Unbundling contabile nel settore Energy&Gas: analisi contabile e revisionale

1

Indice

Introduzione ... 4

1. IL SISTEMA DI CONTROLLO INTERNO ... 6

1.1. Definizione ed evoluzione della nozione ... 6

1.2. Obiettivi aziendali e sistema di controllo interno ... 12

1.3. Le componenti del sistema di controllo interno ... 16

1.3.1 L’ambiente di controllo ... 18

1.3.2 Valutazione dei rischi ... 24

1.3.3 Attività di controllo ... 29

1.3.4 Informazione e comunicazione ... 32

1.3.5 Monitoraggio ... 35

1.3.6. L’orientamento al rischio del controllo amministrativo-contabile ... 38

2. IL TESTO INTEGRATO UNBUNDLING CONTABILE (TIUC) ... 42

Introduzione. ... 42

2.1. Unbundling contabile: aspetti generali ... 48

2.1.2. Semplificazione e razionalizzazione degli obblighi informativi ... 53

2.2. Regimi di separazione contabile ... 57

2.2.1. Regime ordinario di separazione contabile ... 57

2.2.2. Attribuzione diretta e indiretta ... 60

2.2.3. Contabilità separata per comparti ... 66

2.3. Il bilancio consolidato unbundling ... 67

2.4. Regime semplificato di separazione contabile ... 71

2.4.1 Tipologia di informazioni da fornire nell’ambito del regime semplificato ... 72

2

2.4.2 Modalità di gestione contabile e amministrativa da seguire nell’ipotesi

di regime semplificato ... 73

2.4.3 Esenzione dall’obbligo di predisposizione e invio all’Autorità dei CAS e del prospetto riepilogativo della movimentazione delle immobilizzazioni 75 2.5. Conclusioni ... 76

3. TECNICHE DI ALLOCAZIONE DI COSTI E DI PRICING: LA CONTABILITÀ REGOLATORIA ... 77

3.1. Introduzione. Il mercato energetico: cenni ... 77

3.2. La contabilità regolatoria ... 81

3.2.1. Principi della Regolazione... 82

3.2.2. Metodologie di valutazione e allocazione dei costi ... 86

3.3. Allocazione dei costi: unbundling contabile nel settore del gas ... 99

3.3.1. Schemi di rendicontazione richiesti ... 99

3.3.2. Processo di determinazione dei costi pieni ... 103

3.4. Conclusioni ... 108

4. LE PROCEDURE DI REVISIONE DEL BILANCIO UNBUNDLING ... 111

Premessa ... 111

4.1. Le procedure di verifica richieste dal TIUC ... 112

4.1.1. Delibera n. 231/2014 e delibera n. 11/07: confronto tra vecchia e nuova delibera ... 112

4.2. Revisione del bilancio unbundling: cenni ... 115

4.2.2. Le procedure di verifica: esempio pratico ... 120

4.2.3. La relazione della società di revisione sull’esame dei conti annuali separati ... 137

4.3. Conclusioni: la strategia di revisione; focus sul rischio aziendale ... 142

4

Introduzione

Il settore Energy & Gas vive oramai da molti anni un processo di graduale liberalizzazione che ha portato un cambiamento delle regole competitive all’interno di alcune fasi della filiera.

Un tempo il settore era caratterizzato da monopoli naturali e dalla consequenziale forte integrazione verticale dei cosiddetti leader di settore.

A partire da metà degli anni Novanta, una forte ondata di liberalizzazioni ha permesso a molti settori verticalmente integrati di aprirsi gradualmente alla concorrenza; si pensi al settore ferroviario ma ancor di più al settore delle telecomunicazioni vero trascinatore sia della libera concorrenza che della susseguente regolamentazione, tariffaria e non, a cui i settori sono soggetti.

Liberalizzazioni che hanno investito anche il settore energia e gas, all’interno del quale troviamo una corposa legislatura che nel corso degli anni ha apportato le necessarie modifiche affinché gli operatori di mercato fossero posti nelle medesime condizioni di competere.

Risale al 22 maggio del 2014 l’ultima deliberazione riguardante il settore dell’energia, la cosiddetta delibera n. 231/2014/R/com, che ha introdotto importanti cambiamenti contabili, semplificazioni nella redazione dei prospetti contabili, esenzioni nonché obblighi per gli operatori di mercato.

Gli operatori sono quindi nuovamente coinvolti nella revisione dell’organizzazione contabile, dei sistemi informativi e dei documenti da conservare a supporto dei dati da produrre all’Autorità.

Alla luce di quanto detto, il presente lavoro verterà principalmente sull’analisi della delibera 231/2014 e sulle implicazioni che la stessa comporta sulle procedure contabili e revisionali.

Il primo capitolo si concentrerà principalmente sulle componenti del sistema di controllo interno, considerato il pilastro della corretta gestione aziendale,

5

analizzate guardando anche alle componenti dei rischi, soprattutto di compliance, che possono gravare sull’organizzazione.

Successivamente nel secondo capitolo andremo ad analizzare nel dettaglio la delibera 231/2014, definita anche TIUC ovvero “Testo integrato unbundling contabile”; dopo un breve excursus storico-normativo sul settore dell’energia, ci soffermeremo sulle regole introdotte dal Tiuc cercando di spiegare dal punto di vista contabile come poter uniformarsi alla normativa.

La terza parte del lavoro è incentrata sulla contabilità regolatoria, si andrà ad analizzare nel dettaglio le componenti della contabilità stessa, attraverso un approccio che richiama sia elementi microeconomici sia elementi di cost Accounting; analizzeremo quale metodologia di allocazione si preferisce utilizzare in questi casi, si parlerà di contabilità a costi storici e a costi correnti, si darà cenno sulla regolazione tariffaria tramite price cap e infine nell’ultimo paragrafo si presenterà un breve caso di allocazione dei costi nel settore gas.

Il lavoro si conclude con l’analisi delle procedure di revisione che le imprese del settore energia devono sostenere. Analizzeremo i principi applicabili alla fattispecie, a cui farà seguito un confronto fra vecchia normativa (11/07) e nuova ed un esempio pratico nel quale verranno analizzati nel dettaglio e punto per punto tutte le fasi del processo di revisione, andando in fine ad effettuare delle conclusioni circa eventuali cambiamenti nel modus operandi ed eventuale incidenza sui costi di gestione.

6

1. IL SISTEMA DI CONTROLLO INTERNO

1.1. Definizione ed evoluzione della nozione

La crescita dimensionale delle imprese e la straordinaria evoluzione dei mercati finanziari hanno richiamato l’attenzione intorno alla Corporate Governance intesa come insieme di istituzioni e regole finalizzate ad assicurare un governo efficace, efficiente ma soprattutto corretto nei confronti dei vari soggetti interessati alla vita dell’impresa.

In Italia i cambiamenti in atto nel nostro ordinamento evidenziano la volontà del legislatore di adattare le regole del sistema produttivo ai più evoluti standard internazionali.

Nei codici di autodisciplina della Corporate Governance l’efficacia del sistema di controllo interno viene indicato come uno dei requisiti di base per raggiungere le best practices.

Le definizioni sul sistema di controllo interno che hanno influenzato considerevolmente i codici di autodisciplina sono di origine anglosassone e riflettono una prassi operativa che si può definire all’avanguardia.

La definizione fornita dal Committee of Sponsoring Organization (CoSO)1_{: “il} sistema di controllo è l’insieme delle direttive, delle procedure e delle tecniche adottate dall’azienda, è un processo attuato dal Consiglio di Amministrazione, dai dirigenti e da altri soggetti della struttura aziendale, finalizzato a fornire una ragionevole certezza sul conseguimento degli obiettivi rientranti nelle seguenti categorie:

 Efficacia ed efficienza2 _{delle attività operative}

 Attendibilità delle informazioni contabili ed extra contabili, sia per terzi, sia per scopi interni

 Conformità alle leggi e ai regolamenti in vigore, alle norme e alle politiche interne”

1 _{Coopers&Lybrand, il sistema di controllo interno, Il Sole 24 ore, Milano, 1997.}

2 _{Per efficacia s’intende la misura del grado di raggiungimento degli obiettivi aziendali, mentre per} efficienza la misura del grado d’impiego delle risorse per il raggiungimento degli obiettivi medesimi. Si veda BRUSA L., sistemi manageriali di programmazione e controllo, Giuffrè, Milano, 2000.

7

Il principio di revisione n. 400 definisce il sistema di controllo interno come: “rappresentato dalle linee d’azione e dalle procedure (controlli interni) adottate dalla Direzione al fine di favorire il raggiungimento degli obiettivi aziendali e di assicurare una condotta efficiente e ordinata della propria attività; quest’ultima espressione include il rispetto delle politiche aziendali, la salvaguardia dei beni aziendali, la prevenzione e l’individuazione di frodi ed errori, l’accuratezza e la completezza delle registrazioni contabili e la preparazione tempestiva di informazioni contabili affidabili”3_.

Una delle più note definizioni proposta nell’ambito del progetto “Corporate governance per l’Italia” (PCGI) identifica il sistema di controllo interno in “un processo svolto dal CdA, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sul raggiungimento degli obiettivi rientranti nelle seguenti categorie4_:

 L’efficacia e l’efficienza delle attività operative;

 L’attendibilità delle informazioni di bilancio;

 La conformità a leggi e regolamenti5_.”

Date queste definizioni possiamo indicare le caratteristiche principali di un sistema di controllo interno6_:

 Il controllo interno è un processo7_{, ovvero una serie di azioni che riguardano} tutta l’attività aziendale, è un mezzo mirato ad un fine; volto cioè alla minimizzazione del rischio di mancato raggiungimento dell’obiettivo

 È attuato dal consiglio di amministrazione, dal management e da altre persone interne all’azienda. La sua efficacia è funzione di tali soggetti

3 _{Documento n. 400 dei principi di revisione emanati dal Consiglio Nazionale dei Dottori Commercialisti} e dal Consiglio Nazionale dei Ragionieri e raccomandati dalla CONSOB.

4 _{Il sistema di controllo interno nella prospettiva del risk managment, Giuseppe d’onza, Giuffrè editore,} Milano 2008, pag. 19.

5 _{Al progetto corporate governance per l’Italia hanno partecipato esponenti del mondo accademico e} rappresentanti di enti, associazioni e di alcune fra le principali aziende italiane. Come si legge nell’introduzione “Tale progetto intende sviluppare uno studio approfondito e completo che fornisca i lineamenti di un sistema di governo delle società e, in generale, delle aziende italiane che aspiri a connotarsi come il sistema di direzione e controllo più valido nel contesto nazionale”. Cfr. Coopers&Lybrand, Il sistema di controllo interno, op. cit. pag. 15.

6 _{Per il seguente elenco si veda Coopers&Lybrand op. cit. p. 16.}

8

 Il managment e il CdA possono attendersi dal sistema di controllo interno una ragionevole sicurezza, ma non assoluta

 È rivolto alla realizzazione degli obiettivi, riferiti all’intera azienda o ad una sua unità, in una o più categorie che sono distinte ma che si possono sovrapporre.

Dal modello di analisi proposto dal CoSo e dal PCGI8 emergono un insieme di aspetti qualificanti il tema in oggetto.

Un primo aspetto è il riferimento al concetto di sistema; l controllo interno si sviluppa, infatti, attraverso un insieme di elementi materiali e immateriali strettamente integrati che concorrono a favorire il raggiungimento delle suddette categorie di obiettivi.

Un secondo aspetto riguarda l’importanza assegnata alla dimensione immateriale del controllo che comprende un insieme di variabili quali i valori, i principi, gli atteggiamenti, i convincimenti degli uomini d’azienda che attraverso la loro iterazione definiscono il contesto in cui operano i meccanismi del controllo. Un terzo aspetto è costituito dalla dimensione soggettiva del controllo. Essa comprende l’insieme degli attori che progettano la struttura del controllo, la creano e ne danno attuazione e nel corso del tempo monitorano l’efficacia del sistema.9 L’espressione “Sistema di controllo interno” fa ricorso ad uno schema di studio utilizzato di frequente nelle discipline economico-aziendali, poiché l’azienda stessa è definita un sistema.

Un sistema è costituito da un insieme di elementi coordinati tra loro, la cui interazione e complementarietà formano un complesso unitario che presenta delle caratteristiche differenti rispetto al semplice aggregato degli elementi da cui è composto.

Il modello sistemico si adatta allo studio del sistema di controllo interno poiché consente di sottolineare l’interdipendenza dei diversi elementi che lo compongono infatti un eventuale debolezza di una componente si riflette inevitabilmente

8 _{Il modello proposto dal PCGI ricalca, nei suoi elementi di fondo, il framework definito alcuni anni prima} dal CoSo negli stati uniti.

9 _{Il sistema di controllo interno nella prospettiva del risk managment, Giuseppe d’onza, Giuffrè editore,} Milano 2008, pag. 20.

9

sull’affidabilità complessiva del sistema, così come la positiva interazione tra gli elementi costitutivi consente al sistema di controllo interno di rafforzarsi e raggiungere una maggiore efficacia.

Il sistema di controllo interno può essere studiato e ricercato attraverso l’analisi degli elementi che lo compongono. Tra questi individuiamo elementi di struttura e di processo.

Il termine controllo concerne l’attività ispettiva e di vigilanza (concezione anglosassone), in più assume un valore di guida e governo dell’impresa.

Il sistema di controllo interno interessa entrambi le nozioni di controllo:

 Un controllo di tipo ispettivo (ad esempio, la verifica effettuata senza preavviso dagli IA allo scopo di evitare frodi)

 Un controllo come guida per il governo dell’impresa (ad esempio, la verifica del corretto impiego delle risorse finalizzata al raggiungimento degli obiettivi di business)10_.

Ci preme evidenziare che i due concetti di “controllo guida” e di “controllo ispettivo”, sebbene profondamente diversi, non si pongono in maniera antitetica ma tendono a convivere ed integrarsi per favorire lo svolgersi della gestione secondo criteri di maggior economicità11_.

Col trascorrere del tempo, il sistema di controllo interno ha assunto un significato più ampio, fino a costituire elemento principale per una corretta gestione aziendale volta al raggiungimento degli obiettivi stabiliti.

Le ragioni del ruolo di primo piano del sistema di controllo interno sono numerose e, in particolare:

 La più rapida evoluzione del business e la competizione globale

 Il diffuso processo di aggregazione, che induce le imprese, che ricercano maggiori difese nella competizione, ad assumere dimensioni sempre più ampie, non grazie alla crescita interna ma attraverso le acquisizioni, che

10 _{Bava F., Auditing del sistema di controllo interno, Giuffrè, Milano, 2003, p. 10.}

11 _{Il sistema di controllo interno nella prospettiva del risk managment, Giuseppe d’onza, Giuffrè editore,} Milano 2008, pag. 10.

10

impattando fortemente sugli assetti organizzativi può determinare inefficienza nei controlli

 La complessità dell’apparato normativo regolamentare. La direzione deve fare in modo che i comportamenti della propria azienda siano costantemente in linea con i dettami normativi12.

Il termine interno invece, è un’espressione della volontà decisionale dell’azienda e indica un controllo che opera nel tessuto della struttura aziendale a tutela dei vincoli di aderenza agli obiettivi interni, delle condizioni di regolarità formale e sostanziale, a differenza dei controlli esterni che collocandosi al di fuori del sistema aziendale, sono finalizzati a tutelare i soggetti che interagiscono con il sistema aziendale stesso13_.

Il controllo interno è rappresentato da una serie di azioni pervasive connesse alle modalità di gestione delle attività aziendali.

Le attività aziendali delle diverse unità organizzative sono svolte attraverso processi di programmazione, esecuzione e controllo. Il sistema di controllo interno è una parte di tali processi e si integra con essi consentendo loro di funzionare controllandone l’andamento e verificandone la pertinenza. Questa concezione del controllo interno diverge dall’ottica di alcuni osservatori che lo percepiscono come un’attività supplementare, o come un onere necessario, imposto dalle autorità tutorie o da burocrati zelanti. Il sistema di controllo interno è parte integrante delle attività operative ed esiste per fondamentali ragioni economiche. Tale sistema raggiunge il massimo della sua efficacia quando è integrato nell’infrastruttura organizzativa e fa parte della cultura aziendale. Esso dovrebbe essere “integrato” piuttosto che “aggiunto”14_.

Il controllo interno è attuato da soggetti che operano all’interno dell’azienda sotto la responsabilità del Consiglio di amministrazione.

12 _{Bava F., Il sistema di controllo interno: le componenti di struttura, Amministrazione & Finanza n.} 10/2004.

13 _{Bava F., Il sistema di controllo interno: le componenti di struttura, Amministrazione & Finanza n.} 10/2004.

11

Ad esso spetta il compito di stabilire le linee d’indirizzo per il sistema di controllo interno e la gestione dei rischi aziendali, nonché di verificare periodicamente il funzionamento del sistema, grazie al supporto di altri organi aziendali come il Comitato per il controllo interno. Gli organi di controllo devono essere liberi da vincoli gerarchici, al fine di evitare interferenze con la loro autonomia di giudizio15_.

Il corretto funzionamento del sistema può essere valutata misurando il livello di raggiungimento degli obiettivi che si propone di conseguire; il sistema si potrà ritenere correttamente funzionante qualora il managment riesca ad ottenere un soddisfacente grado di conseguimento degli obiettivi aziendali in termini di efficacia ed efficienza, una corretta rappresentazione nell’informativa di bilancio ed il rispetto delle leggi e regolamenti16.

15 _{Bava F., Il sistema di controllo interno: le componenti di struttura, Amministrazione & Finanza n.} 10/2004.

16 _{Bava F., Il sistema di controllo interno: le componenti di struttura, Amministrazione & Finanza n.} 10/2004.

12

1.2. Obiettivi aziendali e sistema di controllo interno

Il manager aziendale deve fissare gli obiettivi della gestione, al fine di consentire all’azienda di svolgere la sua funzione principale, ovvero il soddisfacimento dei bisogni dell’uomo17_.

Dal punto di vista delle imprese tale funzione si realizza attraverso il soddisfacimento della domanda di mercato.

Per poter far questo ogni impresa si dota di una mission18, supportata da una strategia volta a conseguirla. Il managment aziendale deve, infatti, definire gli obiettivi strategici al fine di consentire all’azienda di supportare la propria mission. Gli obiettivi possono riferirsi all’azienda, oppure a singole attività. Sebbene molti di essi siano specifici di una determinata realtà aziendale, è possibile individuare alcuni obiettivi, o meglio classi di obiettivi, comuni a tutte le imprese; in particolare:

 Obiettivi operativi: relativi all’impiego efficace ed efficiente delle risorse aziendali; intesa come il rafforzamento delle condizioni su cui si basa la redditività di breve e medio/lungo periodo dell’azienda;

 Obiettivi di reporting: relativi alla redazione e pubblicazione di reporting affidabili; ovvero l’efficacia ed efficienza delle informazioni prodotte dal sistema informativo e destinate a soggetti interni o esterni alla combinazione produttiva;

 Obiettivi di compliance: relativi all’osservanza da parte di un’azienda di leggi e regolamenti in vigore in un determinato territorio.

L’economicità19 _{è qui considerata come un concetto poliedrico ed articolato che} deriva dalla combinazione di alcuni obiettivi particolari. Tali obiettivi sono

17 _{La funzione strumentale dell’impresa è definita da FERRERO G., Impresa e management, Giuffrè,}

Milano, 1987, pag. 5: “essa consiste infatti nel produrre beni e servizi destinati al consumo sia esso intermedio o finale e quindi nel produrre beni economici atti al soddisfacimento di bisogni umani.

18 _{Mission: è un’indicazione molto ampia degli scopi che l’impresa persegue, in genere essa individua}

grandi aree di azione nel campo economico e sociale. Di solito non serve per orientare la gestione e quindi non ha un significato pratico immediato. PELLICELLI G., Strategie e pianificazione nell’imprese, Giappichelli, Torino, 1992, pag. 22.

19_{L’economicità è definibile come “l’attitudine della gestione a remunerare, con i ricavi, alle condizioni}

richieste dal mercato tutti i fattori produttivi onde l’azienda abbisogna perché possa avere vita continua e conveniente sviluppo”, ONIDA P., Economia d’azienda, Volume IX, pag. 58.

13

l’efficienza, l’efficacia, l’economicità particolare e la salvaguardia del valore delle risorse.

Per efficienza s’intende, come noto, la capacità dell’azienda di riuscire a massimizzare la relazione fra le risorse impiegate ed i risultati conseguiti. L’efficacia fa riferimento alla possibilità di riuscire a conseguire gli obiettivi che l’organizzazione si è data, mentre l’economicità particolare riguarda la fase di acquisizione dei fattori produttivi che dovrebbe avvenire nelle migliori condizioni possibili.

Nell’obiettivo operativo accogliamo anche il concetto di salvaguardia delle risorse aziendali, in quanto a connotazione che si intende dare al concetto di salvaguardia non è solo quello di preservare le attività materiali da frodi o eventi accidentali, ma va inteso nel senso più ampio del significato di monitoraggio e di sviluppo del potenziale vantaggio competitivo associabile al portafoglio di risorse e competenze dell’azienda20_.

Per quanto riguarda gli aspetti di efficienza ed efficacia delle informazioni, l’efficienza può esser vista nel rapporto input/output fra il costo della produzione dell’informazione ed il benefizio che essa ottiene.

L’efficacia tende ad assumere un differente significato a seconda che si considerino le informazioni avente destinazione esterna o interna alla combinazione produttiva.

Per quanto riguarda le informazioni destinate all’esterno e contenute nel bilancio, potremmo parlare di attendibilità delle informazioni in rapporto alle norme che disciplinano la redazione del documento di rendiconto21_.

20 _{Negli studi sul controllo, tale obiettivo si fa rientrare generalmente nell’area di presidio del sistema di} controllo amministrativo contabile in quanto la salvaguardia è tipicamente intesa come protezione dell’integrità fisica delle risorse materiali da rischi di furti, frodi, sottrazioni indebite, ecc. per un approfondimento si veda VIGANO A., DE CICCO R., La revisione del bilancio di esercizio. L’approccio economico aziendale alla revisione del bilancio destinato a pubblicazione, Giuffrè editore, Milano 1983, p. 162 e seguenti.

La collocazione della salvaguardia delle risorse in questa prima categoria di obiettivi, come vedremo di seguito, si spiega in virtù del ruolo che oggi giorno le risorse e le competenze aziendali rivestono come fattori per il conseguimento di vantaggi competitivi e reddituali dell’impresa rispetto ai suoi concorrenti. 21 _{Il sistema di controllo interno nella prospettiva del risk managment, Giuseppe d’onza, Giuffrè editore,} Milano 2008, pag. 26.

14

Considerando il terzo obiettivo, esso è inteso in senso allargato e comprende la conformità delle decisioni e delle azioni non soltanto alle leggi ed ai regolamenti di emanazione pubblica ma anche all’insieme delle regole che l’azienda di sua iniziativa si impegna a rispettare22.

Questa classificazione consente di studiare differenti aspetti del controllo interno. Le categorie, separate ma connesse tra di loro, dato che un obiettivo può essere comune a più categorie, riguardano differenti aspetti della gestione e possono essere di competenza di più dirigenti23_{. Attraverso questa classificazione è} possibile individuare cosa ci si attende da ciascuna categoria di controllo.

Il sistema di controllo interno inoltre fornisce una ragionevole sicurezza sul raggiungimento degli obiettivi relativi alle categorie di affidabilità delle informazioni ai fini di report e della compliance a leggi e regolamenti; in quanto il raggiungimento di questi obiettivi è ampiamente sotto il controllo aziendale, dato che dipendono dal modo in cui si svolgono le attività nell’ambito del controllo interno.

Al contrario, la realizzazione degli obiettivi di economicità, come, per esempio, il ritorno sul capitale investito (ROI) o la quota di mercato, non sempre rientrano nella sfera del controllo aziendale, in quanto l’azienda è anche soggetta ad eventi esterni che non sono sotto il suo controllo. Il sistema di controllo interno non può impedire quindi non può impedire che si formino giudizi di valore errati, che si prendano decisioni sbagliate o che appunto eventi esterni pregiudichino il

22 _{Zanda in merito alla correttezza gestionale si esprime nei seguenti termini, essa è intesa:}

a) Rispondenza dello stato e degli enti pubblici, alle disposizioni statuarie e regolamentarie e organizzative delle singole aziende;

b) Compatibilità delle operazioni di gestione con la sicurezza, la libertà e la dignità delle persone che lavorano in azienda;

c) Compatibilità della condotta societaria con gli interessi degli stakeholders e in particolare degli investitori attuali in posizione di minoranza;

d) Rispondenza della gestione all’esigenza di salvaguardare l’integrità del patrimonio sociale. ZANDA G., Sistema di controllo interno ed internal auditing, in Rivista italiana di Ragioneria ed economia aziendale, vol. 1, anno 2002, pag. 85.

23 _{Queste tre macrocategorie presentano un insieme di legami che ne evidenziano la stretta} interconnessione: il rispetto delle norme è, ad esempio, una condizione necessaria per evitare danni reputazionali che potrebbero riflettersi sull’economicità della gestione, così come l’accuratezza delle informazioni divulgate all’esterno è indispensabile sia per instaurare un rapporto fiduciario con gli stakeholders che è necessario per attrarre le risorse finanziarie e gli altri fattori produttivi, sia per adempiere a quanto previsto dalle norme di legge.

Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano 2008, pag. 27.

15

raggiungimento degli obiettivi operativi. Tuttavia esso fa accrescere la possibilità che il managment e il Consiglio di Amministrazione siano tempestivamente informati sulla misura in cui l’azienda stia perseguendo i suoi obiettivi24_.

La gestione aziendale è, infatti è minacciata da quei rischi che non sono eliminabili dal sistema di controllo interno, i cosiddetti rischi residui.

Un efficace sistema di controllo interno influenza attraverso la gestione dei rischi, il grado di raggiungimento degli obiettivi aziendali di economicità, attendibilità delle informazioni e di conformità.

Il sistema di controllo interno, rappresentato dall’asse orizzontale, si frappone tra gli obiettivi e i risultati della gestione, come uno strumento di gestione dei rischi. Alcuni rischi possono essere eliminati attraverso il sistema di controllo interno, altri invece possono essere ridotti a rischi residuali cui è soggetta la gestione aziendale25_.

24 _{Coopers&Lybrand op. cit. p. 19.}

25 _{Bava F., Il sistema di controllo interno: le componenti di struttura, Amministrazione & Finanza n.} 10/2004.

16

1.3. Le componenti del sistema di controllo interno

Coopers & Lybrand, Il sistema di controllo interno, Il Sole 24 ore, Milano, 1997.

Il sistema di controllo interno è composto da cinque compenti interconnesse tra di loro secondo i criteri espressi dal CoSO Report che individua i seguenti elementi:

 Ambiente di controllo: rappresenta il contesto nel quale operano gli individui nell’organizzazione, compreso le qualità individuali, integrità, valori etici e competenze.

 Valutazione dei rischi: processo di valutazione e gestione dei rischi aziendali

 Attività di controllo: politiche e procedure elaborate ed applicate affinché i provvedimenti voluti dal managment per ridurre i rischi siano efficacemente implementati

 Informazione e comunicazione: la corretta gestione dell’informazione al fine di una corretta attività operativa e controllo aziendale

17

 Monitoraggio: attività di verifica del funzionamento del sistema di controllo interno al fine di individuare eventuali miglioramenti da apportare al sistema di controllo.26

Il controllo interno dunque non è un processo sequenziale, bensì un processo interattivo e multidimensionale nel quale ogni componente influisce sulle altre indipendentemente dalla sequenza del processo.

Le componenti del sistema di controllo interno possono essere classificate in due categorie:

 Componenti di struttura

 Componenti di processo

Le prime sono riferibili al contesto organizzativo, riguardano l’ambiente di controllo e l’informazione e comunicazione. Tale contesto trae origine dalle scelte compiute dall’Alta direzione riguardo la definizione della struttura organizzativa, il sistema informativo, il controllo di gestione, i flussi informativi.

Tali elementi condizionano il sistema di controllo interno sia dal punto di vista dell’efficacia del sistema stesso, sia dal punto di vista della definizione di alcuni elementi del processo come la valutazione dei rischi e la definizione delle attività di controllo.

Le componenti di processo sono costituite dalla valutazione dei rischi, attività di controllo e monitoraggio. Sono posti in essere al fine di consentire al sistema di effettuare una efficace gestione dei rischi e consentire il raggiungimento degli obiettivi e il mantenimento dell’efficacia27_.

26 _{Bava F., Devalle A., Collegio sindacale: la vigilanza sull’assetto organizzativo amministrativo e}

contabile” Amministrazione & Finanza n. 15-16/2006.

18

1.3.1 L’ambiente di controllo

L’ambiente di controllo è l’ambito all’interno del quale il sistema di controllo viene progettato e successivamente monitorato.

L’ambiente di controllo esercita un’influenza profonda sul modo in cui le attività sono progettate, gli obiettivi stabiliti e i rischi valutati; inoltre esso influisce sulle attività di controllo, sui sistemi informativi e sul monitoraggio.

L’ambiente di controllo risente dei valori e dei principi individuali e della cultura aziendale ed influenza le caratteristiche strutturali e le modalità di funzionamento del sistema di controllo interno28_.

Costituisce la base di tutte le componenti del sistema di controllo interno e a sua volta esso stesso è costituito da degli elementi.

Integrità e valori etici: gli obiettivi di un’azienda e le metodologie utilizzate per raggiungerli sono basate su priorità, giudizi di valore e stile di managment. Questi si traducono in un codice di condotta che riflette l’integrità e i valori etici dell’Alta direzione.

L’efficacia delle procedure di controllo è funzione dell’integrità e dei valori etici del personale preposto all’attuazione e funzionamento del sistema di controllo interno e incidono in maniera significativa sulla progettazione, attuazione e monitoraggio delle altre componenti del sistema di controllo.

La Commissione Treadway afferma che “un ambiente fortemente governato dall’etica a tutti i livelli gerarchici è vitale per il benessere dell’organizzazione, delle persone e delle aziende rientranti nel suo d’influenza e del pubblico in genere. L’etica contribuisce in modo rilevante all’efficacia delle politiche e dei sistemi di controllo messi a punto da un’azienda e influisce sui comportamenti che sfuggono ai sistemi di controllo, per quanto gli stessi siano sofisticati”29_.

L’etica e l’integrità dei dirigenti sono frutto della cultura aziendale. Questa include le norme etiche e di condotta, come ad esempio i metodi per comunicare e rinnovare le stesse nella pratica. Formalizzando le politiche il manager palesa la sua volontà. La cultura aziendale determina ciò che realmente avviene, quali regole

28 _{Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano} 2008, pag. 65.

19

vengono applicate, escluse o non rispettate. Nella formazione della cultura aziendale, un ruolo di primo piano è svolto dall’Alta direzione, a partire dal Ceo. Questi infatti rappresentano le personalità dominanti e di riferimento di un’azienda, definendone spesso il carattere etico.

Sono loro infatti che attraverso il buon esempio e la comunicazione verbale dei valori e norme di condotta contribuiscono a rafforzare l’eticità dell’azienda nel suo complesso.

Molto spesso però la semplice formalizzazione dei codici di condotta, non è sufficiente a garantire una condotta etica. Studi infatti hanno dimostrato che certi fattori legati all’organizzazione potrebbero incidere sulla probabilità di manifestazione di condotte fraudolente o anti etiche. Le spinte verso tali pratiche fraudolente possono derivare ad esempio:

 Focalizzazione sui risultati di breve termine

 Sistemi incentivanti calcolati in proporzione dei risultati raggiunti

 Controlli inesistenti, inefficaci o scarsa suddivisione dei compiti

 Un consiglio d’amministrazione inefficace, che esercita una blanda attività di supervisione30.

Per poter ridurre quindi tali comportamenti una soluzione potrebbe essere l’elaborazione di obiettivi realistici; metodologia che porta ad una migliore motivazione, grazie alla riduzione dello stress e della tentazione di falsificare le informazioni economico finanziarie.

Consiglio d’amministrazione e competenza del personale: l’ambiente di controllo e la cultura aziendale abbiamo detto esser fortemente influenzati dal CdA e audit committee. La loro esperienza, levatura morale, la loro indipendenza, impegno e rigore morale, sono fattori rilevanti dell’ambiente di controllo. Per la sua importanza, un Consiglio d’amministrazione costituisce un fattore critico dell’efficacia del sistema di controllo interno; ed è per questo che esso dovrebbe esser composto in parte da amministratori indipendenti, o la maggioranza da amministratori non esecutivi, affinché essi possano esaminare accuratamente le

20

attività del managment, presentare un altro punto di vista, reagire con coraggio nei confronti di comportamenti non corretti.

In assenza di un impegno attivo e di un atteggiamento favorevole dell’altra direzione alla creazione di sistemi di controllo che siano adeguati e concretamente attuati, tale sistema è destinato a presentare delle carenze nelle sue caratteristiche strutturali e/o nelle sue modalità di funzionamento31_.

La competenza invece deve riflettere le conoscenze e le capacità necessarie per svolgere le mansioni richieste a ogni singola posizione. Il livello qualitativo richiesto per una singola operazione viene stabilito dal managment, in funzione degli obiettivi da raggiungere. Il managment deve precisare quindi i livelli di competenza richiesti per una particolare mansione e tradurli in termini di conoscenze e capacità32.

Struttura organizzativa e filosofia e stile di direzione: la struttura organizzativa di un’azienda fornisce il quadro di riferimento nel quale le attività aziendali sono pianificate, eseguite, controllate e monitorate.

Essa condiziona il grado di efficacia del controllo amministrativo-contabile, in quanto una struttura organizzativa non adeguata, sia sotto il profilo quantitativo sia in termini di competenze e di skill necessari per gestire la complessità dei processi amministrativi e gestionali, può essere la causa di inesattezze e di errori contenuti nei documenti contabli33_.

Con riferimento agli organi di controllo, le scelte riconducibili alle variabili organizzative definiscono la collocazione dell’organo di controllo interno nell’organigramma aziendale, le deleghe attribuite, i soggetti a cui devono riferire i responsabili del controllo.

31 _{Cfr. Marden R.E, Holstrum G.L., Scheneider S.L., Control enviroment condition and the interaction} between Control Risk, Account type and Management’s Assertion, in Auditing&Journal of Prictice&Theory, Vol. 16, No. 1, Spring 1997.

32 _{Si deve tener presente, infatti, che sono gli uomini d’azienda che progettano i controlli, monitorano il} loro funzionamento, talvolta ne danno attuazione e, pertanto, l’impegno e la dedizione, unitamente alla competenza e alla professionalità dei soggetti aziendali, risulta determinante per la funzionalità del sistema in esame.

Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano 2008, pag.183.

33 _{Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano} 2008, pag. 67.

21

La struttura organizzativa rappresenta una costruzione formale, definita dall’Alta direzione, alla quale di solito se ne affianca una informale, derivante dai vari processi e metodologie “di fatto” applicate ed operanti in azienda34_.

L’obiettivo principale infatti è la riduzione dell’aleatorietà dei comportamenti, al fine di conferire e accrescere la capacità di coordinamento dell’organizzazione. La struttura deve essere chiaramente formalizzata soprattutto per quanto attiene:

 Attribuzione di responsabilità

 Linee di dipendenza gerarchica

 Descrizione e separazione dei compiti aziendali35

L’adeguatezza della struttura organizzativa dipende in parte anche dalla dimensione aziendale e dalla natura delle operazioni svolte. Una struttura strutturata con livelli gerarchici e responsabilità rigorosamente stabilite, ben si adatta ad una azienda di grosse dimensioni con sedi anche all’estero. Tuttavia, tale struttura imposta ad una Pmi può portare solo inefficienze e ad ostacolare i flussi informativi. In definitiva quindi qualunque sia la dimensione dell’organizzazione, la struttura e le attività dovranno essere organizzate in modo tale da facilitare l’attuazione delle strategie per conseguire gli obiettivi.

Attribuzione di poteri e responsabilità e gestione del personale: questo aspetto riguarda l’attribuzione di poteri e responsabilità per le attività operative, la definizione delle linee gerarchiche che consentono la fruizione da parte dei responsabili dei vari livelli dei flussi informativi.

Questo aspetto riguarda però anche il modo in cui gli operatori aziendali sono incoraggiati nel prendere iniziative volte a risolvere i problemi che si manifestano, come anche i limiti imposti a loro poteri.

In uno scenario ambientale complesso e perturbato come quello odierno, il sistema di controllo interno, in qualità di meccanismo operativo volto a favorire il

34 _{Bava F., op. cit. Amministrazione & Finanza n. 10/2004.}

22

conseguimento dei suddetti obiettivi non può prescindere dalla dimensione comportamentale36_.

Per favorire una maggiore economicità gestionale è necessario, infatti, analizzare le variabili che determinano il comportamento degli individui coerenti con le mete che l’azienda ha definito37_.

La delega dei poteri implica che il controllo centrale abbandoni certe decisioni operative trasferendole ai livelli più bassi, ovvero al personale più vicino alle operazioni quotidiane. La delega deve essere attuata solo nei limiti degli obiettivi da realizzare. Per far questo, si deve assicurare che il processo decisionale sia basato su una corretta pratica di gestione e riduzione dei rischi, incluso il raffronto tra costi e benefici, al fine di assumere le migliori decisioni per l’azienda.

Un’altra difficoltà è di esser certi che tutto il personale comprenda gli obiettivi dell’organizzazione. È importante che ogni individuo sia consapevole dei legami esistenti tra le sue azioni e quelle degli altri e del contributo che il proprio operato apporta alla realizzazione degli obiettivi38.

Le politiche di gestione delle risorse umane servono invece anche per comunicare al personale il livello d’integrità, di comportamento e di competenza richiesto dall’azienda39_{. Queste politiche comprendono le assunzioni, gestione delle} carriere, formazione, valutazione del personale, promozioni, remunerazioni e azioni correttive.

Quindi in conclusone possiamo osservare che l’aver posto l’ambiente di controllo alla base del sistema significa riconoscere primaria importanza, dunque, alla

36 _{Airoldi definisce i sistemi operativi come “sottosistemi di compiti, di loro modalità di svolgimento e di} tecniche individuate con riferimento a funzioni (osservabili in termini di processi) tipicamente trasversali o diffusi rispetto all’articolazione dei compiti e degli organi definiti dalla struttura organizzativa” Airoldi G., I sistemi operativi, Milano, Giuffrè, 1980, pag. 19.

37 _{L’orientamento dei singoli individui verso il raggiungimento degli obiettivi aziendali necessita della} presenza di una relazione positiva fra il raggiungimento degli obiettivi aziendali e il conseguimento degli obiettivi personali del dipendente. L. Marchi, A. Quagli, Il quadro di controllo delle imprese industriali, Maggioli editore, Rimini, 1997, p. 16.

38 _{Il fatto che il personale riconosca che può essere ritenuto responsabile ha una grande influenza} sull’ambiente di controllo. Ciò è vero a tutti i livelli gerarchici, fino al capo esecutivo che, in ultima istanza, è responsabile di tutte le attività svolte da un’azienda, comprese quelle di controllo interno. Coopers&Lybrand, Il sistema di controllo interno, Il Sole 24 Ore editore, Milano, 1997, pp. 38-39. 39 _{Pertanto il sistema di controllo interno potrà essere efficace solo se si innesta in un contesto in cui i} comportamenti si uniformano a valori quali la correttezza, l’onestà e il rispetto delle regole. Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano 2008, pag. 181.

23

dimensione immateriale del controllo e, al tempo stesso, assegnare al fattore umano un ruolo di primo piano, determinante per il corretto funzionamento del sistema di controllo interno.

24

1.3.2 Valutazione dei rischi

Tutte le aziende, indipendentemente dalla loro dimensione, struttura, natura delle operazioni e mercato di riferimento nel corso della loro gestione dovranno affrontare dei rischi.

I rischi possono inficiare la sopravvivenza dell’azienda stessa, compresa la sua capacità di competere, la sua immagine, i risultati economico finanziari. In effetti il rischio è insito nella combinazione produttiva; spetta quindi al managment determinare il livello di rischio accettabile e impegnarsi per mantenerlo tale. Il managment come primo passo deve fissare gli obiettivi aziendali prima di poter procedere all’analisi dei rischi. La determinazione degli obiettivi quindi è un passo fondamentale del processo manageriale che pure non essendo una componente del sistema di controllo interno è un presupposto e supporto.

Gli obiettivi possono essere indicati esplicitamente oppure sottointesi; a livello d’impresa sono spesso rappresentati in termini di mission e di valori. Questi obiettivi di carattere generale consentono di definire la strategia complessiva dell’azienda.

Obiettivi più specifici, relativi alle singole attività, discendo dagli obiettivi generali e sono collegati ed integrati con quest’ultimi.

Gli obiettivi si possono raggruppare in alcune grandi categorie40_:

 Obiettivi operativi: riguardano l’efficacia e l’efficienza delle attività operative aziendali, inclusi i livelli di perfomance, di redditività e di protezione delle risorse da eventuali perdite. Variano in funzione delle scelte operate dal managment circa la struttura e i livelli di perfomance

 Obiettivi di attendibilità delle informazioni: riguardano la redazione di report attendibili e la prevenzione da falsificazioni delle informazioni di bilancio pubblicate.

 Obiettivi di conformità: riguardano l’osservanza di leggi e regolamenti applicabili all’azienda. Il modo in cui l’azienda osserva leggi e regolamenti può influire sulla sua reputazione

25 Obiettivi operativi.

Gli obiettivi operativi sono legati alla realizzazione della mission aziendale. È necessario che questi riflettano l’ambiente micro-macro economico in cui l’azienda opera. Il managment deve assicurarsi che gli obiettivi siano reali ed espressi nei giusti termini al fine di consentire la valutazione delle perfomance. Questi obiettivi infatti rappresentano un punto focale per la corretta allocazione delle risorse.

Obiettivi di attendibilità delle informazioni.

Questi obiettivi riguardano le informazioni, che devono essere accurate, complete e coerenti coi fini perseguiti dai report. La redazione di bilanci attendibili è una condizione preliminare per ottenere capitali da investitori privati e non, oltre ad essere fondamentali per eventuali relazioni con stakeholder particolari.

Il termine attendibilità implica che i bilanci siano predisposti in modo veritiero e corretto41 _{e in conformità con i principi contabili di generale accettazione.}

Obiettivi di conformità.

Le aziende devono condurre le loro attività e assumere provvedimenti particolari in osservanza alle leggi e regolamenti. Questi obblighi possono riferirsi ad esempio al mercato, ai prezzi, alle imposte, alla previdenza sociale e al commercio in generale.

Le leggi e i regolamenti stabiliscono standard minimi di comportamento, che l’azienda dovrà assumere quando determinerà i propri obiettivi di conformità. Il modo in cui un’azienda è conforme alle leggi e regolamenti può incidere in maniera positiva o negativa sulla propria immagine che esporta alla comunità economica e al segmento o settore di appartenenza.

41 _{L’espressione “in modo veritiero e corretto” significa che:}

 “I principi contabili selezionati e applicati sono di generale accettazione  I principi contabili sono adeguati alle circostanze

 Il bilancio fornisce informazioni relative ai fattori che possono incidere sul suo utilizzo, comprensione e interpretazione

 Le informazioni fornite sono classificate e sintetizzate in modo ragionevole, cioè, non sono né troppo dettagliate, né troppo sintetiche

 Il bilancio riflette le sottostanti transazioni ed eventi in modo che la situazione patrimoniale, i risultati della gestione e i flussi di cassa siano presentati con un margine d’errore accettabile, cioè ragionevole”.

26

A queste categorie si sovrappone solitamente una quinta classe di obiettivi che alcune aziende denominano salvaguardia delle risorse. Tale categoria si riferisce a tutto ciò che è finalizzato a prevenire perdite di attività patrimoniali o di risorse, dovuti a furti, sprechi, inefficienze o tutto ciò che può esser riferito alla cattiva gestione.

Come scritto in precedenza, la determinazione degli obiettivi costituisce una fase essenziale per un sistema di controllo interno efficace. Gli obiettivi costituiscono dei traguardi misurabili verso i quali l’azienda si dirige nel gestire le sue attività42_. L’azienda potrebbe esser certa di raggiungere non tutti ma alcuni degli obiettivi prefissati.

Questa ragionevole sicurezza si raggiunge nel caso degli obiettivi di attendibilità delle informazioni e di conformità, in quanto il raggiungimento di questi obiettivi è sotto il controllo dell’azienda.

Diverso è il caso degli obiettivi operativi dato che il raggiungimento di questi dipende solo in parte dall’azienda stessa, essendo soggetta anche all’influenza di eventi esterni43_.

Lo scopo del controllo interno in quest’area mira soprattutto ad assicurare la coerenza degli obiettivi delle varie aree aziendali, a identificare i fattori critici di successo e a comunicare nei tempi e modi dovuti all’Alta direzione le perfomance raggiunte. Così facendo il managment ha la ragionevole sicurezza di esser informato qualora ci sia uno scostamento negativo rispetto agli obiettivi prefissati. Definiti gli obiettivi, il secondo passo riguarda l’analisi dei rischi. Essa si sostanzia in un processo continuo ed iterativo e, costituisce un elemento chiave per un sistema di controllo interno efficace.

Il managment deve individuare attentamente i rischi in ogni area e ad ogni livello aziendale, prendendo provvedimenti per attenuarli.

42 _{Associazione Italiana Internal Auditors; Price Waterhouse Coopers, La gestione del rischio aziendale.} Erm - Enterprise risk management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore p. 44

43 _{Per esempio, può accadere che a parità di perfomance della stessa azienda, ci sia un competitor con una} perfomance migliore o si pensi a cattive condizioni metereologiche, a un cambio di governo, all’emanazione di una nuova legge. Tutti eventi esterni che possono essere ponderati e attenuati attraverso la programmazione, ma che non garantisce il raggiungimento di detti obiettivi.

27

I risultati di un’azienda possono essere a rischio a causa di fattori esterni o interni; questi possono influire sugli obiettivi, sia essi impliciti o espliciti. Per questo, indipendentemente dalla tipologia di obiettivo l’analisi e valutazione dei rischi dovrà prendere in considerazione tutte le tipologie di rischio.

Per poter individuare le varie categorie di rischio, è fondamentale analizzare i fattori che possono influenzare la perfomance aziendale. Inizialmente, il managment considera una serie di eventi potenziali a livello globale (originati sia da fonte esterna che interna).

I fattori esterni sono qui elencati44_:

 Economia: oscillazione dei prezzi, disponibilità di capitali, barriere all’entrata

 Ambiente: inondazioni, incendi e terremoti

 Politica: nomine di nuovi governi, nuove leggi che impongono vincoli di accesso o liberalizzazioni

 Sociale: cambiamenti demografici, dei costumi sociali, vita e qualità del lavoro

 Tecnologia: nuove tecniche di commercio, aumento domanda servizi tecnologici, riduzione dei costi di struttura.

Gli eventi sono anche originati dalle scelte fatte dal managment, in particolare sul modo in cui opereranno in futuro.

Accanto ai fattori esterni, vi sono anche fattori interni come ad esempio45:

 Infrastrutture: investimenti aggiuntivi, programmi di manutenzione

 Personale: infortuni sul lavoro, scadenza contratti collettivi o dimissioni del personale

 Processi: modifiche dei processi senza adeguato cambiamento dei protocolli gestionali, errori svolgimento dei processi, errori nella consegna delle merci

44 _{La gestione del rischio aziendale: ERM- Enterprise Risk Managment: un modello di riferimento e alcune} tecniche applicative, edizione italiana a cura di Associazione Italiana Internal Auditors e PriceWaterHouse Coopers, Il Sole 24 Ore, Milano, p.48.

45 _{La gestione del rischio aziendale: ERM- Enterprise Risk Managment: un modello di riferimento e alcune} tecniche applicative, edizione italiana a cura di Associazione Italiana Internal Auditors e PriceWaterHouse Coopers, Il Sole 24 Ore, Milano, p. 49.

28

 Tecnologia: violazioni della sicurezza e potenziali interruzioni dell’operatività dei sistemi.

I rischi devono essere valutati non solo a livello globale, anche a livello di singola attività. Gestire il rischio a livello di attività, permette la valutazione degli stessi sulle principali divisioni, come l’area vendite, la produzione, ricerca e sviluppo e via dicendo.

La valutazione dei rischi a livello di singola attività, contribuisce inoltre a contenere il rischio all’interno della soglia di accettabilità46_.

Per identificare i rischi, sono state sviluppate numerose tecniche, che comprendono metodi qualitativi e metodi quantitativi, volte ad individuare attività ad alto rischio e priorità d’intervento. La scelta del metodo non assume particolare importanza. Ciò che invece importa è che i dirigenti tengano conto attentamente dei fattori che determinano il rischio e il suo aggravarsi47_.

Dopo aver identificato i rischi a livello globale e di singola unità organizzativa, è necessario procedere effettivamente all’analisi degli stessi. Esistono vari metodologie di conduzione di detta analisi; in ogni caso i processi, più o meno formalizzati, si articolano nel seguente modo:

 Valutazione dell’importanza del rischio

 Valutazione della probabilità che il rischio si verifichi

 Considerazioni sul modo in cui il rischio dovrà in seguito esser gestito, ovvero valutazione delle misure che conviene prendere48_.

Un rischio che non abbia un impatto significativo, né un’elevata probabilità di accadimento non richiede un’analisi approfondita; al contrario, un rischio rilevante e con un’elevata probabilità di concretizzarsi dovrà essere valutato molto attentamente.

46 _{Alcune definizioni inerenti la valutazione dei rischi:}

 Risk appetite: riguarda tutta l’azienda, è il massimo grado di rischio che l’azienda è disposta ad accettare.

 Risk tollerance: è il livello di variazione accettabile quando si consegue un obiettivo

Associazione Italiana Internal Auditors; Price Waterhouse Coopers, La gestione del rischio aziendale. Erm - Enterprise risk management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore pp. 45-46.

47 _{Coopers&Lybrand op. cit. p. 57.} 48 _{Coopers&Lybrand op. cit. p. 58.}

29

Una volta valutato l’impatto e la probabilità, il managment dovrà studiare i modi in cui il rischio può essere gestito. A tal fine, dovrà basarsi sul proprio giudizio derivante da ipotesi riguardanti il rischio e su un’analisi razionale dei costi e dei benefici derivanti da tale trattamento. Le misure che possono esser prese per ridurre la significatività e la probabilità del rischio contengono una serie di decisioni gestionali che vanno dall’identificazione delle fonti di approvvigionamento alternative, allo sviluppo di nuovi prodotti, fino al miglioramento dei report gestionali.

È da notare che esiste una differenza tra la valutazione dei rischi, che fa parte del sistema di controllo interno, e i piani e i programmi di gestione dei rischi stessi. Questi ultimi sono una parte fondamentale del processo manageriale, ma non fanno parte del sistema di controllo interno.

1.3.3 Attività di controllo

Le attività di controllo si possono definire come l’applicazione delle politiche e delle procedure che garantiscono al managment che le sue direttive siano attuate. Esse assicurano l’adozione dei provvedimenti necessari per far fronte ai rischi che potrebbero pregiudicare la realizzazione degli obiettivi aziendali.

Queste si possono suddividere in tre categorie in base agli obiettivi perseguiti dall’azienda: controlli operativi, controlli informativi e controlli di conformità a leggi e regolamenti. Questi controlli possono riguardare specificatamente un’area oppure più aree contemporaneamente.

Per massimizzare l’efficienza e l’efficacia del sistema, la progettazione delle attività di controllo dovrebbe partire dagli obiettivi cui tale sistema è finalizzato, svilupparsi attraverso l’individuazione dei rischi che potrebbero minare il loro conseguimento, procedere alla loro valutazione per stabilire quali fra questi è possibile e conveniente fronteggiare attraverso la creazione di meccanismi di controllo49

49 _{Giuseppe D’onza “Il sistema di controllo interno nella prospettiva del risk managment” Giuffrè Editore} p. 185.

30

Le attività di controllo comprendono una vasta gamma di strumenti che possono essere classificati secondo vari criteri; in relazione al momento in cui si realizza il controllo si potrebbero classificare in preventive, concomitanti e successive; diversamente si possono classificare in automatici o manuali; con riferimento all’estensione del controllo si può parlare di verifiche su base campionaria o sull’intera popolazione50_.

Assumono particolare rilievo le attività di controllo sul sistema informativo-contabile. Tali attività sono di solito distinte in controlli specifici e controlli generali51_.

I primi si applicano alla quasi totalità dei sistemi e assicurano il loro corretto funzionamento; esempi di controlli generali riguardano normalmente l’acquisizione e manutenzione del software del sistema, la protezione degli accessi, lo sviluppo e la manutenzione del software applicativo. Questi controlli si applicano a tutti i sistemi, dal mainframe ai minicomputer fino alle stazioni di lavoro individuali52.

I controlli sui sistemi applicativi (o specifici), servono per verificare il funzionamento dei programmi, assicurando la completezza e l’accuratezza delle operazioni aziendali, la loro corretta autorizzazione e validità. Molta attenzione dovrà esser rivolta all’interfaccia o interfacce dell’applicazione, in quanto queste sono spesso collegate con altri sistemi che a loro volta devono essere controllati per assicurarsi che tutte le informazioni da elaborare siano ricevute e distribuite in modo appropriato53_.

Alcuni esempi di controlli applicativi o specifici54 _sono:

50 _{Giuseppe D’onza “Il sistema di controllo interno nella prospettiva del risk managment” Giuffrè Editore} p. 70

51 _{Sulla distinzione fra controlli specifici e generali nell’ambiente IT si vedano, oltre allo stesso Marchi, I} sistemi informativi aziendali, Hinna, Messier, Auditing. Fondamenti di revisione contabile, p. 113. 52 _{Coopers&Lybrand, op. cit., p. 73.}

53 _{Coopers&Lybrand, op. cit. p. 75.}

54 _{Associazione Italiana Internal Auditors; Price Waterhouse Coopers, La gestione del rischio aziendale.} Erm - Enterprise risk management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore pp. 75.

31

 Controllo di quadratura: si possono rilevare riconciliando gli ammontari immessi nel processo elaborativo, sia manualmente che atomicamente, con un totale di controllo;

 Check digit: i dati inseriti sono validati tramite calcolo;

 Elenco di dati predefiniti: consiste nel fornire agli utenti una lista di dati accettabili predefiniti;

 Test di ragionevolezza sui dati: sono comparati i dati rilevati con i livelli di ragionevolezza attuali o frutto di trend storici;

 Test logici: il controllo include l’utilizzo di una serie di limiti o valori o test alfanumerici.

Altre tipologie di attività di controllo riguardano prettamente aspetti operativi55_; esse si possono distinguere in:

 Analisi svolte dall’alta direzione. Le perfomance sono analizzate confrontandole con budget, proiezioni e risultati di periodi precedenti o dei principali competitors

 Gestione delle attività o funzioni. Tutti i responsabili di funzioni procedono con l’analisi delle perfomance

 Elaborazione dei dati. Numerosi controlli vengono eseguiti per verificare l’accuratezza, completezza e corretta autorizzazione delle operazioni

 Controlli fisici. Alcune tipologie di beni come attrezzature, scorti o titoli, sono protetti fisicamente e periodicamente inventariati e confrontati con le risultanze contabili

 Indicatori di perfomance. Analisi comparata di diversi insiemi di dati operativi o finanziari, l’esame delle correlazioni e le successive azioni investigative o correttive costituiscono attività di controllo

 Separazione dei compiti. Al fine di ridurre il rischio di errori e irregolarità, i compiti vengono ripartiti tra più persone.

55 _{Associazione Italiana Internal Auditors; Price Waterhouse Coopers, La gestione del rischio aziendale.} Erm - Enterprise risk management: modello di riferimento e alcune tecniche applicative, Il sole 24 ore pp. 72.

32

1.3.4 Informazione e comunicazione Informazione

Per poter gestire un’azienda e dirigerla verso i suoi obiettivi è necessario che le informazioni siano ampiamente diffuse a tutti i livelli della struttura organizzativa. Le informazioni devono essere rese disponibili tempestivamente per agevolare i processi decisionali e consentire alle persone di assolvere le proprie responsabilità circa il controllo interno56_{. La gestione dei flussi informativi è importante per poter} comunicare la tolleranza al rischio, favorire la comunicazione degli obiettivi, per identificare prontamente i rischi, valutarli accuratamente e infine gestirli.

Quando l’informazione è di qualità, migliora la capacità decisionale e gestionale del managment57. È essenziale che i rapporti informativi contengano i dati necessari per consentire un controllo efficace. La qualità delle informazioni si valuta attraverso58_:

 Contenuto. Appropriato, rilevante e valido

 Tempestività. Informazione è ottenuta nei tempi desiderati

 Aggiornamento. L’informazione è attuale

 Precisa, accurata e affidabile.

 Accessibile. Capacità dell’utente di fare in autonomia determinate analisi. Poiché ottenere le informazioni nei tempi e luoghi dovuti è fondamentale per un buon controllo, anche i sistemi informativi devono essere soggetti al controllo. Il sistema di controllo deve essere inteso non come un vincolo da rispettare, quanto piuttosto come strumento di conforto nell’attività quotidiana svolta dall’impresa59_.

56 _{Viene utilizzata una serie d’informazioni diverse. Le informazioni di natura contabile, per esempio, non} sono impiegate soltanto per la redazione del bilancio destinato ad essere pubblicato e quindi diffuso all’esterno. Sono anche utilizzate ai fini delle decisioni operative, come il monitoraggio della perfomance e l’allocazione delle risorse. Coopers&Lybrand, op cit., p. 84.

57 _{La qualità delle informazioni condiziona il grado di efficienza dei processi di controllo e di gestione dei} rischi. Il managment utilizza infatti i dati e le informazioni per monitorare l’andamento della gestione ed il rispetto degli obiettivi contenuti nei piani e nei programmi. Il sistema di controllo interno nella prospettiva del risk managment, G. D’Onza, Giuffrè editore, Milano 2008, pag. 187.

58 _{Coopers&Lybrand, op. cit., pag. 87.}

59 _{Il sistema informativo funziona qualche volta come strumento di monitoraggio, rilevando in modo} sistematico specifici dati. In altri casi, sono necessari particolari interventi per richiedere le informazioni richieste. Coopers&Lybrand, op. cit., p. 84.

33

In tal senso, ad esempio, l’eventuale richiesta di riconciliazioni periodiche dovrebbe essere considerata dal responsabile non come inutile rallentamento del proprio lavoro a causa delle richieste della direzione, ma come strumento di verifica della correttezza dell’attività svolta e, allo stesso tempo, come strumento di report alla direzione sulla propria capacità ed efficienza nel gestire l’attività oggetto di rendicontazione.

Il sistema informativo può essere formalizzato o non. Le informazioni più preziose sono quelle che consentono di identificare i rischi e le opportunità e spesso queste informazioni sono raccolte nel corso con clienti, fornitori, autorità o personale. Ottenere informazioni corrispondenti ai fabbisogni dell’organizzazione è particolarmente importante quando l’azienda opera i un ambiente in profonda trasformazione, con una concorrenza ad alta capacità innovativa e in rapido movimento e con una domanda che si evolve in modo significativo.

I sistemi informativi sono spesso parte integrante delle attività operative. Essi non solo consentono di ottenere dati necessari al processo decisionale, ma sono in misura sempre maggiore progettati per attuare iniziative strategiche; si pensi a quei Sistemi a supporto delle iniziative strategiche oppure alla loro integrazione con l’attività operativa, come avviene molto spesso con il sistema contabile. Questa integrazione tra sistema informativo e sistema contabile, consente di controllare i processi e di seguire e registrare in tempo reale l’operazione eseguita, consentendo allo stesso tempo di aggiornare i dati economico-finanziari.

Comunicazione

La comunicazione60 _{è una funzione intrinseca ai sistemi informativi, le} informazioni abbiamo detto servono a comunicare in azienda, affinché il personale possa adempiere alle proprie mansioni. Tuttavia la comunicazione deve essere intesa in senso più ampio ed essere estesa ad altri aspetti come le attese e le responsabilità dei singoli e dei gruppi61_.

60 _{La comunicazione, precisa il documento, costituisce “una funzione intrinseca al sistema informativo”,} che contribuisce all’efficace svolgimento delle attività di controllo, dei processi di identificazione e di valutazione dei rischi ed alla diffusione di messaggi volti a promuovere una cultura organizzativa improntata sulla correttezza e sulla legalità dei comportamenti. Coopers&Lybrand, op. cit., p. 88.

61 _{Assume caratteristiche più ampie dell’informazione in quanto coinvolge:}

34

La comunicazione si può dividere in interna ed esterna. Comunicazione interna

Oltre a ricevere informazioni pertinenti alla gestione delle proprie attività, tutto il personale dell’azienda deve ricevere dall’Alta direzione un messaggio chiaro sull’importanza del controllo interno.

Attraverso la comunicazione si dovranno specificare i compiti aziendali. Ogni individuo deve conoscere le peculiarità del sistema di controllo interno, il suo funzionamento, i propri compiti e responsabilità. Senza questa consapevolezza è possibile che sorgano dei problemi.

All’interno dell’organizzazione ognuno deve sapere come la propria attività è collegata a quella degli altri; questa costituisce una condizione necessaria e sufficiente per poter identificare eventuali problemi, stabilirne le cause nonché le relative azioni correttive. Ognuno deve conoscere quali sono i comportamenti idonei, attesi o accettabili, e quali quelli non desiderati62_.

In un’organizzazione, il personale che tratta ogni giorno le operazioni aziendali e affronta ogni giorno i problemi operativi, deve disporre di canali di comunicazione bottom up in quanto è spesso nella migliore condizione per rilevare i problemi nel momento in cui sorgono.

Affinché tali informazioni fluiscano verso l’alto è necessario che l’azienda disponga di canali comunicativi accessibili a tutti, come anche una buona capacità di ascolto da parte del managment poiché chiunque può aver qualcosa da dire. Il personale aziendale deve esser convinto che questo sia il metodo più efficace per risolvere efficacemente i problemi. I responsabili non disponibili a recepire informazioni critiche, sono spesso gli ultimi ad accorgersi che il flusso informativo si è interrotto, aumentando la possibilità che gli effetti dei problemi si aggravino. I molti casi il flusso informativo utilizza canali di comunicazione formali. In alcuni casi però è necessario far ricorso anche a canali di comunicazione alternativi, i

 La comunicazione “non verbale”

 La definizione dei canali di comunicazione in cui veicolare sia messaggi interni che esterni  Definizione dei mezzi più idonei

 La definizione delle responsabilità dei vari soggetti. 62 _{Coopers&Lybrand, op. cit. p. 89.}