La valutazione del sistema di controllo interno nel ciclo delle vendite. Il caso Alfa.

(1)

Università di Pisa

Dipartimento di Economia e Management

Corso di Laurea Magistrale in Strategia, Management e Controllo

Tesi di Laurea

La valutazione del sistema di controllo interno nel ciclo delle vendite.

Il caso Alfa.

Candidato:

Relatore:

Margherita Gubitosa

Prof. D’Onza Giuseppe

(2)

2

INDICE

INTRODUZIONE

3 CAPITOLO 1 – L’evoluzione del sistema di controllo interno

5 1.1. Il sistema di controllo interno nella normativa nazionale e internazionale

5 1.2. La corporate governance e il sistema di controllo interno

10 CAPITOLO 2 – Il modello del Coso Report

14 2.1. Aspetti introduttivi

14 2.2. Il sistema di controllo interno

14 2.3. Gli elementi costitutivi del sistema di controllo interno:

17 2.3.1 Ambiente di controllo

19 2.3.2 Valutazione dei rischi

27 2.3.3 Attività di controllo

39 2.3.4 Informazione e comunicazione

41 2.3.5 Monitoraggio

48 CAPITOLO 3 – Gli strumenti di valutazione del sistema di controllo interno

54 3.1. Il questionario secondo il modello del Coso Report

54 3.1.1. Strumenti di valutazione

55 3.1.2. Scheda di analisi dei rischi e delle attività di controllo

62 3.2. I limiti del sistema di controllo interno

64 3.3. I soggetti coinvolti nel sistema di controllo interno

68 CAPITOLO 4 – L’analisi del sci nel ciclo delle vendite: il caso aziendale

80 4.1 Presentazione dell’azienda Alfa

80 4.1.1 Il modello di business

81 4.1.2 L’analisi del contesto

82 4.1.3 La struttura organizzativa

83 4.1.4 L’analisi del fatturato

86 4.2. Il ciclo delle vendite

92 4.3. Il sci nel ciclo delle vendite dell’azienda Alfa

94 4.4. La valutazione del sci nell’ambito del ciclo delle vendite

115 CONCLUSIONI

128 APPENDICE

130

(3)

3 INTRODUZIONE

Nell’attuale contesto competitivo costituito da continui cambiamenti le imprese di maggiore successo risultano quelle caratterizzate da un’incessante dinamismo, dalla capacità di operare in condizioni di massima efficienza operativa e dalla continua spinta all’innovazione.

Questa situazione ha enfatizzato l’importanza per l’impresa di dotarsi di quegli strumenti che le consentono di essere gestita in maniera efficace ed efficiente.

Il sistema di controllo interno viene visto come uno strumento che consente ai dirigenti di fronteggiare la rapida trasformazione degli ambienti economici e concorrenziali che modificano la domanda e le priorità della clientela, e di procedere in tempo utile agli adattamenti necessari per l’espansione futura. Questo contribuisce infine a promuovere l’efficienza, a proteggere le attività patrimoniali da possibili perdite e a garantire l’attendibilità del bilancio e la conformità delle attività alle leggi e ai regolamenti in vigore.

L’interesse a livello internazionale verso il tema può essere ricondotto a fenomeni, iniziati con la globalizzazione, che hanno caratterizzato il sistema economico degli ultimi anni. L’affievolimento dei confini tra culture ed istituzioni, il superamento della separazione geografica dei mercati in cui le imprese competono e, non ultimo, la caduta di ogni ostacolo alla circolazione dei capitali nei mercati finanziari, ha fatto si che emergesse la necessità di ricercare un modello ottimo di governo delle imprese quale condizione indispensabile per la loro sopravvivenza.

È dunque in quest’ottica che assume rilievo il concetto di sistema di controllo interno, come strumento in grado di indirizzare l’azienda verso obbiettivi di redditività e verso il conseguimento della sua missione, minimizzando i rischi di percorso.

Ed è inoltre in questo contesto che si sono sviluppati una serie di questionari, tecniche e modelli orientati alla valutazione e rafforzamento dei sistemi di controllo interno esistenti.

Tuttora il modello di riferimento a livello mondiale per il controllo interno è il Coso (Committee of Sponsoring Organizations) Report, risultato di uno studio statunitense pubblicato nel 1992. Lo scopo dello studio era quello di elaborare un modello di riferimento, ma anche quello di aiutare il management delle aziende a migliorare i sistemi di controllo interno e di fornire a tutte le parti interessate un concetto comune di controllo.

Successivamente il modello del Coso Report, sperimentato con successo dai colleghi statunitensi, è stato tradotto in lingua italiana, aggiungendo ad ogni capitolo dello stesso un quadro di riferimento contenente i commenti che servono a situare nel contesto socio-economico italiano i concetti, le definizioni, le metodologie valutative e gli assetti istituzionali proposti.

Nel presente lavoro analizzeremo l’evoluzione che il sistema di controllo interno ha avuto nel tempo, soffermandoci in modo particolare sulla descrizione del sistema di controllo interno proposta dal

(4)

4 Coso Framework, descrivendo le sue cinque componenti, gli strumenti di valutazione dello stesso e i limiti e i soggetti coinvolti nel sistema di controllo interno.

Infine analizzeremo un caso aziendale frutto dell’esperienza realizzata all’interno di un’azienda, la quale per motivi di privacy non sarà citata e che denomineremo come Azienda Alfa. Grazie al periodo trascorso al suo interno è stato possibile raccogliere informazioni e analizzare il sistema aziendale in modo da attuare una valutazione del sistema di controllo interno realizzato dall’azienda con riferimento specifico al ciclo delle vendite.

(5)

5 CAPITOLO 1 – L’evoluzione del sistema di controllo interno.

1.1 Il sistema di controllo interno nella normativa nazionale e internazione.

L’interesse verso il controllo interno si è accentuato a livello internazionale nel corso dell’ultimo trentennio a seguito del Foreign Corrupt Pratices Act (FCPA), pubblicato negli Stati Uniti nel 1977 e modificato successivamente nel 1988 e nel 1998.

Il FCPA è un atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Questa legge, dunque, è stata introdotta per eliminare pratiche che avrebbero potuto influenzare in modo negativo l’integrità finanziaria delle società statunitensi, minando così il funzionamento efficiente dei mercati finanziari. La legge interessa società e controllate nazionali, controllate estere, joint venture, partnership e qualunque impresa associata.

Oltre ai provvedimenti contro la corruzione, il FCPA contiene disposizioni in materia di contabilità e di controllo interno. Tali disposizioni richiedono che tutte le società attive sul mercato mobiliare statunitense mantengano registri contabili, in modo da permettere di individuare e rintracciare eventuali pagamenti sospetti; inoltre, le disposizioni stesse richiedono di istituire e mantenere un sistema di controllo interno che vigili su eventuali irregolarità e differenza tra ciò che è riportato nelle scritture contabili e l’effettivo flusso finanziario delle società.

Un tema chiave per l’approvazione di questa legge fu l’affermazione che un buon modello organizzativo di controllo interno dovrebbe costituire un efficace deterrente contro pagamenti illeciti.

Per le ragioni illustrate, si può ritenere che il FCPA sia stato il primo importante evento in termini di impatto sull’internal auditing.

Successivamente all’emanazione del FCPA, sono state avviate numerose iniziative in materia di controllo interno. Molte società ad azionariato diffuso hanno ampliato le dimensioni e i poteri delle proprie funzioni in Internal Auditing e hanno esaminato i propri sistemi di controllo interno.

Nella legislazione italiana, l’espressione di sistema di controllo interno compare per la prima volta nel D.Lgs n° 58 del 24 febbraio 1998, (legge Draghi all’art 149, primo comma, punto c).

Fino al 1998 l’unica attività di controllo interno alle società disciplinata da una norma di legge era effettuata dal Collegio Sindacale, organo societario tipico dell’ordinamento italiano con compiti di supervisione sull’amministrazione della società.

L’art 2403 del codice civile nel sancire i doveri di vigilanza del Collegio Sindacale disponeva che tale organo “deve controllare l’amministrazione della società, vigilare sull’osservanza della legge e dell’atto costitutivo ed accertare la regolare tenuta della contabilità sociale, la corrispondenza del

(6)

6 bilancio alle risultanza dei libri e delle scritture contabili e l’osservanza delle norme stabilite dall’articolo 2426 per la valutazione del patrimonio sociale. Il Collegio Sindacale deve altresì accertare almeno ogni trimestre la consistenza di cassa e l’esistenza dei vincoli e dei titoli di proprietà sociale o ricevuti dalla società in pegno, cauzione o custodia” 1_.

Il ruolo del Collegio Sindacale era perciò in parte diverso da quello di verificare l’adeguatezza del sistema di controllo interno di un’impresa e ne costituiva certamente soltanto una parte.

I compiti di tale organo erano validi per ogni società che fosse obbligata a nominare un Collegio sindacale ed erano stati oggetti di critiche sia per l’assenza di indicazioni precise sulle modalità di svolgimento dell’attività di controllo, sia perché spesso tali attività si sovrapponevano a quelle dell’eventuale società di revisione.

Negli anni Novanta, sulla scia delle esperienze in tema di controlli e corporate governace soprattutto dei paesi anglosassoni, emerge anche in Italia con sempre maggiore forza la necessità di adottare un sistema di controllo interno adeguato ad assicurare una corretta gestione d’impresa.

Nel 1996 il Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri ha emanato i “Principi di comportamento del Collegio Sindacale” che forniscono alcuni spunti sulla tematica dei controlli interni, soprattutto definendo per la prima volta i passaggi da effettuare e la documentazione da produrre ai fini della valutazione del sistema di controllo interno e dell’organizzazione contabile della società.

La norma n. 2.5 dei Principi di comportamento, rubricata “Valutazione del sistema di controllo interno e dell’organizzazione contabile delle società”, dispone che in presenza di un sistema di controllo interno. Il Collegio Sindacale è tenuto a valutare l’affidabilità dello stesso compiendo le seguenti attività indicate:

 Giudizio preliminare sulla sua affidabilità;

 Rilevazione documentata dei cicli procedurali ed identificazione dei principali punti di debolezza;

 Verifica a campione dell’effettivo operare, nello specifico periodo in esame, delle principali attività di controllo identificate;

 Valutazione definitiva del sistema di controllo e pianificazione delle verifiche sulle diverse poste di bilancio e sulla contabilità in funzione dei risultati ottenuti.

Nel 1997 è stato poi pubblicato il risultato delle ricerche svolte per il “Progetto Corporate Governance per l’Italia”, il primo progetto di studio approfondito condotto in Italia sul tema della

1_{Art 2403 c.c. primo e secondo comma, nella versione precedente alla riforma del diritto societario in vigore} dal 2004.

(7)

7 corporate governance, nel quale sono stati definiti i principi per un buon sistema di controllo interno e per un corretto governo d’impresa.

La finalità del progetto era quella di realizzare uno studio approfondito che fornisse i lineamenti di un sistema di governo delle società e, in generale, delle aziende italiane che aspirasse a connotarsi come il sistema di direzione e controllo più valido nel contesto del nostro paese, tale da indirizzare in modo più mirato il raggiungimento degli obbiettivi vitali di efficienza e di efficacia, di trasparenza e di legalità, obbiettivo che rappresentano le mete fondamentali dei sistemi di governo delle società in tutti i paesi a mercato evoluto.

A tale scopo, il Progetto ha adattato al contesto italiano il modello del Coso Report2_{e ha condotto un}

approfondimento del tema dei ruoli, delle responsabilità e dei processi complessi di interrelazione che riguardano i diversi soggetti in gioco, azionisti, consiglio di amministrazione, altri stakeholders, organi di controllo e di revisione esterna.

Questi contributi non hanno però validità legale, nel senso che rappresentano soltanto una fonte di raccomandazioni e suggerimenti per le imprese e per i rispettivi organi di governo e di controllo che vogliano dotarsi di un sistema di controllo interno.

Con l’entrata in vigore del D.Lgs n.58 del 1998, noto come il “Testo unico della finanza” o “Legge Draghi”, che ha ridefinito il ruolo ed i compiti del Collegio Sindacale delle società quotate, è stata anche ufficializzata a livello legislativo l’importanza del sistema di controllo interno.

Il D.Lgs 58/98 ha infatti ridefinito, la disciplina del sistema di sorveglianza e di controllo delle società di capitali quotate, operando una netta separazione tra:

 L’attività di vigilanza di competenza del Collegio Sindacale, con poteri di controllo sull’andamento della gestione sociale;

 L’attività di controllo contabile affidata ad una società di revisione esterna iscritta all’albo della Consob.

Alcuni articoli del TUF, e specificamente gli articoli 149 e 150, pur in maniera limitata e non esaustiva fanno specifico riferimento alle attività di controllo interno e rappresentano il primo intervento di carattere legislativo che dà risalto a tali tematiche.

In particolare, la legge Draghi ha espressamente attribuito ai Sindaci un dovere di vigilanza sull’adeguatezza della struttura organizzativa della società e del sistema di controllo interno, nonché

2_{Il COSO Report nasce negli Stati Uniti su iniziativa del settore privato, ed in particolare delle associazioni} professionali più prestigiose (American Institute of Certified Public Accountant, American Accounting Association, Financial Executive Institute) che hanno dato vita alla Treadway Commission con l’obiettivo di elaborare un modello innovativo di sistema di controllo. Il risultato dello studio, pubblicato nel 1992, è denominato COSO (Committee of Sponsoring Organizations) Report e rappresenta tutt’ora il modello di riferimento per il controllo interno.

(8)

8 sull’adeguatezza del sistema amministrativo-contabile e sulla affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione.

L’importanza di tale Decreto Legislativo, ai fini dello studio delle problematiche inerenti il controllo interno, è stata anche quella di aver costituito lo spunto per un ripensamento del sistema dei controlli aziendali e la base per una rilevante produzione paranormativa sul tema.

Su questa scia, nel 1999 il Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri ha pubblicato i “Principi di comportamento del Collegio Sindacale nelle società di capitali con azioni quotate nei mercati regolamentati”, con lo scopo di guidare e supportare il Collegio Sindacale nello svolgimento delle proprie funzioni di controllo così come previsto dal D.Lgs 58/1998.

In tale documento si precisa che l’obbiettivo della vigilanza del Collegio Sindacale, indicato nell’art 140 del D.Lgs 58/98, “consiste nella sorveglianza sulla adeguatezza del sistema di controllo interno, cioè sulla sua capacità di raggiungere gli obbiettivi aziendali. I Sindaci devono inoltre vigilare sull’adeguatezza del sistema amministrativo contabile e sulla sua affidabilità nel rappresentare correttamente i fatti di gestione”3

Sempre nel 1999 il Comitato per la corporare governance delle società quotate di Borsa Italiana Spa ha elaborato un Codice di autodisciplina il quale si rifà ancora una volta a dei concetti del modello del Coso Report, noto come “Codice Preda”. Questo aveva lo scopo di fornire alle società quotate un modello di organizzazione societaria adeguato a gestire il corretto controllo dei rischi d’impresa ed i potenziali conflitti d’interesse tra amministratori e azionisti, sia di maggioranza che di minoranza. In tale codice vi è un paragrafo dedicato esclusivamente al sistema di controllo interno, che è individuato come elemento qualificante di una buona gestione d’impresa, ed è inoltre espressamente prevista l’istituzione di un Comitato per il controllo interno.

L’art 9.1 del Codice definisce il controllo interno come “l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali”.

La responsabilità del funzionamento del sistema di controllo interno è rimessa all’organo amministrativo, al quale è attribuito il compito di verificare che vengono effettivamente rispettate le procedure interne operative, amministrative e contabili, adottate dall’impresa per garantire una sana ed efficiente gestione, nonché per identificare, prevenire e gestire i rischi di natura finanziaria, operativa e di frode a danno della società.

Nell’ottobre 2000 il Consiglio Nazionale dei Dottori Commercialisti e dei ragionieri ha pubblicato la “Guida operativa sulla vigilanza del sistema di controllo interno”, al fine di fornire un’interpretazione univoca della nozione di sistema di controllo interno che permettesse al Collegio Sindacale di

3_{Cfr. CNDRC, Principi di comportamento del collegio sindacale nelle società di capitali con azioni quotate nei} mercati regolamentati (osservanza del D.Lgs 58/98) 1999.

(9)

9 svolgere compiutamente la propria attività volta a verificare l’esistenza nell’impresa di procedure orientate al conseguimento degli obbiettivi aziendali.

In tale guida il controllo interno è definito come “insieme delle direttive, delle procedure e delle tecniche adottate dall’azienda allo scopo di raggiungere i seguenti obbiettivi:

- Conformità delle attività degli organi aziendali all’oggetto che l’impresa si propone di conseguire ed alle direttive ricevute;

- La salvaguardia del patrimonio aziendale; - L’attendibilità dei dati4

Una tappa importante per l’allargamento dei confini attribuiti al sistema dei controlli aziendali è stata sicuramente l’emanazione del D.Lgs 231/2001 che ha introdotto nel nostro ordinamento la disciplina della responsabilità amministrativa degli enti per una serie di reati commessi nel loro interesse da coloro che rivestono funzioni di rappresentanza, amministrazione o direzione delle stesse. Secondo tale disciplina normativa in caso di commissione di reato nell’interesse della società, ne risponde anche la società con sanzioni di carattere pecuniario e/o amministrativo.

Il Decreto lascio tuttavia uno spiraglio in quanto – in caso di commissione di un reato – la società non risponde se prova che l’organo dirigente ha adottato ed efficacemente attuato, prima della commissione del fatto, un modello di organizzazione, gestione e controllo idoneo a prevenire reati della specie di quello verificatosi. L’implementazione del modello organizzativo costituisce pertanto l’opportunità di rivisitare ed in parte riprogettare il sistema di controllo interno al fine di una adeguata prevenzione e gestione del rischio di commissione dei reati previsti dalla normativa ed una conseguente minimizzazione dell’impatto di tali rischio sul patrimonio della società.

In linea indicativa, i modelli organizzativi devono perciò:

 Prevedere una mappatura aggiornata delle attività e delle procedure aziendali al fine di far emergere le aree nelle quali vi è possibilità che alcuni reati vengano commessi;

 Adottare un sistema di controlli preventivi che investano l’assegnazione di deleghe e responsabilità, le procedure, i poteri autorizzativi e di firma, il sistema di controllo della gestione ed i sistemi informativi aziendali.

La società deve infine dimostrate di aver affidato ad un organismo dotato di autonomia poteri di iniziativa e di controllo, il c.d organismo di vigilanza, il compito di valutare l’adeguatezza del modello ed il suo funzionamento in relazione alla capacità di prevenire i reati.

Recentemente ha assunto grande rilievo la riforma del diritto societario5_{che, a partire dal 1° gennaio}

2004 ha introdotto nuove modalità di gestione societaria, ed ha provveduto ad una redistribuzione delle competenze anche in materia di controlli.

4_{CNDCR, consiglio nazionale dottori commercialisti e ragionieri, Guida operativa sulla vigilanza del sistema di} controllo interno, 2000.

(10)

10 Il rinnovato art 2381 c.c, pur facendo espresso riferimento al sistema di controllo interno, dispone al terzo comma che l’organo amministrativo “valuta l’adeguatezza dell’assetto organizzativo, amministrativo e contabile della società” ed al quinto comma che “gli organi delegati curano che l’assetto organizzativo, amministrativo e contabili sia adeguato alla natura e alle dimensioni dell’impresa”.

Nella riforma societaria, inoltre, le funzioni del consiglio di amministrazione vanno lette in modo strettamente correlato con quelle del Collegio Sindacale, per il quale l’art 2403 c.c prevede che lo stesso debba vigilare “sull’adeguatezza dell’assetto organizzativo, amministrativo e contabile adottato dalla società e sul suo concreto funzionamento”.

Pertanto la valutazione degli assetti di governance di un’impresa, tra cui il sistema di controllo interno, diventa certamente una responsabilità diretta del management, ma anche del Collegio Sindacale, che deve vigilare sulla loro adeguatezza rispetto alla natura ed alla dimensione dell’attività d’impresa.

Infine nel nuovo Codice di Autodisciplina per le società quotate, pubblicato nel 2006 da Borsa italiana Spa, si rafforzano i concetti già esposti nelle precedenti versioni in tema di controllo interno, sottolineando particolarmente la centralità dell’organismo amministrativo nel processo di implementazione di un adeguato sistema di controllo interno all’impresa.

1.2. La corporate governance e il sistema di controllo interno.

In senso stretto, basandosi sulla definizione proposta dal Cadbury Report6_{, la coporate governance si}

può identificare con il sistema di direzione e controllo delle imprese.

Anche alla luce di quanto emerso fino ad ora in relazione all’attività di indirizzo gestionale svolta dagli organi di governo dell’impresa, si può sintetizzare la governance “in una funzione decisionale e di controllo svolta con l’ausilio di organismi e processi con ambiti specifici di intervento a garanzia dell’efficacia dell’attività di governo”7_.

I processi di governance trovano supporto nei sistemi di controllo interni all’impresa, ossia sistemi che forniscono gli elementi necessari per assumere decisioni e per guidare i comportamenti gestionali, oltre che per garantire una certa efficacia nelle relazioni tra l’impresa e i suoi stakeholder. Il crescente sviluppo dimensionale delle imprese, unito all’instabilità del contesto in cui esse si trovano ad operare, ha infatti contribuito alla creazione di strutture organizzative pluri-decisionali che incorrono in potenziali rischi di mancato o non sufficiente controllo.

5_{La riforma della disciplina delle società di capitali e società cooperative è stata varata con il D.Lgs n. 6/2003.} 6_{Il Cadbury Repport definisce la governance come “The system by which companies are directed and} controlled”.

(11)

11 Un sistema di corporate governance è efficace se prevede al suo interno l’adozione di adeguati meccanismi di controllo che regolino i comportamenti ed i doveri degli amministratori, degli organi di direzione ed, in generale, di tutti i soggetti componenti l’impresa.

Lo scopo dell’adozione di tali sistemi è quello di evitare che i soggetti sopra ricordati possano abusare dei poteri ad essi assegnati ed inoltre di assicurarsi che essi agiscano nell’interesse dell’impresa.

Per garantire l’efficacia e l’efficienza dell’attività d’impresa, il rispetto delle normative, la pubblicazione di bilanci attendibili, la salvaguardia del patrimonio aziendale, il contemperamento degli interessi di tutte le classi di stakeholder, ovvero quegli obiettivi che ormai possiamo definire comuni a tutte le imprese in quanto largamente condivisi, nell’impresa convivono diversi sistemi controllo, che formano il cosiddetto sistema dei controlli di un’impresa, e coprono tendenzialmente ogni aspetto dell’attività aziendale.

In pratica esiste tutta una categoria di obiettivi, comuni ad ogni impresa e riconducibili in ultimo all’obiettivi della creazione di valore per tutti gli stakeholder, al raggiungimento dei quali ogni forma di controllo istituita all’interno di un’impresa fornisce il proprio contributo.

In un’impresa è perciò necessaria l’introduzione di diverse forme di controllo, che possono essere demandate a diversi organi di governo, come ad esempio il consiglio di amministrazione, al collegio sindacale, oppure a soggetti esterni ed indipendenti come nel caso del revisore o della società di revisione, oppure addirittura si possono essere realizzate da specifici organi aventi la funzione di verificare la corretta gestione dell’impresa.

La caratteristica comune delle diverse tipologie di controllo con un ambito prevalentemente interno all’impresa è infatti rappresentata dallo svolgimento di una funzione di supporto per la corretta gestione dell’impresa stessa.

Il sistema dei controllo, come già detto in precedenza, è chiaramente delineato nei codici di autodisciplina diffusi nei principali paesi europei, che costituiscono un modello di organizzazione societaria avente lo scopo di gestire l’impresa nell’ottica di creazione di valore per gli stakeholder. In Italia, il Codice di autodisciplina per le società quotate è stato fortemente influenzato dagli orientamenti anglosassoni in tema di governo societario, come ad esempio il Cadbury Report8_{ed il}

Coso Report del 1992.

8_I_{l Report of the Committee on Financial Aspects of Corporate Governance, più noto come Cadbury Report da}

Adrian Cadbury, presidente del comitato. Presentato il 1°.12.1992, è il primo e il più importante rapporto in materia di corporate governance. Il comitato omonimo era stato costituito nel 1991 dal Financial Reporting Council, dal London Stock Exchange e dalle categorie professionali. Obiettivo del comitato era di passare in rassegna gli aspetti della corporate governance specialmente connessi al sistema di informazioni economico-finanziarie comunicate al pubblico e alla responsabilità del board in un’economia di mercato. Il presuppostodi base è che il management deve essere libero di gestire l’impresa e che questa libertà deve essere esercitata congiuntamente al vincolo di un’effettiva responsabilità. Le raccomandazioni del rapporto si concentrano sulle

(12)

12 Il cosiddetto codice Preda riafferma il ruolo di guida della società del Consiglio di amministrazione, individuato come l’organo “cui fanno capo le funzioni e le responsabilità degli indirizzi strategici e organizzativi, nonché la verifica dell’esistenza dei controlli necessari per monitorare l’andamento della società”.

Dopo alcuni anni dalla sua prima adozione risalente nel 1999, il Codice è stato oggetto di una prima revisione nel 2002 ed è stato recentemente rivisto nel 2006, con l’obiettivo di delineare con maggiore chiarezza le figure ed i ruoli degli amministratori indipendenti e dei comitati interni al Consiglio di amministrazione.

Al fine di garantire l’indipendenza dell’organo amministrativo e la presenza di adeguati controlli sul suo operato, infatti, il Codice raccomanda la presenza all’interno del Consiglio di amministrazione di amministratori indipendenti e prevede la costituzione di comitati ad hoc, quali:

 Il comitato per le nomine;

 Il comitato per le remunerazioni;

 Il comitato per il controllo interno.

Il tema del controllo interno così come trattato nel Codice di autodisciplina va letto come elemento di racconto con le recenti tendenze volte a rafforzare gli strumenti di vigilanza, attribuendo al sistema di controllo interno il ruolo di processo che coinvolge le funzioni aziendali.

Rispetto al sistema di controllo interno, il Codice distingue tra i compiti e le responsabilità del Consiglio di amministrazione e dell’Amministratore delegato.

La responsabilità del sistema di controllo interno è affidata al Consiglio di amministrazione, che ha il compito di stabilire le linee di indirizzo per il controllo interno e la gestione dei rischi, ed inoltre di verificare periodicamente il funzionamento del sistema, con l’assistenza del Comitato per il controllo interno e del Preposto al controllo interno.

Il Comitato per il controllo interno sarà composto da amministratori non esecutivi ed in maggioranza indipendenti con il compito di valutare la redazione dei documenti contabili, i piani di lavoro preparati dai preposti al controllo interno e dare eventuali proposte in merito all’attività di vigilanza sul sistema di controllo interno scambiando informazioni con il collegio sindacale, il responsabile dell’internal auditing e il revisore.

Agli amministratori delegati spettano invece compiti maggiormente operativi e pertanto essi devono identificare i principali rischi aziendali e presentarli al Consiglio di amministrazione; attuare gli

funzioni di controllo e di reporting del board e sul ruolo degli auditors e sulla proposta di adozione, da parte delle società, di un Code of Best Practice. Il concetto è stato ripreso dal Comitato per la corporate governance delle società quotate italiano, costituito nel 1999 da Borsa italiana spa e dal suo Codice di autodisciplina (Codice Preda).

(13)

13 indirizzi dell’organo amministrativo mediante la progettazione, la gestione ed il monitoraggio di un adeguato sistema di controllo interno; nominare i preposti al controllo interno.

Il Codice di autodisciplina la Criterio 8.C.7 dispone che le società quotate istituiscono una funzione di internal audit e che, di regola, il Preposto al controllo interno si identifica con il responsabile di tale funzione.

L’internal auditing è definita come “un’attività indipendente e obiettiva di assurance e consulenza, finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione. Assiste l’organizzazione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di corporate governance”9_.

La valutazione dell’efficacia e dell’adeguatezza del sistema di controllo interno è perciò una delle funzioni dell’attività di internal auditing, che ha il compito di verificare che le procedure di controllo definite dal management siano coerenti con gli obiettivi aziendali.

Si evidenzia dunque uno stretto legame tra la corporate governance e il sistema di controllo interno, i processi di governance trovano supporto nei sistemi di controllo interno dell’impresa in quanto essi forniscono gli elementi necessari per valutare, assumere decisioni e guidare i comportamenti

gestionali.

(14)

14 CAPITOLO 2 - Il modello del Coso Report.

2.1 Aspetti introduttivi.

Negli anni Novanta di fronte al diffondersi di fenomeni di diffusa illegalità, che hanno riguardato soprattutto il falso nel bilancio e nelle informazioni diretta al pubblico, la creazione di fondi neri, il riciclaggio di denaro sporco e la corruzione delle autorità, nasce negli Stati Uniti su iniziativa del settore privato e in particolare delle associazioni professionali più prestigiose d’America (American Institute of Certified Public Accountant, American Accounting Association, Financial Executive Institute) una commissione, chiamata la Treadway Commission con l’obiettivo di elaborare un modello innovativo di sistema di controllo interno.

Il principale intento della Commissione è stato quello di individuare le cause che hanno portato ai suddetti falsi in bilancio e alle altre prassi illecite di cui si è prima detto e di formulare suggerimenti per contenerli.

Il risultato dello studio, pubblicato nel 1992, è stato denominato COSO (Committee of Sponsoring Organizations) Report.

Nel 1996 la Coopers & Lybrand Italia, ritenendo che il modello di controllo elaborato e sperimentato con successo dai colleghi statunitensi potesse costituire un utile punto di riferimento anche per le aziende italiane e soprattutto per quelle quotare nei mercati mobiliari regolamentati, ha avviato il Progetto Corporate Governance per l’Italia.

Nel corso della pianificazione del Progetto è stato istituito un Comitato scientifico costituito da illustri appartenenti del settore bancario, assicurativo e industriale e al mondo delle istituzioni, con l’idea di creare un progetto di grande respiro, concepito sin dal suo nascere a più voci e quindi tale da potersi avvalere della ricchezza e della molteplicità di esperienze di vissuto aziendali di diverse personalità competenti.

Con questa linea di pensiero è stato così tradotto il COSO Report in lingua italiana.

Ad oggi potremmo dire che il modello presentato nel COSO Report è diventato un punto di riferimento utilizzato sia dai codici di autodisciplina da parte di associazioni di categoria, sia dalla normativa nazionale ed internazionale in materia di Corporate Governance.

2.2 Il sistema di controllo interno.

Il controllo interno è definito come un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, finalizzato a fornire una ragionevole sicurezza sul conseguimento degli obbiettivi rientranti nelle seguenti categorie:

 Efficacia ed efficienza delle attività operative;  Attendibilità delle informazioni di bilancio;

(15)

15  Conformità alle leggi e ai regolamenti in vigore.

Andando ad analizzare questa definizione possiamo vedere come:

I sistemi di controllo interno sono rivolti alla realizzazione di obbiettivi di una o più categorie.

La prima categoria di obbiettivi riguarda quelli di base di un’azienda, compresi quelli di performance, di redditività e di protezione delle risorse. La seconda si riferisce alla preparazione e pubblicazione di bilanci attendibili, compresi i bilanci infraunnuali, i bilancio esposti in forma sintetica e i dati economico-finanziari da essi ricavati, come la pubblicazione dei risultati di bilancio comunicati al pubblico. La terza tratta la conformità delle attività alle leggi e ai regolamenti cui l’azienda è sottoposta.

Queste tre categorie di obbiettivi sono distinte, ma collegate tra loro, riguardano necessità diverse e possono essere di competenza diretta di più dirigenti.

Il sistema di controllo interno può fornire un livello di ragionevole sicurezza sulla realizzazione degli obbiettivi relativi all’affidabilità delle informazioni di bilancio e alla conformità alle leggi e ai regolamenti. Il raggiungimento di tali obbiettivi, basati in notevole misura su norme imposte da terzi, dipende dal modo in cui si svolgono le attività nell’ambito del controllo interno.

Tuttavia, la realizzazione di obbiettivi operativi come, per esempio, il ritorno sul capitale investito (Roi), la quota di mercato o l’entrata in un nuovo settore, non sempre rientrano nella sfera di controllo dell’azienda. Il sistema di controllo interno non può impedire decisioni o giudizi errati o eventi esterni che possono pregiudicare il raggiungimento degli obbiettivi operativi. Per questi obiettivi, esso può fornire solo una ragionevole sicurezza che il management e, nel suo ruolo di supervisore, il consiglio di amministrazione, siano tempestivamente informati sulla misura in cui l’azienda si avvicina o si allontana dai suddetti obiettivi.

Dalla definizione di controllo interno possiamo inoltre soffermarci su alcuni concetti fondamentali che si trovano in essa:

- Il controllo interno è un processo: è un mezzo mirato a un fine. Il controllo interno non è quindi un evento isolato o una circostanza unica, bensì una serie di azioni che riguardano tutta l’attività aziendale. Queste azioni sono pervasive e sono connesse al modo in cui le attività sono gestite. Le attività aziendali, che si svolgono nell’ambito di una o più unità organizzative o funzioni, sono gestite mediante i processi fondamentali di pianificazione, esecuzione e monitoraggio. Il controllo interno è una parte di questi processi e si integra con essi. Consente loro di funzionare, ne controlla l’andamento e ne verifica la pertinenza. È uno strumento di cui dispone il management, non un sostituto dell’attività direzionale.

Questa concezione del controllo interno diverge molto dall’ottica di alcuni osservatori che lo percepiscono come un’attività supplementare, o come un onere necessario, imposto dalle

(16)

16 autorità tutorie o da burocrati zelanti. Il sistema di controllo interno è parte integrante delle attività operative ed esiste per fondamentali ragione economiche. Tale sistema raggiunge il massimo della sua efficacia quando è integrato nell’infrastruttura organizzativa e fa parte della cultura aziendale. Esso dovrebbe essere integrato piuttosto che aggiunto.

- Il controllo interno è svolto da persone, non è costituito semplicemente a manuali e da documenti.

Il controllo interno è attuato dal consiglio di amministrazione, dal management e da altre persone. È realizzato da individui, che operano in un’azienda, attraverso ciò che essi fanno e dicono. Sono individui che stabiliscono gli obiettivi dell’impresa e attivano i meccanismi di controllo.

Analogamente, il controllo interno influenza le azioni delle persone. Il controllo interno tiene conto del fatto che le persone non sempre si comprendono e non sempre si comportano, o si scambiano comunicazioni in modo coerente. Ogni individuo apporta l’esperienza e le competenze tecniche che gli sono proprie e ha particolari necessità e priorità.

Questo stato di cose e il controllo interno si influenzano reciprocamente. Le persone devono conoscere le proprie responsabilità e i limiti dei propri potere. Di conseguenza, è necessario che sussista una relazione chiara e netta tra le mansioni delle persone, il modo in cui queste vengono svolte e gli obbiettivi aziendali.

Il consiglio di amministrazione, i dirigenti e i dipendenti in genere sono il personale dell’azienda. Sebbene gli amministratori siano essenzialmente considerati come i supervisori dell’attività aziendale, essi svolgono anche un ruolo di indirizzo e approvano determinate operazioni e politiche gestionali. In tal modo, i membri del consiglio di amministrazione rappresentano un elemento importante del sistema di controllo interno.

- Il management e il consiglio di amministrazione possono attendersi del sistema di controllo una sicurezza ragionevole, ma non assoluta.

Con riferimento a ciò possiamo dire che anche se ben concepito e funzionante, il controllo interno può fornire al management e al consiglio di amministrazione solo una ragionevole sicurezza sulla realizzazione degli obbiettivi aziendali. La probabilità di realizzazione degli obbiettivi risente dei limiti insiti in tutti i sistemi di controllo. Questi limiti riguardano il fatto che i giudizi esercitati nel prendere una decisione potrebbero rivelarsi errati, che le persone responsabili di istituire i controlli devono considerare i relativi costi e benefici e che potrebbero verificarsi disfunzioni a causa di omissioni umane, come semplici errori e sviste.

Inoltre, i controlli possono essere elusi dalla collusione di due o più persone. Infine, è sempre possibile che il management abbia la capacità di aggirare il sistema di controllo interno.

(17)

17 2.3. Gli elementi costitutivi del sistema di controllo interno.

Il modello del Coso Report afferma che il sistema di controllo interno è costituito da cinque componenti:

I. L’ambiente di controllo. Gli individui, le loro qualità individuali, e soprattutto la loro integrità, i valori etici e la loro competenza, e l’ambiente nel quale operano sono l’essenza stessa di qualsiasi organizzazione. Essi sono il motore che aziona l’azienda e le fondamenta su cui essa poggia.

II. La valutazione dei rischi. Ogni azienda deve essere consapevole dei rischi che incontra e che deve affrontare. Essa deve porsi obbiettivi per le attività commerciali, finanziarie, di produzione, di marketing e altre, reciprocamente integrati affinché l’organizzazione possa operare in modo coordinato e armonico. Essa deve anche attivare i meccanismi che consentono di individuare, analizzare e gestire i rischi relativi.

III. L’attività di controllo. Le politiche e le procedure di controllo devono essere elaborate e applicate per assicurare che siano attivati efficacemente i provvedimenti che il management ritiene necessari per ridurre i rischi connessi alla realizzazione degli obbiettivi.

IV. L’informazioni e la comunicazione. Attorno alle suddette attività di controllo si collocano i sistemi di informazione e comunicazione, questi consentono al personale la raccolta e lo scambio delle informazioni necessarie alla gestione e al controllo.

V. Il monitoraggio. L’intero processo deve essere monitorato, apportandovi le eventuali modifiche richieste dalle circostanze. In tal modo, il sistema può reagire rapidamente, in funzione dei cambiamenti che si verificano nel contesto operativo.

Tali componenti del controllo interno e le loro interconnessioni sono schematizzati in un modello, esposto nella figura 2.

Figura 2, La piramide del controllo interno.

(18)

18 Il modello evidenzia la dinamica dei sistemi di controllo interno. Per esempio, la valutazione dei rischi non soltanto influenza le attività di controllo ma può anche evidenziare la necessità di riesaminare i fabbisogni di informazioni e di comunicazione, oppure le attività di monitoraggio in atto.

Il controllo interno, quindi, non è un procedimento sequenziale nel quale un componente influisce solo sul successivo. Si tratta, invece, di un processo iterativo e multi direzione, in cui ogni componente può influire su un altro, indipendentemente dalla sequenza del processo.

Ogni sistema di controllo interno è unico. Difatti, le aziende e i loro bisogni differiscono fondamentalmente nel loro settore di attività, nella loro dimensione, nella loro cultura e nella loro filosofia gestionale. Così, mentre tutte le aziende hanno bisogno di ciascuno dei cinque componenti per esercitare il controllo sulle proprie attività, il sistema di controllo interno sarà generalmente molto diverso da un’azienda all’altra.

Da una prima analisi delle componenti del controllo interno possiamo inoltre notare come esiste un rapporto diretto tra gli obbiettivi, ossia ciò che un’azienda persegue e i componenti, ovvero ciò che occorre per realizzarli.

Questo rapporto è schematizzato con la matrice tridimensionale riportata nella figura 3:

 Le tre categorie di obbiettivi, attività operative, informazioni di bilancio, conformità, sono rappresentate nelle colonne verticali del cubo;

 I cinque componenti del sistema di controllo interno sono rappresentati nelle righe orizzontali del cubo;

 Le unità operative o le singole attività di un’azienda, interessate dal controllo interno, sono rappresentate dalla terza dimensione della matrice.

Figura 3 Il rapporto tra obbiettivi e componenti, il Modello del COSO Report.

(19)

19 Ogni componente copre e attraversa tutte e tre le categorie di obbiettivi. Un esempio riguarda il componente attività di controllo, ossia la formulazione e l’attuazione di politiche e procedure di controllo idonee alla realizzazione di strategie, programmi e altre direttive che si applicano a tutte e tre le categorie di obbiettivi.

Analogamente, se si considerano tali categorie di obbiettivi, tutti e cinque i componenti si applicano a ciascuna di esse. Per esempio, tutti e cinque i componenti sono finalizzati all’obbiettivo dell’efficacia e dell’efficienza operativa.

Il controllo interno si applica sia all’intera azienda sia alle sue unità singolarmente considerate. Questo rapporto è espresso dalla terza dimensione, che rappresenta filiali, divisioni o altre unità operative o attività funzionali o processi, come gli acquisti, la produzione e il marketing. Di conseguenza, si può puntare l’attenzione su una qualunque cella della matrice.

Soffermiamoci adesso sulla descrizione delle cinque componente del sistema di controllo interno proposte dal Coso Framework.

2.3.1 L’ambiente di controllo.

L’ambiente di controllo è un elemento importantissimo della cultura di un’organizzazione, poiché determina il livello di sensibilità del personale alla necessità di controllo. esso costituisce le fondamenta di tutti gli altri componenti del controllo interno e fornisce disciplina e organizzazione. I fattori che influenzano l’ambiente di controllo sono l’integrità, i valori etici e la competenza del personale; la filosofia e lo stile del management; le modalità di delega delle responsabilità; la politica organizzativa e di motivazione del personale infine la dedizione del consiglio di amministrazione e la sua capacità di indicare chiaramente gli obbiettivi.

L’ambiente di controllo esercita un’influenza profonda sul modo in cui le attività sono strutturate, gli obbiettivi stabiliti e i rischi valutati.

Inoltre, esso influisce sulle attività di controllo, sui sistemi informativi e di comunicazione e sulle attività di monitoraggio. Questo vale non solo per la loro progettazione, ma anche per il loro funzionamento quotidiano. L’ambiente di controllo è influenzato dalla storia e dalla cultura dell’azienda e incide, a sua volta, sulla sensibilità del personale alle esigenze di controllo. Le aziende ben controllate si sforzano di reclutare personale competete e di diffondere uno spirito d’integrità e di impegno nelle attività di controllo; esso sono consapevoli del fatto che il consiglio di amministrazione e il management devono dare il buon esempio. A tal fine elaborano politiche e procedure appropriate, spesse accompagnate da un codice di condotta, che favoriscono l’adesione ai valori dell’organizzazione e la collaborazione nel raggiungimento degli obiettivi.

(20)

20 L’ambiente di controllo comprende una serie di fattori specifici, come l’integrità e i valori etici; le competenze del personale; il Consiglio di amministrazione; la filosofia e lo stile di direzione; la struttura organizzativa; l’attribuzione di poteri e la responsabilità e le politiche di gestione delle risorse umane.

Sebbene questi siano tutti importanti, il grado di applicazione di ciascuno si diversifica a seconda dell’azienda. Per esempio, il Ceo di un’azienda con un modesto numero di dipendenti e con attività centralizzate, potrebbe non stabilire livelli formali di responsabilità e politiche gestionali dettagliate, ma potrebbe nondimeno disporre di un appropriato ambiente di controllo.

Integrità e valori etici.

Gli obbiettivi di un’azienda e i metodi utilizzati per realizzarli sono basati sulle priorità, sui giudizi di valore e sullo stile di management. Queste priorità e giudizi di valore, che si traducono in un codice di condotta, riflettono l’integrità e l’etica dei dirigenti.

Dato che la buona reputazione di un’azienda è preziosa, il codice di condotta deve andare al di là del semplice rispetto della legge. Nel giudicare la reputazione delle migliori aziende, la comunità si aspetta qualcosa di più della mera osservanza delle leggi.

L’efficacia delle procedure di controllo interno è funzione dell’integrità e dei valori etici delle persone che creano questi controlli, li amministrano e li sottopongono a monitoraggio. L’integrità e i valori etici sono elementi essenziali dell’ambiente di controllo e incidono significativamente sulla progettazione, sull’amministrazione e sul monitoraggio di altri componenti del sistema di controllo interno.

L’integrità è una condizione del comportamento etico in tutti gli aspetti dell’attività aziendale. La commissione Treadway afferma che “un ambiente fortemente governato dall’etica a tutti i livelli gerarchici è vitale per il benessere dell’organizzazione, delle persone e delle aziende rientranti nel suo raggio d’influenza e del pubblico in genere. L’etica contribuisce in modo rilevante all’efficacia delle politiche e dei sistemi di controllo messi a punto da un’azienda e influisce sui comportamenti che sfuggono ai sistemi di controllo, per quanto gli stessi siano sofisticati”.

È spesso difficile stabilire valori etici di riferimento, a causa degli interessi dei molti soggetti coinvolti, in effetti, l’etica della direzione dell’azienda deve rispondere agli interessi di questa, ma anche alle preoccupazioni del personale, dei fornitori, dei clienti, della concorrenza e del pubblico. Conciliare queste posizioni può diventare uno sforzo complesso e frustrante, in quanto gli interessi spesso divergono. Per esempio, la fornitura di beni essenziali come petrolio, legname o prodotti alimentari può essere causa di preoccupazioni legate all’ambiente.

(21)

21 I dirigenti delle aziende ben gestite ammettono sempre di più che l’etica paga e che i comportamenti etici generano successo. Numerosi casi positivi e negativi confermano queste affermazioni. L’ampio risalto dato pubblicamente da una casa farmaceutica al proprio stato di crisi, causato dal sabotaggio di uno dei suoi principali prodotti, si è dimostrato un buon affare sia dal punto di vista etico che da quello economico. L’impatto sui rapporti con la clientela o sulle quotazioni azionarie causato dal lento trapelare di notizie relative a cattivi risultati o atti illeciti è generalmente molto più pregiudizievole di quello causato da rivendicazioni rapide e chiare.

Privilegiare i risultati a breve termine può essere nocivo. Gli sforzi per accrescere a qualsiasi prezzo il fatturato o gli utili netti, per esempio, provocano spesso delle azioni o reazioni negative. Strategie di vendita aggressive, negoziazione spietate e senza scrupolo o promesse implicite di tangenti o bustarelle, possono suscitare delle reazioni i cui effetti si faranno sentire immediatamente e anche in modo durevole.

L’etica e l’integrità dei dirigenti sono frutto della cultura aziendale. Questa includere le norme etiche e di condotta, come anche i metodi utilizzati per comunicare e rinvigorire le stesse nella pratica. Formalizzando le politiche, il management precisa la sua volontà. La cultura aziendale determina ciò che realmente avviene, quali regole vengono applicate, escluse e non rispettate. L’alta direzione svolge un ruolo di primo piano nella determinazione della cultura aziendale, a cominciare dal Ceo. In effetti, questi ultimi rappresentano generalmente le personalità dominanti di un’azienda e ne definiscono spesso il carattere etico.

Uno studio10_{, effettuato alcuni anni fa, dimostra che certi fattori legati all’organizzazione potrebbero}

incidere sulla probabilità di pratiche fraudolente e discutibili in materia di presentazione delle informazioni di bilancio. Anche il rispetto delle regole etiche può essere influenzato da questi stessi fattori.

Le persone possono commettere atti disonesti, illeciti o contrari all’etica semplicemente perché l’azienda in cui lavorano li sollecita in tal senso. Per esempio, insistere sui risultati, specialmente a breve termine, favorisce un ambiente nel quale il prezzo da pagare in caso di insuccesso è molto alto. Le spinte verso pratiche fraudolenti o discutibili in materia di presentazione delle informazioni di bilancio e, per estensione, verso altre forme di comportamenti non etici, sono le seguenti:

- Pressioni esercitate per conseguire degli obbiettivi irrealizzabili, particolarmente a breve termine;

- Formule di remunerazione fortemente basate sulla performance;

10_{Kenneth A.Merchant, Fraudolent and questionable financial reporting. A Corporate perspective, Financial} executives research foundation, Morristown 1987.

(22)

22 - Sistemi premianti che prevedono incrementi o decurtazioni degli incentivi calcolati in

proporzione ai risultati.

Lo studio menziona anche le tentazioni che inducono il personale a commettere atti disonesti o contrari all’etica:

- Controlli inesistenti o inefficaci, come una scarsa divisione dei compiti in aree rischiose, che costituiscono una tentazione o un’attrattiva per appropriazioni indebite o per mascherare risultati insufficienti;

- Una forte decentralizzazione delle responsabilità di gestione, che non consente al management di essere informato sulle decisioni prese a un livello gerarchico inferiore; - Un servizio di revisione interna inadeguato, che non permette di scoprire e di denunciare

comportamenti irregolari;

- Un consiglio di amministrazione inefficacie, che non esercita una supervisione obiettiva sulla direzione;

- L’applicazione ai comportamenti irregolari di sanzioni modeste o non adeguatamente pubblicizzate, che perdono così il loro potere deterrente.

L’eliminazione o la riduzione di questi incentivi e tentazioni, al fine di limitare i comportamenti irregolari, possono richiedere tempi lunghi. Tutto ciò può essere realizzato solo in un contesto di prassi aziendali sane ed efficaci. Per esempio, un sistema premiante basato sulla realizzazione degli obbiettivi costituisce una tecnica di management soddisfacente, a condizione che gli obbiettivi siano realistici. L’elaborazione di obbiettivi realistici è un metodo di motivazione sicuro: riduce le controproducenti situazioni di stress e la tentazione di falsificare le informazioni economico-finanziarie. Allo stesso modo, un sistema di reporting perfettamente controllato costituisce una difesa contro la tentazione di manipolare i risultati.

Oltre agli incentivi e alle tentazioni, discusse sopra, lo studio menziona l’ignoranza come terza causa di informazioni di bilancio fraudolente o discutibili. Lo studio sostiene che in molte delle società vittime di queste prassi, le persone in causa non rendevano contro che ciò che facevano era irregolare e credevano, a torto, di agire nell’interesse dell’azienda di appartenenza. Questa ignoranza è spesso causata da una cultura povera di valori etici, piuttosto che dall’intento di frode. Così, non soltanto dovranno essere comunicati i valori etici, ma dovranno essere date indicazioni esplicite su ciò che è giusto e ciò che non lo è.

Il buon esempio rappresenta il modo migliore per promuovere un messaggio di comportamento etico attraverso tutta l’azienda. Ogni individuo ha una tendenza naturale a imitare i suoi superiori. Il personale è portato a riprodurre gli stessi atteggiamenti di valore, in relazione al controllo interno, manifestati dal management. Il fatto che il Ceo abbia agito bene, conformemente all’etica,

(23)

23 nell’assumere una decisione difficile è percepito come un messaggio positivo a tutti i livelli dell’organizzazione.

Dare il buon esempio non è sufficiente. Il management dovrà comunicare verbalmente al personale i valori e le norme di condotta dell’organizzazione.

Uno studio11_{ha dimostrato, alcuni anni fa, che un codice di condotta formalizzato è un metodo}

ampiamente impiegato per comunicare al personale le attese dell’azienda in materia di doveri e di integrità. Questi codici contengono un largo ventaglio di questioni di etica come l’integrità, i conflitti d’interesse, i versamenti illeciti o comunque irregolari e gli accordi per limitare la concorrenza. Incoraggiante in parte dalla rivelazione di scandali nel settore degli armamenti, numerose società hanno di recente adottato questi codici e messo a punto dei circuiti di comunicazione e dei meccanismi di monitoraggio. Sebbene i codici di condotta siano utili, essi non costituiscono il solo mezzo per trasmettere questi valori al personale, ai fornitori e ai clienti.

L’esistenza di codici scritti di comportamento e anche la prova che i dipendenti li abbiano ricevuti e compresi, non ne assicura l’osservanza.

Il rispetto delle norme di comportamento non è intrinseco all’esistenza di codici scritti, ma è piuttosto assicurato dalle azioni e dagli esempi dell’alta direzione.

È particolarmente importante che siano previste delle sanzioni disciplinari a carico dei dipendenti che omettono la segnalazione delle infrazioni stesse. Questi provvedimenti presi dal management saranno immediatamente percepiti come un messaggio rivelatore della cultura aziendale.

La competenza del personale.

La competenza deve riflettere le conoscenze e le capacità necessarie per svolgere le mansioni richieste a ogni singola posizione. Spetta generalmente al management decidere il livello qualitativo richiesto per queste mansioni, in funzione degli obbiettivi dell’azienda e dei piani strategici adottati per il raggiungimento degli obbiettivi. Esiste spesso un equilibrio tra competenze e costo, non è necessario, per esempio assumere un ingegnere elettrico per cambiare una lampadina.

Il management deve precisare i livelli di competenza richiesti per una particolare mansione e tradurli in termini di conoscenze e capacità. Queste possono dipendere dall’intelligenza, dalla formazione e dall’esperienza del personale. La natura e il grado di giudizio da applicarsi a una specifica mansione sono tra i molteplici fattori che devono essere presi in considerazione allorquando si valutano le conoscenze e le capacità richieste. Esiste spesso una correlazione tra l’estensione della supervisione da svolgere e il livello di competenze richiesto.

11_{R.K. Mautz. J.Winjum, Crteria for management control systems, Financial executives research foundation,} New York 1981.

(24)

24 Consiglio di amministrazione.

L’ambiente di controllo e la cultura aziendale sono largamente influenzati dal consiglio di amministrazione e dall’audit committee. L’esperienza e la levatura morale dei loro membri, la loro indipendenza dal management, il loro livello d’impegno e di supervisione nella conduzione aziendale, il loro rigore nei controlli delle operazioni come anche l’adeguatezza delle loro azioni sono fattori rilevanti dell’ambiente di controllo. Allo stesso modo, deve essere considerata la loro volontà di affrontare e seguire con il management questioni difficili legate alle strategie e alla performance. L’interazione tra il consiglio di amministrazione o l’audit committee e i revisori interni ed esterni è un fattore altrettanto decisivo per l’ambiente di controllo.

Per la sua importanza, un consiglio di amministrazione o un organo similare attivo e coinvolto costituisce un fattore critico dell’efficacia del controllo interno. È anche indispensabile che il consiglio di amministrazione sia composto, in parte, da amministratori non esecutivi perché essi possano esaminare accuratamente le attività del management, presentare un altro punto di vista, reagire con coraggio di fronte a comportamenti non corretti.

I dirigenti e il personale azienda giocano spesso un ruolo importante in seno al consiglio di amministrazione, apportando le loro conoscenze nel corso delle riunioni. Tuttavia, un equilibrio dovrà essere rispettato. Sebbene le piccole e medie aziende abbiano delle difficoltà ad attrarre amministratori non esecutivi o sopportare il costo, anche se non è generalmente un peso significativo in seno al consiglio di amministrazione. Il numero degli amministratori non esecutivi sarà proporzionato alla situazione specifica aziendale ma, come regola generale, al presenza di più di un amministratore non esecutivo è necessaria per assicurare un equilibrio nel consiglio di amministrazione.

La filosofia e lo stile di direzione.

La filosofia e lo stile di direzione incidono sulla conduzione aziendale e sui livelli di rischio accettati. Un’azienda che ha successo affrontando dei rischi rilevanti, avrà un concetto del controllo interno differente da quella che ha supportato gravi conseguenze economiche o legali per essersi avventurata in aree di attività pericolose. Le attività di un’azienda gestita in modo informale potranno essere controllate per mezzo di contatti diretti con i dirigenti delle funzioni principali. Al contrario, in un’azienda che ha uno stile di management più formale, i responsabili possono affidarsi a procedure scritte, agli indicatori di performance e ai rapporti che segnalano le anomalie.

(25)

25 La struttura organizzativa.

La struttura organizzativa di un’azienda fornisce il quadro nel quale le attività necessarie alla realizzazione degli obbiettivi generali sono pianificate, eseguite, controllate e monitorate. Le attività possono articolarsi secondo la cosiddetta catena del valore: il ricevimento, la produzione, la spedizione, il marketing, la vendita e l’assistenza. Si possono anche avere delle attività, di supporto, come l’amministrazione, la gestione delle risorse umane, la ricerca e sviluppo12_.

La realizzazione di una struttura adeguata implica la definizione delle principali aree di autorità e responsabilità, come pure la creazione di adeguate linee gerarchiche.

La struttura organizzativa di un’azienda è strettamente correlata alle sue necessità. Alcune strutture sono centralizzate, altre decentralizzate. Alcune aziende sono organizzate per settori di attività o per linea di prodotto, per aree geografiche o per la particolare rete distributiva o di marketing. Altre aziende, inclusi molti enti pubblici ed enti senza scopo di lucro, sono organizzate per funzioni.

L’adeguatezza di una struttura organizzativa dipende in parte dalla dimensione e dalla natura delle sue attività. Un’organizzazione molto strutturata, con livelli gerarchici e con responsabilità rigorosamente stabiliti, si adatta bene a un’azienda di grandi dimensioni con numerose divisioni e con filiali e attività all’estero. Tuttavia, ciò potrebbe impedire a una piccola azienda di disporre dei flussi informativi necessari. In tutti i casi, qualunque sia la struttura, le attività di un’azienda dovranno essere organizzate in modo da facilitare l’attuazione delle strategie formulate per conseguire particolari obbiettivi.

L’attribuzione di poteri e responsabilità.

Questo aspetto dell’ambiente di controllo riguarda l’attribuzione dei poteri e delle responsabilità per le attività operative, la definizione delle linee gerarchiche che consentono di far fluire le informazioni e le regole in materia di approvazioni. Questo riguarda anche il modo in cui i singoli e i gruppi sono incoraggiati a prendere iniziative per affrontare e risolvere i problemi, come anche i limiti imposti all’autorità esercitata da individui e gruppi. Infine, tale aspetto copre le politiche che descrivono le prassi aziendali appropriate, le conoscenze e le competenze dei principali responsabili come anche i mezzi per svolgere le loro mansioni.

Le aziende tendono sempre più ad assegnare le responsabilità ai dirigenti di livello meno alto, in modo che le persone più vicine all’operatività partecipino al processo decisionale. Un’azienda può seguire questo approccio per essere più orientata al mercato o focalizzata sulla qualità. Per far ciò, l’azienda deve essere in grado di identificare i cambiamenti di priorità nelle opportunità di mercato, nelle relazioni commerciali e nelle attese del pubblico e di reagire di conseguenza. La delega dei

(26)

26 poteri e delle responsabilità spesso è concepita per incoraggiare, entro certi limiti, l’iniziativa degli individui. Tale delega implica che il controllo centrale abbandoni certe decisioni trasferendole a livelli più bassi, a individui che sono più vicini alle operazioni quotidiane od ordinarie dell’azienda.

Le principali difficoltà risiedano nel fatto che le responsabilità dovrebbero essere delegate solo nei limiti degli obbiettivi da realizzare. Per far ciò, è necessario assicurarsi che l’assunzione dei rischi sia basata su robuste pratiche di identificazione e riduzione del rischio, incluso il relativo dimensionamento e il raffronto tra potenziali costi e benedici, al fine di assume le decisioni migliori per l’azienda.

Un’altra difficoltà è di essere certe che tutto il personale comprenda gli obbiettivi dell’azienda. È essenziale che ciascun individuo sia cosciente dei legami esistenti tra le sue azioni e quelle degli altri e del contributo delle stesse alla realizzazione degli obbiettivi.

Talvolta la delega dei poteri è accompagnata o deriva da una semplificazione o da un appiattimento intenzionale della struttura. I cambiamenti di struttura, realizzati al fine di stimolare la creatività, incoraggiare l’iniziativa e migliorare la capacità di reazione, possono rafforzare la competitività e accrescere il livello di soddisfazione della clientela.

Un aumento dei poteri esige implicitamente un livello di competenza più elevato, come pure un accrescimento delle responsabilità. Esso richiede anche l’elaborazione di procedure efficaci che consentano al management di monitorare i risultati. In effetti la decentralizzazione dei poteri, anche se favorisce la presa di decisioni che tengono meglio conto delle condizioni del mercato, può accrescere il numero di decisioni erronee o imprevedibili.

Il fatto che il personale riconosca che può essere ritenuto responsabile ha una grande influenza sull’ambiente di controllo, ciò è vero a tutti i livelli gerarchici, fino al capo dell’esecutivo che, in ultima istanza, è responsabile di tutte le attività svolte da un’azienda, comprese quelle di controllo interno.

Le politiche e le prassi di gestione delle risorse umane.

Le politiche di gestione delle risorse umane servono anche a comunicare al personale il livello di integrità, di comportamento etico e di competenza che l’azienda si aspetta. Queste politiche comprendono le assunzioni, la gestione delle carriere, la formazione, le valutazioni del personale, gli incontri di verifica con il personale, le promozioni, le remunerazioni e le azioni correttive.

Considerando inoltre la dinamicità dell’ambiente economico e sociale in cui si muovano le aziende è essenziale che il personale sia preparato ad affrontare i problemi di natura mutevole e questo si può realizzare con adeguati programmi di formazione continua fuori e dentro l’azienda. Rafforzare le

(27)

27 capacità del personale significa rafforzare le capacità dell’azienda in modo da saper rispondere ai cambiamenti e avviare iniziative per il miglioramento continuo.

Con riferimento ai fattori specifici che compongono l’ambiente di controllo, tutte le aziende dovrebbero applicare questi aspetti ricordando però che ognuna è libera di farlo e lo farà a modo suo. Infatti l’ambiente di controllo delle divisioni autonome di un’azienda e delle sue filari nazionali ed estere varierà in modo significativo in relazione alle priorità del responsabile della divisione o filiale, dei suoi giudizi di valore e del suo stile di management. Questi ambienti di controllo possono differenziarsi per numerose ragioni. Infatti, variando i modi di gestione delle divisioni e delle filiali nazionali ed estere è poco probabile che gli ambienti di controllo siano gli stessi. È importante, pertanto considerare l’incidenza sugli altri componenti del sistema di controllo interno delle differenze esistenti a livello di ambiente di controllo nelle divisioni e filiali in questione.

Parlando di ambiente di controllo risulta inoltre fondamentale il ruolo dei dirigenti e risulta fondamentale ricordare che l’atteggiamento e l’impegno dei dirigenti per istaurare un efficace controllo interno devono essere diffusi in tutta l’organizzazione. Infine non è sufficiente comunicare il giusto comportamento a parole ma è necessario dare il buon esempio. Infatti un atteggiamento del tipo “fai ciò che dico, ma non fare ciò che faccio” difficilmente produrrà un ambiente sano dal punto di vista etico.

Possiamo concludere dicendo che una cosa è certa, sia nelle aziende medio - piccole che nei grandi gruppi la definizione e l’impostazione di un adeguato ambiente di controllo è una condizione necessaria, ma non sufficiente ad assicurare il governo interno dell’azienda. Sono infatti i comportamenti che, in coerenza ma ben al di la di qualsiasi regola scritta, determinano la qualità del sistema di controllo.

2.3.2. La valutazione dei rischi

Ogni azienda deve affrontare una varietà di rischi, di origine interna ed esterna, che devono essere valutati. La valutazione dei rischi consiste nell’individuare e analizzare i fattori che possono pregiudicare il raggiungimento degli obbiettivi, al fine di determinare come questi rischi dovranno essere gestiti.

Visto che l’ambiente micro e macro – economico, la situazione normativa e le condizioni operative aziendali sono in continua trasformazione, si rendono necessari meccanismi che consentano di identificare e padroneggiare i rischi specifici connessi a dette trasformazioni.