IL SISTEMA DI CONTROLLO INTERNO E LA REVISIONE AZIENDALE: CASO LENCI CALZATURE S.P.A.

1

INDICE

INTRODUZIONE ... 5

1. IL SISTEMA DI CONTROLLO INTERNO ... 9

1.1 Definizione del sistema di controllo interno ... 9

1.2 Obiettivi del sistema di controllo interno ... 12

1.3 Le componenti costitutive di un sistema di controllo ... 14

1.3.1 L’ambiente in cui si esercita il controllo (Control Environment) ... 15

1.3.2 Il sistema di misurazione dei rischi (Risk Assessment) ... 17

1.3.3 Le attività di controllo ... 22

1.3.4 I controlli generali ... 24

1.3.5 I controlli applicativi ... 25

1.3.6 Relazioni tra controlli generali ed applicativi ... 25

1.3.7 Il sistema informativo e processi di gestione correlati ... 25

1.3.8 L’informazione ... 26

1.3.9 La comunicazione ... 27

1.3.10 Il Monitoraggio ... 30

1.3.11 Monitoraggio di valutazione continua ( I livello) ... 31

1.3.12 Monitoraggio con interventi di valutazione separata ( II livello) ... 32

1.4 Lo studio del sistema di controllo interno nella revisione aziendale: gli standard professionali ... 33

1.5 La pianificazione della revisione contabile del Bilancio (DOC n. 300)... 34

1.6 La comprensione del cliente e della sua impresa e la valutazione dei rischi significativi (DOC 315) ... 37

1.7 Le procedure di valutazione del rischio ... 39

1.8 Analisi e valutazione del sistema di controllo interno da parte del revisore ... 41

1.9 La revisione del ciclo VENDITE - CREDITI ... 47

1.9.1 La fase preliminary (cenni) ... 49

1.9.2 La procedura di circolarizzazione (cenni) ... 55

2 2.IL CASO LENCI CALZATURE S.P.A.

2.1 Presentazione dell’azienda ... 65

2.1.2 Mission e strategia ... 65

2.2 Le attività ed i mercati ... 67

o La situazione attuale: grafico ... 67

o La Gran Bretagna ... 68

o La Germania, l’Austria e la Svizzera ... 70

o La Francia ... 70

o I Paesi Bassi ... 71

o La Russia ... 71

o Le vendite on-line ... 71

2.3 L’analisi dei fatturati ... 71

2.4 La Modelleria: ricerca e sviluppo ... 75

2.4.1 Aggiornamento tecnologico modelleria ... 77

2.5 La Produzione ... 78

2.6 La sicurezza ed il principio di Sustainability ... 79

2.7 La struttura organizzativa ... 82

2.7.1 Grafico 1 Lenci Organizational Structure- Senior Management Team ... 83

2.7.2 Grafico 2 Lenci Organizational Structure- Sales & Commercial... 84

2.7.3 Grafico 3 Lenci Organizational Structure- Design & Development ... 85

2.7.4 Grafico 4 Lenci Organizational Structure- Finance & Administration ... 86

2.7.5 Grafico 5 Lenci Organizational Structure- Production & Logistic ... 87

2.8 Il sistema di “APPRAISAL” ... 88

3

3. IL CICLO ATTIVO DELLA LENCI CALZATURE SPA

3.1 Premessa: dalla definizione del prezzo di vendita all’ordine ... 91

3.1.1 Definizione del prezzo di vendita ... 92

3.1.2 Analisi dei rischi nella determinazione del prezzo di vendita... 95

3.1.3 Gestione ed inserimento ordine ... 98

3.1.4 La valorizzazione ... 98

3.2 La spedizione e la fatturazione ... 99

3.3 La gestione degli incassi, dei resi e degli sconti speciali : premessa ... 100

3.3.1 La gestione del credito ... 101

3.3.2 La problematica delle contestazioni... 103

3.3.3 Flow chart ciclo attivo Lenci Calzature s.p.a ... 105

3.4 La reportistica: creazione e sviluppo del budget ... 107

3.4.1 L’order book ... 108

3.4.2 Perché il three-year plan ... 109

3.5 La reportistica mensile ... 110

3.5.1 Il Sales analysis ... 111

3.5.2 Il Profit & loss... 114

3.5.3 Il Balance sheet ... 120

3.5.4 Finance Calendar 2014 ... 123

CONCLUSIONI ... 125

5 INTRODUZIONE

Il controllo interno nasce come strumento del management per monitorare le organizzazioni affidate alla sua gestione.

Un sistema di controllo interno (SCI) ha come obiettivo e priorità il governo dell’azienda attraverso l’individuazione, valutazione, monitoraggio, misurazione e gestione di tutti i rischi d'impresa, coerentemente con il livello di rischio scelto/accettato dal vertice aziendale. Il fine ultimo del SCI è il perseguimento di tutti gli obiettivi aziendali.

Un primo importante passo verso il riconoscimento della valenza esterna del controllo interno si ebbe negli Stati Uniti verso la fine degli anni settanta. Lo scandalo del Watergate (1972-1974) aveva fatto emergere il problema della corruzione tra le aziende americane che operavano all’estero, ed in particolare nel terzo mondo, e le discussioni e gli studi che ne seguirono condussero il Governo americano alla convinzione che l’unico strumento in grado di contenere il fenomeno fosse un buon sistema di controllo interno. E così, quando nel 1977 il Foreign Corrupt Practices Act impose alle aziende quotate la adozione di un “adeguato” sistema di controllo interno, quest’ultimo veniva, in via ufficiale, investito del ruolo di garanzia del rispetto delle norme da parte di tutto il personale aziendale. 1

Successivamente all’emanazione del FCPA, sono state avviate numerose iniziative in materia di controllo interno, molte società hanno ampliato le dimensioni e i poteri delle proprie funzioni di Internal Auditing e hanno esaminato i propri sistemi di controllo interno. Negli ultimi decenni, a seguito degli scandali finanziari che hanno interessato il mondo economico agli inizi degli anni 2000, in particolare il caso WORLDCOM 2 a livello

1

IL FCPA è un atto legislativo che proibisce alle società statunitensi di corrompere funzionari stranieri con la finalità di ottenere o mantenere affari. Questa legge è stata introdotta per eliminare pratiche che avrebbero potuto influenzare in modo negativo l’integrità finanziaria delle società statunitensi, minando così il funzionamento efficiente dei mercati finanziari. La legge interessa società e controllate nazionali, controllate estere, joint venture, partnership e qualunque impresa associata.

Tutti i dirigenti, amministratori, dipendenti o rappresentanti della società sono soggetti alle regole e ai regolamenti del FCPA. Oltre a provvedimenti contro la corruzione, il FCPA contiene disposizioni in materia di contabilità e controllo interno.

2

Una delle maggiori compagnie telefoniche al mondo, crack da 103 miliardi di USD. Il fondatore (e anche CEO) aveva creato un sistema di gestione incentrato sulla sua figura e priva di adeguati contrappesi in termini di responsabilità e poteri gestionali. Quando la redditività cominciò a non corrispondere più alle attese degli analisti, lo stesso CEO si adoperò per produrre un falso in bilancio, capitalizzando costi d’esercizio. Frode contabile del valore di 3.8 miliardi di dollari per far risultare i conti in attivo negli ultimi 5 trimestri.

6

Internazionale ed il caso PARMALAT a livello Nazionale, è aumentata la necessità di trasparenza, il bisogno di creare un sistema di controllo interno più efficace prendendo coscienza di come il “buon funzionamento” di un sistema di controllo sia non solo una esigenza interna, ma possa, soprattutto, rappresentare una garanzia per tutti coloro i quali sono interessati alla corretta gestione e in particolare chi, tra questi, non possiede strumenti diretti di azione nella direzione della organizzazione.

A livello nazionale fatti come il caso Parmalat hanno messo in luce la debolezza dei sistemi e dei processi di controllo nel presidiare il raggiungimento degli obiettivi stabiliti dall’azienda.

Il caso Parmalat3, prima ancora di essere un esempio di inefficacia dei sistemi di governo delle imprese adottati internazionalmente per difendere i cittadini risparmiatori e azionisti, si configura come un vero e proprio episodio criminale. Ci si trova di fronte, infatti, ad una serie di pratiche di occultamento di dati finanziari reali e di distorsioni di flussi di cassa che hanno visto decine di persone impegnate, per anni, a falsificare i bilanci e a truffare i risparmiatori.

È dunque in quest’ottica che assume rilievo il concetto di sistema di controllo interno ed è in questo contesto che si sono sviluppati una serie di questionari, tecniche e modelli orientati alla valutazione e rafforzamento dei sistemi di controllo interno esistenti.

Per fronteggiare le situazioni di scandalo e di crisi aziendale degli ultimi anni, imprese e istituzioni hanno cominciato a riflettere sempre più sulla centralità del ruolo della corporate governance 4come base per l’implementazione di quei meccanismi di tutela e salvaguardia indispensabili per garantire una sana gestione e creare valore aziendale.

Negli Stati Uniti ad affrontare il problema furono direttamente le associazioni delle categorie coinvolte nella gestione delle informazioni economico-finanziarie (internal auditor, dottori commercialisti, dirigenti d’azienda e esperti di contabilità industriale) le quali affidarono ad un comitato congiunto (Committee of Sponsoring Organization of Tradeway Commission) la definizione, in via extralegale, di un Framework nel controllo.

3

Crack da 14 miliardi di € più 7 miliardi di € di obbligazioni emesse. La società dichiarava una liquidità superiore a 7 miliardi di € ma continuava a chiedere finanziamenti al mercato sotto forma di emissioni obbligazionarie.

4 L’insieme di istituzioni, soggetti, regole e processi volti ad indirizzare e gestire l’attività dell’azienda in modo efficiente ed efficace, ma anche “corretto” a tutela degli azionisti e stakeholder, interessati alla sopravvivenza ed al successo dell’impresa.

7

Lo scopo era stabilire in modo condiviso gli elementi fondamentali di ogni sistema di controllo, senza però entrare nel merito della specifica operatività che, data la natura della particolare funzione, deve sempre comunque adattarsi alle tipicità di ciascuna organizzazione. Lo sviluppo del modello fu affidato a Coopers & Lybrand (oggi PricewaterhouseCoopers).

Il documento, pubblicato nel 1992 con il nome di “Internal Control -Integrated framework”, e che, dall’acronomico del comitato che la stese, è anche noto come Coso Report, rappresenta tutt’ora il modello di riferimento per il controllo interno utilizzato sia dai codici di autodisciplina da parte di associazioni di categoria, sia dalla normativa nazionale ed internazionale in materia di Corporate Governance.5

Nel 1992 il comitato si prefisse l'obiettivo di realizzare un framework, adottabile da tutte le società e gli enti sia pubblici che privati, nell'ambito del controllo interno.

Il primo passo prevedeva la realizzazione di una definizione univoca e condivisa del significato di controllo interno, che ne evidenziasse tutti gli aspetti critici e che incorporasse diversi punti di vista della letteratura presente all'epoca.

Il risultato raggiunto fu: “ il sistema di controllo interno è un processo formato da un

insieme di meccanismi, procedure e strumenti adottati dalla direzione per assicurare una ragionevole garanzia nel conseguimento degli obiettivi” .

5 A titolo di esempio il modello di riferimento definito dal Comitato di Basilea per il sistema di controllo interno nelle banche è basato sugli stessi “componenti” definiti nel COSO Report, mentre il Codice di Autodisciplina per le società quotate in Borsa (il c.d. “Codice Preda”) riprende esplicitamente la definizione di sistema di controllo e le caratteristiche del controllo interno evidenziate nel COSO Report.

9 1. IL SISTEMA DI CONTROLLO INTERNO 1.1 Definizione del sistema di controllo interno

Il controllo interno è definito come “un processo, posto in essere dagli amministratori, dai dirigenti e dal personale aziendale, progettato con il fine di offrire una ragionevole garanzia in merito al raggiungimento dei seguenti obiettivi: efficienza ed efficacia della gestione; affidabilità delle informazione di bilancio; rispetto delle leggi e dei regolamenti”. Il Principio di revisione n. 400 definisce il sistema di controllo interno come rappresentato dalle linee di azione e dalle procedure adottate dalla Direzione al fine di raggiungere gli obiettivi aziendali e assicurare una condotta efficiente e ordinata della propria attività6. Tale documento pone l’accento sull’importanza della comprensione del sistema di controllo per la valutazione del rischio di revisione e le sue principali componenti, che verranno da me esaminate successivamente, cioè rischio inerente, rischio di controllo e rischio di individuazione.

Da entrambe le definizioni derivano diverse considerazioni:

Il controllo interno è un processo. Ciò significa che deve avere un carattere sistematico e

non può essere un insieme di eventi occasionali. Non è un evento isolato fine a se stesso ma è composto da un insieme di azioni ed operazioni che investono tutta l’attività aziendale e costituisce parte integrante dei processi di pianificazione, di esecuzione delle attività operative e di monitoraggio svolti in azienda.

6

DOCUMENTO n. 400 dei Principi di revisione emanati dal Consiglio Nazionale dei Dottori Commercialisti e dal Consiglio Nazionale dei Ragionieri e raccomandati dalla CONSOB

Ambiente Ambiente

Struttura

10

Il controllo deve essere integrato con tutti gli altri processi aziendali, non deve sovrapporsi ad essi, bensì migliorarne l’efficienza riducendo anche significativamente i costi e favorendo l’ estensione automatica del controllo a tutte le nuove procedure che dovessero volta per volta attivarsi.

La sua costruzione può significativamente influire sul raggiungimento degli obiettivi e solitamente è accompagnato e integrato da un programma di qualità. Da ciò ne deriva anche che l’impresa ed il relativo SCI deve essere gestita come un insieme di processi e non come un insieme di funzioni.

Con il termine “interno” si vuole sottolineare il fatto che i controlli possono assumere due differenti connotazioni: si hanno controlli interni quando questi vengono progettati e gestiti all’interno dell’organizzazione, frutto di una propria volontà decisionale, e controlli esterni che avvengono al di fuori del sistema azienda al fine di tutelare i soggetti che interagiscono con essa ( es. società di revisione).

Il controllo interno è posto in essere da persone, e, soprattutto, influenza il comportamento

delle persone: le persone stabiliscono gli obiettivi e le persone li controllano. Il controllo interno non deve essere inteso esclusivamente come un insieme di procedure - controlli e attività - ma come una serie di operazioni che sono svolte dagli individui che lavorano in azienda. Gli attori del sistema sono quindi, oltre al Consiglio di Amministrazione ed al management, tutte le persone operanti in azienda. Ne deriva che esso dipende allora dal loro modo di pensare e dalle loro azioni, è una conseguenza degli obiettivi che le persone si prefiggono di raggiungere e dei meccanismi di controllo che loro stesse decidono di mettere in atto.

Il controllo interno è influenzato dal background e dalle esperienze delle persone che amministrano l'impresa. Una buona prassi in fase di progettazione appare quella di cercare di coinvolgere il maggior numero di persone interessate: ognuna può portare il proprio capitale intellettuale arricchendo gli altri e migliorando il risultato finale.

D'altra parte però si può notare la duplice natura del controllo interno: da un lato dipende dalle persone che lo implementano, dall'altro le persone sono condizionate dal prodotto che loro stesse hanno realizzato. Il SCI è inoltre realizzato in base alle esigenze e alle diverse priorità delle persone che lo creano, ma allo stesso tempo esso ne condiziona le azioni.

11

Si può fin d'ora evidenziare come, in base a quanto detto poc'anzi, la realizzazione di un sistema di controllo interno spetti a coloro che sono portatori dei maggiori interessi: questi ultimi devono assumersi l'onere di implementare un sistema affidabile che li protegga da eventuali rischi.

In particolare il Consiglio di Amministrazione rappresenta un anello importante del sistema di controllo a causa del duplice ruolo che riveste, di supervisore e di controllo, ma anche di guida e indirizzo. Al contempo esercita una notevole influenza sulle azioni e sui comportamenti delle persone e considera che non sempre la comunicazione e gli atteggiamenti degli individui sono conformi.

Il controllo interno offre solo ragionevoli garanzie e non certezze. Il sistema di controllo

fornisce al management ed al consiglio di Amministrazione una ragionevole sicurezza di conseguire i risultati e gli obiettivi sperati, ma ciò nonostante risente di alcuni limiti.

Le persone operano il controllo e le persone possono compiere errori o effettuare valutazione errate. I controllori possono accordarsi con i controllati e volutamente decidere di aggirare le procedure per perseguire i propri interessi personali. Gli amministratori, ove lo desiderino, hanno sempre il potere di superare qualsiasi sistema di controllo.

E’ possibile sia il verificarsi di errori umani nell’esecuzione dei controlli dovuti a negligenza, distrazione, errori di valutazione ma anche che i controlli interni siano aggirati attraverso una collusione tra i membri della società, dirigenti o impiegati e terzi interni o esterni alla società. Inoltre, anche i sistemi di controllo devono rispettare il vincolo della efficienza ed il loro costo può talora essere eccessivo, non solo in termini di spese vive ma, più spesso, in termini di rallentamento ed irrigidimento delle procedure. Infatti si dice che i sistemi possono essere imperfetti anche per scelta: nel trade-off tra costi e benefici è possibile che venga scelto un sistema meno sicuro, ma che dal punto di vista monetario può rivelarsi più vantaggioso.

Obiettivi. Infine la definizione fa un preciso richiamo agli obiettivi. Ogni attività si pone dei

target da raggiungere e di conseguenza applica una specifica strategia.

Il sistema di controllo interno deve essere perfettamente correlato con gli obiettivi che il management si prefissa, i quali solitamente sono riassumibili in:

12

• una solida reputazione nel mercato, che generalmente viene associata con il flusso di informazioni verso l'esterno (di reporting);

• rispetto delle leggi e delle normative vigenti (conformità).

Questa distinzione permette di concentrarsi su aspetti separati, ma che si condizionano vicendevolmente, del controllo interno.

Un buon sistema deve possedere tutti gli elementi del framework del CoSO, ma può anche, in conseguenza della natura del business, dedicarsi maggiormente ad uno solo di questi. Parallelamente questa suddivisione permette di focalizzarsi su di ogni singolo elemento senza però perdere di vista il sistema nel suo complesso.

1.2 Obiettivi del sistema di controllo interno

La valutazione del sistema di controllo interno è un’attività continua e rappresenta uno stato del processo, ovvero una condizione in cui ci si trova in un dato momento che può richiedere interventi volti a migliorare l’efficacia del sistema stesso.

Il corretto funzionamento del sistema di controllo, ovvero la sua efficacia, può essere valutata misurando il livello di raggiungimento degli obiettivi che si propone di conseguire. Il sistema si potrà ritenere correttamente funzionante qualora il management riesca ad ottenere un soddisfacente grado di conseguimento degli obiettivi aziendali in termini di efficacia ed efficienza, una corretta rappresentazione nell’informativa di bilancio ed il rispetto delle leggi e dei regolamenti.

Infatti il controllo interno persegue tre diversi obiettivi: economicità7 (Efficienza ed efficacia della gestione), contabile (affidabilità delle informazione di bilancio) e normativo (rispetto delle leggi e dei regolamenti).

L’obiettivo di economicità è riconducibile al conseguimento e al mantenimento di condizioni di efficacia ed efficienza nella gestione aziendale 8 , quale caratteristica indispensabile al fine di garantire la durabilità dell’azienda. Inoltre il sistema di controllo

7

L’economicità è definibile come “l’attitudine della gestione a remunerare, con i ricavi, alle condizioni richieste dal mercato, tutti i fattori produttivi ove l’azienda abbisogna perché possa avere vita continua e conveniente sviluppo”.

8

Per efficacia si intende la misura del grado di conseguimento degli obiettivi aziendali, mentre per efficienza la misura del grado di impiego delle risorse per il raggiungimento degli obiettivi medesimi.

13

interno deve essere sistemato secondo la minimizzazione dei tempi, la diminuzione dei costi e la massimizzazione della qualità di tutte le attività realizzate dall’imprese.

Gli obiettivi sull’attendibilità delle informazioni sono riferiti a informazioni sia interne che esterne. La disponibilità di informazioni credibili e tempestive supporta la correttezza del processo decisionale. L’attributo “esterna”, riferito all’informazione d’impresa, sta a significare che l’informazione è rivolta a concorrere al soddisfacimento di esigenze conoscitivo-operative di terzi estranei al soggetto economico di istituto, ma interessati alle vicende economiche dell’impresa.

Tutte le operazione effettuate devono essere autorizzate, a livello generale o specifico, dai dirigenti responsabili e tutte le operazioni devono essere registrate tempestivamente e per il loro corretto ammontare, nei conti appropriati e nel periodo contabile di competenza.

Infine con l’obiettivo di conformità indichiamo l’osservanza delle norme di legge e dei regolamenti relativi all’azienda.

Un’adeguata definizione degli obiettivi aziendali non è condizione sufficiente a garantire il raggiungimento degli stessi, riguardo a una caratteristica che accomuna tutte le aziende: la condizione di incertezza in cui esse operano.

Infatti tra gli obiettivi va posta una fondamentale differenza in termini di aspettative di risultati: mentre è legittimo attendersi da un buon sistema di controllo ragionevoli garanzie in merito al rispetto delle norme e dei regolamenti ed all’affidabilità dell’informazione contabile, nessun sistema di controllo, neanche il migliore, potrà mai offrire una ragionevole garanzia in merito al conseguimento della efficienza e della efficacia gestionale.

L’obiettivo operativo del sistema di controllo va infatti inteso come impegno a fornire agli amministratori, per tempo ed in modo compiuto, tutte le informazioni necessarie a conoscere l’andamento della gestione aziendale rispetto agli obiettivi assegnati, toccherà poi a loro assumere le decisioni in grado di garantirne il raggiungimento.

La dinamicità del sistema azienda e l’ambiente nel quale essa è inserita determinano la difficoltà di previsione e, quindi, la possibilità che accadimenti futuri generino effetti economici negativi.

Il rischio di impresa per sua natura non è eliminabile in quanto la sua esclusione richiederebbe l’eliminazione dell’impresa stessa; è necessario individuare ed osservare le

14

diverse condizioni di rischio cui è soggetta la gestione aziendale, nonché prevedere e mettere in azione le strategie opportune per la realizzazione degli obiettivi aziendali.

Attraverso il sistema di controllo interno non si può assicurare la realizzazione degli obiettivi aziendali, ma soltanto porre le condizioni per pervenire ad una ragionevole certezza del loro raggiungimento, non esistendo strumenti e strategie in grado di garantire il successo aziendale.9

1.3 Le componenti costitutive di un sistema di controllo

Non esiste un sistema di controllo uguale ad un altro poichè modello organizzativo, settore dell’attività e dimensione sono solo alcuni degli elementi cui il controllo deve, volta per volta, conformarsi venendo così ad assumere configurazioni differenti nei vari contesti. Tuttavia, esistono cinque componenti fondamentali che devono costituire l’ossatura di tutti i sistemi dalle cui caratteristiche dipende poi in larga parte il loro funzionamento e la loro efficacia:

 L’ambiente di controllo (Control Environment);  Il sistema di misurazione dei rischi (Risk Assessment)  Le attività di controllo vere e proprie (Control Activities)

 Il sistema informativo ed i processi di gestione correlati rilevanti per l’informativa economico- finanziaria e la comunicazione (Information and Communication);  Il monitoraggio dei controlli (monitoring)

9

I processi che possono fornire una ragionevole sicurezza del conseguimento degli obiettivi aziendali devono necessariamente riguardare la gestione dei diversi rischi a cui è esposta la gestione delle aziende. Tale impostazione è confermata dal testo “Enterprise

Risk Management Framework” che, al fine di sottolineare il ruolo della gestione dei rischi per la salvaguardia del raggiungimento

15 GRAFICO DEL CoSO REPORT

1.3.1 L’ambiente in cui si esercita il controllo (Control Environment)

L’ambiente di controllo interno rappresenta l’insieme dei controlli generali ovvero “quelli che concorrono a dare affidamento all’organizzazione dell’azienda, pur non riferendosi direttamente ad una voce di bilancio o ad un processo gestionale”.

L’ambiente di controllo ha un impatto sull’intera struttura societaria, esso è una diretta conseguenza degli obiettivi e ha quindi anche notevole influenza sulla gestione dei rischi. Questo elemento costituisce la base della piramide del CoSO perché incide anche su tutti gli altri componenti, come le procedure di controllo o la comunicazione aziendale.

Il contesto, e principalmente il contesto umano, in cui opera il sistema di controllo è uno degli elementi di maggiore importanza. Chiunque strutturi un sistema di controllo deve innanzitutto preoccuparsi di definire un ambiente positivo in cui il rischio di violazione di norme e di regolamenti ed il rischio di alterazione dei dati siano contenuti al minimo ed in cui sia facilitato il monitoraggio costante dell’efficienza e dell’efficacia gestionale.

16

L’ambiente di controllo include l’atteggiamento, la consapevolezza e le azioni della direzione e dei responsabili delle attività di governance in relazione al controllo interno dell’impresa.

Un efficace ambiente di controllo è rappresentato da un clima organizzativo nel quale persone competenti, consapevoli delle proprie responsabilità e dei limiti della propria autorità, si rivelano motivate e impegnate a considerare le politiche e le procedure organizzative, inclusi alti standard di condotta etica, per perseguire gli obiettivi aziendali. Esistono delle precise relazioni tra la presenza di certe caratteristiche ambientali e la attitudine del personale a compiere irregolarità; conoscere queste relazioni aiuta a definire un “Control Environment positivo”.

Tra gli elementi che lo definiscono10hanno un ruolo molto importante le variabili che costituiscono l’oggetto di scelte organizzative:

- Definizione, implicita o esplicita, di un codice di comportamento. L’integrità ed i

valori etici11 rappresentano elementi fondamentali dell’ambiente di controllo che influenzano l’efficacia della definizione, della gestione e del monitoraggio delle altre componenti del controllo interno. L’integrità ed il comportamento etico sono il risultato degli standard etici e di comportamento dell’impresa, del modo in cui vengono comunicati e di come se ne da enfasi nella pratica. Molti casi hanno dimostrato come spesso le persone coinvolte in comportamenti fraudolenti non avessero neanche la consapevolezza di star agendo in modo scorretto. Comportamenti scorretti radicati da tempo possono, ad esempio, facilmente apparire corretti a chi li compie per il semplice fatto che “si è sempre fatto così”. E’ necessario quindi che il management chiarisca in modo inequivocabile le regole generali di comportamento e le ispettive in termini di condotta etica.

10

14 I fattori definiti dal CoSO Report dell’ambiente di controllo sono: - integrità e valori etici;

- competenza del personale;

- consiglio di amministrazione o audit committee; - filosofia e stile di direzione;

- struttura organizzativa;

- attribuzione di poteri e responsabilità;

- politiche e prassi di gestione delle risorse umane.

11

Il codice etico definisce quell’insieme di principi di condotta che rispecchia, con riferimento a un determinato contesto culturale, sociale o professionale, particolari criteri di adeguatezza e opportunità.

17

- Attenzione alla relazione tra competenze e compiti assegnati. Considerazione

della direzione in merito ai livelli di competenza per particolari mansioni e al modo in cui tali livelli si traducono in requisiti di capacità e conoscenza; un sistema in cui i compiti vengono assegnati senza tener conto delle competenze può aumentare il rischio di errori, sia nel caso in cui il personale non sia sufficientemente qualificato sia nel caso in cui sia troppo qualificato per il dato compito.

- Preparazione e indipendenza del management. Un management assente,

incompetente o troppo asservito alla proprietà aumenta il rischio di errori e di comportamenti fraudolenti (è ad esempio indice di un più positivo Control Environment la presenza di almeno un amministratore che non sia espressione della proprietà).

- Attenzione al legame tra autonomia e responsabilità. Per perseguire un obiettivo è

necessario disporre di un minimo di autonomia, è però necessario che il sistema garantisca che chi esercita il potere decisionale sia poi chiamato a rispondere delle proprie azioni e che tutto il personale sappia che sarà chiamato a rispondere, a vari livelli, delle proprie azioni.

- Appropriata struttura organizzativa. La struttura organizzativa dell’impresa

fornisce il quadro di riferimento entro cui vengono pianificate, eseguite, controllate ed esaminate le attività aziendali dirette al raggiungimento dei propri obiettivi.

- Accorta definizione del sistema degli Incentivi. Un sistema di incentivi, se

collegato ad obiettivi realistici e a premialità non eccessive, è in grado di tradursi in una maggiore produttività del personale.

1.3.2 Il sistema di misurazione dei rischi (Risk Assessment)

Il secondo elemento che si incontra partendo dal basso nella piramide del CoSO è il sistema delle valutazioni del rischio gestionale ( risk assessment) cioè la capacità da parte del management di identificare eventuali rischi di gestione che possono avere un impatto negativo sulle performance e che possono comportare il mancato o parziale raggiungimento degli obiettivi; infatti, sebbene la gestione di ogni organizzazione presenti un rischio complessivo, ai fini della progettazione di un buon sistema di controllo è particolarmente

18

utile individuare un rischio specifico per i diversi obiettivi. Ai fini dell’informativa economica- finanziaria, il processo di valutazione del rischio adottato dall’impresa include le modalità con cui la direzione identifica i rischi attinenti alla preparazione di un bilancio, ne stima la rilevanza, ne valuta la probabilità di manifestazione e decide le azioni da intraprendere per gestirli.

Ogni azienda, indipendentemente dalla propria struttura, deve affrontare una varietà di rischi, di origine interna ed esterna, che devono essere valutati poiché potrebbero compromettere in alcuni casi anche la sopravvivenza stessa dell’azienda.

E’ impossibile annullare completamente i rischi tuttavia è possibile ridurli e circostanziarli e ciò è uno dei compiti del management. Infatti, in base all’ambiente di controllo, il management deve decidere quali rischi accettare e quali no ed eventualmente studiare come contrastare questi ultimi.

La valutazione dei rischi consiste nell’individuazione e analisi dei fattori che possono pregiudicare il raggiungimento degli obiettivi (efficacia ed efficienza operativa, attendibilità delle informazioni di bilancio, conformità a leggi e regolamenti, salvaguardia patrimoniale dei beni), al fine di determinare come questi rischi dovranno essere gestiti.

Visto che l’ambiente micro e macro-economico, la situazione normativa e le condizioni operative aziendali sono in continua trasformazione, si rendono necessari meccanismi che consentano di identificare e padroneggiare i rischi specifici connessi a dette trasformazioni. L’impresa adotterà un processo per la loro valutazione ai fini:

o dell’identificazione dei rischi connessi all’attività svolta rilevanti per gli obiettivi di corretta informativa economica-finanziaria;

o della scelta delle azioni con cui affrontare tali rischi.

La definizione degli obiettivi permette al management di identificare i criteri di misura delle performance e di focalizzare l’attenzione sui fattori critici di successo.

Sebbene gli obiettivi si differenzino a seconda dell’ azienda, in quanto ogni organizzazione li predispone in base alla natura dell’attività, del contesto economico e ad altri fattori propri della società, essi possono essere raggruppati in macrocategorie:

19 · Obiettivi operativi

· Obiettivi relativi alle informazioni di bilancio · Obiettivi di conformità normativa

Per quanto concerne la prima categoria, questi sono legati alla realizzazione delle mission aziendale, essi riguardano il miglioramento di efficacia e di efficienza.

È importante che gli obiettivi operativi rispecchino la realtà in cui opera l’azienda, in modo da evitare che vengano definiti target difficilmente raggiungibili o irrealistici.

È fondamentale che gli obiettivi operativi e le strategie aziendali siano chiaramente definite, infatti, essi rappresentano il punto focale su cui concentrare l’attenzione, affinché questi siano recepiti a tutti i livelli in modo da non allocare in maniera inefficace ed inefficiente le risorse.

La seconda categoria riguarda gli obiettivi relativi alle informazioni di bilancio che non riguardano esclusivamente la parte finale del “processo di predisposizione bilancio”, ma prendono in considerazione l’intero iter. Questa categoria è importante perché le informazioni presenti nel bilancio interessano soggetti esterni, fornitori, clienti, banche, i quali analizzano la redditività dell’azienda al fine di intraprendere o meno un rapporto con essa. Le informazioni presenti sui documenti devono essere attendibili, cioè devono essere predisposte in modo veritiero e corretto, secondo quanto è stabilito dai principi contabili. L’ultima categoria riguarda gli obiettivi di conformità alle norme e regolamenti vigenti. Le società operano in ambienti macro-economici in cui i mercati sono sottoposti a regole, le quali impongono alle organizzazioni di predisporre procedure e attività che soddisfino le esigenze normative.

I rischi possono emergere o modificarsi in seguito a circostanze quali:

- cambiamenti nell’ambiente operativo. Cambiamenti nella regolamentazione o nell’ambiente operativo possono modificare le pressioni concorrenziali e generare rischi completamente differenti;

- nuovo personale. Il personale nuovo può focalizzare o comprendere il controllo interno in modo differente, rispetto al personale con maggiore anzianità;

20

- sistemi informativi nuovi o aggiornati. Significativi e rapidi cambiamenti nei sistemi informativi possono modificare il rischio relativo al controllo interno;

- crescita rapida. Una rapida e significativa espansione dell’attività può stressare i controlli ed aumentare il rischio di un loro fallimento;

- nuova tecnologia. Incorporare nuove tecnologie nei processi di produzione o nei sistemi informativi può modificare il rischio associato per il controllo interno;

- nuovi prodotti, nuove attività o nuovi modelli. Entrare in aree di attività od operazioni in cui l’impresa ha poca esperienza può introdurre nuovi rischi per il controllo interno;

- ristrutturazioni aziendali. Le ristrutturazioni possono essere accompagnate da riduzione di personale e da cambiamenti nella supervisione e separazione delle funzioni che possono modificare il rischio associato al controllo interno;

- incremento delle attività estere. L’incremento o l’acquisizione di attività estere porta nuovi e spesso isolati rischi che possono influenzare il controllo interno;

- nuovi pronunciamenti in materia contabile. L’adozione di nuovi principi contabili o cambiamenti in corso nei principi contabili possono influenzare i rischi di redazione del bilancio.

Una volta individuati gli obiettivi che sono stati assegnati all’attività oggetto di analisi si procede alla identificazione e valutazione dei rischi. Il processo di identificazione e analisi è un componente critico dei sistemi di controllo interno e deve essere in continua mutazione in risposta ad eventuali modifiche dell’ambiente sia interno che esterno, rappresenta un elemento chiave di un sistema di controllo interno efficace. Il management deve prestare attenzione ai rischi, a tutti i livelli dell’impresa, e prendere provvedimenti adeguati per limitarli.

21

I rischi vanno dunque:

 “mappati” o identificati, in relazione agli obiettivi di business definiti per l’azienda nel suo complesso e per le singole aree: le performance di un’organizzazione possono essere condizionate dalla presenza di rischi sia interni che esterni, i quali possono essere ancora più temibili qualora gli obiettivi che ci si è prefissati di raggiungere siano diversi da quelli degli anni precedenti. Il processo di identificazione dei rischi è dunque un elemento fondamentale nella gestione di una società e dovrebbe essere integrato con la pianificazione. Dovrebbe inoltre partire da un foglio “quasi bianco”, le esperienze passate sono importanti e rappresentano un valore aggiunto, tuttavia non bisogna lasciarsi guidare esclusivamente da queste; bisogna considerare i rischi, soprattutto quelli derivanti da terze parti come clienti, fornitori o competitors;

 valutati in termini di probabilità e impatto: dopo averli individuati, l’analisi dei rischi procede con la loro quantificazione, è necessario cioè attribuire ad ogni rischio un valore economico. Esistono diverse metodologie, ma tutte prevedono che ci sia una stima dell’impatto che un particolare rischio ha sulle performance aziendali, la frequenza e la probabilità che il rischio si verifichi e uno studio di come il rischio possa essere controllato;

 gestiti in ottica strategica, attraverso appropriati piani di intervento ed attività di controllo: il management deve effettuare alcune scelte di costo/beneficio e capire da quali è meglio proteggersi e come tenerli sotto controllo;

 monitorati attraverso un adeguato e tempestivo sistema di autovalutazione o degli specifici interventi di audit.

Nella valutazione del rischio il management deve tenere in considerazione che vi sono però due tipologie di rischi ben distinte che di conseguenza devono essere tenute separate nell’implementazione del sistema di controllo.

Da una parte vi è il cosiddetto “rischio inerente” , cioè quel rischio che grava sul business indipendentemente dai sistemi di protezione che vengono attuati, dall’altra vi è il “rischio

residuale”, che consiste invece nell’esposizione al rischio dell’organizzazione al netto delle

22

semplicità e può rappresentare in alcuni casi anche un rischio nullo, il rischio inerente, per quanto eccellenti siano i sistemi di controllo, non può mai essere pari a zero poiché nel condurre un’attività imprenditoriale è impossibile assicurarsi e proteggersi da qualsiasi tipologia di rischio (delle suddette tipologie di rischio si parlerà meglio nel paragrafo 1.7 in relazione alle procedure di valutazione del rischio da parte del revisore) .

1.3.3 Le attività di controllo

Le attività di controllo rappresentano le procedure e le azioni messe in atto per prevenire il verificarsi dei rischi individuati in precedenza e aiutano a garantire che le disposizioni della direzione siano eseguite.

I diversi tipi di controllo possono essere classificati in maniera differente, si può infatti far riferimento per esempio a controlli preventivi, manuali, tramite software e/o condotti dal management, ma si può anche classificarli in base alle persone che hanno il compito di attuarli. Di norma le procedure di controllo coinvolgono due elementi: una politica che stabilisca cosa debba essere fatto, che di fatto è la base per il secondo elemento, e una serie di azioni che corrispondano all’applicazione concreta delle politiche scelte. Molto spesso accade che questo tipo di politiche non siano scritte, ma che derivino dalle abitudini e da alcune convinzioni personali: ciò di per sé non è negativo, tuttavia una procedura non è utile se viene svolta in maniera automatica, senza un ragionamento alle spalle e senza un continuo focus sulla direzione verso cui queste procedure sono dirette. Inoltre è essenziale che i risultati derivanti dall’instaurazione di queste procedure siano studiati e monitorati e che eventualmente vengano intraprese delle azioni correttive. Le azioni poste in essere dovrebbero essere approvate da tutta la struttura societaria e se possibile dovrebbero essere studiate tramite la condivisione delle opinioni.

Le attività di controllo devono essere integrate con la gestione dei rischi: il management deve identificare i possibili eventi dannosi che possono compromettere il raggiungimento degli obiettivi e porre di conseguenza delle procedure e delle azioni che possano mitigarli o eliminarli. Queste devono essere una parte rilevante nel processo in cui un’organizzazione cerca di raggiungere i propri target.

23

Il management, in base al contesto in cui si trova, potrà scegliere la specifica attività di controllo da attuare:

o Separazione dei compiti. Se i compiti sono separati e nessuno può controllare tutte le fasi

di un processo, la violazione del sistema di controllo dovrà necessariamente passare attraverso una connivenza tra due o più persone, il che ne riduce significativamente il rischio. Inoltre la compresenza di più responsabili aumenta anche la possibilità di far emergere errori non volontari. E’, ad esempio, regola ormai base che chi autorizza gli acquisti non sia poi anche il responsabile della procedura di registrazione della consegna, verifica della merce ed immagazzinaggio.

o Information Processing. Attività che sfruttano i collegamenti tra i diversi documenti,

quali ad esempio la verifica della rispondenza tra ordini e fatture ricevute o del rispetto della numerazione dei primi. Sono queste le procedure che più risentono delle implementazione dei sistemi EDP.

o Indicatori ed esame della performance. Esami ed analisi dell’effettiva performance

rispetto al budget, comparazione di dati interni con fonti esterne di informazione ed esame della performance per funzione o per attività.

Per implementare attività di controllo efficaci è essenziale disporre di un adeguato processo di identificazione dei rischi, nel caso di una mappatura incompleta, infatti, la possibilità di determinare le opportune attività di controllo sarebbe chiaramente limitata.

Le attività di controllo si possono distinguere in base agli obiettivi generali dell’impresa:

o attività di controllo relative agli aspetti operativi; o attività di controllo sulle informazioni;

o attività di controllo sul rispetto dei vincoli legali e regolamentari.

Vi sono diverse tipologie di attività di controllo, che è possibile distinguere in relazione: o al momento di effettuazione dei controlli: controlli preventivi, contestuali, successivi; o ai soggetti che li effettuano: controlli direzionali e operativi;

o all’oggetto di controllo: controlli fisici, sui dati;

24

Tali controlli si basano su due macro raggruppamenti: i controlli generali ( o controlli IT), che si possono sfruttare in tutti i tipi di sistemi, ed in controlli applicativi, che includono l’uso di software specifici e che sono rivolti a specifiche procedure.

Insieme, queste due categorie, assicurano la completezza, l’accuratezza e la validità delle informazioni finanziarie e di altre informazioni aziendali.

1.3.4 I Controlli generali

Generalmente in questa branca troviamo controlli sui sistemi di data center, sui software interni, sull’accessibilità dei dati e sullo sviluppo ed il mantenimento delle procedure.

I controlli sulle operazioni di data center devono prevedere che vi sia una tabella di lavoro (schedule) per i lavoratori e che vi siano dei programmi che facilitino il lavoro del dipendente. Ma soprattutto per questo tipo di controlli è fondamentale che vi sia un sistema di memorizzazione automatico: la presenza di strumenti che caricano in automatico il lavoro eseguito su veloci sistemi di storage permette di non perdere il lavoro svolto in caso del verificarsi di alcuni problemi, consentendo un back-up almeno parziale, e permette anche di monitorare “dall’alto” il lavoro che è stato eseguito. I controlli sul sistema software invece includono controlli riguardo l’acquisizione, l’implementazione e il mantenimento dei programmi che vengono utilizzati. Controlli più approfonditi permettono anche di avere report e statistiche sui programmi più utilizzati, sugli accessi effettuati e su quali programmi è più utile focalizzare la formazione aziendale.

Lo sviluppo e l’aggiornamento dei sistemi applicativi è da sempre un’area a costi molto alti in ambito aziendale, per questo motivo le aziende spesso decidono di affidarsi a risorse esterne o perlomeno di delegare alcune fasi dello sviluppo. In questa scelta tra make or buy di solito si sceglie di esternalizzare, tuttavia ciò non sempre da un punto strategico si dimostra una scelta esatta: rivolgendosi all’esterno è difficile ottenere ciò che realmente è utile per l’azienda e rispecchiare le sue specificità. Un’alternativa, ultimamente molto usata, a quella dello sviluppo interno è l’acquisto di pacchetti di software a buon mercato che includono una serie di procedure standard utilizzabili nella maggior parte delle organizzazioni.

25 1.3.5 I Controlli applicativi

Come si evince dal nome questo gruppo di controlli sono progettati per monitorare l’elaborazione di applicazioni utili ad assicurare la completezza, l’accuratezza e la validità delle operazioni. I controlli applicativi includono metodi che assicurano che solo dati completi, precisi e validi siano introdotti nel programma, che l’elaborazione esegua le attività corrette, che i risultati delle elaborazioni coincidano con quelli attesi e infine che i dati siano costantemente aggiornati. Pertanto questi sistemi prevedono controlli preventivi, di rilevazione e correttivi.

1.3.6 Relazioni tra controlli generali ed applicativi

Queste due categorie sono interrelate tra loro: se vi sono controlli generali inadeguati non è possibile per i controlli applicativi segnalare gli errori prodotti correttamente o anche semplicemente segnalare che via sia un problema, allo stesso modo un controllo generale è insufficiente se non vi è poi una sua specificazione tramite i controlli applicativi. La conoscenza da parte del revisore dei controlli generali gli permette di fruire di controlli applicativi e di ridurre l’ampiezza dei test sui controlli chiave automatizzati, effettuati durante la revisione dei bilanci e dei controlli interni

1.3.7 Il sistema informativo e processi di gestione correlati

Vorrei soffermarmi brevemente sull’importanza del sistema informativo e i processi di gestione correlati, poiché questo rappresenta una parte fondamentale e rilevante del lavoro di reportistica che svolgo nell’azienda presa in esame e di cui si dirà meglio nel capitolo 2 e 3 .

Il sistema informativo aziendale è il depositario di tutte le informazioni presenti e gestite in azienda (anche per questa ragione è oggetto di verifica da parte del revisore, come si vedrà in seguito).

26

E’ costituito dalle procedure e dalle registrazioni stabilite per rilevare, registrare, elaborare le operazioni dell’impresa e darne informativa e mantenere evidenza contabile delle relative voci di attività, passività e patrimonio netto.

Ogni organizzazione deve reperire informazioni pertinenti, finanziarie o meno, riguardanti sia le attività interne sia gli eventi esterni all’impresa. Le informazioni devono essere identificate come rilevanti per dirigere il business e devono essere fornite alle persone che le necessitano nei modi e nei tempi corretti per consentire di sviluppare i necessari controlli. Infrastruttura e software sono assenti, o hanno meno rilevanza, in sistemi che sono principalmente manuali. Molti sistemi informativi fanno ampio uso di tecnologia informatica (IT); un sistema di controllo IT è adeguato se soddisfa dei requisiti minimi quali la sufficiente protezione fisica e logica all’accesso non autorizzato al sistema, la presenza di misure che garantiscono un sistema operativo e funzionante nei tempi e nelle modalità richieste dai processi aziendali e corrette metodologie di sviluppo e di manutenzione dei sistemi applicativi.

Il CoSO suddivide questo elemento in due sotto filoni:  il canale delle informazioni

 il canale della comunicazione

senza però fornire il dettaglio di come queste due sottocategorie siano collegate tra loro, ma limitandosi a descriverle prese singolarmente.

1.3.8 L’informazione

Il controllo interno genera informazioni e queste informazioni sono tanto più utili ed attendibili quanto migliori sono state le informazioni che sono a loro volta giunte a chi le ha prodotte. Le informazioni sono necessarie in tutti i livelli organizzativi per un corretto svolgimento del business. In un’organizzazione transitano un ingente numero di informazioni, riguardanti svariati argomenti e che possono essere utili per diversi fini. Questo tipo di informazioni sono valide soprattutto per la pianificazione strategica, esse infatti rappresentano un elemento basilare nel budgeting, nel pricing e in un ampio ventaglio di valutazioni interne.

27

Le informazioni devono essere disponibili tempestivamente per facilitare i processi decisionali e consentire alle persone di assolvere le responsabilità in tema di controllo interno.

Avere informazioni corrette è importante per redigere bilanci veritieri e corretti, per costruire report affidabili, aggiornati ed utili per la direzione, e in genere per avere tutti gli indici di performance al fine di mettere in condizione il management di gestire in modo migliore l’impresa, monitorando le attività ed i rischi avversi e determinando gli interventi richiesti.

1.3.9 La comunicazione

La comunicazione è l’altro elemento che forma il sistema informativo aziendale. Esse devono essere efficaci:

verso il basso (dipendenti) verso l’alto (management), in modo orizzontale alla struttura organizzativa e nei confronti di tutti gli stakeholders aziendali, i clienti, i fornitori, gli azionisti e tutti i soggetti terzi.

Internamente ogni persona che lavora per l’organizzazione deve ricevere un messaggio chiaro e specifico riguardo alle proprie responsabilità ed ai propri compiti in azienda. Ogni individuo deve comprendere la rilevanza dei sistemi di controllo interno e sapere che nell’eventualità in cui si verifichi un imprevisto, l’attenzione non sarà rivolta solo al fatto in sé, ma anche alle cause che l’hanno provocato. I dipendenti devono inoltre essere a conoscenza delle relazioni che ci sono tra il loro lavoro e quello degli altri: questa consapevolezza è necessaria per riconoscere un problema, determinarne la causa e prevenire che possa ripetersi in futuro.

Nelle organizzazioni con un numero di dipendenti rilevante è inoltre fondamentale che vi sia una catena dell’informazione: i primi segnali di possibili rischi o errori vengono avvertiti solitamente a valle e non a monte (i venditori si accorgono per primi che il mercato sta cambiando e con esso le scelte dei consumatori), pertanto è fondamentale che le

28

informazioni risalgano anche verso l’alto e che coloro che se ne accorgono si sentano stimolati ad esporre ciò che hanno constatato.

Il CoSO in questa sezione fa inoltre un chiaro riferimento ai “whistleblower”12, sottolineando che nei codici di auto condotta dovrebbe essere previsto per loro un supporto alla denuncia e un forte incoraggiamento nel perseguire tali azioni.

Anche le informazioni rivolte verso l’esterno sono molto importanti e possono essere un punto di partenza per comprendere l’efficienza del sistema di controllo interno. Solitamente queste sottostanno a specifici standard nazionali o internazionali e la loro realizzazione e distribuzione è di norma obbligatoria. Esse sono utili per gli azionisti, i regolatori, gli analisti finanziari e per tante altre figure che necessitano di dati precisi e accurati per fare le loro considerazioni.

La disponibilità dell’informazione e la comunicazione sono strettamente legate all’utilizzabilità di sistemi informativi validi e capaci di garantire la continuità del sistema; tutto questo è dovuto alle capacità elaborative ed interattive dei sistemi EDP (Electronic Data Processing) attraverso il quale si vuole attivare nell’impresa un Sistema Informativo Automatizzato (SIA) che ha il compito di ottenere una completa e coerente visione dell’insieme aziendale, riducendone la complessità della lettura e favorendo una sistematica individuazione delle linee funzionali attraverso le quali si postulano gli obiettivi aziendali.

Le principali funzioni EDP nei sistemi aziendali sono:

- individuare, quantificare e monitorare la copertura delle esigenze informative indispensabili per gli obiettivi aziendali;

- fornire in maniera sistematica e congrua informazioni a supporto del processo decisorio;

- garantire la qualità dell’informazione tramite un’adeguata elaborazione dei dati e la presenza di una metodologia di controllo del processo di individuazione, di trattamento e di realizzazione dell’informazione;

12 Whistleblower: con questo termine viene identificato un individuo che denuncia pubblicamente o riferisce alle autorità attività illecite o fraudolenti all’interno di un’organizzazione pubblica o privata. Solitamente la denuncia avviene riferendo tali pratiche scorrette ad un proprio superiore. Per tale motivo solitamente gli individui che denunciano subiscono poi delle ripercussioni all’interno dell’organizzazione in cui lavorano e alcuni studi hanno dimostrato che la propensione ad intraprendere simili azioni dipende in gran parte dalla protezione giuridica garantita. Tale garanzia varia da Paese a Paese, attualmente in Italia il disegno di legge n. 2156 del 2010 prevede l’anonimato del segnalante e una protezione speciale per i dipendenti pubblici.

29

- operare la gestione dei dati aziendali garantendone riservatezza e tempestività di utilizzo ed univocità nella definizione e nella rappresentazione, prevenendo potenziali conflitti di interesse aziendale;

- assicurare il flusso integrato dei dati secondo i desideri aziendali, evitando ridondanze e permettendo, là ove previsto, la condivisione degli elementi informativi fra diversi organi, tra loro paralleli ed anche tra livelli gerarchici diversi.

Da un punto di vista meramente operativo occorre evidenziare come una semplice immissione di dati inneschi l’esecuzione di un insieme di programmi tra loro vincolati a catena, che tramite l’allineamento di tutti gli archivi e/o utenze interessati, permette, ai diversi utenti, oltre che di “lavorare” sullo stesso dato/informazione, anche la possibilità di sottoporre a confronto, di monitorare ed eventualmente, se risultasse necessario, di integrare dati ed informazioni provenienti da diversi settori o aree aziendali. Ovviamente il tutto può avvenire, rispetto all’utilizzo di sistemi informatici non integrati, solo con una adeguata riorganizzazione ed omogeneizzazione del flusso di lavoro e nel rispetto dei principi di sicurezza e della segregazione informativa e dei compiti. Siamo, in questi casi, di fronte ai cosiddetti sistemi ERP (Entreprise Resource Planning) i cui più noti sono: il SAP, il PeopleSoft, l’Oracle13.

I vari prodotti di tipo ERP si originano, da un lato, dall’esigenza delle imprese di accelerare i tempi delle registrazioni contabili e delle altre rilevazioni amministrative, dall’altro, dall’esigenza della gestione delle imprese di poter usufruire di un sistema plurindirizzato, che sia in grado di fornire, in tempo reale, adeguate informazioni di natura contabile e finanziaria nonché applicazioni quantitative che possono riguardare: le risorse umane, la pianificazione e l’approvvigionamento delle risorse produttive, le necessità inerenti la logistica e la distribuzione... L’ERP viene a porsi quindi come il supporto principale di tutta la struttura integrata dell’informazione e del controllo aziendale.

La qualità delle informazioni generate dal sistema informativo influenza la capacità della direzione di prendere decisioni appropriate nel gestire e controllare le attività dell’impresa, nonché di redigere relazioni economico-finanziarie attendibili.

Per comprendere le modalità di comunicazione adottate dall’impresa occorre inoltre considerare in che misura il personale comprenda come le proprie attività, per l’informativa

13 Vedere cap.3 dedicato all’azienda Lenci

30

economico-finanziaria, interagiscano con il lavoro di altri e con quali modalità si comunichino le eccezioni ad un appropriato più alto livello nell’ambito dell’impresa.

1.3.10 Monitoraggio

L’ultimo elemento del frame work è il monitoring: un processo che assicuri e garantisca la qualità del sistema di controllo nel tempo.

I sistemi di controllo interno mutano con il passare del tempo e si evolvono in relazione alle variazioni del contesto interno ed esterno dell’organizzazione; le procedure che erano efficaci nel passato possono rivelarsi insufficienti, per questo motivo le procedure devono essere continuamente riparametrate in base alle esigenze del management. Questi cambiamenti possono essere dovuti all’assunzione di nuovo personale, alla carenza di formazione interna o ad altri fattori che toccano in prima persona il sistema di controllo interno e la società.

Affinché il sistema mantenga la propria utilità è necessario che esso sia monitorato in

modo costante e periodico. Il monitoraggio dei controlli contabili da parte della direzione

richiede di valutare se i controlli stiano operando come programmato e se siano stati modificati in modo appropriato al variare delle condizioni.

Il monitoring viene svolto per garantire che i controlli continuino ad operare con efficacia e può essere condotto o mediante processi di valutazione continua (“on going monitoring activities”) o mediante processi di valutazione separata (“separate evaluation”).

I primi sono costituiti da momenti di valutazioni dinamica, svolti in maniera continuata (real time) e incorporati nei normali processi manageriali, mentre i secondi rappresentano momenti di valutazioni discontinue, di norma basati su controlli ad intervalli predefiniti finalizzati ad identificare eventuali discostamenti da quei valori ritenuti “normali” e “attesi”. La frequenza di questi ultimi è sotto il giudizio del management, tuttavia una ciclicità con intervalli minori permette una garanzia maggiore dei sistemi di controllo interno. È opportuno che entrambi i processi siano utilizzati, anche se i controlli real-time sono tipicamente più efficienti e tempestivi e permettono un riconoscimento più rapido dell’insorgere di alcune problematiche, anche se ad essi sono associabili costi di gestione e di mantenimento superiori.

31

Come gli altri elementi del sistema di controllo interno, il monitoraggio influenza tutte le componenti (fig.1) che concorrono a loro volta al raggiungimento degli obiettivi:

Fig. 1.Nella figura viene mostrata l’interdipendenza dei componenti del controllo interno e, nello specifico, quella del monitoraggio, che concorre assieme agli altri elementi al raggiungimento degli obiettivi aziendali. (Fonte: Guidance on Monitoring Internal control system, 2009)

1.3.11 Monitoraggio di valutazione continua ( I livello)

Il monitoraggio di primo livello si esplica nella normale routine operativa, infatti, esso comprende, ad esempio, attività di supervisione e riconciliazioni.

Anche gli auditor esterni ed interni dovrebbero porre la loro attenzione su una serie di controlli utili per valutare l’affidabilità del sistema di controllo e anche feedback importanti possono emergere durante seminari, meetings o aggiornamenti.

Alcune attività del monitoraggio di primo livello possono essere ad esempio:

- Riconciliazione: i responsabili operativi nella normale esecuzione delle attività di gestione corrente assicurano che il sistema di controllo interno continui a funzionare, attraverso l’analisi dei report operativi o riconciliazioni tra saldi contabili e saldi inviati da terzi esterni alla società (es. estratti conto bancari);

- Correttezza dati: il personale operativo confronta che attività presenti nel sistema informativo abbiano effettiva esistenza;

32

- Segregazione dei compiti: si pone in essere una struttura organizzativa ed attività di supervisione tali per cui si possa vigilare sempre e in modo efficace sul funzionamento del sistema di controllo e si possano individuare eventuali disfunzioni.

1.3.12 Monitoraggio con interventi di valutazione separata ( II livello)

Questi processi sono utili per avere una conferma periodica dell’efficacia dei controlli. La frequenza, come già accennato in precedenza, dipende da una scelta manageriale e deriva dalla significatività dei rischi e dalla capacità dei controlli di gestirli.

L’analisi dei rischi dovrebbe permettere al management di creare una mappa degli stessi, con la relativa probabilità che essi si verifichino e il conseguente impatto sul piano economico. I rischi più significativi dovrebbero essere associati a controlli più frequenti e più approfonditi, inoltre la ciclicità dei controlli specifici dovrebbe essere più breve rispetto a quelli generali.

Il monitoraggio continuo e le valutazioni separate del sistema di controllo interno possono portare alla luce delle disfunzioni del sistema stesso. Tali eccezioni devono essere prese in considerazione dal valutatore che decide come trattarle.

Queste disfunzioni possono essere rilevate da più soggetti, infatti, il personale può rilevarle giornalmente, attraverso il monitoraggio continuo, oppure, le eccezioni possono essere individuate dai revisori – sia interni che esterni – durante la valutazione delle specifiche del sistema di controllo interno. Tutte le disfunzioni individuate devono essere segnalate ai diretti superiori che a loro volta interpelleranno i responsabili così fino a percorrere la scala gerarchica dell’azienda.

33

1.4 Lo studio del sistema di controllo interno nella revisione aziendale: gli standard professionali

PREMESSA

La revisione contabile costituisce la forma di controllo più avanzata e completa sul bilancio di esercizio delle imprese, controllo effettuato in conformità a degli standard di revisione contabile allo scopo di esprimere un giudizio professionale14 sulla conformità del bilancio nel suo complesso. I revisori esterni partecipano in maniera rilevante alla realizzazione degli obiettivi aziendali in materia di informazioni di bilancio poiché apportano al management e al consiglio di amministrazione un punto di vista obiettivo ed indipendente; essi devono conoscere il sistema di controllo interno dell’azienda per essere in grado di programmare il loro intervento.

Il revisore esprime un giudizio15 sull’attendibilità del bilancio redatto in conformità ai principi contabili .

I principi in materia di revisione contabile pongono estrema importanza al tema del sistema di controllo interno in quanto il revisore deve esprimere una puntuale valutazione in merito all’efficacia dei controlli insiti nelle procedure amministrativo contabili di un’azienda ovvero alla loro capacità di prevenire/correggere eventuali errori che possono compromettere l’attendibilità del bilancio d’esercizio.

14 Il giudizio sul bilancio si intende come un’opinione professionale resa da un revisore professionalmente qualificato sulle capacità del documento di rappresentare in modo veritiero, corretto e chiaro, la situazione patrimoniale economica e finanziaria della società. Il revisore risponde della verità delle proprie attestazioni, e adempie ai suoi doveri con la diligenza e la professionalità richiesta dalla natura del suo incarico.

15 Il giudizio può essere:

- Senza rilievi, riflette la conformità alle norme che ne disciplinano i criteri di redazione;

- Con rilievi, quando le deviazioni dalle norme che disciplinano i criteri di redazione hanno effetti significativi sul bilancio nel suo complesso;

- Negativo, il processo di revisione può evidenziare deviazioni dalle norme che disciplinano i criteri di redazione del bilancio che possono assumere una rilevanza tale da rendere inattendibile il bilancio nel suo complesso.

34

In Italia, con l’adozione dell’intero corpo di principi di revisione internazionale ISA (International Standards on Auditing), pubblicati dall’IFAC ( International Federation of Accountants), si è assistito ad una evoluzione nella tecnica di revisione contabile che ha assunto quale elemento cardine la valutazione preliminare del rischio.

L’impostazione dell’attività di revisione, e quindi della relativa attività di pianificazione16, fondava fino a qualche anno fa sull’efficienza ed affidabilità del sistema di controllo interno aziendale. La valutazione del sistema di controllo interno, e quindi delle attitudini dell’organizzazione della società sottoposta a verifica di prevenire, individuare e rimuovere errori e frodi, costituiva l’unico elemento di considerazione sul quale basare l’intensità delle verifiche. Oggi, quindi, grazie all’adozione degli I.S.A., la fase di pianificazione della revisione viene considerata ancor più essenziale rispetto ad un tempo in quanto ad essa è legata sia la conoscenza e valutazione del sistema di controllo interno sia, soprattutto, la preliminare conoscenza dell’attività svolta dal cliente al fine di poter individuare fattori di rischio che potrebbero avere un effetto significativo sul bilancio d’esercizio. Si tratta in sostanza di ampliare il quadro informativo a disposizione del revisore che per individuare le aree e le affermazioni contabili che richiedono maggiore attenzione e verifica, deve oggi comprendere non soltanto l’assetto organizzativo interno della società, ma anche l’attività svolta dalla stessa.

1.5 La pianificazione della revisione contabile del Bilancio (DOC n. 300)

“ Pianificare significa sviluppare una strategia generale ed un approccio dettagliato tenendo conto della natura, della tempistica e dell’ampiezza delle procedure di revisione. Il revisore deve pianificare lo svolgimento della revisione in maniera efficiente e nei tempi opportuni”17. Si evince che la pianificazione della revisione richiede la definizione della strategia generale di revisione e lo sviluppo di un piano di revisione, al fine di ridurre il rischio di revisione ad un livello accettabilmente basso.

16 “La pianificazione è la definizione della tempistica del processo di revisione, delle risorse professionali necessarie, degli

obbiettivi generali di verifica e delle relative modalità, attuata sulla base di elementi conoscitivi essenziali relativi all’azienda ed allo scenario economico influente” ( Bianchi, Manuale del revisore, Roma).

17

Definizione data dal principio di revisione n. 300 (Principi di revisione emanati dal Consiglio Nazionale dei Dottori Commercialisti e dal Consiglio Nazionale dei Ragionieri e raccomandati dalla CONSOB).