L'outsourcing del sistema di controllo interno nel settore bancario

(1)

1

INDICE p. 1

CAPITOLO 1 INTRODUZIONE p. 6

CAPITOLO 2 IL SISTEMA DI CONTROLLO INTERNO p. 10

2.1 Generalità p. 10

2.2 Evoluzione normativa del concetto di sistema di controllo

interno p. 13

2.2.1 Il documento 3.1 dei vecchi Principi di revisione p. 14

2.2.2 La guida operativa sulla vigilanza del sistema di controllo

interno p. 16

2.2.3 Il framework CoSo Internal Control p. 19

2.2.4 Il principio ISA 315 p. 25

2.2.5 Il framework CoSo Enterprise Risk Management p. 27

2.2.6 Il Codice di Autodisciplina di Borsa Italiana p. 31

2.2.7 ISO 31000:2009 p. 33

2.3 Elementi del sistema di controllo interno p. 37

2.3.1 Il controllo gestionale p. 38

2.3.2 Il controllo amministrativo–contabile p. 41

2.3.3 Il controllo di conformità p. 43

(2)

2

2.3.5 Il controllo relazionale p. 46

2.4 Le normative sul controllo interno p. 47

2.4.1 Il decreto Legislativo 231/2001 p. 48

2.4.2 La legge 262/2005 p. 53

2.5 Assessment e comunicazione p. 57

2.5.1 Assessment p. 57

2.5.2 La comunicazione dei risultati p. 62

CAPITOLO 3 IL SISTEMA DI CONTROLLO INTERNO

NELLE BANCHE p. 65

3.1 Generalità del settore bancario p. 65

3.1.1 Caratteristiche ed evoluzione storica del settore bancario

in Italia p. 65

3.1.1.1 Descrizione del settore p. 65

3.1.1.2 Evoluzione storica p. 68

3.1.2 Analisi competitiva del settore p. 71

3.1.3 Peculiarità del bilancio bancario e del business risk p. 73

3.1.3.1 Caratteristiche del bilancio p. 73

3.1.3.2 Business risk p. 76

(3)

3

3.1.4.1 Rischio inerente p. 79

3.1.4.2 Rischio di individuazione p. 80

3.2 Definizione e caratteristiche del sistema di controllo interno

nelle banche p. 81

3.3 Obiettivi del controllo interno e sistemi informativi p. 88

3.3.1 I controlli generali p. 89

3.3.2 I controlli specifici p. 92

3.4 Ruolo degli organi aziendali p. 94

3.4.1 L’organo con funzione di supervisione strategica p. 94

3.4.2 L’organo con funzione di gestione p. 98

3.4.3 L’organo con funzione di controllo p. 100

3.5 Le funzioni aziendali di controllo p. 102

3.5.1 La funzione di conformità alle norme p. 104

3.5.2 La funzione di controllo dei rischi p. 106

3.5.3 La funzione di revisione interna p. 107

3.5.4 I rapporti tra le funzioni aziendali di controllo

e con le altre funzioni aziendali p. 108

3.6 Il sistema di controllo interno nei gruppi bancari p. 109

(4)

4

4.1 Il fenomeno dell’outsourcing p. 113

4.2 I riferimenti normativi dell’outsourcing p. 117

4.3 La selezione dell’outsourcer p. 120

4.4 Il contratto di outsourcing p. 123

4.5 Le dimensioni dell’outsourcing p. 125

4.6 Classificazioni e formato dell’outsourcing p. 126

4.7 Il processo di outsourcing p. 129

4.7.1 Determinare gli attuali confini dell’organizzazione p. 131

4.7.2 L’analisi dell’importanza delle attività aziendali p. 132

4.7.3 L’analisi della capacità relativa p. 133

4.7.4 L’analisi delle scelte strategiche di fornitura p. 134

4.7.5 La strategia della relazione p. 137

4.7.6 Creare, gestire e valutare la relazione p. 141

4.8 Le teorie alla base del framework p. 143

4.8.1 La teoria dei costi di transazione p. 143

4.8.2 La resource – based view p. 145

4.8.4 La industry view p. 148

4.8.5 La relational view p. 149

(5)

5

4.10 I vantaggi dell’outsourcing p. 153

4.11 Rischi e limiti dell’outsourcing p. 155

4.12 L’outsourcing nelle banche p. 160

4.12.1 L’outsourcing nell’area del credito p. 161

4.12.2 L’outsourcing del sistema informativo p. 164

4.13 Guidelines on outsourcing p. 166

4.13.1 Part two: guidelines on outsourcing addresses to authorised

entities p. 166

4.13.2 Part thre: guidelines on outsourcing addressed to

supervisory authorities p. 172

4.14 Orientamenti ABE sull’organizzazione interna p. 173

4.15 Nuove disposizioni di vigilanza prudenziale per le banche p. 174

4.16 Circolare 288 del 3 aprile 2015 p. 183

CAPITOLO 5 CONCLUSIONE p. 187

BIBLIOGRAFIA p.192

(6)

6

CAPITOLO 1 INTRODUZIONE

Negli ultimi anni, due temi che hanno acquisito un ruolo sempre più centrale nella letteratura in tema di imprese sono il sistema di controllo interno e l’outsourcing. Il primo ha acquisito una rilevanza via via crescente a partire circa dagli anni ’90 del secolo scorso, grazie alla maggiore attenzione dedicata alla corporate governance, nel cui ambito possiamo inserire il sistema di controllo interno. Esso ha ricevuto, nel tempo, definizioni nuove, sempre più aggiornate e “puntuali”, con il passaggio da un’accezione di controllo puramente intesa in senso ispettivo, ad una più ampia, in cui all’aspetto indagatorio si aggiunge quello di guida dell’intera impresa. Tale visione è stata introdotta per la prima volta nel 1992 con il framework Internal Control – Integrated Framework (IC-IF) del Committee of Sponsoring Organisation of the Tradeway Commission (Co.So), che ha definito il sistema di controllo interno un processo svolto ai diversi livelli dell’organizzazione con l’obiettivo di ottenere un ragionevole livello di assurance riguardo all’efficacia e all’efficienza delle attività operative, l’attendibilità delle informazioni di bilancio e la conformità dell’azione dell’impresa a leggi e regolamenti applicabili. Successivamente il Co.So ha emanato anche un altro framework, per cercare di risolvere i problemi verificatesi nell’applicazione dell’IC-IF, anche se il nuovo framework Enterprise Risk Manegement (ERM) va ad integrare più che a sostituire il precedente. Vi sono poi anche altri documenti che forniscono una visione del sistema di controllo interno, come ad esempio il Principio Isa 315 e l’ISO 31000:2009.

Anche il tema dell’outsourcing ha ricevuto negli anni un’attenzione via via crescente, in quanto è andato sempre più diffondendosi presso le aziende, tanto da essere definito come “[…] one of the greatest organisational and industry structure

(7)

7

shifts of century.”1

. Questo perché le imprese puntano spesso a sviluppare nuovi tipi di relazioni con le altre, relazioni di tipo cooperativo e collaborativo, mentre nel passato si mirava alla competizione puramente sul prezzo, in quanto i consumatori richiedevano prodotti sostanzialmente standard. Lo sviluppo di questo nuovo tipo di rapporti, dunque, è dovuto essenzialmente al cambiamento avvenuto nelle abitudini di consumo, con acquirenti sempre più informati e consapevoli, per cui il prezzo non risulta più essere l’unica variabile discriminante per individuare il prodotto desiderato. L’origine del termine outsourcing è ancora incerta, ma in italiano viene tradotto come “esternalizzazione”, che ci permette di capire immediatamente ciò che avviene nella realtà: un’impresa sceglie di portare all’esterno parti di attività dapprima svolte internamente. Il fenomeno riguarda quindi imprese già avviate, non quelle di nuova costituzione che decidono fin dall’inizio di affidarsi all’esterno per determinati approvvigionamenti. Ovviamente la scelta se esternalizzare o meno viene effettuata andando ad esaminare i benefici che questa può portare in relazione ai relativi punti di debolezza, ricordando però sempre che l’outsourcing comporta alcuni costi non immediatamente e facilmente percepibili dalle imprese.

In questo lavoro ho deciso di coniugare questi due temi ad oggi centrali inquadrandoli nella realtà bancaria: ho cioè cercato di descrivere la possibilità, per le banche, di affidare all’esterno la gestione del proprio sistema di controllo interno, possibilità ammessa dalle normative (la più recente delle quali è la Circolare di Banca d’Italia 288/2015) ma dettagliatamente inquadrata per evitare problemi in una realtà così delicata. In primo luogo, ho inquadrato il tema del controllo interno, andando ad esaminare nel dettaglio i vari framework dai quali è definito per vedere come questo

1

James Brian Quinn, del Dartmouth College, presentazione dell’European Outsorcing Summit, 2003, organizzato da Michael F. Corbett & Associates, Ltd.

(8)

8 concetto è cambiato nel corso del tempo, partendo dal documento 3.1 dei vecchi Principi di Revisione per arrivare all’ISO 31000:2009; successivamente ho esaminato gli elementi del controllo interno, ovvero il controllo gestionale, il controllo amministrativo-contabile, il controllo di conformità, il controllo organizzativo e il controllo relazionale. Ho preso poi in considerazione le normative (italiane) che sono state emanate negli ultimi anni, a seguito di scandali societari, e che impattano sul sistema, ovvero il D. Lgs. 231/2001 e la Legge 262/2005. Infine, ho fatto cenno all’assessment complessivo del sistema di controllo interno ed alle modalità di comunicazione dei risultati.

Successivamente ho trattato il tema del sistema di controllo interno inquadrandolo nella specifica realtà delle banche, facendo dapprima un breve richiamo alle specificità del settore, sia dal punto di vista storico che competitivo, e prendendo poi in esame le peculiarità del bilancio, del business risk e della revisione. Sono poi passata ad esaminare nello specifico il sistema di controllo interno, andando ad identificare le funzioni aziendali di controllo (conformità, controllo dei rischi e revisione interna) ed il ruolo dei diversi organi aziendali (organo con funzione di supervisione strategica, organo con funzione di gestione ed organo con funzione di controllo). Infine, ho fatto cenno al funzionamento del sistema di controllo interno nei dei gruppi bancari.

Infine sono passata ad analizzare l’outsourcing nelle banche, dando prima una visione generale del tema dell’outsourcing con riferimento alle normative applicabili a questo contratto (ricordando che nella legislazione italiana è un contratto atipico) ed esaminando poi i vantaggi e gli svantaggi dell’outsourcing. In un secondo momento sono passata all’outsourcing nelle banche, concentrandomi sull’area del controllo

(9)

9 interno e riportando le varie normative in cui troviamo trattato questo tema, fino alla recentissima Circolare 288/2015.

(10)

10

CAP. 2: IL SISTEMA DI CONTROLLO INTERNO

2.1 Generalità.

A partire circa dagli anni ’90 del secolo scorso, un tema che ha assunto rilevanza crescente presso operatori e studiosi è stato quello della corporate governance, divenuto ancor più importante a seguito dei numerosi scandali finanziari che si sono verificati, portando a tutta una serie di nuove discipline (come il D. lgs. 231/2001 e la Legge 262/2005, a livello nazionale) e best practices volte a fornire una duplice garanzia: da un lato, che gli investitori possano esercitare efficacemente i loro diritti di controllo; dall’altro, che i vertici aziendali siano indirizzati verso una gestione delle imprese nel rispetto dell’interesse dei vari stakeholders e, al contempo, delle norme cui l’azienda

deve uniformarsi2.

All’interno di queste innovative best practices, un’area interessante è quella relativa alla ricerca di efficacia per i sistemi di controllo interno, elementi cruciali del complessivo sistema della governance societaria, che orientano l’attenzione dei vertici verso l’identificazione dei rischi principali cui l’impresa è sottoposta, ma che favoriscono anche “la valutazione dell’adeguatezza delle protezioni poste in essere a tutela delle condizioni di performance, della creazione di valore e dei meccanismi volti

ad assicurare il rispetto delle disposizioni normative vigenti”3. Nonostante la quindi

evidente utilità di un sistema di controllo interno ben strutturato ed operante, che lo portano ad essere appunto considerato come uno dei principali perni attorno cui ruota la governance, molte volte tale sistema viene visto ancora come poco rilevante ai fini strategici, a causa del suo passato: il controllo interno veniva infatti considerato come

2_{Sergio Beretta, Nicola Pecchiari (2007), Analisi e valutazione del sistema di controllo interno – metodi e}

tecniche, Il Sole 24 Ore S.p.A., pag. 3.

3_{Massimo Capuano nella prefazione al volume Analisi e valutazione del sistema di controllo interno, di}

(11)

11 un insieme di vincoli cui i manager dovevano sottostare, per diminuire il rischio di non conformità alle norme vigenti e di comportamenti ritenuti indesiderati dall’azienda. Tutto ciò ha condotto ad una visione ristretta delle potenzialità del sistema, visto per lo più come un coacervo di regole poste a salvaguardia del patrimonio aziendale e volte ad assicurare la corrispondenza delle comunicazioni economico–finanziarie ai principi contabili4.

A mutare questa visione “classica” è stato per la prima volta il Co.So Report (Committee of Sponsoring Organization of the Tradeway Commission), con il Co.So Internal Control Integrated Framework (1992), che ha definito il sistema dei controlli interni come “un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità delle informazioni di bilancio;

conformità alle leggi ed ai regolamenti in vigore”5

, che vede dunque il passaggio da semplice tecnica amministrativa a strumento di governance.

Il sistema di controllo interno assume notevole rilevanza ai fini della revisione, in quanto se possibile il revisore vi si affida per diminuire le verifiche altrimenti necessarie. L’iter seguito si può articolare allora in alcune fasi, valide per tutti i cicli aziendali: nella fase preliminary, si procede alla valutazione del sistema dei controlli interni, e sulla base delle evidenze emerse si decide la tempistica, la natura e l’ampiezza che dovranno avere le verifiche svolte sulle scritture contabili e sul bilancio durante la fase final (il principio di revisione 400 pone l’accento sulla rilevanza della comprensione del sistema per la valutazione del rischio di revisione e delle sue

4

Sergio Beretta, Nicola Pecchiari, (2007), op. cit., introduzione.

5_{Coopers & Lybrand (a cura di), (1997), Il sistema di controllo interno. Progetto corporate governance}

(12)

12 componenti, quindi rischio inerente, rischio di controllo e rischio di identificazione). In particolare, lo studio dei controlli interni svolto dal revisore si concentra sull’area contabile e si svolge in due fasi: dapprima è necessario individuare e comprendere le procedure interne stabilite dalla direzione; successivamente si potrà procedere ad accertare che queste “regole” siano adeguate (sulla carta) e, se teoricamente adeguate, che siano poi applicate conformemente a quanto stabilito (quindi controllandone l’operatività).

In particolare, nell’area contabile – quella su cui si concentra il lavoro del revisore – è possibile identificare sette obiettivi di controllo interno:

 contabilizzazione di eventi esistenti;

 contabilizzazione di tutti gli eventi che si sono verificati;

 corretta competenza temporale nelle contabilizzazioni;

 corretta valutazione degli eventi contabilizzati;

 adeguata autorizzazione degli eventi;

 corretta classificazione degli eventi contabilizzati;

 corretta imputazione degli eventi contabilizzati nei documenti contabili6.

La condizione fondamentale per un sistema di controllo interno è la presenza di dipendenti competenti, onesti e che operano rispettando i principi di integrità, perché la presenza di personale con queste caratteristiche può sopperire a carenze nelle altre procedure di controllo, mentre dipendenti disonesti ed incompetenti possono mettere a repentaglio un sistema perfettamente funzionante nelle altre procedure. Il problema (evidente) risiede però nel fatto che ben difficilmente si può valutare l’onestà e l’integrità delle persone, e si procede quindi ad esaminare gli altri elementi che

6_{Ufficio studi della Reconta Touche Ross (a cura di), (1985), La revisione contabile nelle aziende di}

(13)

13 caratterizzano un efficace sistema di controllo interno, che sono: separazione di compiti e responsabilità, esistenza di procedure di autorizzazione, svolgimento di verifiche indipendenti sulle operazioni aziendali, adeguatezza della documentazione contabile, tenuta delle registrazioni, presenza di attività di protezione dei beni e di riscontro fisico7.

2.2 Evoluzione normativa del concetto di sistema di controllo interno.

Come detto nella parte introduttiva, il tema del sistema di controllo interno ha acquisito via via sempre più rilevanza e centralità nelle discussioni che attengono la corporate governance. Fondamentale diventa allora avere uno schema di riferimento, un framework in cui inquadrare il concetto in parola, facendo sì che il suo significato, le sue funzioni e gli obiettivi siano riconosciuti all’unanimità dagli operatori. Nel tempo le definizioni di sistema di controllo interno fornite dalla dottrina, dalle associazioni di professionisti e dai vari organismi costituiti proprio per occuparsi di questo argomento sono state diverse, impedendo per un lungo periodo che vi fosse una definizione “unica” di controllo interno, anche se naturalmente alcune di queste esplicitazioni sono state ritenute degne di maggior attenzione e rilevanza rispetto ad altre.

In generale, vediamo che il concetto si compone di due diverse parti, cioè “sistema” e “controllo interno”. Un sistema è un insieme di processi ed elementi strutturali che il vertice deve garantire siano osservati da tutti coloro che operano in azienda per il raggiungimento di obiettivi definiti; il controllo interno può avere una doppia interpretazione, ossia di ispezione e vigilanza sull’operato dei soggetti, che è sicuramente il significato tradizionalmente attribuito a questo tipo di concetto, ma anche di guida, di indirizzo del sistema azienda. Quando si vuole analizzare il sistema di

(14)

14 controllo interno si devono sempre considerare entrambe queste prospettive, unendo così la visione tradizionale del controllo rigido, dall’alto, con quella più moderna di linea di indirizzo che il vertice deve fornire agli operatori per raggiungere gli obiettivi prefissati8.

A livello nazionale, la prima menzione ufficiale dell’espressione “sistema di controllo interno” si trova nel Decreto Legislativo 24 marzo 1998, n. 58 (Testo Unico della Finanza), ovvero la cosiddetta “Legge Draghi”, in cui all’art. 149, 1° comma troviamo il seguente enunciato: “Il collegio sindacale vigila: a)sull’osservanza della legge e dell’atto costitutivo; b) sul rispetto dei principi di corretta amministrazione; c) sull’adeguatezza della struttura organizzativa della società per gli aspetti di competenza, del sistema di controllo interno e del sistema amministrativo – contabile nonché

sull’affidabilità di quest’ultimo nel rappresentare correttamente i fatti di gestione […]”9

. Pur trovando menzione di questo concetto, non ne troviamo qui una definizione, limitandosi il legislatore ad utilizzare la terminologia comune che porta però ad interpretazioni differenti e talvolta in conflitto, rendendo quindi necessaria una definizione univoca dell’espressione. Questa può essere ricercata in molti altri documenti, alcuni dei quali (i più citati nella letteratura) riporterò nella parte seguente del capitolo, a partire da documento 3.1 dei vecchi Principi di revisione.

2.2.1 Il documento 3.1 dei vecchi Principi di Revisione.

Il documento 3 dei vecchi Principi di revisione del Consiglio Nazionale dei Dottori Commercialisti e del Consiglio Nazionale dei Ragionieri indica che, nella fase di pianificazione del lavoro di revisione – quindi nella fase di interim, o preliminary che

8_{Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 7-8.} 9

Testo Unico della Finanza (TUF), Testo Unico delle disposizioni in materia di intermediazione finanziaria, D.Lgs. n. 58 del 24 febbraio 1998, aggiornato con il D.Lgs. n.104 del 2 luglio 2010, art.149, comma1.

(15)

15 dir si voglia - , è necessario che il team si occupi di studiare e comprendere le peculiarità del sistema di controllo interno che caratterizzano la specifica azienda, usando informazioni fornite dal cliente ma anche osservando l’effettiva applicazione delle procedure in quanto l’azienda potrebbe anche aver stabilito ottime procedure senza che queste vengano applicate, indebolendo così l’intero sistema di controllo. Questa analisi è utile per definire l’ampiezza, la profondità, la natura e la tempistica delle successive verifiche da svolgere (nella fase final).

Nel dettaglio, il documento 3.1 definisce il sistema di controllo interno come l’insieme di direttive, procedure e tecniche che vengono implementate in azienda per assicurare il raggiungimento di tre obiettivi fondamentali, ovvero:

 conformità degli organi interni all’oggetto che l’impresa intende conseguire ed

alle direttive decise dalla direzione;

 salvaguardia del patrimonio aziendale;

 attendibilità dei dati forniti dal sistema informativo aziendale.

La costituzione di un sistema di controllo interno aderente alle specifiche caratteristiche aziendali rende più semplice il raggiungimento di questi tre obiettivi -

base, presupposto necessario per il buon funzionamento aziendale10.

Nel documento 3.1 troviamo anche una distinzione, seppur non netta, tra tre sottosistemi di controllo interno, vale a dire il sistema di controllo interno gestionale, il sistema di controllo interno amministrativo–contabile e il sistema di controllo interno Edp (che viene trattato nel documento 3.2). Il sistema di controllo interno gestionale viene visto come “[…]un elemento caratterizzante il controllo interno che, attraverso un

10_{Marchi Luciano, (2004), Revisione aziendale e sistemi di controllo interno, Giuffrè Editore, pag.}

(16)

16 insieme di soggetti, di elementi strutturali e di processi, si propone di presidiare

l’economicità della gestione aziendale.”11

Il sistema di controllo amministrativo -contabile, invece, viene definito come l’insieme di soggetti, strumenti e processi che puntano ad incrementare l’efficacia e l’efficienza delle informazioni prodotte in azienda12.

2.2.2 La Guida operativa sulla vigilanza del sistema di controllo interno.

Tale guida nasce come osservazione al sopracitato art. 149, 1°comma, punto c) del Testo Unico della Finanza; in particolare come concetto di sistema di controllo interno, nel leggere la premessa della Guida, si specifica deve essere accolto quello indicato dalla norma 2.4 dei Principi di comportamento del Collegio Sindacale, che si

rifà comunque alla definizione fornita nel documento 3.113.

Nel Capitolo I della Guida, “Il controllo interno e gli interlocutori del Collegio Sindacale”, oltre a richiamare il concetto espresso dall’art. 149, 1° comma, punto c) della Legge Draghi, si specificano i tre obiettivi assegnati al sistema di controllo interno dalla dottrina e dalla prassi internazionale, cioè :

 “a) presidio della economicità (efficacia ed efficienza)

delle operazioni aziendali in conformità alle strategie, obiettivi e politiche aziendali, ai fini anche della salvaguardia del patrimonio aziendale;

 b) presidio della attendibilità del sistema informativo

aziendale, sia per le sue componenti finalizzate alla predisposizione del

11

D’Onza Giuseppe, (2008), Il sistema di controllo interno nella prospettiva del risk management, Giuffrè Editore, pag. 35-36.

12

D’Onza Giuseppe, (2008), op. cit., pag. 82.

13_{Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei ragionieri e dei Periti}

(17)

17 bilancio destinato alla pubblicazione, sia per quelle finalizzate alla predisposizione del reporting gestionale interno;

 c) presidio del rispetto della normativa applicabile

all’attività dell’impresa.”14

Seguendo questa impostazione, possiamo individuare tre macro aree che compongono un sistema di controllo interno nella sua globalità, ovvero il controllo di gestione, il controllo amministrativo – contabile ed il controllo di conformità a norme,

leggi e regolamenti applicabili all’impresa15

.

Sempre in questa parte del documento vengono identificati i diversi attori che sono preposti al funzionamento dei controlli interni ed anche al loro monitoraggio. In primo luogo abbiamo il vertice aziendale, con il Comitato per il controllo interno se previsto dall’organizzazione ed i responsabili delle varie unità operative, che si occupano del funzionamento e del miglioramento dei controlli interni per consentire il raggiungimento dei tre sopracitati obiettivi; poi il controllo di gestione, che si occupa invece della verifica del raggiungimento dell’obiettivo di economicità per l’azienda nell’insieme, e per farlo monitora l’andamento delle diverse unità operative interne; la funzione di internal auditing monitora la funzionalità del sistema di controllo interno; il collegio sindacale è assegnato, in via generale, alla vigilanza sull’adeguatezza del sistema; infine la società di revisione esterna deve valutare il sistema dei controlli a

14

Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei Ragionieri e Periti Commerciali, (ottobre 2000), op. cit., pag. 7

15

Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei Ragionieri e Periti Commerciali, (ottobre 2000), op. cit., pag. 7

(18)

18 presidio dell’attendibilità delle informazioni prodotte dall’azienda ed il monitoraggio dei rischi16.

Nel Capitolo II, “L’attività di vigilanza”, si spiega che tale attività ispettiva sul sistema di controllo interno si svolge su due livelli, cioè una vigilanza indiretta di supervisione generica che ha ad oggetto le attività svolte dagli altri organi aziendali di controllo, che si occupano del controllo diretto sul raggiungimento dei due obiettivi di economicità ed attendibilità delle informazioni, ed una vigilanza diretta abbinata al monitoraggio sul rispetto di leggi, norme e regolamenti in vigore. Inoltre l’attività di vigilanza può avvenire all’inizio del mandato del Collegio Sindacale e nel corso dello stesso. In particolare, l’attività che viene svolta ad inizio mandato riguarda diversi punti, ad esempio l’acquisizione di adeguata comprensione della struttura organizzativa, uno studio del lavoro svolto dalla società di revisione esterna nell’ambito del sistema di controllo, l’esame del documento di autovalutazione prodotto dall’alta direzione con uno studio degli aspetti che vi si trovano descritti. Nel corso del mandato, invece, i Sindaci dovranno avere incontri periodici con la funzione di internal auditing, con la società di revisione esterna e con i responsabili aziendali del sistema di controllo, si dovranno occupare della verifica dei provvedimenti che puntano ad eliminare i punti di debolezza dell’alta direzione, dovranno controllare la conformità a norme, leggi, regolamenti e statuto. Le attività conclusive infine possono essere, tra le altre: una valutazione riguardo al controllo dei rischi, la predisposizione della lettera all’alta direzione che include i punti di debolezza riscontrati, la verbalizzazione dell’attività di ricognizione e di monitoraggio.

16_{Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei Ragionieri e Periti}

(19)

19 Infine, si fa presente che il Collegio Sindacale potrebbe anche decidere di richiedere agli Amministratori di nominare un professionista esterno deputato alla valutazione del sistema di controllo interno tramite la tecnica del benchmarking, ovvero confrontando il sistema di controllo interno della società con quello di altre società per le quali i controlli interni siano ritenuti particolarmente ben funzionanti (a parità di obiettivi)17.

2.2.3 Il framework CoSo Internal Control.

Nel 1992, il CoSo, acronimo di Committee of Sponsoring Organizations of the Tradeway Commission, ha emanato un documento che è stato per molto tempo accettato unanimemente come “base” per lo studio del tema trattato, ovvero il lavoro intitolato Internal Control – Integrated Framework ( CoSo IF – IC). Tale documento definisce il sistema di controllo interno come “un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura azeindale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: efficacia ed efficienza delle attività operative; attendibilità

delle informazioni di bilancio; conformità alle leggi e ai regolamenti in vigore.”18.

Normalmente questo sistema di controlli deve assicurare il perseguimento di tre obiettivi specifici, ovvero l’efficacia nel conseguire gli obiettivi aziendali abbinata all’efficienza operativa (“operations”), l’affidabilità dei dati prodotti dall’azienda (“reporting”) ed infine la conformità a norme, leggi e regolamenti applicabili (“compliance”). Questi obiettivi, se non adeguatamente perseguiti, possono condurre a perdite economiche, e ciò giustifica l’esistenza di un sistema di controllo interno in

17

Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei Ragionieri e Periti Commerciali, (ottobre 2000), op.cit., pag. 15-25.

(20)

20 azienda. In particolare, tali perdite possono essere classificate in modi diversi: perdite economiche dovute al mancato raggiungimento degli obiettivi di economicità, perdite economiche rappresentate da sanzioni dovute alla mancata aderenza alle normative cui l’azienda è soggetta, perdite economiche causate da inattendibilità del sistema informativo aziendale (e quindi dei dati prodotti); i controlli interni devono appunto mirare a ridurre il rischio di questi tipi di perdite19.

Secondo il framework, un sistema di controllo interno si compone di cinque elementi distinti, che sono:

 l’ambiente di controllo (“control environment”);

 il sistema informativo (“information and communication”);

 le attività di controllo (“control activities”);

 il processo di valutazione del rischio (“risk assessment”);

 le attività di monitoraggio (“monitoring”).20

Il primo elemento è l’ambiente di controllo, che rappresenta tutti quei controlli di tipo generale, cioè che concorrono a rendere più affidabile l’organizzazione aziendale, anche se non hanno un riferimento specifico in voci di bilancio, cicli operativi o processi gestionali. A sua volta l’ambiente di controllo è scomponibile in una serie di elementi che sono:

 valori etici e comportamenti del management;

 filosofia di controllo e stile di direzione del management;

 modelli che attribuiscono autorità e responsabilità;

 caratteristiche della struttura organizzativa;

19

Baraldi Monica, Paletta Angelo, Zanigni Massimiliano, (2004), Corporate governance e sistema di

controllo interno, Franco Angeli, pag. 14.

(21)

21

 presenza di organi amministrativi indipendenti dalle direzioni esecutive;

 livello di competenza di coloro che operano in azienda;

 processi di gestione del personale.21

In contrapposizione a questi controlli generali che costituiscono l’ambiente di controllo, abbiamo anche controlli specifici, ovvero direttamente riferiti al modo in cui si forma una voce di bilancio o si svolge un ciclo operativo, identificabili con il sistema informativo e le attività di controllo.

In primo luogo, il sistema informativo aziendale deve poter soddisfare le esigenze conoscitive con riferimento sia alle transazioni – fatti relativi alle dinamiche, legati quindi ai valori monetari ed a quelli reddituali – che ai saldi finali – fatti relativi

alla situazione di fine esercizio, che si legano quindi ai valori di patrimonio22.

Le attività di controllo, invece, di solito vengono applicate con riferimento a specifiche transazioni o saldi finali e si sostanziano in:

 adeguata separazione dei compiti (separazione delle attività di custodia dei beni

da quelle di contabilizzazione e di autorizzazione; separazione delle responsabilità operative da quelle di contabilizzazione; separazione – in ambito IT – dei compiti di utente, programmatore, analista di sistemi, gestore di archivi,

gruppi di controllo dei dati)23;

 corretta autorizzazione per lo svolgimento delle operazioni (autorizzazione vs

approvazione: l’autorizzazione è una politica da seguire per una classe di operazioni o per un’operazione singola; l’approvazione consiste nel verificare che l’operazione sia svolta come previsto dall’autorizzazione; autorizzazione

21_{Coopers & Lybrand (a cura di), (1997), op. cit., pag. 31-39.}

Baraldi Monica, Paletta Angelo, Zanigni Massimiliano, (2004), op. cit., pag. 14.

22_{Sergio Beretta, Nicola Pecchiari, (2007), op.cit., pag. 17.} 23_{Coopers & Lybrand (a cura di), (1997), op. cit., pag. 71.}

(22)

22 generale vs autorizzazione specifica: la prima riguarda la politica da seguire nel compimento di un’intera classe di operazioni, la seconda identifica la direttiva da rispettare quando si compie un’operazione singola, per la quale la direttiva è stata prodotta)24;

 controllo fisico su beni e registrazioni (inventario fisico, assicurazioni, servizio

di vigilanza, limitazioni all’accesso)25

;

 controlli indipendenti sulle prestazioni effettuate (sono necessari per mantenere

stabile il sistema dei controlli interni; si tratta tipicamente di suddivisione delle mansioni, coinvolgimento di soggetti esterni, utilizzo di controlli interni automatizzati; si distinguono verifiche esterne ed interne, sempre ricordando che chiunque svolga il controllo deve essere indipendente dall’operazione sottoposta a controllo)26;

 documentazione e registrazione adeguate delle operazioni (prenumerazione

consecutiva dei documenti, predisposizione dei documenti per più scopi, comprensibilità delle rilevazioni, predisposizione tempestiva dei documenti, modulistica e layout dei vari documenti chiaro e semplice, per agevolare la

compilazione)27.

Dall’analisi di tali attività, si può dedurre che i controlli possono essere articolati nella sequenza autorizzazione – esecuzione – verifica/approvazione – interventi correttivi (eventuali); distinguiamo quindi tre categorie di controlli: controlli preventivi, cioè autorizzazioni generali o specifiche; controlli concomitanti , che vengono attivati nella fase di esecuzione di un’operazione qualora la stessa non rispetti i requisiti stabiliti in fase di autorizzazione, e controlli successivi, ovvero la verifica ed approvazione ex –

24_{Sergio Beretta, Nicola Pecchiari, (2007), op.cit., pag. 18.} 25

Coopers & Lybrand (a cura di), (1997), op. cit., pag. 71.

26_{Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 19.} 27_{Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 18-19.}

(23)

23 post delle operazioni svolte, consentendo anche l’individuazione di eventuali carenze e

quindi la necessità di appropriati interventi correttivi28.

La quarta componente del sistema di controllo interno consiste nel processo di valutazione dei rischi, che riguarda l’identificazione di situazioni rischiose, che potrebbero portare ad un mancato raggiungimento totale o parziale degli obiettivi aziendali, e la successiva progettazione di controlli appositamente messi a punto per fronteggiare queste situazioni. L’inserimento di questa componente come elemento del sistema di controllo interno eleva a principio la relazione (riconosciuta già dai principi di auditing) per cui il rischio della presenza di errori significativi in bilancio è dato dal prodotto tra rischio inerente e rischio di controllo:

MMR=IR x CR

dove:

 MMR: rappresenta il rischio di errori significativi in bilancio;

 IR: rappresenta il rischio inerente, cioè l’attitudine di una classe di valori a

presentare errori significativi, indipendentemente dalle procedure di controllo messe in atto;

 CR: rappresenta il rischio di controllo, ovvero il rischio che un errore

significativo non venga individuato (e quindi eliminato) dai meccanismi di controllo interno29.

In ogni caso, come ricorda il Bertini, “[…]data la sua natura, il rischio economico generale […] è ineliminabile. Ciò significa che i singoli rischi particolari

28

Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 19-20.

Baraldi Monica, Paletta Angelo, Zanigni Massimiliano, (2004), op.cit., pag. 16-17.

29

Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 20-23.

Baraldi Monica, Paletta Angelo, Zanigni Massimiliano, (2004), op.cit., pag. 15-16. Coopers & Lybrand (a cura di), (1997), op. cit., pag. 47-60.

(24)

24 possono essere eliminati, ma solo in tempi diversi: la simultanea eliminazione di essi

significherebbe, infatti, l’eliminazione del rischio economico generale.”30

.

Infine, l’ultima componente del sistema di controllo è il monitoraggio, che consiste nella verifica, continuativa e/o periodica, dell’efficacia del sistema di controllo interno, sia dal punto di vista del disegno che dell’effettiva operatività dei controlli per comprendere se siano “operanti”, cioè se funzionino in base agli obiettivi formulati, e se siano “aderenti”, ovvero se siano appropriati ai cambiamenti che possono intervenire in azienda31.

Secondo una diversa accezione, queste ultime due componenti del sistema di controllo dovrebbero essere piuttosto dei principi-guida per la progettazione e la verifica delle altre tre componenti del sistema, per due motivi: primo, la valutazione dei rischi è parte della progettazione dei controlli interni; secondo, è necessario monitorare con continuità se i controlli interni siano adeguati, per verificarne l’aderenza ed il reale

funzionamento nel corso del tempo32.

Le prime applicazioni del CoSo IC – IF hanno però mostrato notevoli difficoltà nell’implementazione del framework da parte delle imprese, soprattutto con riferimento alla componente “processo di valutazione del rischio”, sia dal punto di vista concettuale che operativo, tanto che la reale adozione di metodologie di risk self – assessment si è dimostrata per i manager estremamente complicata. Proprio per questo nel 2004 è stato pubblicato un nuovo framework, che sarà trattato nel paragrafo 2.2.5.

30

Bertini Umberto, (1969), Introduzione allo studio dei rischi nell’economia aziendale, Cursi, pag. 39-40.

31_{Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 21.}

Coopers & Lybrand (a cura di), (1997), op. cit., pag. 97-98.

Baraldi Monica, Paletta Angelo, Zanigni Massimiliano, (2004), op.cit., pag. 17.

(25)

25

2.2.4 Il principio ISA 315.

Nell’ottobre 2006, il Consiglio Nazionale dei Dottori Commercialisti e il Consiglio Nazionale dei Ragionieri hanno emanato il nuovo principio di revisione, documento n. 315 intitolato “La comprensione dell’impresa e del suo contesto e la valutazione dei rischi di errori significativi”. Secondo tale documento il controllo interno, come definito dall’art. 42, è “[…]il processo configurato e messo in atto dai responsabili delle attività di governance, dalla direzione e da altro personale dell’impresa al fine di fornire una ragionevole sicurezza per il raggiungimento degli obiettivi aziendali con riguardo all’attendibilità dell’informativa economico – finanziaria, all’efficienza ed efficacia della gestione ed al rispetto delle leggi e dei regolamenti. Ne consegue che il controllo interno è configurato ed attuato per affrontare i rischi identificati connessi all’attività che minacciano il raggiungimento di taluni di questi obiettivi.”33

Seguendo l’impostazione del principio 315, le componenti del sistema di controllo interno sono definite ricalcando la disciplina prevista dal CoSo IC – IF, quindi ambiente di controllo, il processo adottato dall’impresa per la valutazione del rischio, il sistema informativo, le attività di controllo e quelle di monitoraggio, specificando comunque che questa articolazione non riflette necessariamente le scelte operate dall’azienda in tema di controlli interni. Nello specifico il modo in cui sono operate queste scelte dipende dalla dimensione dell’impresa, in quanto le più piccole possono decidere di utilizzare strumenti, processi e procedure semplificati. Vi è poi da ricordare il legame tra obiettivi dell’impresa e controlli attuati dalla stessa per assicurarne il raggiungimento: gli scopi – e di conseguenza i controlli – dell’impresa concernono la

33

Consiglio Nazionale dei Dottori Commercialisti, Consiglio Nazionale dei Ragionieri e Periti

Commerciali, (2006), Principio di revisione 315, La comprensione dell’impresa e del suo contesto e la

(26)

26 gestione, l’informativa di tipo economico–finanziario e l’aderenza a norme e regolamenti, ma non tutti questi fini (e controlli) sono considerati importanti dal

revisore nel valutare il rischio cui l’impresa è esposta34

.

Un interessante paragrafo del documento è dedicato al tema

dell’automatizzazione dei controlli, in quanto abitualmente il sistema di controllo interno di un’impresa comprende sia elementi manuali che automatizzati, che hanno chiaramente caratteristiche diverse che vanno ad impattare sulla valutazione del rischio e che comportano sia vantaggi che rischi per l’impresa. La scelta della manualità, ad esempio, può essere dettata da esigenze come la presenza di operazioni anomale e complesse, il monitoraggio dell’efficacia dei controlli automatizzati, circostanze quindi caratterizzate da variabilità, per cui il controllo automatizzato sarebbe insufficiente; è invece una scelta non vincente in caso di operazioni che si ripetono frequentemente e si caratterizzano per i volumi elevati, attività di controllo svolte con modalità che possono essere facilmente automatizzate. I controlli manuali, in quanto per definizione svolti da persone, possono essere scavalcati o aggirati più facilmente di quelli automatizzati. I vantaggi che può apportare l’automatizzazione in termini di controlli possono essere diversi: applicazione uniforme di regole predefinite, migliore disponibilità, tempestività ed accuratezza delle informazioni, minor rischio di elusione, migliore capacità di monitorare la performance dell’impresa, ma vanno comunque bilanciati con i relativi rischi: possibile accesso non autorizzato ai dati, modifiche non autorizzate a dati,

34

(27)

27 programmi e sistemi, improprio intervento manuale, possibile perdita di dati o

incapacità di accedervi35.

Infine, l’ultimo cenno riguarda i limiti del controllo interno, che “[…] non importa quanto ben strutturato o operante, può fornire all’impresa solo una ragionevole sicurezza sulla realizzazione degli obiettivi di informativa economico–finanziaria.

[…]”36

. Ciò significa quindi che anche un buon sistema di controllo interno non può garantire un’assoluta certezza sul raggiungimento di tali obiettivi, ma solo una ragionevole sicurezza che ciò si avveri, dipendendo questa possibilità dai limiti propri del controllo interno, che comportano che il soggetto che prende le decisioni possa sbagliare e che, quindi, il controllo interno potrebbe essere non funzionante a causa del semplice errore umano. I controlli potrebbero anche essere scavalcati a causa dell’accordo tra due o più persone o a causa di una forzature del sistema da parte della direzione.

2.2.5 Il framework CoSo Enterprise Risk Management.

Come anticipato nel paragrafo 2.2.3, l’applicazione del modello CoSo Internal Control – Integrated Framework ha da subito mostrato difficoltà per gli operatori, ed è stato necessario implementare un nuovo modello, ovvero il CoSo Enterprise Risk Management – Conceptual Framework (CoSo ERM), pubblicato nel settembre 2004, che va a costituire un’integrazione, più che una sostituzione, del lavoro precedente. A tal proposito si sottolinea che “poiché Internal Control – Integrated Framework costituisce la base per norme, regolamenti e leggi in vigore, questo documento rimane

35

valutazione del rischio di errori significativi, pag. 17-19.

36

(28)

28 in vigore come definizione e framework del sistema di controllo interno. Il documento Internal Control – Integrated Framework viene pertanto incorporato nella sua interezza

in questo documento.”37.

L’ERM viene definito come “un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale, utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale; per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul raggiungimento

degli obiettivi aziendali.”38

Il controllo interno è parte integrante dell’ERM. E’ interessante qui osservare la differenza tra rischio ed evento: un evento è un accadimento che può avere origine esterna o interna e che impatta sul raggiungimento degli obiettivi; l’evento può avere un impatto positivo, e in tal caso si parla di opportunità, o negativo, ed in tal caso si parla di rischio, oppure entrambi

contemporaneamente39.

Gli obiettivi ritenuti rilevanti per l’ERM sono classificati in quattro categorie: le tre del framework precedente (operations, reporting e compliance) più una aggiuntiva, ovvero quegli obiettivi aziendali di sintesi, che hanno natura generale e sono definiti dal

vertice dell’organizzazione, legati alla visione aziendale (strategic objectives)40.

Gli elementi qualificanti dell’ERM sono:

 ambiente interno (internal environment);

 definizione degli obiettivi (objective setting);

37

Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 27.

38_{Associazione Italiana Internal Auditors e PriceWaterHouseCoopers (a cura di), La gestione del rischio}

aziendale, Il Sole 24 ORE, pag. 15-16.

39_{Associazione Italiana Internal Auditors e PriceWaterHouseCoopers (a cura di), op. cit., pag. 2.} 40_{Sergio Beretta, Nicola Pecchiari (2007), op. cit., pag. 25.}

(29)

29

 identificazione degli eventi (event identification);

 valutazione del rischio (risk assessment);

 risposta al rischio (risk response);

 attività di controllo (control activities);

 informazione e comunicazione (information and communication);

 monitoraggio (monitoring).

Ognuna di queste otto componenti copre ed attraversa tutte le quattro categorie di obiettivi identificati dall’ERM, come tutti gli obiettivi si applicano ad ogni componente. Inoltre, l’ERM deve essere applicato sia all’azienda nel suo insieme che alle singole unità. Le otto componenti poi sono anche criteri di efficacia dell’ERM, in quanto la valutazione di corretto funzionamento del modello si basa proprio sulla presenza e l’operatività di questi componenti. Se l’ERM è efficace, significa che per il CDA ed il management vi è una ragionevole sicurezza di conoscere il livello di raggiungimento degli obiettivi strategici e di quelli operativi, che i report sono affidabili

e che l’impresa osserva leggi, norme e regolamenti applicabili41

.

L’ambiente interno comprende gli elementi costitutivi dell’ambiente di controllo, a cui si aggiungono la propensione al rischio del management (risk appetite) e la filosofia dello stesso in termini di risk management; definisce, in termini generali, il

modo in cui il rischio è percepito ed affrontato da chi opera in azienda42.

La definizione degli obiettivi è una fase necessaria per poter procedere poi all’identificazione degli eventi che possono appunto andare ad impattare su tali obiettivi. L’identificazione degli eventi consiste nel rilevare quei fatti potenziali che possono pregiudicare il raggiungimento degli obiettivi definiti nella fase precedente; si

41_{Associazione Italiana Internal Auditors e PriceWaterHouseCoopers (a cura di), op. cit., pag. 22-26.} 42_{Associazione Italiana Internal Auditors e PriceWaterHouseCoopers (a cura di), op. cit., pag. 29-38.}

(30)

30 dovranno distinguere gli eventi che rappresentano dei rischi da quelli che, al contrario, possono comportare delle opportunità, e da quelli che possono comportare

contemporaneamente impatti positivi e negativi43.

Il processo di valutazione del rischio costituisce la tecnica con cui il management valuta la probabilità del manifestarsi del rischio e quale sarebbe il suo impatto sul raggiungimento degli obiettivi, in quanto l’esposizione al rischio stesso è data dal prodotto tra probabilità ed impatto. Il rischio viene valutato in termini sia di rischio inerente, ovvero il rischio in assenza di azioni correttive, che di rischio residuo, cioè l’ammontare di rischio inerente che resta dopo aver attuato interventi di riduzione del rischio44.

La risposta al rischio identifica le possibili tecniche con cui il management può decidere di fronteggiare i rischi identificati; per gestirli si può scegliere tra varie opzioni, in quanto si può decidere di evitare, ridurre, accettare o condividere il rischio, o di combinare più soluzioni. In questa fase, si deve valutare l’adeguatezza e l’efficacia di ogni contromisura ipotizzata sia in termini di architettura (design) che di effettiva operatività (effectiveness) della soluzione, ma è anche necessario controllare se il beneficio economico atteso dall’implementazione della politica di fronteggiamento del

rischio sia superiore rispetto ai costi da sostenersi per poter attuare tale politica45.

Le attività di controllo sono politiche e procedure necessarie a far sì che le risposte al rischio che sono state decise siano eseguite in modo efficace; corrispondono

43

Associazione Italiana Internal Auditors e PriceWaterHouseCoopers (a cura di), op. cit., pag. 39-54.

(31)

31 alle control activities definite dal CoSo IC – IF, con particolare enfasi sull’integrazione dei controlli con le attività di risposta al rischio46.

Informazioni e comunicazione coincidono con i sistemi informativi ed i processi di comunicazioni definiti dal precedente framework.

Infine, il monitoraggio avviene sia sulla progettazione che sull’operatività dell’ERM, distinguendo due categorie: le attività di valutazione continua, che costituiscono momenti di valutazione dinamica in tempo reale, inclusi nei normali processi manageriali, e le attività di valutazione separata, che sono predisposte in modo discontinuo e periodico, per identificare situazioni anomale una volta che gli eventi

sono già avvenuti47.

E’ evidente che il nuovo framework, nelle sue componenti, incorpora quelle definite dal CoSo IC – IF: troviamo l’ambiente interno (ampliamento dell’ambiente di controllo), le attività di controllo, informazione e comunicazione, monitoraggio, si aggiunge la definizione degli obiettivi e la vecchia componente valutazione del rischio viene scomposta in tre elementi, cioè identificazione degli eventi, valutazione del rischio e risposta al rischio, che costituiscono le fasi tipiche in cui si articola il processo di risk management.

2.2.6 Il codice di autodisciplina di Borsa Italiana.

Con la pubblicazione nel 2006 di questo Codice, promossa dal Comitato per la Corporate Governance delle Società Quotate, istituito da Borsa Italiana Spa, il sistema di controllo interno ha acquisito una sua esplicita collocazione tra i meccanismi di

(32)

32 corporate governance, sotto la diretta responsabilità degli amministratori. Nella pubblicazione in particolare troviamo alcuni punti significativi:

 “il sistema di controllo interno è l’insieme delle regole, delle procedure e delle

strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una

conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”48

;

 “un efficace sistema di controllo interno contribuisce a garantire la salvaguardia

del patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali,

l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti”49

.

Quindi risulta che la responsabilità del sistema di controllo interno si colloca al vertice dell’organizzazione; inoltre pone una questione sull’efficacia del sistema stesso, che si può considerare operante in condizioni di corretto funzionamento se è in grado di assicurare il perseguimento dei tre obiettivi di efficacia ed efficienza delle operazioni, l’attendibilità dell’informativa prodotta e l’aderenza a norme, leggi e regolamenti in vigore e se contribuisce ad assicurare l’esistenza di condizioni favorevoli alla creazione di valore50.

Tale Codice è però stato modificato nel marzo ed aggiornato nei mesi di dicembre 2011 e luglio 2014; ad oggi risulta dall’articolo 7 che:

 “ogni emittente si dota di un sistema di controllo interno e di gestione dei rischi

costituito dall’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi. Tale sistema è integrato nei più generali

48_{Comitato per la corporate governance, (2006), Codice di Autodisciplina, Borsa Italiana S.p.A, punto}

8.P.1.

49_{Comitato per la corporate governance, (2006), op. cit., punto 8.P.2.} 50_{Sergio Beretta, Nicola Pecchiari, (2007), op. cit., pag. 6-7.}

(33)

33 assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices esistenti in

ambito nazionale e internazionale51;

 un efficace sistema di controllo interno e di gestione dei rischi contribuisce a una

conduzione dell’impresa coerente con gli obiettivi aziendali definiti dal consiglio di amministrazione, favorendo l’assunzione di decisioni consapevoli. Esso concorre ad assicurare la salvaguardia del patrimonio sociale, l’efficienza e l’efficacia dei processi aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti nonché dello statuto sociale e delle procedure interne”52.

2.2.7 ISO 31000:2009.

Nel 2009 l’ISO (acronimo di International Organization for Standardisation) ha emanato un nuovo principio guida, uno standard in materia di risk management, ovvero l’ISO 31000:2009, intitolato “Risk management: principles and guidelines”.

Nella parte introduttiva del documento, si specifica che tutti i tipi di organizzazioni devono fronteggiare vari tipi di rischi, di origine interna ed esterna, che “rendono incerto se e quando raggiungeranno i loro obiettivi. L’effetto che questa

incertezza ha sugli obiettivi di un’organizzazione è chiamato rischio”53

.

Lo standard propone una serie di principi da rispettare per rendere il risk management efficace e per gestire le diverse forme di rischio in modo trasparente, sistematico ed affidabile; è importante che ogni organizzazione (ogni attività della quale

51

Comitato per la corporate governance, (2014), Codice di Autodisciplina, dal sito www.borsaitaliana.it, punto 7.P.1.

52

Comitato per la corporate governance, (2014), op. cit., punto 7.P.2.

53_{International Organization for Standardisation, ISO 31000:2009 Risk management: principles and}

(34)

34 è soggetta al rischio) sviluppi, implementi e cerchi di migliorare in modo continuo un modello per integrare la gestione del rischio nella governance, nella strategia, nel management, nella cultura aziendale. Il risk management è applicabile sia all’organizzazione nella sua interezza che ad una singola funzione, ad un singolo

processo o progetto54.

Nello standard troviamo tre punti principali: “Principles”, le linee guida per il risk management, “Framework”, cioè il modello per la gestione del rischio, ed infine “Process”, il processo di gestione del rischio.

I principi che il risk management deve rispettare, per poter essere efficace, sono undici:

 il rischio è una componente nella creazione di valore per l’impresa;

 il risk management è parte di tutti i processi aziendali;

 il rischio è parte del processo di decision – making;

 il rischio è legato al concetto di incertezza;

 la gestione dei rischi deve essere strutturata, tempestiva e sistematica;

 il risk management deve poter utilizzare le informazioni con la miglior qualità

disponibile;

 la gestione del rischio deve essere “su misura”, adattata alle specificità aziendali;

 si devono integrare gli aspetti culturali nel risk management;

 il processo di gestione del rischio dev’essere chiaro e inclusivo;

 il risk management dev’essere dinamico, interattivo e pronto a recepire i

cambiamenti intervenuti;

(35)

35

 la gestione dei rischi favorisce il miglioramento continuo dell’organizzazione55

.

Secondo il modello ISO 31000:2009, le componenti della gestione del rischio sono: mandate and commitment, design of framework for managing risk, implementing risk management, monitoring and review of the framework, continual improvement of the framework.

Il primo elemento, mandate and commitment, individua il contesto in cui deve svolgersi il processo di gestione del rischio e quindi l’importanza data dal management a questo aspetto della gestione. Per poter essere efficace, il risk management richiede che i managers comprendano e sostengano questo processo, ma anche che vi siano politiche volte a favorire un impegno forte nel processo da parte di tutta l’organizzazione. Il management, in particolare, deve:

 definire e favorire l’applicazione della risk management policy, assicurandosi

che sia allineata alla cultura organizzativa;

 allineare gli obiettivi e la strategia dell’organizzazione con i fini del risk

management;

 assicurare aderenza a norme, leggi e regolamenti;

 determinare gli indicatori utili per misurare l’efficacia del risk management;

 assegnare autorità e responsabilità;

 assicurare la corretta attribuzione di risorse per il processo;

 comunicare agli stakeholders i benefici apportati dal risk management;

 assicurare che il modello di gestione del rischio sia sempre appropriato, anche a

seguito di cambiamenti.

(36)

36 Il secondo elemento è “Design of framework for managing risk”, ovvero la progettazione del modello di gestione dei rischi, che comprende diverse fasi: la comprensione dell’organizzazione e del contesto in cui opera, la definizione della risk management policy (che è un documento che delinea chiaramente gli obiettivi dell’organizzazione con riguardo al risk management), l’attribuzione di autorità e responsabilità, l’integrazione del processo di risk management nei processi aziendali, l’attribuzione di appropriate risorse, la creazione di canali di comunicazione e meccanismi di reporting, sia internamente che esternamente.

Gli ultimi tre elementi del framework sono: “Implementing risk management”, sia dal punto di vista del disegno del modello che del processo effettivo, “Monitoring

and review of the framework” e “Continual improvement of the framework”56.

Infine, l’ultimo punto del documento riguarda il processo per la gestione del rischio (“Process”), che deve essere una parte integrante della gestione, deve essere incluso nella cultura e negli usi aziendali e deve essere tarato sul business dell’organizzazione. Il processo descritto prevede otto fasi:

 individuare il contesto, interno ed esterno, in cui opera l’organizzazione;

 valutazione dei rischi, che comprende le tre sottofasi di identificazione, analisi e

ponderazione dei rischi;  trattare il rischio;

 comunicazione ed informazione, che in realtà deve avvenire durante tutte le fasi

del processo, ed è quindi un elemento trasversale;

 monitoraggio e revisione del modello, periodicamente o ad hoc per certe

situazioni57.

(37)

37 Rispetto quindi al modello delineato dal CoSo ERM, la diversità sta nella fase di valutazione del rischio: nel CoSo ERM troviamo le fasi di identificazione degli eventi e poi di valutazione dei rischi, che sono separate, mentre nell’ISO 31000:2009 la valutazione del rischio ingloba l’identificazione degli eventi, e si aggiungono due nuove fasi, sempre interne alla valutazione dei rischi, quella dell’analisi del rischio e quella della ponderazione. L’analisi è un’attività complessa, ovvero scomponibile in sub– attività in quanto si devono identificare le cause dei rischi, le loro conseguenze, le risorse su cui i rischi possono impattare, i fattori che condizionano la probabilità di manifestazione e l’impatto dei rischi; tra tali fattori abbiamo anche i controlli già posti in essere, quindi quello che si studia nel modello è il rischio residuale. A questo punto si procede ad assegnare un punteggio alla probabilità ed all’impatto. La ponderazione del rischio, invece, punta a distinguere i rischi tra quelli che rientrano nella soglia di tolleranza, e possono quindi essere accettati, e quelli che invece la superano e devono quindi essere gestiti.

2.3 Elementi del sistema di controllo interno.

Gli elementi principali del sistema di controllo interno sono tre: il controllo gestionale, il controllo amministrativo – contabile e il controllo di conformità. Questi tre elementi, congiuntamente, assicurano il rispetto delle condizioni di economicità, di efficacia informativa e di aderenza a norme, leggi e regolamenti. Per poter però essere efficaci, queste tre componenti cardine si avvalgono dell’ausilio di altre due componenti, cioè il controllo organizzativo, che è diretto ad allineare i comportamenti, individuali e collettivi, agli obiettivi dell’organizzazione, ed il controllo relazionale,

(38)

38 che riguarda l’esigenza di una gestione efficace dei rapporti di collaborazione o di

cooperazione con altre aziende58.

2.3.1 Il controllo gestionale.

Il controllo gestionale è “[…] un elemento caratterizzante il controllo interno che, attraverso un insieme di soggetti, di elementi strutturali e di processi, si propone di

presidiare l’economicità della gestione aziendale.59_{”. Questo controllo può essere visto}

in più modi: la dottrina economico – aziendale tende ad identificarlo con il controllo direzionale, cioè l’attività di guida che svolgono i manager per assicurare un impiego delle risorse che sia efficace ed efficiente, ma possiamo avere anche una visione più ampia, per cui il controllo gestionale include quello direzionale, intendendolo come un’attività sia di guida che di verifica, di ispezione (accogliendo quindi il duplice significato di controllo) delle attività che si svolgono ai diversi livelli della struttura

organizzativa (“gestionale”)60

.

Accogliendo questa seconda accezione, possiamo vedere che il controllo gestionale si articola su tre livelli, cioè controllo strategico, controllo direzionale e controllo operativo, andando quindi dal vertice alla base della piramide organizzativa. In realtà, i confini tra livelli e controlli sono sempre più sfumati, in quando si è progressivamente affermato un sistema direzionale unico, in cui i tre momenti si intersecano in modo da non essere più nettamente distinguibili l’uno dall’altro. Questa progressiva convergenza verso un sistema unico è dovuta, in primo luogo, al progresso

58

Giuseppe D’Onza, (2008), op. cit., Giuffrè, pag. 35.

59_{Giuseppe D’Onza, (2008), op. cit., pag. 35–36.} 60_{Giuseppe D’Onza, (2008), op.cit., pag. 36.}