controlli inesistenti o inefficaci, come ad esempio una scarsa segregazione dei compiti in aree particolarmente sensibili che offrono la possibilità di falsificare la performance;

o elevato decentramento unito a scarsa informativa che non rende consapevole il top management delle azioni intraprese a livelli organizzativi più bassi, causando una maggiore difficoltà nell’andare ad evidenziare le frodi;

o un debole SCI che non ha la dovuta capacità nel segnalare comportamenti impropri;

o un CdA inefficace che non fornisce una supervisione oggettiva del top management;

o comportamenti impropri che non vengono puniti o resi pubblici, tali da rendere inefficace qualsiasi sistema di punizioni.

Figura 6 – Responsabilità dei diversi ruoli coinvolti nella definizione dell'Ambiente di Controllo

2. Valutazione del rischio (Risk Assessment): ogni soggetto affronta diversi rischi, che provengono da fonti interne e fonti esterne, che devono essere valutate a livello di entità e livelli di attività durante il suo funzionamento. Il rischio viene definito come la possibilità che un evento in atto possa avere un impatto negativo sul raggiungimento degli obiettivi. Esempi di fattori esterni che influenzano i rischi dell'entità sono lo sviluppo tecnologico, l'evoluzione delle esigenze dei clienti, il cambiamento del contesto competitivo, l’emanazione di nuove leggi, i disastri naturali ed il cambiamento delle condizioni macroeconomiche di un paese. Esempi di fattori interni che influenzano il rischio dell'entità sono le interruzioni dei sistemi di elaborazione delle informazioni, la qualità del personale coinvolto, il cambiamento dei soggetti nel management, la natura delle attività svolte. La valutazione dei rischi comporta un processo dinamico ed iterativo per identificare e valutare i rischi che portino al conseguimento degli obiettivi. Rischi per conseguire questi obiettivi sono considerati correlati alle tolleranze di rischio stabilite. Pertanto, la valutazione dei rischi è la base per determinare la gestione dei rischi. La valutazione dei rischi si scompone in una prima fase della

identificazione dei rischi; in questa prima fase, tenuto conto degli obiettivi aziendali, vengono implementate opportune attività di analisi utili all’identificazione dei rischi potenziali; nella successiva fase, quella di valutazione e gestione del portafoglio rischi, vengono analizzati i rischi individuati nella fase precedente e viene effettuata la loro valutazione. La valutazione del rischio avviene con il prodotto della probabilità per l’impatto, partendo dal presupposto che venga a manifestarsi un evento di tipo negativo, la probabilità rappresenta la possibilità che l’evento si verifichi realmente, l’impatto rappresenta l’entità del danno che il suo verificarsi può comportare sul sistema azienda.20

3. Attività di controllo (Control Activities): Le attività di controllo rappresentano l’insieme delle azioni create attraverso politiche e procedure, andando a verificare che l’insieme delle direttive per andare a mitigare i rischi al fine di conseguire gli obiettivi risultino essere svolte in maniera efficace. Possono essere suddivise in tre tipi di attività, in linea con le tre tipologie di obiettivi definiti all’inizio della trattazione. Le attività di controllo consistono in controlli preventivi, controlli manuali, controlli informatici, controlli di ispezione e controlli sulla gestione, ecc. In sintesi si può affermare che le attività di controllo consistono in:

o politiche/procedure che assicurano la gestione delle direttive; o vengono effettuate in tutta la società ed a tutti i livelli e funzioni;

o comprendono approvazioni, autorizzazioni, verifiche, riconciliazioni, revisioni della performance operativa, messa in sicurezza dei beni e segregazione dei ruoli;

o coprono anche i controlli sull’infrastruttura IT, e la sicurezza software, incluse attività legali/contrattuali e le operazioni fuori bilancio. (Internal Compliance Corporation)

4. Informazione e Comunicazione (Information and Communication): l’importanza di questa fase consiste nel riuscire a comunicare al management idonee informazioni circa l’attività di controllo interno al fine di sostenere il raggiungimento degli obiettivi. La Direzione riesce ad ottenere o produrre informazioni rilevanti e di qualità da e per fonti interne ed esterne all’organizzazione. La comunicazione può essere vista come un processo continuo

20 _{Nel 2004 viene pubblicato dal CoSO una seconda versione, denominata Enterprise Risk Management,}

che non rappresenta un aggiornamento del Report I, ma un’integrazione del SCI con il processo di risk

management, in cui la gestione del rischio viene considerata il risultato di un’elaborazione più estesa del

ed iterativo, avente come fine quello di fornire, condividere e ottenere le informazioni necessarie. La comunicazione interna è il mezzo attraverso il quale le informazioni vengono diffuse in tutta l’organizzazione; mentre la comunicazione esterna ha invece una duplice funzione, consente la comunicazione in ingresso d’informazioni esterne importanti ai fini dello svolgimento dell’attività aziendale, fornisce allo stesso tempo informazioni agli stakehoders21 esterni. Facendo una sintesi, informazione e comunicazione consistono nel:

o il CdA deve fornire un messaggio chiaro a tutto il personale affinché l’attività di controllo interno venga presa in seria considerazione;

o le informazioni necessarie per svolgere le attività pianificate devono essere identificate tempestivamente, devono essere acquisite solo quelle necessarie a poter conseguire l’obiettivo dell’azienda, infine devono essere efficacemente comunicate;

o tutto il personale deve essere a conoscenza dei diversi obiettivi da conseguire, quindi deve essere fornito l’accesso ai Report interni per poter svolgere efficacemente i propri compiti;

o la comunicazione esterna è un elemento del sistema del controllo interno, non va considerata come un elemento non facente parte. È importante che vengano fornite idonee informazioni ai clienti, fornitori, finanziatori ecc. o importante che le informazioni comunicate alla Direzione siano efficaci ed

attendibili.

5. Attività di Monitoraggio (Monitoring Activities): Secondo il CoSo Report i sistemi di controllo interno cambiano nel tempo, variano in base al contesto interno che subisce le variazioni derivanti dal contesto competitivo. Una volta attuate le procedure possono risultare poco efficaci; il monitoraggio consente che il controllo interno possa continuare a funzionare efficacemente. In sintesi consistono in quanto segue:

o i sistemi di controllo interno devono essere monitorati per tempo in modo da valutare la loro qualità e le loro prestazioni;

o la tipologia di monitoraggio deve essere definita dal management;

21 _{il termine stakeholders presenta una duplice accezione, interni ed esterni; sono esterni ad esempio i}

fornitori, clienti, imprese concorrenti, prestatori di capitale di credito, Stato, enti locali, associazioni di vario tipo. Si intendono come stakeholders interni gli azionisti, i dipendenti, il management, a cui viene rivolto il flusso informativo verso l’interno.

o l’audit dei sistemi di controllo deve essere deciso dalla Direzione per garantire che il controllo interno stia funzionando come previsto.

4.1. Le novità introdotte con l’aggiornamento del 2013

Nel 2013 il CoSO Report I ha subito un aggiornamento volto a modificare l’impostazione assunta nel 1992, Nell’aggiornamento presentato dal CoSO, non hanno rivoluzionato il modello già presentato, ma la pubblicazione del 2013 riguarda la codificazione dei 17 principi che sostengono le cinque componenti che erano già presenti implicitamente nel modello del 1992. Per essere efficace il modello 2013 richiede (KPMG LLP, 2013):

 che ciascuna delle cinque componenti ed i 17 principi siano presenti e funzionanti;

 che le cinque componenti operino congiuntamente. I principi inreodotti, partendo dall’ambiente di controllo, sono:

1. l’organizzazione deve dimostrare impegno verso integrità e valori etici; 2. imprimere il senso di responsabilità;

3. definire l’organizzazione, ruoli e responsabilità; 4. dimostrare impegno e competenza;

5. rinforzare la contabilità;

nella valutazione del rischio identifichiamo: 6. specificare gli obiettivi da raggiungere; 7. identificare ed analizzare il rischio;

8. effettuare una valutazione sul rischio di frodi;

9. identificare e analizzare eventuali cambiamenti significativi; nell’attività di controllo:

10. selezionare ed implementare idonee attività di controllo;

11. selezionare ed implementare controlli riferiti ai sistemi informativi; 12. spiegare attraverso politiche e procedure;

per quanto attiene l’informazione e comunicazione: 13. fare uso di informazioni rilevanti;

14. che sia data un’adeguata comunicazione interna; 15. ed un’adeguata comunicazione esterna;

infine per il monitoraggio delle attività:

16. condurre periodicamente valutazioni continue o separate; 17. valutare e comunicare limiti e mancanze dei controlli interni.

5. La normativa collegata al tema dei controlli nella pubblica amministrazione

Il ruolo svolto dal tema dei controlli nell’ambito della gestione è divenuto molto importante, considerando che in tale sistema viene individuata la capacità dell’organo di poter determinare, mediante idonea programmazione degli obiettivi gestionali, l’individuazione e le diverse modalità di acquisizione ed elaborazione dei dati e l’individuazione dei criteri valutativi specifici per attività gestionale, e di autocorreggere l’azione intrapresa mediante le informazioni di ritorno sull’andamento della gestione in corso d’opera. “Questa analisi ha come riferimento normativo di partenza il Decreto Legislativo n. 286 del 30 luglio 1999 – recante ‘Riordino e potenziamento dei meccanismi e strumenti di monitoraggio e valutazione dei costi, dei rendimenti e dei risultai dell’attività svolta dalle amministrazioni pubbliche, a norma dell’art. 11 della legge 15 marzo 1997, n. 59’ – ove, all’art. 1, vengono affermati i principi generali del controllo interno e, contestualmente, individuate le tipologie, separando altresì le funzioni, di tipo diverso, che in passato – in base all’art. 20 del d.lgs. n. 29/93 – erano state promiscuamente intestate ai servizi di controllo interno (o nucleo di controllo interno)” (Brandolini). Il D. Lgs. n. 286 del 30/07/1999 costituisce il punto di completamento dell’operazione di riforma del settore pubblico, in cui viene abbandonato il tradizionale modello, in cui vengono abbandonate le logiche e le modalità di organizzazione di stampo burocratico che si focalizzava sulla “verifica della legittimità dell’azione amministrativa, così come regolamentata dalle varie norme” (Borgonovi), difatti veniva posta attenzione ai singoli atti, alle loro conformità alle norme ed alle procedure, configurati all’interno di schemi e di sequenze tipiche (cosiddette procedure). Questo modo di intendere i controlli aveva come

base fondante il preconcetto che il mero rispetto delle procedure garantisse il raggiungimento degli obiettivi, rispetto formale delle sequenze era “condizione di efficacia giuridica dell’atto” (Dente, 1999). Con l’avvento del New Public Management, ossia l’insieme dei processi di rinnovamento, in cui si ha il passaggio ad un modello manageriale, in cui le tecniche tipiche del settore privato vengono importate all’interno del settore pubblico, superando la tradizionale logica di funzionamento della pubblica amministrazione.

Ritornando alla 286/99, in ambito di controlli interni, necessariamente vanno incluse: la valutazione delle metodologie e dei procedimenti, la verifica delle attività di controllo effettivamente svolte e delle metodologie concretamente adottate, un giudizio sull’affidabilità ed attendibilità delle risultanze della gestione e della loro misurazione quali emergono dai rapporti di servizio di controllo interno. In quest’ottica, il perimetro dei controlli interni nel modello delineato nel 1999, presenta la seguente struttura:

 controllo di regolarità amministrativo – contabile: garanzia della regolarità e correttezza dell’azione amministrativa, rispettando i principi generali della revisione aziendale, applicabili alla pubblica amministrazione;

 valutazione dei dirigenti: in cui bisogna conoscere la tipologia che necessita della diretta conoscenza dell’attività del dirigente, volta a valutare le prestazioni del personale con qualifica dirigenziale tenendo in considerazione i risultati dell’attività amministrativa e della gestione;

 controllo di gestione: diretto alla verifica delle 3E (Economicità, Efficacia, Efficienza) al fine di ottimizzare il rapporto tra costi e risultati, anche attraverso interventi di correzione, avendo per oggetto l’unità organizzativa al fine di valutarne il rendimento e pone come profilo di analisi quello dell’economicità (rapporto costi – obiettivi raggiunti);

 valutazione e controllo strategico: diretto a valutare la congruenza tra gli obiettivi realizzati e quelli programmati. In questa attività viene valutata l’esistenza di una continua compatibilità tra gli obiettivi di medio/lungo periodo e le risorse finanziarie, umane e materiali a disposizione, verificando che le necessità della cittadinanza, rimangono inalterate nel corso degli anni.

L’Art.7, comma 2 del D.Lgs. 286/99, istituisce il Comitato tecnico scientifico per la valutazione ed il controllo strategico con il fine di promuovere, sostenere e coordinare,

soprattutto nella fase di prima attuazione, gli strumenti per l’analisi e il controllo degli obiettivi strategici maggiormente efficaci in riferimento alle amministrazioni pubbliche. Successivamente il sistema dei controlli viene ridisegnato da D.Lgs. 150/2009 ‘Attuazione della legge 4 marzo 2009, n. 15, in materia di ottimizzazione della produttività del lavoro pubblico e di efficienza e trasparenza delle pubbliche amministrazioni’, in cui le attività introdotte dal già citato D.Lgs 286/1999, vengono riunite nell’ambito di un solo meccanismo ora denominato “ciclo di gestione della performance” – che include il controllo di gestione, la valutazione dirigenziale (a cui si aggiunge quella del personale) ed il controllo strategico. Rimane escluso il controllo di regolarità amministrativo – contabile, segnando una netta divisione tra controlli gestionali e controlli di conformità. Nella nuova disposizione normativa i controlli interni assumono oggettivamente un assetto più esteso, in cui alla misurazione e valutazione della performance (esercitati attraverso Organismi indipendenti di valutazione) interessa anche gli ambiti di trasparenza e della qualità dei servizi.

Figura 7 - confronto tra D.Lgs. 286/1999 e D.Lgs 150/2009.

•Controllo di regolarità amministrativo – contabile.

•Ragioneria generale dello Stato (ispettorati, uffici centrai di bilancio, ragionerie centrali dello Stato); revisori dei conti – collegi sindacali. •Controllo di gestione.

•Unità all’interno dell’amministrazione (uffici del controllo di gestione). •Valutazione dirigenziale.

•In base al livello dirigenziale preso in considerazione. •Controllo strategico.

•Organi di vertice politico: servizi di controllo interno – nuclei di valutazione, consigli di indirizzo e vigilanza;

•Presidenza del Consiglio (Comitato tecnico scientifico).

D.Lgs.

286/1999

•Ciclo di gestione della performance.

•Organismi indipendenti di valutazione delle perrformance – OIV; •Struttura tecnica permanente;

•Sistema a «cascata»;

•CiVIT ( in collaborazione con l’Ispettorato della funzione pubblica). •Controllo di regolarità amministrativo – contabile.

•Ragioneria generale dello Stato; •revisori dei conti – collegi sindacali.

D.Lgs.

150/2009

Il D. Lgs 30 giugno 2011, n. 123. ‘Riforma dei controlli di regolarità amministrativa e contabile e potenziamento dell'attività di analisi e valutazione della spesa, a norma dell'articolo 49 della legge 31 dicembre 2009, n. 196’ riguarda le Amministrazioni dello Stato e il solo aspetto di regolarità contabile; è il punto - per ora – di approdo delle modifiche al vecchio D. Lgs. 286/1999. È all’origine dei “Percorsi Attuativi di Certificabilità del SSN, per i quali, in Toscana, cfr. delib. Giunta reg. Toscana 1199/2016). La Legge 213/2012 “Conversione in legge, con modificazioni, del decreto-legge 10 ottobre 2012, n. 174, recante disposizioni urgenti in materia di finanza e funzionamento degli enti territoriali, nonché' ulteriori disposizioni in favore delle zone terremotate nel maggio 2012. Proroga di termine per l'esercizio di delega legislativa.” ha implementato e reso più stringenti i casi in cui è obbligatorio il parere di regolarità contabile del responsabile di ragioneria, stabilendo che tale parere debba essere richiesto non solo per le proposte sottoposte alla Giunta del Consiglio, che importino impegno di spesa o diminuzione di entrata, ma su ogni proposta di deliberazione che comporti riflessi diretti o indiretti sulla situazione economico – finanziaria dell’Ente. Oltre ai controlli sugli equilibri finanziari, sono state esplicitate due nuove tipologie di controlli:

 controlli sugli organismi gestionali esterni all’ente: si verifica, attraverso il controllo sullo stato di attuazione di indirizzi ed obiettivi gestionali, l’efficacia e l’economicità degli organismi gestionali esterni all’ente;

 controllo della qualità dei servizi: si verifica la qualità dei servizi erogati, sia direttamente, sia mediante organismi gestionali esterni. (Studio Pozzoli, s.d.).

Collegata al tema dei controlli la Legge 6 novembre 2012, n. 190 “Disposizioni per la prevenzione e la repressione della corruzione e dell’illegalità nella pubblica amministrazione.” in “in attuazione dell'articolo 6 della Convenzione dell'Organizzazione delle Nazioni Unite contro la corruzione, adottata dalla Assemblea generale dell'ONU il 31 ottobre 2003 e ratificata ai sensi della legge 3 agosto 2009, n. 116, e degli articoli 20 e 21 della Convenzione penale sulla corruzione, fatta a Strasburgo il 27 gennaio 1999 e ratificata ai sensi della legge 28 giugno 2012, n.110, la presente legge individua, in ambito nazionale, l’Autorità nazionale anticorruzione e gli altri organi incaricati di svolgere, con modalità tali da assicurare azione coordinata, attivita' di controllo, di prevenzione e di contrasto della

corruzione e dell’illegalità nella pubblica amministrazione.”22 Il compito delle pubbliche amministrazioni consiste nel definire e trasmette al dipartimento della funzione pubblica:

a) un piano di prevenzione della corruzione che fornisce una valutazione del diverso livello di esposizione degli uffici al rischio di corruzione e indica gli interventi organizzativi volti a prevenire il medesimo rischio;

b) procedure appropriate per selezionare e formare, in collaborazione con la Scuola Superiore della Pubblica Amministrazione, i dipendenti chiamati ad operare in settori particolarmente esposti alla corruzione, prevedendo, negli stessi settori, la rotazione di dirigenti e funzionari.23

La nozione di corruzione presente nella delibera della CIVIT/ANAC (Commissione per la valutazione, la trasparenza e l’integrità delle amministrazioni pubbliche / Autorità nazionale Anticorruzione) n. 72/2013 - Approvazione del Piano Nazionale Anticorruzione - “[…] ha un’accezione ampia. Esso è comprensivo delle varie situazioni in cui, nel corso dell’attività amministrativa, si riscontri l’abuso da parte di un soggetto del potere a lui affidato al fine di ottenere vantaggi privati. Le situazioni rilevanti sono più ampie della fattispecie penalistica, che è disciplinata negli artt. 318, 319 e 319 ter, c.p., e sono tali da comprendere non solo l’intera gamma dei delitti contro la pubblica amministrazione disciplinati nel Titolo II, Capo I, del Codice Penale, ma anche le situazioni in cui – a prescindere dalla rilevanza penale – venga in evidenza un malfunzionamento dell’amministrazione a causa dell’uso a fini privati delle funzioni attribuite ovvero l’inquinamento dell’azione amministrativa ab externo, sia che tale azione abbia successo sia nel caso in cui rimanga a livello di tentativo”.

Segue l’aggiornamento 2015 del Piano Nazionale Anticorruzione in cui “Si conferma la definizione del fenomeno contenuta nel PNA, non solo più ampia dello specifico reato di corruzione e del complesso dei reati contro la pubblica amministrazione, ma coincidente con la “maladministration”, intesa come assunzione di decisioni (di assetto di interessi a conclusione di procedimenti, di determinazioni di fasi interne a singoli procedimenti, di gestione di risorse pubbliche) devianti dalla cura dell’interesse generale a causa del condizionamento improprio da parte di interessi particolari. Occorre, cioè, avere riguardo ad atti e comportamenti che, anche se non consistenti in specifici reati, contrastano con la necessaria cura dell’interesse pubblico e pregiudicano l’affidamento dei cittadini

22 _Art.1 23

nell’imparzialità delle amministrazioni e dei soggetti che svolgono attività di pubblico interesse.

Il D.Lgs. n. 74 del 25 maggio 2017 - Modifiche al decreto legislativo 27 ottobre 2009, n. 150, in attuazione dell’articolo 17, comma 1, lettera r), della legge 7 agosto 2015, n. 124 – la cui entrata in vigore è fissata per il 22 giugno 2017, “ha come obiettivo l’ottimizzazione del lavoro pubblico, garantendo una maggiore efficienza e trasparenza delle pubbliche amministrazioni, introducendo meccanismi del merito e della premialità, norme per la razionalizzazione e integrazione dei sistemi di valutazione, la riduzione degli adempimenti in materia di programmazione e di coordinamento della disciplina in materia di valutazione e controlli interni.

Queste le principali novità del provvedimento:

 il rispetto delle norme in tema di valutazione costituisce non solo condizione necessaria per l’erogazione di premi, ma rileva anche ai fini del riconoscimento delle progressioni economiche, dell’attribuzione di incarichi di responsabilità al personale e del conferimento degli incarichi dirigenziali;

 la valutazione negativa delle performance rileva ai fini dell’accertamento della responsabilità dirigenziale e, in casi specifici e determinati, a fini disciplinari;

 ogni Pubblica Amministrazione deve misurare e valutare la performance con riferimento all’amministrazione nel suo complesso, alle unità organizzative o aree di responsabilità in cui si articola e ai singoli dipendenti o gruppi di dipendenti;

 oltre agli obiettivi specifici di ogni amministrazione, è introdotta la categoria degli obiettivi generali, che identificano le priorità in termini di attività delle pubbliche amministrazioni coerentemente con le politiche nazionali, definiti tenendo conto del comparto di contrattazione collettiva di appartenenza;

 gli Organismi indipendenti di valutazione (OIV), in base alle risultanze dei sistemi di controllo strategico e di gestione presenti nell’amministrazione, dovranno verificare l’andamento delle performance rispetto agli obiettivi programmati durante il periodo di riferimento e segnalare eventuali necessità di interventi correttivi; sono previsti strumenti e poteri incisivi per garantire il ruolo degli OIV, con riferimento al potere ispettivo, al diritto di accesso al sistema informatico e agli atti e documenti degli uffici;

 si riconosce per la prima volta un ruolo attivo dei cittadini ai fini della valutazione della performance organizzativa fornita dai cittadini, mediante la definizione di sistemi di rilevamento della soddisfazione degli utenti in merito alla qualità dei servizi resi;

 nella misurazione delle performance individuale del personale dirigente è attribuito un peso prevalente ai risultati della misurazione e valutazione della performance dell’ambito organizzativo di cui hanno essi diretta responsabilità;

 è definito un coordinamento temporale tra l’adozione del Piano della performance e della Relazione e il ciclo di programmazione economico-finanziaria, introducendo sanzioni più incisive in caso di mancata adozione del Piano;

 sono introdotti nuovi meccanismi di distribuzione delle risorse destinate a remunerare la performance, affidati al contratto collettivo nazionale, che stabilirà la quota delle risorse destinate a remunerare, rispettivamente, la performance organizzativa e quella individuale e i criteri idonei a garantire che alla significativa differenziazione dei giudizi corrisponda un’effettiva diversificazione dei trattamenti economici correlati.” (Altalex, 08)

Capitolo 2. Internal Auditing: un’evoluzione continua

1. Origini dell’attività d’Internal Auditing

Le origini dell’attività d’IA secondo molti autori sembrano essere ignote24

; tuttavia la nascita della revisione esterna in Inghilterra e il proliferare dell’industria ferroviaria negli Stati Uniti d’America (Tettamanzi, 2003) rappresentano il punto di partenza per tutte le successive argomentazioni sulla materia, difatti si può presupporre che già negli anni venti esistesse all’interno di aziende maggiormente strutturate personale interno dedito all’attività di auditing. Formalmente l’avvio dell’attività viene fatta coincidere con la fondazione, nel 1941, dell’Institute of Internal Auditors, a Lake Mary in Florida, col fine di promuovere lo sviluppo della professione dell’internal auditor; oggi conta più di 185.000 membri provenienti da più di 160 paesi del mondo- (The Institute of Internal Auditors, s.d.).

Tuttavia negli anni successivi all’istituzione dell’IIA la revisione interna era ancora percepita come un’estensione strettamente connessa con l’attività dei revisori esterni, assistendoli nella revisione dei rendiconti finanziari o svolgendo funzioni contabili quali riconciliazioni bancarie, svolgendo un ruolo abbastanza modesto all’interno dell’organizzazione, avendo una “responsabilità limitata rispetto al complessivo raggio d’azione manageriale. (Moeller & Witt, Brink’s Modern Internal Auditing, 1999)25

.

Quasi due decenni più tardi la fondazione dell’IIA Brink e Cashin hanno fornito una definizione di audit interno che ha posto le basi per un orientamento operativo (Ramamoorti, 2003) nel quale l’internal audit veniva presentata come un segmento speciale nell’ampio campo della contabilità utilizzando tecniche di base unite al metodo di audit. Il fatto che gli studi commerciali e l’internal auditor utilizzino molto spesso le medesime tecniche porta ad un considerazione errata in riferimento all’attività svolta ed al raggiungimento degli obiettivi

24

“The origin of internal auditing is not known, although its antecedents go back as the first days of

accountability. Merchants and feudal barons realized long ago the need for objective verification of result by subordinates. In the modern era, the railroad companies were probrably among the first to recognize the for internal auditing and to take steps to meet it. Because their activities are widely scattered, the railroads adopted internal auditing as an essential means of controlling their far-flung operations (Lamberti & Thurston, 1953)

25

Nevertheless, in the early years after The IIA was established, internal auditing was still perceived as a

closely related extension of the work of external auditors - they were frequently called upon to assist external auditors in financial statement reviews or perform accounting-related functions such as bank reconciliations. Internal auditors were seen to be playing a fairly modest role within organizations and had only a “limited responsibility in the total managerial spectrum” (Moeller & Witt, Brink’s Modern Internal Auditing, 1999)

finali; la sostanziale differenza consiste nell’andare ad indagare sull’adeguatezza delle rappresentazioni di bilancio attingendo le informazioni da una gamma molto più ampia d’informazioni, le quali a volte non presentano alcuna relazione con i conti esposti in bilancio, ed in aggiunta, l’internal auditor essendo un “company man”26 ha un forte interesse verso tutte le tipologie di operazioni aziendali ed in maniera naturale è estremamente interessato ad offrire il suo contributo al fine di rendere le operazioni più redditizie possibili. (Brink & Cashin, 1958)27

Per quanto riguarda gli standard professionali e le connesse responsabilità, i soggetti maggiormente influenti nella storia dell’IIA sono stati stati senza dubbio Victor Z. Brink e Lawrence B. Sawyer. Victor Z. Brink, considerato pioniere del controllo interno nel XX secolo rivestendo la carica di (primo) direttore di ricerca nell’IIA, è risultato fondamentale per la prima “Dichiarazione di Responsabilità dell’internal auditor” rilasciata nel 1947 chiarendo che anche le materie di natura operativa come l’internal audit sono state trattate da un punto di vista contabile e finanziario. Nel 1957 la “Dichiarazione di Responsabilità dell’internal auditor” è stata notevolmente ampliata includendo numerosi servizi rivolti al management, quali:

 Rivedere e valutare la solidità, l’adeguatezza e l’applicazione della contabilità;

 Verificare l’aderenza a politiche, piani e procedure;

 Verificare la misura con cui le attività aziendali sono contabilizzate e salvaguardate da perdite di ogni genere;

 Verificare l’affidabilità della contabilità e di ulteriori dati sviluppati in rapporto al contesto organizzativo;

 Valutare la qualità delle prestazioni nell’esecuzione delle responsabilità assegnate.

26

inteso come colui che antepone l’azienda a qualsiasi altra cosa (La Repubblica - Dizionari, s.d.)

27_{“Internal auditing thus emerges as a special segment of the broad field of accounting,}

utilizing the basic techniques and method of auditing. The fact that the public accountant and the internal auditor use many of the same techniques often leads to a

mistaken assumption that there is little difference in the work or in ultimate objectives. The internal auditor, like any auditor, is concerned with the investigation of the validity of representations, but in his case the representations with which he is concerned cover a much wider range and have to do with many matters where the relationship to the accounts is often somewhat remote. In addition, the internal auditor, being a company man, has a more vital interest in all types of company operations and is quite naturally more deeply interested in helping to make those operations as profitable as possible. Thus, to a greater extent, management services comes to influence his thinking and general approach.” (Brink & Cashin, 1958)

Nel 1978, a seguito della rapida evoluzione della professione, l’IIA ha approvato gli “Standard per la Pratica Professionale dell’Internal Auditing” aventi le seguenti finalità:

 Assistere e comunicare agli altri il ruolo, l’ambito, le performance e gli obiettivi dell’Internal Auditing;

 Unificare l’attività svolta dall’Internal Auditor in tutto il mondo;

 Incoraggiare una migliore revisione interna;

 Stabilire la base per una coerente misurazione delle operazioni di revisione interna;

 Fornire un mezzo con la quale l’attività di Internal Auditing possa essere riconosciuta come una professione. (Ramamoorti, 2003)

Solo intorno gli anni 1990, a seguito dell’effetto collettivo esercitato dalla crescente complessità e volume delle transazioni che si andavano a generare in un contesto distante dalla posizione organizzativa dei manager, ed il crescente scettiscismo professionale dei soggetti revisori soprattutto per quanto attiene le tecniche contabili, ha portato aziende ad accrescere le competenze tecniche col fine di riesaminare e riassumere le attività aziendali in maniera analitica, creando una funzione aziendale apposita che all’interno dell’organizzazione presentasse le caratteristiche di obiettività ed indipendenza e fosse ‘gli occhi e le orecchie dell’organizzazione’. Partendo da una funzione aziendale interna incentrata principalmente sulla protezione contro la frode aziendale, perdita di denaro e altre attività, l'ambito di revisione interna è stato rapidamente esteso alla verifica di quasi tutte le transazioni finanziarie e ancora più tardi, gradualmente spostato da una ‘revisione per la gestione’ ad una ‘revisione della gestione’ (Reeve, 1986)28

. Nello stesso periodo vengono introdotte modalità di analisi, misurazione, valutazione e segnalazione del rischio aziendale e comincia a farsi

28_{“In sum, the collective effect of growing transaction complexity and volume, the owner/}

manager’s (“principals”) remoteness from the source of transactions and potential bias of reporting parties (“agents”), technical (accounting) expertise required to review and

summarize business activities in a meaningful way, need for organizational status to ensure independence and objectivity, as well as the procedural discipline necessary for being the “eyes and ears” of management all contributed to the creation of an internal audit department within business organizations. Starting as an internal business function primarily focused on protection against payroll fraud, loss of cash, and other assets, internal audit’s scope was quickly extended to the verification of almost all financial transactions, and still later, gradually

moved from an “audit for management” emphasis to an “audit of management” approach” (Reeve,