1. IL SISTEMA DI CONTROLLO INTERNO

1.

IL SISTEMA DI CONTROLLO INTERNO

SOMMARIO: 1.1. Cenni Storici; 1.2. La definizione del sistema di controllo interno; 1.3. Il sistema di controllo interno secondo il CoSO Report; 1.4. Le componenti del sistema di controllo interno; 1.5. L'ambiente di controllo; 1.6. Valutazione dei rischi; 1.7. Attività di controllo; 1.8. Informazione e Comunicazione; 1.9. Monitoraggio; 1.10. L'evoluzione del sistema di controllo interno: il modello ERM; 1.11. I componenti dell'ERM; 1.12. I limiti del sistema di controllo interno.

1.1. Cenni storici

Alla metà degli anni novanta, in Italia è iniziato un processo di ammodernamento in materia di disciplina societaria, con lo scopo di aiutare le imprese italiane ad essere più competitive sul mercato.

Una tappa fondamentale di tale processo è da riferirsi al D.Lgs. n. 58 del 24 febbraio 1998 la c.d. Legge Draghi, in particolare questo decreto detta la disciplina degli intermediari finanziari, dei mercati e della gestione accentrata di strumenti finanziari, degli emittenti strumenti finanziari (ad esempio azioni, obbligazioni, titoli di stato, ecc.) e sanzioni penali ed amministrative previste. Questo decreto viene successivamente modificato dal D.Lgs. n. 61 dell'11 aprile 2002 il quale “disciplina gli illeciti penali e amministrativi riguardanti le società

commerciali” secondo quanto già dettato nell'articolo 11 della legge n. 366 del 3 ottobre del 20011

Un altro aspetto normativo di rilievo è da ritrovare nel Codice di Autodisciplina, il c.d. Codice Preda. La prima edizione viene emanata nel 2002, la quale prevedeva la presenza di amministratori indipendenti all'interno del consiglio di amministrazione ed erano identificati come non esecutivi, che non avessero relazioni economiche con la società o con gli amministratori, che non siano titolari di partecipazioni azionarie tali da influenzare le decisioni. Nel marzo 2006 il Codice è stato aggiornato a seguito degli avvenimenti degli anni precedenti, casi Cirio e Parmalat, nel quale vengono stabiliti criteri più rigidi rispetto a quanto previsto nella prima edizione circa la corretta identificazione dell'indipendenza dei componenti del consiglio di amministrazione2.

Per quanto riguarda, invece, il controllo interno, rilievi normativi sono contenuti oltre che nelle riforme succitate, anche nel D. Lgs 231/20013, nel quale è istituita la responsabilità amministrativa delle società, dando rilevo ai ruoli e alle responsabilità dei soggetti che agiscono. Oltre a queste novità, anche l’Abi (Associazione Bancaria Italiana) nel 1999 promuoveva uno studio su Sistemi di controllo interno ed evoluzione dell’Internal Auditing. La Borsa Italiana nell’ottobre del ’99 ha emesso la prima edizione del codice di Autodisciplina, ponendo l’accento su un efficace sistema di controllo interno e istituendo il Comitato per il controllo interno. Infine, Confindustria e Abi, a seguito dell’entrata in vigore del D Lgs 231/2001, hanno emesso i Regolamenti di Settore.

1

L'articolo disciplina le principali tipologie di reato, infatti, possiamo ritrovare dal falso in bilancio (comma a.1) sino all'aggiotaggio (comma a.16). Fonte. www.parlamento.it

2

Schiano di Pepe Giorgio, Faucella Giuseppe – Codice commentato delle S.p.A., Utet Giuridica, 2007: Tomo II pag. 684 – 685.

3

Il decreto legislativo è stato pubblicato sulla Gazzetta Ufficiale del 19 giugno 2001.

“Il D.Lgs. 231/01 introduce per la prima volta nel nostro ordinamento l’obbligo [delle società]

di rispondere in quanto persona giuridica per i reati commessi all’interno della propria struttura. Il D.Lgs. 231/01 ha però previsto una sorta di paracadute: le aziende possono cautelarsi adottando e facendo rispettare modelli di organizzazione e gestione interna.

I reati previsti sono di diversa tipologia e riguardano sia i rapporti tra privati che quelli con le pubbliche amministrazioni.

In particolare, sotto tale ultimo profilo, sono già presenti vincoli di legge volti ad impedire che le aziende possano stipulare rapporti con la P.A. in assenza di modelli organizzativo/gestionali presenti al proprio interno.”( www.legge231.com)

Il 28 dicembre del 2005 è stata introdotta la legge n. 262, c.d. Legge sul Risparmio, la quale introduce importanti novità per le società quotate. Tale legge, infatti, introduce una nuova figura in azienda il Dirigente Preposto, la quale deve attestare che tutte le procedure amministrative e contabili sia adatte e adeguate al fine che ci sia una corretta rappresentazione delle informazioni e dei dati presenti sul bilancio4.

1.2. La definizione del Sistema di Controllo Interno

Nella letteratura economica non esiste una definizione univoca del sistema di controllo interno, infatti, sono tanti gli autori che hanno cercato di fornire una definizione che potesse essere più aderente alla realtà aziendale.

Di seguito è analizzato come alcuni autori definiscono il sistema di controllo interno.

Un prima definizione è fornita da tre autori americani i quali sostengono che il sistema di controllo interno consiste nelle procedure e nelle policies aziendali presenti in azienda le quali forniscono al management una ragionevole sicurezza sul raggiungimento degli obiettivi prefissati.5

Questa definizione prende in considerazione obiettivi generici, infatti non entra nel merito della natura di questi, cioè se sono interni - quindi finalizzati al soddisfacimento di esigenze interne all'azienda – oppure esterni, che riguardano necessità ad esempio normative; solo nel corso della trattazione dell'argomento, gli autori definiscono la natura degli obiettivi che risulta essere sia interna che esterna.

4

La legge 262/05 e la figura del dirigente preposto saranno trattate nel capitolo 3.

5

A.A. Arenas, R.J. Elder, M.S. Beasley, Auditing and Assurance Services, 2003 Prentice Hall International Editions, New Jersey USA, pag. 270: “ A system of internal control consists of policies and

procedures designed to provide management with reasonable assurance that the company achieves its objectives and goals.”

Una seconda definizione è quella data da Coopers & Lybrand6, nella quale affermano che il controllo interno è un processo, svolto da persone – nel trattato i soggetti interessati sono il Consiglio di Amministrazione, i dirigenti e gli operativi aziendali –, che mira a fornire una ragionevole sicurezza sulla realizzazione di obiettivi sia interni – efficacia e efficienza delle attività operative – sia esterni - conformità alle leggi ed ai regolamenti.

Gli autori qui esplicitano nella definizione la natura degli obiettivi, inoltre, introducono il concetto di processo, cioè pongono il sistema di controllo interno in ottica processuale.

Un altro concetto di rilevo è dato alle “persone” in quanto queste sono gli attori principali del controllo interno.

La terza definizione è quella fornita dal Luciano Marchi7, il quale basa la sua analisi del sistema di controllo interno sui principi di revisione8. L'autore definisce, infatti, il controllo interno come un insieme di procedure e tecniche adottate che debbano garantire l'aderenza delle attività a quanto prefissato dalla direzione; la salvaguardia del patrimonio aziendale e l'attendibilità dei dati del sistema informativo. Gli obiettivi che vengono intesi in questa definizione sono prettamente interni.

Analogie

Le definizioni prese in esame hanno un elemento principale in comune cioè le procedure. Queste nella realtà aziendale sono molto importanti, infatti,

6

Coopers & Lybrand, Il sistema di controllo interno, Il sole 24 ore, 2006 III edizione, Milano. “ Il

controllo interno è un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di efficacia ed efficienza delle attività operative, l’attendibilità delle informazioni di bilancio e la conformità alle leggi e ai regolamenti in vigore”

7

L. Marchi, Revisione Aziendale e Sistemi di controllo interno, Giuffrè Editore, 2008 seconda edizione.” il sistema di controllo interno viene definito come l'insieme delle direttive, delle procedure e delle tecniche adottate dall'azienda allo scopo di garantire: la conformità delle attività degli organi individuali e collegiali all'oggetto che l'impresa si propone di conseguire ed alle direttive impartite dalla direzione; la salvaguardia del patrimonio aziendale; l'attendibilità dei dati del sistema informativo aziendale.”

8

permettono di descrivere le azioni da intraprendere al fine di eseguire determinate operazioni. L'importanza di questi documenti è data dal rendere univoca l'interpretazione, e di conseguenza l'operatività, della attività descritta. È opportuno, quindi, che le procedure siano descritte nel modo più attinente alla realtà; alla base di questi documenti aziendali troviamo un indagine svolta da soggetti competenti9 al fine di adattare, strutturare e/o creare procedure corrette. Un altro elemento in comune tra le definizioni è la ragionevole sicurezza10. Il sistema di controllo interno, o meglio l'adozione di procedure idonee e lo svolgimento delle attività in modo corretto, potrà fornire una buona sicurezza sul raggiungimento degli obiettivi prefissati; infatti tale sistema non potrà mai fornire una sicurezza assoluta.

Differenze

Un elemento comune alle definizioni prese in esame è il raggiungimento degli obiettivi; il controllo interno infatti ha come finalità il raggiungimento degli obiettivi che sono stati prefissati11. Ciò che differenzia le tre definizioni è la natura degli obiettivi. Si può, infatti, riscontrare che i tre autori ritengono finalizzato il controllo interno per tre tipologie di obiettivi diversi.

La prima definizione ritiene il controllo interno finalizzato al raggiungimento di obiettivi generici, ovvero, non menziona la natura degli stessi. Luciano Marchi, invece definisce gli obiettivi come prettamente interni12, infatti, afferisce che le procedure concorro a fornire sicurezza sul raggiungimento di “quanto definito dalla direzione[...] la salvaguardia del patrimonio aziendale e l'attendibilità dei dati del sistema informativo”.

Coopers & Lybrand, invece, prendono in considerazione tutt'e due le tipologie di obiettivi sia quelli interni sia quelli esterni facendo quindi rientrare sia

9

I soggetti preposti possono essere società di consulenza, l'internal audit oppure una specifica funzione aziendale.

10

Questo argomento sarà trattato più approfonditamente nel paragrafo successivo.

11

Questo argomento sarà trattato più approfonditamente nel paragrafo successivo.

12

“l'attendibilità delle informazioni presenti in bilancio[sia] la conformità alle leggi e ai regolamenti in vigore”.

In questa trattazione viene presa in considerazione come definizione quella di Coopers & Lybrand.

1.3. Il Sistema di Controllo Interno secondo il CoSO report

“Il controllo interno è un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi di efficacia ed efficienza delle attività operative, l’attendibilità delle informazioni di bilancio e la conformità alle leggi e ai regolamenti in vigore”

La definizione del sistema di controllo interno pone l’attenzione su concetti fondamentali del sistema stesso. Di seguito saranno analizzati i concetti chiave di: • Processo; • Persone; • Ragionevole sicurezza; • Obiettivi. Processo

Il sistema di controllo interno è costituito da una serie di operazioni che interessano l’intera l’attività dell’azienda. Le attività aziendali sono gestite mediante i processi fondamentali di pianificazione, esecuzione e monitoraggio. Il controllo interno deve essere inteso come parte integrante dei processi aziendali, infatti, se avviene tale integrazione, il controllo può incidere

direttamente sulle capacità di un’azienda di raggiungere gli obiettivi prefissati e migliorare la qualità dei processi e della circolazione delle informazioni.

L’integrazione dei controlli può avere un impatto positivo in termini di contenimento di costi e di flessibilità a fronte dei cambiamenti.

La riduzione dei costi può essere attuata ponendo l’attenzione sulle procedure già esistenti e sul loro contributo all’efficacia, invece di introdurne delle nuove. Nel contesto operativo, l’integrazione dei sistemi di controllo determina lo sviluppo di nuovi controlli per nuove attività, permettendo di aumentare la flessibilità di risposta dell’organizzazione.

Persone

Il controllo interno non deve essere inteso esclusivamente come un insieme di procedure - controlli e attività - ma come una serie di operazioni che sono svolte dagli individui che lavorano in azienda. Gli attori del sistema di controllo interno sono, quindi, oltre al Consiglio di Amministrazione ed al management, tutte le persone operanti in azienda. Questi soggetti hanno delle responsabilità in materia che devono essere ben note.

Le competenze degli attori del sistema di controllo interno saranno riprese ed analizzate più avanti nel corso della trattazione.

Ragionevole Sicurezza

Il sistema di controllo interno, anche se è ben condiviso e funzionante, può fornire al management e al Consiglio di Amministrazione una ragionevole sicurezza sulla realizzazione degli obiettivi aziendali, non la sicurezza assoluta, dato che essa non può sussistere, in quanto il raggiungimento degli obiettivi risente dei limiti insiti in tutti i sistemi di controllo. Non va trascurato, inoltre, che nel processo decisionale le persone potrebbero operare scelte errate, commettere errori di interpretazione oppure eludere i controlli attraverso la collusione di due o più persone.

Obiettivi

Gli obiettivi individuati per tutti i livelli aziendali sono molto importanti, infatti, essi discendono dalla mission dell’azienda stessa.

Il sistema di controllo interno può fornire un livello di ragionevole sicurezza sulla realizzazione degli obiettivi; ma il completo raggiungimento di questi dipende dal modo e dall’efficienza con cui vengono eseguite le attività del sistema di controllo.

1.4. Componenti del sistema di controllo interno

Il sistema del controllo interno è costituito da cinque componenti interconnesse tra loro:

1. Ambiente di controllo: Sono le persone che lavorano all’interno

dell’azienda, i valori etici e tutti gli aspetti riguardanti gli individui che operano nell’organizzazione.

2. Valutazione di rischi: i rischi sono connessi alle attività che la società

pone in essere, ed ogni rischio deve essere soggetto a valutazione per poterlo gestire.

3. Attività di controllo: sono fondamentali per poter gestire i rischi, infatti, tali attività sono poste a presidio dei rischi individuati.

4. Informazione e comunicazione: sono i sistemi di comunicazione che

servono per la raccolta e lo scambio di informazioni.

5. Monitoraggio: questa attività serve per analizzare il processo e apportare,

se necessario, eventuali modifiche.

Questi componenti sono interconnesse tra di loro e non devono essere visti come a sé stanti, infatti, ognuna può influire sugli altri.

Fig.1 Nella figura sono presentati due modi di identificare il sistema di controllo interno. Il primo (coso

pyramid) mostra la stretta connessone tra tutti gli elementi del sistema, il secondo (coso cube) mostra

come le componenti del controllo interno siano interconnesse, non solo tra loro, ma anche con le unità o funzioni dell’organizzazione e con gli obiettivi aziendali.

Tra i componenti del sistema di controllo e gli obiettivi che l’azienda si prefigge, esiste un legame diretto. Questa connessione deve essere estesa anche ai processi o unità dell’azienda, infatti, tutte e cinque le componenti hanno lo scopo di cooperare al raggiungimento degli obiettivi che l’azienda si è posta.

Il sistema di controllo deve essere efficace. Si ritiene sia così quando questo fornisce una ragionevole sicurezza delle informazioni al management e all’alta direzione.

1.5. L’ambiente di controllo

“L’ambiente di controllo determina il tono dell’organizzazione, influenza il personale alla consapevolezza dell’attività di controllo. Costituisce le fondamenta per tutte le altre componenti del controllo interno, fornendo disciplina e organizzazione. Gli elementi dell’ambiente di controllo includono l’integrità, i valori etici e le competenze del personale aziendale; la filosofia e lo stile del management; il modo con cui vengono assegnate responsabilità e deleghe del management, come organizzare e formare le persone; la diligenze e il modo di indicare la strada da perseguire del consiglio di

amministrazione.13”

L’ambiente di controllo è un elemento molto importante, esso rappresenta la cultura ed i valori che un’azienda possiede. Questa componente ha un’influenza determinante su come le attività vengono effettuate, su come i rischi sono valutati e su come vengono definiti gli obiettivi.

Dell’ambiente di controllo fanno parte gli elementi fondamentali per infondere in tutta l’organizzazione i valori necessari per il raggiungimento degli obiettivi prefissati.

Un primo elemento è costituito dall’integrità e dai valori etici dell’azienda. È fondamentale per una società avere una buona reputazione. Questa nasce prima di tutto da come l’azienda è regolata al suo interno: se i valori e l’integrità sono frutto della cultura aziendale, questi elementi devono essere condivisi e

13

Fonte: www.coso.org

Trad.: “ The control environment sets the tone of an organization, influencing the control consciousness of its people. It is the foundation for all other components of internal control, providing discipline and structure. Control environment factors include the integrity, ethical values, management's operating style, delegation of authority systems, as well as the processes for managing and developing people in the organization”

conosciuti a tutti i livelli. Questo darà alla società la possibilità di godere di una reputazione positiva anche all’esterno14.

Come già sottolineato prima, l’ambiente di controllo ha un’influenza sul raggiungimento degli obiettivi. In questa componente svolgono un ruolo fondamentale le “persone”, le quali devono essere motivate ed incentivate. Tale scopo può essere raggiunto attraverso “un sistema incentivante” il quale all’ottenimento di obiettivi personali – che devono essere raggiungibili ma al tempo stesso stimolanti15 – permettono agli individui di perseguire contemporaneamente entrambi gli interessi sia quelli individuali sia quelli aziendali.

Un altro aspetto importante per un buon ambiente aziendale e quindi un buon ambiente di controllo, è la competenza del personale, infatti, quest’ultimo deve avere le conoscenze e le capacità necessarie per svolgere i compiti assegnatigli. Tale aspetto ha una duplice funzione, infatti, un soggetto dotato di opportune conoscenze in materia riuscirà a svolgere le mansioni assegnate con buoni risultati. Il suo comportamento servirà anche come esempio per tutti i soggetti dell’organizzazione, infatti, un buon esempio rappresenta il miglior modo per diffondere un modello di comportamento in tutta l’azienda. Il solo buon esempio, però, non può servire per infondere un’idonea cultura aziendale, ma è compito del management comunicare i valori e i comportamenti da adottare all’interno della società.

Un altro aspetto dell’ambiente di controllo legato al personale è l’attribuzione dei poteri e responsabilità. Un’attribuzione ponderata permetterà di risolvere più rapidamente tutte le problematiche si che presentano nella normale esecuzione dell’attività aziendale. La delega dei poteri e delle responsabilità è spesso concepita per incoraggiare, entro certi limiti, l’iniziativa degli individui. È,

14

Per “esterno” si intende tutti i portatori di interesse, stakeholders.

15

Gli obiettivi devono essere non troppo facili da raggiungere né troppo difficili. In questo secondo caso si potrebbe avere un effetto contrario in quanto gli individui poterebbero essere indotti a commettere azioni fraudolente o eticamente scorrette al fine di raggiungerli.

infatti, abbandonato il controllo centralizzato, in modo da rendere più flessibile e rapido il processo decisionale.

Le responsabilità dei soggetti in azienda derivano dalla struttura organizzativa, la quale fornisce il quadro su come sono strutturate le attività, dalla fase di pianificazione al monitoraggio, per poter raggiungere gli obiettivi aziendali stabiliti.

1.6. Valutazione dei rischi

“Ogni società si trova ad affrontare una moltitudine di rischi derivanti da fonti esterne e interne che devono essere valutate. Un requisito della valutazione dei rischi è stabilire gli obiettivi, inoltre, la valutazione dei rischi consiste nell’identificazione e analisi dei rischi specifici al fine di raggiungere gli obiettivi assegnati. La valutazione dei rischi è un prerequisito per determinare come i rischi devono essere gestiti16”

Qualsiasi tipologia di azienda, indipendentemente dalla dimensione, dalla struttura, dalla natura del suo business incontra rischi a tutti i livelli dell’organizzazione, tali che possano pregiudicare la sua sopravvenienza ed è per questo motivo che il management deve valutare la probabilità che l’evento negativo possa verificarsi.

I rischi derivano dall’attività dell’azienda e possono essere causati da molti fattori. La strategia aziendale impone di porsi degli obiettivi che, pur non essendo una componente del sistema di controllo interno, ne sono però un presupposto.

Gli obiettivi

Possiamo individuare due tipologie di obiettivi: la prima è relativa agli obiettivi generali, i quali sono rappresentati in termini di mission e valori aziendali; nella seconda sono inclusi quelli specifici, collegati ed integrati ai primi, che discendono dalla strategia della società e possono essere ad esempio gli scopi che le linee di prodotto devono perseguire.

16

Fonte: www.coso.org

Trad.: “Every entity faces a variety of risks from external and internal sources that must be

assessed. A precondition to risk assessment is establishment of objectives and thus risk assessment is the identification and analysis of relevant risks to the achievement of assigned objectives. Risk assessment is a prerequisite for determining how the risks should be manage.”

La definizione degli obiettivi permette al management di identificare i criteri di misura delle performance e di focalizzare l’attenzione sui fattori critici di successo.

Sebbene gli obiettivi si differenzino a seconda della azienda - in quanto ogni organizzazione li predispone in base alla natura dell’attività, del contesto economico e ad altri fattori propri della società - essi possono essere raggruppati in macrocategorie:

• Obiettivi operativi

• Obiettivi relativi alle informazioni di bilancio

• Obiettivi di conformità normativa

Per quanto concerne la prima categoria, questi sono legati alla realizzazione delle mission aziendale,. essi riguardano il miglioramento di efficacia e di efficienza.

È importante che gli obiettivi operativi rispecchino la realtà in cui opera l’azienda, in modo da evitare che vengano definiti target difficilmente raggiungibili o irrealistici.

È fondamentale che gli obiettivi operativi e le strategie aziendali siano chiaramente definite, infatti, essi rappresentano il punto focale su cui concentrare l’attenzione, affinché questi siano recepiti a tutti i livelli in modo da non allocare in maniera inefficace ed inefficiente le risorse.

La seconda macro categoria riguarda gli obiettivi relativi alle informazioni di bilancio. che non riguardano esclusivamente la parte finale del “processo di predisposizione bilancio”, ma prendono in considerazione l’intero iter.

Questa categorie è importante perché le informazioni presenti nel bilancio interessano soggetti esterni, fornitori, clienti, banche, i quali analizzano la redditività dell’azienda al fine di intraprendere o meno un rapporto con la società.

Le informazioni presenti sui documenti devono essere attendibili, cioè devono essere predisposte in modo veritiero e corretto17, secondo quanto è stabilito dai principi contabili. Questi obiettivi sono, inoltre, supportati dalle asserzioni di bilancio che sono Esistenza e Accadimento eventi; Completezza; Valutazione o Rilevazione; Diritti e Obblighi; Competenza e Presentazione o Informativa18.

L’ultima categoria riguarda gli obiettivi di conformità alle norme e regolamenti vigenti. Le società operano in ambienti macro-economici in cui i mercati sono sottoposti a regole, le quali impongo alle organizzazioni di predisporre procedure e attività che soddisfino le esigenze normative. Il rispetto o meno di queste norme può incidere in maniera rilevante sulla reputazione della società.

Gli obiettivi non sono strettamente legati alla categoria di appartenenza. Un obiettivo può essere comune a più categorie, ad esempio la chiusura dei conti entro un determinato periodo di tempo è sia un obiettivo operativo – effettuare l’operazione entro il tempo stabilito – sia relativo al bilancio – in quanto l’operazione genera delle informazioni che confluiranno nel bilancio d’esercizio. Nel perseguire gli obiettivi relativi ad una determinata attività si potrebbero constatare problemi di inadeguatezza delle risorse impegnate; è importante, quindi, valutare e allineare le risorse disponibili con l’obiettivo che si vuole realizzare, al fine di non compromettere il raggiungimento dello stesso. Gli obiettivi, infatti, costituiscono dei traguardi verso i quali l’azienda si dirige nel gestire le sue attività.

Una società può adottare e attuare un efficace sistema di controllo interno e pianificare tutte le attività in maniera ottimale, però, possono accadere eventi difficilmente controllabili, ad esempio eventi esterni (catastrofi, eventi atmosferici, ecc). La società può aver previsto, però, misure che attenuino l’impatto dei questi accadimenti, ma non potrà mai evitarli in quanto non sono sotto il controllo dell’organizzazione.

17

,Art 2423 comma 2 del Codice civile : “Il bilancio deve essere redatto con chiarezza e deve rappresentare in modo veritiero e corretto la situazione patrimoniale e finanziaria della società e il risultato economico dell’esercizio.”

18

Le asserzioni di bilancio saranno riprese nel corso del trattato, nel capitolo relativo all’attività di

I rischi

Il rischio è la probabilità che un evento negativo si manifesti e che il suo impatto possa causare danni significativi alla società.

Il rischio è caratterizzato da due elementi fondamentali:

o Probabilità

o Impatto

Entrambi gli elementi possono essere misurati. Il primo definisce la possibilità remota o reale che un evento negativo posso manifestarsi, mentre il secondo si riferisce all’entità del danno che può causare tale accadimento all’azienda.

L’identificazione del rischio rappresenta un compito costante, poiché le condizioni e le esigenze cambiano continuamente ed esso deve essere integrato nelle procedure operative quotidiane. I rischi, infatti, derivano dagli eventi esterni e/o interni che possono influire negativamente sul raggiungimento degli obiettivi aziendali.

I rischi posso essere classificati nelle seguenti macro categorie: 1) Rischi Esterni.

Essi possono essere causati da:

- concorrenza, la quale modifica il proprio metodo di

commercializzazione;

- nuove tecnologie;

- nuove regolamentazioni di legge, che possono modificare le

politiche aziendali o le strategie;

- cambiamenti dei bisogni della clientela, questo porta

l’azienda a ripianificare il prodotto, il processo produttivo fino ad arrivare al prezzo;

- cambiamenti economici, come ad esempio la crisi economica.

2) Rischi Interni. Nei quali rientrano:

Rischi Operativi:

- gestione dei clienti;

- gestione dei fornitori;

- logistica e produzione…;

Rischi Strategici:

- decisioni di Investimento;

- trasformazioni societarie ed operazioni

straordinarie…;
Rischi inerenti al personale:

- Gestione delle risorse aziendali;

- Competenza del personale, il quale può derivare dai

metodi di formazione interna, dal processo di selezione…;

Rischi relativi ai sistemi informativi, per i quali la società non è in grado di gestire il processo tecnologico, obsolescenza dei software utilizzati…;

Rischi finanziari, i quali possono insorgere a seguito dell’utilizzo di fonti finanziare alternative…;

Esistono numerose tecniche per valutare ed identificare i rischi, tra le quali le attività svolte dai revisori interni ed esterni, che utilizzano metodi quantitativi e qualitativi per individuare i rischi e definire quali siano prioritari; altre tecniche sono l’effettuazione di esami periodici dei fattori che interessano l’attività. L’efficacia di queste tecniche consiste, non tanto nel metodo utilizzato, quanto nel tener conto, da parte della dirigenza, dei fattori che determinano il rischio, come ad esempio il mancato raggiungimento degli obiettivi nel passato, la

competenza del personale, i cambiamenti che influenzano l’attività aziendale e così via.

La gestione dei rischi a livello interno e più specifico a livello di attività - come le vendite, la produzione, il marketing, l’attività di ricerca e sviluppo ecc – permette di focalizzare la valutazione degli stessi sulle principali funzioni o unità.

Per evitare che i rischi definiti più importanti non vengano individuati, la procedura di identificazione deve essere distinta da quella che mira a valutare la probabilità che essi si verifichino.

L’analisi dei rischi

Dopo che sono stati identificati i rischi di qualsiasi livello, bisogna procedere alla loro analisi. È opportuno prima di tutto valutare l’importanza del rischio, la sua probabilità di accadimento e considerare il modo con cui questo deve essere gestito.

Il primo punto riguarda la valutazione dell’importanza del rischio rispetto all’attività della società; infatti, se un rischio non è molto significativo per l’azienda non è necessaria un’analisi approfondita circa il suo modo di gestione; al contrario, se il rischio risulta essere rilevante, il management dovrà esaminarlo molto attentamente.

La probabilità che il rischio si verifichi è un aspetto non secondario. Anche in questo caso, a seconda della probabilità di accadimento, la dirigenza aziendale dovrà effettuare un’analisi congrua e in linea con la possibilità che il rischio si manifesti.

Per molti rischi non è possibile definire in modo puntuale le dimensioni che questi possano avere, infatti, molto spesso sono adottati indici generici per identificarli come ad esempio “alto, “medio” o “basso”.

Dopo che è stata analizzata la probabilità e l’importanza del rischio, il management dovrà valutare i modi con cui esso deve essere gestito. Si possono

adottare azioni volte a ridurre o limitare la sua probabilità di accadimento o la sua significatività attraverso, ad esempio, l’elaborazione di report gestionali più specifici oppure il miglioramento delle attività di formazione del personale. In parallelo alla definizione e pianificazione delle azioni di intervento, devono essere create, se non già esistenti, delle procedure che permettano alla dirigenza di monitorare la realizzazione e l’efficacia delle azioni. Nel caso in cui esistano già le procedure di mitigazione del rischio, bisogna valutarne la validità, cioè se esse consentono o meno di fronteggiare i rischi;. se non dovessero ottenere tali risultati, il management dovrà provvedere ad aggiornarle, apportando modifiche significative tali per cui la procedura potrà essere nuovamente efficace.

L’analisi dei rischi spesso costituisce un fattore critico di successo per le aziende, infatti, tale analisi permette di identificare i rischi relativi ai processi chiave, rendendo questi ultimi più efficaci.

È doveroso sottolineare che la validità del sistema di controllo interno è tale, perché esso è adottato prendendo in considerazione il contesto in cui si trova l’azienda in quel momento. Se il contesto muta, il management dovrà adattare nuovamente il sistema di controllo, in modo che esso esprima a pieno la sua efficacia.

L’analisi del cambiamento è integrata o svolta parallelamente alla valutazione dei rischi, infatti, tale analisi mira a prevedere come si modificherà l’ambiente e di conseguenza quali azioni intraprendere al fine di mitigare i rischi. L’identificazione dei cambiamenti, richiede l’esistenza di meccanismi atti a individuare e comunicare i mutamenti dell’ambiente, i quali possono inficiare il raggiungimento degli obiettivi prefissati; quest’analisi comprende l’identificazione delle cause e dell’effetto che possono pregiudicare la realizzazione degli obiettivi.

Anche in questo caso – come nell’identificazione dei rischi – l’attenzione che il management dovrà rivolgere ai mutamenti è direttamente dipendente dalle conseguenze che questi potrebbero avere.

Di seguito sono elencati alcuni possibili cambiamenti ai quali le aziende potrebbero essere interessate:

• Cambiamento operativo: Un cambiamento relativo alle condizioni

economiche o normative può tradursi in una maggiore pressione dei competitors e di conseguenza si avrà un mutamento dei rischi;

• Assunzione di nuovo personale: Un neo-dipendente potrebbe non essere

ancora entrato in sintonia con la cultura azienda e quindi non prestare attenzione alle attività di controllo e perseguire solo obiettivi di performance;

• Nuovo sistema informativo: L’adozione di un nuovo sistema potrebbe

portare ad un rallentamento delle attività oppure ad eseguire quest’ultime in maniera non corretta;

• Rapida crescita: La crescita rapida di una società potrebbe creare dei

rischi significativi, nel caso in cui la struttura organizzativa non andasse di pari passo con la crescita stessa;

• Nuova tecnologia: Se la società adotta nuove tecnologie, ad esempio, per

la gestione di processi aziendali, i sistemi di controllo interno devono essere modificati al fine di non creare disallineamenti tra questi ultimi e la nuova tecnologia;

• Nuovi prodotti: La creazione di nuovi prodotti richiede una verifica delle

attività dei controlli in quanto, a fronte, ad esempio, di nuove operazioni i controlli esistenti potrebbero rivelarsi inadeguati;

• Attività estere: Se una società acquisisce attività in paesi diversi da dove

questa opera, si potrebbero verificare dei disallineamenti a livello di cultura aziendale oppure a quello di gestione aziendale.

L’azienda deve adottare meccanismi orientati al futuro, in modo da anticipare i cambiamenti significativi ed adottare le azioni necessarie. Infatti, più i cambiamenti sono colti rapidamente, più è probabile che le contromisure adottate siano efficaci. Ovviamente nessuno può predire con certezza il

manifestarsi dei cambiamenti, ma più l’azienda è predisposta ad anticiparli più probabile che questa non sia colta di sorpresa e sia in grado di poterli fronteggiare.

1.7. Attività di Controllo

“L’attività di controllo è rappresentata dalle policy e le procedure che aiutano ad assicurare che siano eseguite le direttive espresse dal management. Queste garantiscono le azioni necessarie da perseguire al fine di gestire i rischi che potrebbero intralciare il raggiungimento degli obiettivi aziendali. Le attività di controllo si attuano a tutti i livelli dell’organizzazione e a tutte le funzioni. Esse includono un insieme di attività diverse, come le approvazioni, le autorizzazioni, le verifiche, le riconciliazioni, la verifica delle performance operative, la

protezione dei beni aziendali e la divisione dei compiti.19”

Le attività di controllo sono una serie di politiche e procedure che i soggetti di ogni livello aziendale devono porre in essere per attuare le direttive emesse dall’alta direzione, al fine di gestire i rischi in modo ottimale ed efficiente.

Le attività di controllo possono essere divise in tre categorie: le attività rispetto ad obiettivi operativi, attività relative a informazioni sul bilancio e attività a tutela della conformità normativa. Queste tipologie e le relative attività di controllo possono riguardare una o più aree.

Riguardo alle suddette attività di controllo, possono essere posti in essere controlli preventivi, investigativi, manuali e informatici.

Di seguito sono elencate alcune attività di controllo:

• Analisi svolte dall’alta direzione: sono analizzate, ad esempio, le

performance, mettendole in relazione con il budget, con i dati storici

19

Fonte: www.coso.org

Trad.: “Control activities are the policies and procedures that help ensure management

directives are carried out. They help ensure that necessary actions are taken to address the risks that may hinder the achievement of the entity's objectives. Control activities occur throughout the organization, at all levels and in all functions. They include a range of activities as diverse as approvals, authorizations, verifications, reconciliations, reviews of operating performance, security of assets and segregation of duties.”

relativi ai periodi precedenti ed altre informazioni utili ad analizzare gli andamenti delle performance stesse;

• Gestione delle attività: tutte le performance, dopo essere state analizzate a

livello di azienda, sono analizzate a livello di attività o di funzione;

• Elaborazione dei dati: i dati sono sempre più “protagonisti” della vita

aziendale, quindi, necessitano di un controllo a livello di accuratezza e completezza degli stessi;

• Controlli fisici: molto spesso vengo posti in essere controlli che vanno

oltre il dato stesso, infatti, si può effettuare una verifica fisica ad esempio sulle scorte che richiedono di essere esaminate al fine di constatare la veridicità del dato registrato;

• Separazione dei compiti: questo elemento è molto importante, perché

controllare che alcune attività siano svolte da persone diverse riduce il rischio di errori oppure frodi.

La definizione delle attività di controllo20 è parte integrante della valutazione dei rischi, infatti, al fine di mitigare un rischio si pongono in essere tali attività in modo da ridurre l’impatto che il rischio possa avere nel caso in cui si manifesti; così facendo l’azienda ha buone probabilità di realizzare gli obiettivi prefissati.

Oggi, sempre più spazio è destinato ai sistemi informativi, attraverso i quali i dati circolano in azienda. Per questo motivo è fondamentale che essi siano tenuti sotto controllo e che il management abbia una loro conoscenza completa e precisa in termini di informazioni prodotte e di altri aspetti necessari alla vita aziendale.

Le attività di controllo relative ai sistemi informativi possono essere divisi in due gruppi: il primo riguarda controlli a livello generale, i quali si applicano alla quasi totalità dei sistemi; il secondo gruppo, invece, è relativo alla procedure

20

È bene ricordare che le attività di controllo non sono solo riferite alla valutazione dei rischi, ma sono parte integrante dei processi stessi.

automatizzate ed a quelle manuali al fine di controllare l’elaborazione delle diverse operazioni.

Di seguito sono elencati controlli che normalmente vengo eseguiti e che sono afferenti al primo gruppo, i controlli generali:

Una prima tipologia si riferisce ai controlli sul Ced (Centro elaborazioni dati), i quali includono la pianificazione e l’organizzazione dei lavori, i piani di sicurezza e le procedure di backup.

Devono essere presenti, inoltre, controlli relativi al software di sistema, che devono assicurare il corretto funzionamento dei sistemi nel loro complesso. Un’altra categoria molto importante è quella relativa ai controlli sugli accessi. Gli accessi ai sistemi informativi sono strumenti che permettono agli utenti di scrivere, modificare e visionare le informazioni in essi contenute. In azienda sono presenti diverse tipologie di accesso, infatti, a seconda del ruolo che ricopre il dipendente, esso avrà la facoltà di accedere a determinati livelli del sistema, modificare i dati oppure avere solo visione delle informazioni presenti. La logica alla base degli accessi è quella di fornire gli strumenti strettamente necessari allo svolgimento dei compiti per cui il dipendente è incaricato. Risulta quindi necessario porre in essere attività di controllo che verifichino l’accesso ai sistemi, in modo da evitare, ad esempio, l’esistenza dell’account di soggetti non più presenti in azienda o di cui non ne hanno più titolo.

La seconda categoria è relativa ai controlli sui sistemi applicativi. Le attività di controllo che vengono poste in essere sono mirate a verificare il funzionamento dei programmi e che i programmi stessi assicurino la completezza e l’accuratezza dell’elaborazione delle operazioni.

Le due categorie sono necessariamente interdipendenti, infatti, i controlli a livello generale sono necessari per assicurare il funzionamento dei controlli sui sistemi applicativi, che di conseguenza dipendono dall’affidabilità del processo elaborativo.

A causa di questa stretta relazione delle due categorie, la carenza o l’insufficienza dei controlli generali di una tipologia ha ripercussioni importanti sull’altra.

1.8. Informazioni e comunicazione

“Devono essere identificate le informazioni pertinenti, raccolte e comunicate in forma idonea e nei tempi che consentano alle persone di adempiere alle proprie responsabilità. I sistemi informativi producono report, contenenti dati operativi, finanziari e informazioni relative alla conformità normativa che permettono di gestire e controllare l’attività aziendale. Essi trattano non solo di informazioni interne, ma anche eventi esterni, attività e condizioni necessarie per prendere decisioni e creare report per l’esterno. Tutte le comunicazioni devono, inoltre, circolare dal basso verso l’alto e viceversa.21”

I sistemi informativi sono sempre più importanti nella vita aziendale, in quanto attraverso questi circolano le informazioni relative alla società.

Essi non devono essere considerati uno strumento utilizzato esclusivamente per l’esterno, ma devono essere utilizzati anche per diffondere informazioni sull’andamento della società all’interno.

La divulgazione delle informazioni, nei modi e nei tempi necessari, ai soggetti interni permette a questi ultimi di adempiere alle proprie responsabilità.

Tali strumenti sono parte integrante dell’attività operativa, infatti, l’utilizzo dei sistemi informativi in modo strategico con il business della società può essere un fattore di successo. Un esempio può essere costituito dalle scelte operate dalle

21

Fonte: www.coso.org

Trad.: “Pertinent information must be identified, captured and communicated in a form and timeframe that enable people to carry out their responsibilities. Information systems produce reports, containing operational, financial and compliance-related information, that make it possible to run and control the business. They deal not only with internally generated data, but also information about external events, activities and conditions necessary to informed business decision-making and external reporting. Effective communication also must occur in a broader sense, flowing down, across and up the organization. All personnel must receive a clear message from top management that control responsibilities must be taken seriously. They must understand their own role in the internal control system, as well as how individual activities relate to the work of others. They must have a means of communicating significant information upstream. There also needs to be effective communication with external parties, such as customers, suppliers, regulators and shareholders.”

compagnie aeree, nella fattispecie il sistema di prenotazione dei voli, le quali mettono a disposizione le informazione relative ai voli sul proprio sito internet, dal quale l’utente può acquistare la prenotazione desiderata comodamente dal proprio computer.

Un altro aspetto importante dei sistemi informativi riguarda la coesione tra nuove tecnologie. Adottare un nuovo sistema che permetta di ridurre i tempi di elaborazione non può portare sempre un valore aggiunto al processo, infatti, deve essere valutata la compatibilità con i sistemi già in dotazione della società.

La qualità delle informazioni è un aspetto non secondario, in quanto una buona informazione – non viziata da errori - porta a prendere decisioni più corrette. La qualità delle informazioni può essere valutata attraverso i seguenti criteri:

 Contenuto: bisogna valutare che siano presenti tutte le informazioni

necessarie;

 Tempestività: l’informazione deve essere ottenuta nei tempi desiderati;

 Aggiornamento: l’informazione presente deve essere quella più recente;

 Accuratezza: l’informazione deve essere corretta e non viziata da errori;

 Accessibilità: le informazioni devono essere consultabili facilmente dai

soggetti interessati.

Le informazioni che girano in azienda hanno bisogno di essere comunicate, per il motivo che comunicazione e informazione si muovono di pari passo, infatti un’informazione efficace non ha nessun utilizzo se non viene comunicata secondo i criteri sopra enunciati.

Comunicazione interna

Il sistema di controllo interno pone tra le sue cinque componenti “informazione e comunicazione”, perché è fondamentale che l’alta direzione comunichi chiaramente l’importanza del controllo interno, in quanto tutto il personale deve

essere a conoscenza del suo funzionamento, del ruolo che deve essere ricoperto e delle responsabilità dei soggetti all’interno del sistema. Questa divulgazione permette al personale di capire il valore della propria attività, però con un’ottica integrata, cioè il singolo dipendente è a conoscenza che l’attività che svolge è collegata con le altre, in modo che si possano identificare eventuali anomalie, stabilirne le cause e le relative azioni correttive.

Tutto il personale, inoltre, deve poter disporre dei canali utili a comunicare verso l’alto. Al fine di gestire il sistema di controllo interno in modo efficace, bisogna capire l’importanza della comunicazione, per poter, quindi far fronte ad eventuali imprevisti che si posso verificare.

Comunicazione esterna

Altrettanto importante è la comunicazione con l’esterno, in quanto si portano a conoscenza persone esterne di dati relative alla società. Queste informazioni possono essere di vario tipo, una su tutte è la pubblicazione del bilancio di esercizio, nel quale sono presenti informazioni di ogni genere (economico, finanziario…) attraverso le quali si mettono a conoscenza azionisti, clienti, fornitori... della situazione della società.

La comunicazione, sia interna che esterna, può assumere forme diverse come manuali, fogli affissi in bacheca oppure direttamente attraverso una riunione. Oltre ai mezzi tradizionali, deve rientrare in questa categoria anche il comportamento del management, in quanto è molto più importante l’esempio delle parole, infatti, una società che si è sempre contraddistinta per la buona gestione e l’onestà non avrà problemi a veicolare un messaggio positivo a tutti gli interlocutore della società stessa.

1.9. Monitoraggio

“I sistemi di controllo interno necessitano di essere monitorati – un sistema che valuta nel tempo la qualità delle performance del sistema. Questo si concretizza nelle attività di monitoraggio continuo, valutazioni periodiche o una combinazione delle due. Il monitoraggio continuo avviene durante l’attività operativa. Esso include attività regolari di supervisione e altre azioni intraprese dal personale durante lo svolgimento delle proprie mansioni. L’ambito e la frequenza di valutazioni dipenderà principalmente dalla valutazione dei rischi e dalla significatività dei controlli del monitoraggio continuo. Le carenze del controllo interno devono essere riportate ai superiori, mentre carenze più gravi devono essere comunicate al top management e al consiglio di amministrazione.22”

I sistemi di controllo interno mutano con il passare del tempo. Procedure che erano efficaci nel passato possono rivelarsi insufficienti. Questi cambiamenti possono essere dovuti all’assunzione di nuovo personale, alla carenza di formazione interna o ad altri fattori che toccano in prima persona il sistema di controllo interno e la società.

Il monitoraggio ha la funzione di verificare che il controllo interno funzioni efficacemente. Questa verifica si attua su tutte le attività dell’organizzazione ed il management dovrà determinare se il controllo interno è sempre efficace o se deve essere modificato in funzione di nuovi rischi che sono sorti.

Esistono due tipologie di monitoraggio:

1. monitoraggio con attività continua o di I livello;

22

Fonte: www.coso.org

Trad.: “ Internal control systems need to be monitored--a process that assesses the quality of the system's performance over time. This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two. Ongoing monitoring occurs in the course of operations. It includes regular management and supervisory activities, and other actions personnel take in performing their duties. The scope and frequency of separate evaluations will depend primarily on an assessment of risks and the effectiveness of ongoing monitoring procedures. Internal control deficiencies should be reported upstream, with serious matters reported to top management and the board.”

2. monitoraggio con interventi di valutazione specifici o di II livello.

Tanto maggiore sarà l’efficacia del monitoraggio di I livello tanto minore sarà necessario l’intervento di II livello.

Le attività di monitoraggio continuo sono svolte in tempo reale, in quanto possono essere considerate normali attività operative dell’azienda e consentono di reagire più rapidamente ai cambiamenti.

Come gli altri elementi del sistema di controllo interno, il monitoraggio influenza tutte le componenti (fig.2) che concorrono a loro volta al raggiungimento degli obietti

Fig. 2 Nella figura viene mostrata l’interdipendenza dei componenti del controllo interno e, nello specifico, quella del monitoraggio, che concorre assieme agli altri elementi al raggiungimento degli obiettivi aziendali. (Fonte: Guidance on Monitoring Internal control system, 2009)

Monitoraggio continuo, I livello.

Il monitoraggio di primo livello si esplica nella normale routine operativa, infatti, esso comprende, ad esempio, attività di supervisione e riconciliazioni. Alcune attività del monitoraggio di primo livello possono essere ad esempio:

⇒ _{Riconciliazione: i responsabili operativi nella normale esecuzione delle}

attività di gestione corrente assicurano che il sistema di controllo interno continui a funzionare, attraverso l’analisi dei report operativi o

riconciliazioni tra saldi contabili e saldi inviati da terzi esterni alla società (es. estratti conto bancari);

⇒ _{Correttezza dati: il personale operativo confronta che attività presenti nel}

sistema informativo abbiano effettiva esistenza;

⇒ _{Segregazione dei compiti: si pone in essere una struttura organizzativa ed}

attività di supervisione tali per cui si possa vigilare sempre e in modo efficace sul funzionamento del sistema di controllo e si possano individuare eventuali disfunzioni.

Monitoraggio con interventi di valutazione specifici, II livello.

Le valutazioni del controllo interno variano per ambito e frequenza, in funzione della significatività dei rischi da verificare ed i controlli esistenti. Ovviamente i controlli che mitigano rischi elevati saranno oggetto di verifiche più frequenti. Le valutazioni del controllo interno sono spesso delle autovalutazioni, infatti un responsabile di una determinata divisione può dirigere le valutazioni del suo sistema di controllo interno, così come i responsabili operativi verificheranno gli obiettivi sulla gestione e gli amministrativi di una specifica funzione porranno la propria attenzione sulle informazioni concernenti il bilancio.

Il compito di valutazione del controllo interno, però, è spesso affidato ai revisori interni o come normale attività o commissionato dal Consiglio di Amministrazione. In alcune situazioni, tuttavia, è utilizzato il lavoro di revisori esterni, i quali possono a loro volta collaborare con quelli interni al fine di una migliore valutazione23.

Il processo di valutazione può avvenire attraverso l’utilizzo, ad esempio, check list, questionari o diagrammi di flusso. Alcune aziende, inoltre, confrontano i propri sistemi di controllo interno con quello delle altre aziende, utilizzando lo

23

L’utilizzo di entrambi i revisori può avvenire al fine di monitorare tutti i controlli presenti in azienda se questi risultano numerosi.

strumento del benchmarking24. Questo strumento, tuttavia, risulta non sempre efficace ed il suo uso richiede una certa prudenza, in quanto bisogna tenere presente che esistono delle differenze tra una società ed un’altra.

Un altro aspetto di rilievo è la documentazione del sistema di controllo interno. Essa varia in funzione della dimensione dell’organizzazione, infatti, grandi aziende possono utilizzare manuali, organigrammi, istruzioni operative ed altri tipi di documentazione di cui un’azienda di piccole dimensioni potrebbe non disporre.

È possibile, inoltre, che alcuni controlli possano non essere documentati, ma questo non nega l’attuazione di essi., L’utilizzo di documentazione, tuttavia, rende più facile la valutazione del controllo interno e non solo, infatti, la documentazione permette una migliore comprensione del sistema e identifica con maggior chiarezza i ruoli. Infine essa può essere utilizzata nel caso in cui sorgano eventuali contestazioni.

La valutazione del sistema di controllo interno necessita di una fase di pianificazione delle attività, infatti, al fine di effettuare suddetta valutazione bisogna:

− determinare l’ambito di valutazione;

− identificare tutte le attività di monitoraggio continuo che sono effettuate;

− determinare le priorità, cioè effettuare un elenco dei controlli che sono definiti prioritari, o key control;

− monitorare l’avanzamento della valutazioni;

− identificare e valutare eventuali disfunzioni emerse nell’attività di monitoraggio25;

24

Michael J. Spendolini, The Benchmarking Book, Amacom, New York, 1992: Il benchmarking è un processo che consente di migliorare i propri prodotti, servizi e processi attraverso un’analisi

sistematica dei dati presenti in altre aziende.

25

L’elenco rappresenta una guida generale sulle azioni che devo essere effettuate prima, dopo e durante la valutazione del sistema di controllo interno; ovviamente, suddetti punti possono subire variazioni a seconda della realtà aziendale in cui ci si trova.

Il monitoraggio continuo e le valutazioni specifiche del sistema di controllo interno posso portare alla luce delle disfunzioni del sistema stesso. Tali eccezioni26 devono essere prese in considerazione dal valutatore che decide come trattarle.

Queste disfunzioni possono essere rilevate da più soggetti, infatti, il personale può rilevarle giornalmente, attraverso il monitoraggio continuo oppure le eccezioni possono essere individuate dai revisori – sia interni che esterni – durante la valutazione di specifiche del sistema di controllo interno.

Tutte le disfunzioni individuate devono essere segnalate ai diretti superiori che a loro volta interpelleranno i responsabili così fino a percorrere la scala gerarchica dell’azienda. Così facendo, si potranno ottenere dei consigli o aiuti dalle altre funzioni in un’ottica di collaborazione e diffusione della conoscenza all’interno dell’azienda.

Quando si indaga sulle disfunzioni è bene tenere presente che la causa che ha generato l’eccezione può essere dovuta anche a fattori marginali, non sempre individuabili nel controllo stesso; ad esempio una mancata quadratura di un report può derivare da un errore di registrazione oppure dalla registrazione di un dato non aggiornato.

26

1.10. L'evoluzione del sistema di controllo interno: il modello ERM

L'Enterprise Risk Management (di seguito ERM) è un modello che aiuta la dirigenza aziendale a gestire nel miglior modo i rischi connessi al raggiungimento degli obiettivi aziendali.

Gli obiettivi di questo modello sono da ricondurre al concepimento dei rischi relativi alla gestione aziendale e al miglioramento della valutazione del processo di gestione del rischio.

L'ERM può essere definito come un processo posto in essere dal management che viene utilizzato per la definizione delle strategie aziendali in tutta l'organizzazione; tale modello è utilizzato per individuare eventi che possono influire sull'azienda, per gestire i rischi al fine che rientrino nel limiti di tolleranza del rischio accettabile e fornire una ragionevole sicurezza sul raggiungimento degli obiettivi aziendali27.

Questa definizione ha degli elementi in comune con il COSO, in quanto l'ERM può essere definito l'evoluzione del primo. Se paragoniamo i due modelli possiamo, infatti, ritrovare che entrambi sono definiti:

6. come processi continui che interessano tutta l'organizzazione; 7. svolti da persone di tutti i livelli aziendali;

8. forniscono una ragionevole sicurezza sul raggiungimento degli obiettivi prefissati;

9. sono modelli che permettono di conseguire gli obiettivi.

Gli elementi di novità dell'ERM sono che questo modello è :

27

AIIA e PriceWaterhouseCoopers, La Gestione del rischio aziendale: ERM - Enterprise Risk

Management, Il sole 24 ORE, Milano, 2006. Pagg. 15 – 16: “L'ERM è un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l'organizzazione; progettato per individuare eventi potenziali che possono influire sull'attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento degli obiettivi aziendali”

 utilizzato per la formulazione delle strategie aziendali;

 progettato per identificare eventi potenziali che potrebbero influire sulla normale attività.

Questo modello è utilizzato per supportare la definizione delle strategie, più precisamente, alla definizione degli obiettivi strategici. L'ERM, infatti, permette al management di prendere in considerazione, nel momento di definizione degli obiettivi, i relativi rischi, questo potrà indurre l'alta direzione a scegliere una strategia più appropriata.

Un ulteriore elemento di novità del modello ERM è il rischio accettabile28, infatti, esso può essere definito come quel rischio derivante da una scelta – che può essere sia strategica che operativa - che l'azienda decide di correre al fine di perseguire gli obiettivi fissati.

1.11. I componenti dell'ERM

Il principale elemento di novità dell'ERM è da ricondurre alle componenti che costituiscono il modello che, ha differenza del COSO Report, sono otto:

⇒ _{Ambiente interno}29_{: determina il modo in cui il rischio è affrontato da tutte}

i soggetti che operano nell'organizzazione. Definisce il modo con il quale gli individui debbano lavorare, i valori etici, le loro competenze ed altri elementi che costituiscono la base dell'organizzazione stessa.

28

AIIA e PWC La Gestione del rischio aziendale: ERM - Enterprise Risk Management, Il sole 24 ORE, Milano, 2006. Pag. 19: “Il rischio accettabile rappresenta l'ammontare del rischio, definito a

grandi linee, che un'azienda è disposta ad accettare nel perseguire la creazione di valore”

29

Fonte www.coso.org/-ERM: “ The internal environment encompasses the tone of an

organization, and sets the basis for how risk is viewed and addressed by an entity’s people, including risk management philosophy and risk appetite, integrity and ethical values, and the environment in which they operate.”

⇒ _{Definizione degli obiettivi}30_{: stabilisce che gli obiettivi debbano essere}

fissati prima dell'identificazione degli eventi che possono pregiudicare il loro conseguimento. Il modello assicura all'alta direzione che la scelta degli obiettivi sia coerente con la mission aziendale e che sottostiano alla regola del rischio accettabile.

⇒ _{Identificazione degli eventi}31_{: questa componente definisce che debbano}

essere identificati gli eventi potenziali che possano avere un impatto negativo sull'attività aziendale. C'è quindi la necessità di indagare sull'origine del possibile evento, cioè che sia di natura interna o esterna al fine di non inficiare il raggiungimento degli obiettivi.

⇒ _{Valutazione del rischio}32_{: I rischi identificati devono essere analizzati al}

fine di capire l'impatto che questi possano avere. La valutazione dei rischi avviene sia in termini si rischio inerente – cioè quel rischio in assenza di interventi – sia in termini di rischio residuo – è quel rischio che permane dopo che sono stati posti in essere interventi per ridurlo.

⇒ _{Risposta al rischio}33_{: Il management decede quale potrebbe essere la}

risposta nel momento in cui si presenti il rischio. Le risposte possono essere:

− evitare: rinunciare ad un prodotto, ad effettuare determinati

investimenti ecc;

− ridurre: ad esempio intraprendere azioni che mirino alla riduzione

della probabilità e/o impatto;

30

Fonte www.coso.org/-ERM: “Objectives must exist before management can identify potential

events affecting their achievement. Enterprise risk management ensures that management has in place a process to set objectives and that the chosen objectives support and align with the entity’s mission

and are consistent with its risk appetite.”

31

Fonte www.coso.org/-ERM: “Internal and external events affecting achievement of an entity’s objectives must be identified, distinguishing between risks and opportunities. Opportunities are channeled back to management’s strategy or objective-setting processes.”

32

Fonte www.coso.org/-ERM: “Risks are analyzed, considering likelihood and impact, as a basis for determining how they should be managed. Risks are assessed on an inherent and a residual basis.” 33

Fonte www.coso.org/-ERM: “Management selects risk responses – avoiding, accepting, reducing, or sharing risk – developing a set of actions to align risks with the entity’s risk tolerances and risk

− condividere: questa risposta si manifesta nel momento in cui si decidere di sottoscrivere una polizza assicurativa al fine di coprire le oscillazioni del prezzo;

− accettare:il management decide di non intraprendere azioni al fine

di ridurre probabilità e impatto.

⇒ _{Attività di controllo}34_{: devono essere stabilite e attuate politiche e}

procedure che mirino a rendere il più efficace possibile le risposte attuate dal management;

⇒ _{Informazioni e comunicazioni}35_{: Devono essere raccolte e diffuse solo}

informazioni pertinenti, devono, inoltre, essere disponibili nei tempi adeguati in modo tale che permettano alle persone di adempiere alle proprie responsabilità. Infine le informazioni devono essere diffuse in tutta l'organizzazione.

⇒ _Monitoraggio36_{: Come il COSO, anche l'ERM deve essere costantemente}

monitorato al fine di controllare la sua corretta esecuzione e attuare delle modifiche ove questo risulta più carente. Il monitoraggio è posto in essere attraverso continui interventi integrati con la normale attività aziendale.

L'ERM deve essere inteso come un processo dinamico, e come il CoSO, non è concepito come uno schema sequenziale nel quale una componente influisce solo ed esclusivamente sulla sua successiva. L'importanza dell'ERM risiede nella sua multifunzionalità dove le componenti influiscono l'una sull'altra.

Le componenti dell'Enterprise Risk Management, oltre ad essere strettamente legate tra loro, hanno uno stretto legame con gli obiettivi aziendali.

Questi obiettivi sono:

34

Fonte www.coso.org/-ERM: “Policies and procedures are established and implemented to help ensure the risk responses are effectively carried out.”

35

Fonte www.coso.org/-ERM: “Relevant information is identified, captured, and communicated in a form and timeframe that enable people to carry out their responsibilities. Effective communication

also occurs in a broader sense, flowing down, across, and up the entity.” 36

Fonte www.coso.org/-ERM: “The entirety of enterprise risk management is monitored and modifications made as necessary. Monitoring is accomplished through ongoing management activities, separate evaluations, or both.”