Il sistema di controllo interno: la sua rilevanza nell’ambito dello svolgimento dell’attività di

Il sistema di controllo interno: la sua rilevanza nell’ambito dello svolgimento dell’attività di

vigilanza del collegio sindacale

Prof. Nicola Pecchiari

COLLEGIO SINDACALE

CON REVISIONE LEGALE NELLE PMI

Gli elementi costitutivi del Sistema di

Controllo Interno

Obiettivi di analisi

La riflessione in tema di sistema di controllo interno si è evoluta secondo determinate linee- guida:

• Specificazione degli obiettivi ed elementi costitutivi del sistema di controllo interno

• Previsione della necessità che il sistema dei controlli sia “aderente” rispetto alla tipologia dei rischi specifici d’azienda, allo scopo di attuare una coerenza tra l’affidabilità dei controlli e la vulnerabilità dei processi

• Specificazione dei ruoli dei diversi organi, interni ed esterni all’azienda, allo scopo di consentire una efficace progettazione e monitoraggio dei controlli interni

Linee-guida sul sistema di controllo interno hanno trovato nel tempo manifestazione in diversi sistemi di riferimento, quali principi professionali, codici di autodisciplina e norme di legge nazionali

L’esame coordinato di tutte le disposizioni inerenti il tema del controllo interno si presenta alquanto arduo poiché esse sono contenute in testi prodotti secondo diverse finalità:

• Principi in tema di controllo interno

• Principi inerenti la comunicazione ai mercati finanziari

• Principi inerenti il ruolo di specifici organi di controllo

• Principi in tema di responsabilità per reati societari

Standards e normative in tema di controllo interno: una rapida evoluzione

Standards

professionali in tema di controllo interno e risk management

C.o.S.O. Internal Control Integrated Framework (1992)

C.o.S.O. Enterprise Risk Management Framework (2004)

Codici di Corporate Governance

FRC (Financial Reporting Council), The Combined Code on Corporate Governance

FRC (Financial Reporting Council), Internal Control. Revised Guidance for Directors on the Combined Code; (cd. Codice Turnbull)

Comitato per la Corporate Governance (Borsa Italiana), Codice di autodisciplina

Normative internazionali

Sarbanes Oaxley Act (2002)

PCAOB, Auditing Standard No. 2, An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements, (2004)

Framework for Evaluating Control Exceptions and Deficiencies (2004) Normative nazionali
Legge 262/2005 (“Tutela del risparmio”)

Legge 231/2001 (“Responsabilità amministrativa delle società”)

I materiali ufficiali (dal sito CNDCEC)

1. L’applicazione dei principi di revisione internazionali alle imprese di dimensioni minori, Febbraio 2012:

• CAPITOLO 11 - VALUTAZIONE DEL RISCHIO DI CONTROLLO

• Allegato 10 - Esempio di questionario per la comprensione del sistema di controllo interno (file word editabile)

1. Linee guida per l’organizzazione del collegio sindacale incaricato della revisione legale dei conti, Febbraio 2012, pagg. 19-20

2. Norme di comportamento del collegio sindacale. Testo in vigore dal 1°

gennaio 2012: Norma 3.5. Vigilanza sull’adeguatezza e sul funzionamento del sistema di controllo interno, pag. 34

3. Guida all’utilizzo dei principi di revisione internazionali nella revisione contabile delle piccole e medie imprese:

1. Volume I — Concetti fondamentali. Terza edizione:

• 5. Controllo interno – Finalità e componenti (ISA 315), pag. 57

1. Volume II — Guida pratica:

Adeguatezza del SCI nella revisione contabile

Il SCI nella definizione del C.O.S.O. 1992

AMBIENTE DI CONTROLLO

(controlli generali)

MONITORAGGIO

(per la “revisione”

degli elementi del sistema di controllo)

VALUTAZIONE DEI RISCHI

(per la progettazione degli elementi del sistema di controllo)

ATTIVITA’ DI CONTROLLO

(controlli specifici)

INFORMAZIONI E COMUNICAZIONI

(controlli specifici)

ELEMENTI DEL SISTEMA DI CONTROLLO:

8

Il SCI del CoSO Report ’92: Ambiente di Controllo

Il primo elemento del sistema di controllo interno aziendale - l’ ambiente di controllo - rappresenta l'insieme dei controlli generali , ovvero "quelli che concorrono a dare affidamento all'organizzazione dell'azienda, pur non riferendosi direttamente ad una voce di bilancio o ad un ciclo operativo".

L’ambiente di controllo consiste nelle azioni, politiche e procedure che riflettono l’attitudine generale del soggetto economico, dell’alta direzione e dei responsabili di unità organizzative in relazione all’importanza del sistema di controllo interno. Elementi dell’ambiente di controllo sono tipicamente:

1. un’elevata integrità e valori etici rigorosi del management 2. una equilibrata filosofia di controllo e stile di direzione

3. la presenza organi amministrativi indipendenti dalle direzioni esecutive (ad es. membri del consiglio di amministrazione indipendenti con finalità di sorveglianza su quelli esecutivi)

4. una struttura organizzativa che agevoli i controlli da parte del management

5. un’elevata attenzione alla competenza degli operatori che operano in posizioni critiche 6. un’assegnazione equilibrata di autorità e responsabilità

7. adeguata processi di gestione delle risorse umane (ad es. il sistema degli incentivi, le politiche

di turnover ecc.)

Il SCI del CoSO Report ’92: Informazioni e comunicazioni

Dall’altro lato, le caratteristiche di progettazione del sistema informativo e delle procedure di controllo concorrono a definire i controlli specifici , ovvero quei controlli "direttamente riferiti al processo di formazione di una singola voce di bilancio o ad un ciclo operativo".

Tali elementi, infatti, comprendono sia quelle caratteristiche dei sistemi di rilevazione sia meccanismi di carattere organizzativo che concorrono a definire la presenza di controlli chiave nello svolgimento della ‑ gestione amministrativa aziendale.

* * *

Le caratteristiche del sistema informativo aziendale (informazioni e comunicazioni) devono essere tali da soddisfare particolari obiettivi conoscitivi, sia con riferimento alle transazioni - accadimenti relativi alle dinamiche e quindi correlati ai valori reddituali e monetari - sia con riferimento ai saldi finali - accadimenti relativi alla situazione finale e quindi correlati ai valori patrimoniali.

Obiettivi del sistema informativo per le transazioni:

Obiettivi del sistema informativo per il saldi finali:

1. Esistenza 2. Completezza 3. Accuratezza 4. Classificazione 5. Tempistica

6. Imputazione e totalizzazioni

1. Valutazione secondo principi contabili 2. Diritti ed obblighi

3. Presentazione ed informativa

Le categorie di assertions o obiettivi di attendibilità: esemplificazioni

CATEGORIE ASSERTIONS COMMENTO ESEMPIO DI ERRORI PER LE

OPERAZIONI DI VENDITA Esistenza Esistenza (ES) Le rilevazioni effettuate esistono in quanto rappresentano operazioni

realmente avvenute con controparti non fittizie

Alcuni ricavi sono fittizi

Tempistica (TE) Le rilevazioni effettuate esistono non solo con riferimento al fatto che

l’operazioni rilevata è realmente avvenuta, ma anche perché l’operazione si è manifestata nel periodo temporale preso a riferimento (esistenza temporale)

Prefatturazione nel dicembre x di vendite realizzate nel gennaio x+1

Completezza Completezza (CO) Tutte le operazioni realmente avvenute con controparti non fittizie sono state rilevate cntabilmente

Vendite in “nero”

Tempistica (TC) Le rilevazioni effettuate sono complete non solo con riferimento al fatto che l’operazioni realmente avvenuta è contabilizzata, ma anche perché

l’operazione è registrata nel periodo temporale preso a riferimento (completezza temporale)

Postfatturazione nel gennaio x+1 di vendite realizzate nel dicembre x+1

Diritti ed obblighi

Diritti ed obblighi (DO)

Le rilevazioni contabili rappresentano correttamente i diritti ed obblighi giuridici esistenti in relazione alle transazioni svolte ed alle correlate poste patrimoniali

Mancata evidenziazione di crediti che sono stati dati in pegno per operazioni di finanziamento

Valutazione e misurazione

Accuratezza (AC) L’obiettivo di accuratezza fa riferimento all’adeguatezza del processo di misurazione dei valori di una singola transazione

Fatture per le quali sono stati applicati prezzi di listino errati

Imputazione e totalizzazioni (IT)

L’obiettivo di imputazione e totalizzazione fa riferimento all’adeguatezza del processo di misurazione dei totali di tutte le transazioni

Mancata riconciliazione tra il mastro dei clienti, il partitario e lo scadenzario crediti

Valutazione (VA) L’obiettivo di valutazione fa riferimento alla corretta applicazione dei criteri di valutazione secondo i principi contabili in vigore

Insufficiente svalutazione di crediti inesigibili.

Presentazione e informativa

Classificazione (CL)

L’obiettivo di corretta classificazione fa riferimento alle esigenze di rappresentazione separata o meno di determinate operazioni secondo il dettaglio di reporting e disclosure richiesto dai principi in materia di composizione degli schemi di bilancio e delle note esplicative

Errata classificazione di crediti come attività a breve termine quando in realtà sono esigibili a lungo termine

Presentazione e informativa (PI)

Tutte le informazioni di dettaglio necessarie alla compilazione della Nota Integrativa sono sottoposte a verifica di correttezza

Insufficiente o errata ripartizione dei ricavi per categorie omogenee di attività o per area geografica

Il SCI del CoSO Report ’92: Attività di Controllo

Le procedure di controllo rappresentano cinque categorie di controlli che sono tipicamente applicati con riferimento a specifiche transazioni e saldi finali di bilancio.

1. adeguata separazione dei compiti

2. corretta autorizzazione per tutte le operazioni

3. adeguata documentazione e registrazione delle operazioni 4. controllo fisico su beni e registrazioni

5. controlli indipendenti sulle prestazioni effettuate

12

Il SCI del CoSO Report ’92: Attività di Controllo

Adeguata separaz.

dei compiti

L’adeguata separazione dei compiti è tipicamente perseguita mediante le seguenti quattro modalità, che rappresentano le suddivisioni minimali delle mansioni ritenute critiche ai fini della revisione:

1. separazione delle attività di custodia dei beni da quelle di contabilizzazione 2. separazione delle attività di custodia dei beni da quelle di autorizzazione 3. separazione delle responsabilità operative da quelle di contabilizzazione

4. separazione nell’ambito dell’I.T. (information technology) dei compiti di utente, programmatore, analista di sistemi, gestore di archivi, gruppi di controllo dei dati

Corretta autorizzaz.

per tutte le

operazioni

La corretta autorizzazione per tutte le operazioni e’ tipicamente perseguita mediante le definizione di procedure di autorizzazione generale o specifica:

1. autorizzazione generale, ovvero una politica che l’organizzazione deve seguire con riferimento a operazioni ricorrenti della medesima specie; ne sono esempio i listini prezzo, i limiti di fido attribuiti ai clienti, i livelli di riordino automatico per le scorte di magazzino;

2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad una singola operazione e formulata proprio in relazione a quel caso specifico (es. autorizzazione alla acquisto di un macchinario)

Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero il fatto che essa sia attribuita ai livelli funzionali e gerarchici ritenuti più opportuni (tipica e’ la definizione di poteri di firma in relazione a tipologie di operazioni o agli importi delle transazioni); le operazioni di autorizzazione e di approvazione sono da distinguersi in quanto complementari (ciclo autorizzazione-esecuzione-approvazione):

1. autorizzazione e’ una politica/direttiva da seguire per una classe di operazioni (generale) o una singola operazione (specifica);

2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della autorizzazione definita (es.

responsabile della contabilità di magazzino che approva un ordine di acquisto preparato per reintegrare la scorta minima di sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti)

Il SCI del CoSO Report ’92: Attività di Controllo

Adeguata

documentaz. e registrazione delle

operazioni

L’adeguata documentazione e registrazione delle operazioni e’ tipicamente perseguita osservando i seguenti

“principi”:

– prenumerazione consecutiva dei documenti

– predisposizione tempestiva rispetto al verificarsi dell’operativa – semplicità (comprensibilità delle rilevazioni effettuate)

– predisposizione per finalità molteplici (allo scopo di minimizzare il numero di documenti in circolazione) – strutturati per agevolarne la compilazione (consentendo un “controllo interno” al documento o alla

registrazione)

I medesimi principi devono essere osservati con riferimento alle videate per l’inserimento dati in un sistema computerizzato; in tale contesto e’ sovente cruciale anche la presenza dei manuali di funzionamento del sistema

In relazione alle registrazioni contabili e’ di fondamentale importanza il piano dei conti in quanto la sua articolazione unita ad una chiara descrizione del contenuto di ciascun sottoconto evidenzia la maggiore o minore probabilità - a priori - di errori di classificazione

Controllo

fisico su beni e registrazioni

Il controllo fisico su beni e registrazioni può manifestarsi secondo varie forme, delle quali si citano, a titolo esemplificativo: inventari fisici, elenchi delle persone autorizzate a disporre dei valori, servizio di vigilanza, limitazioni all’accesso e adozione di particolari accorgimenti di protezione, assicurazioni adeguate, procedure per la ricostruzione dei dati contabili

Controlli indipendenti sulle

prestazioni effettuate

I controlli indipendenti sulle prestazioni effettuate - distinguibili in verifiche esterne e verifiche interne a seconda che essi siano svolti da soggetti esterni all’azienda o da personale interno che e’ tuttavia indipendente rispetto a colui che ha posto in essere l’operazione sottoposta a controllo - hanno la funzione di mantenere la stabilità del sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori aziendali; l’indipendenza del controllo può essere ottenuta tipicamente attraverso:

– la suddivisione delle mansioni (controlli indipendenti di personale interno) – il coinvolgimento di soggetti esterni (altre imprese e professionisti)

14

Il SCI del CoSO Report ’92: Valutazione dei rischi e Monitoraggio

Gli altri due elementi del sistema di controllo, invece, la valutazione del rischio gestionale ed il monitoraggio - si sottolinea che essi sono stati aggiunti ai primi tre, previsti dal S.A.S. No. 55, in occasione dei lavori del C.O.S.O. -, costituiscono, a nostro avviso, non già veri e propri elementi del sistema di controllo, quanto piuttosto principi che devono orientare la progettazione e verifica degli elementi del sistema di controllo, in quanto:

• i controlli interni devono essere progettati prioritariamente in aderenza alle aree più critiche dal punto di vista gestionale, nelle quali vi sono rischi più elevati con riferimento all’efficacia ed efficienza delle operazioni aziendali, all’attendibilità dei dati ed alla conformità rispetto alle normative di riferimento;

• occorre con continuità monitorare l’adeguatezza dei controlli interni, nei vari

elementi di cui essi si compongono, al fine di accertare l’aderenza e l’effettivo

funzionamento dei medesimi nel tempo.

Matrice di pianificazione per la gestione e valutazione dei sistemi di controllo interno

Poiché ogni sottosistema aziendale è suscettibile di autonoma valutazione in termini di vulnerabilità e di affidabilità del SCI che lo caratterizza, ne deriva che ciascuno di essi trova posizionamento all’interno dell’azienda secondo quanto indicato nella matrice seguente

Ogni sottosistema aziendale possiede quindi un particolare profilo di rischiosità complessiva che, oltretutto, non è statico, e va quindi periodicamente apprezzato così da verificare la costante efficacia ed economicità del SCI

II. I.

III. IV.

Aree Critiche Riprogettazione

del SCI

Aree Non Critiche

affidabilità del SCI

Aree Non Critiche Semplificazione

del SCI

Bassa Alta

VULNERABILITA'

Alta

Bassa Presidio della Vulnerabilità Vulnerabilità

Aree Critiche

Presidio della

16

Il SCI del CoSO Report ’92: Valutazione dei rischi e Monitoraggio

Valutazione dei rischi

La valutazione del rischio gestionale attiene alla capacità della direzione di:

 identificare situazioni di rischio gestionale che hanno delle ripercussioni sulla attendibilità delle informazioni rilevanti per la preparazione del bilancio d’esercizio,

 progettare controlli ad hoc che consentano di fronteggiare tali situazioni di rischio (es. in presenza di vendite effettuate sottocosto per motivi di marketing o legate alla obsolescenza dei prodotti ceduti);

Tali situazioni di rischio, che sono inerenti a determinati fattori economico aziendali, sono valutate:

 dalla direzione aziendale per progettare e rendere operanti i controlli che minimizzino le possibilità di errori ed irregolarità;

 dal revisore per stabilire la quantità e qualità di evidenza necessaria per esprimere una opinione sulla attendibilità di determinati insiemi di rilevazioni

Monitoraggio

Il monitoraggio consiste nella verifica continua e/o periodica della efficacia del disegno dei controlli interni e della effettiva operatività dei medesimi al fine di verificare che essi:

 operino secondo gli obiettivi formulati (controlli “operanti”)

 siano adeguati rispetto ad eventuali cambiamenti intervenuti nella realtà operativa (controlli

“aderenti”)

In particolare, informazioni per la valutazione e l’eventuale cambiamento dei controlli interni provengono tipicamente da numerose fonti, quali ad esempio:

 studi dei sistemi di controllo interni esistenti

 rapporti della funzione di revisione interna (ove esistente)

 rapporti di eccezioni dalle attività di controllo operate

 rapporti di “enti di sorveglianza” (soggetti esterni che hanno compiti di controllo su particolari operazioni aziendali)

 feedback dal personale interno

 rimostranze di soggetti esterni (es. clienti, fornitori, ecc.)

Dal COSO Report al COSO ERM Enterprise Risk Management

La relazione tra affidabilità dei controlli e profili di vulnerabilità dei processi si colloca in un nuovo contesto manageriale, secondo il quale il SCI è solo una delle “risposte” mediante le quali “fronteggiare” tali condizioni di vulnerabilità dei processi: la diffusione di modelli di risk management che distinguono rischi accettabili, rischi da trasferire a terzi mediante soluzioni assicurative e contrattuali, nonché rischi da sottoporre a controlli è peraltro confermata dagli elementi alla base del documento del C.O.S.O. ( Committe of Sponsoring Organizations ) dal titolo Enterprise Risk Management , il quale ben evidenzia la collocazione delle tematiche del sistema di controllo interno nell’ambito delle metodologie di risk management.

Il documento Enterprise Risk Management (2004) presenta una rivisitazione dei

concetti già esposti nell’originario Internal Control – Integrated Framework (1992) ,

in quanto enfatizza il tema della valutazione dei rischi quale pre condizione cruciale ‑

ai fini di una efficace progettazione del sistema di controllo interno.

18

Il processo di Enterprise Risk Management

“Enterprise risk management is a a process, effected by an entity's board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risks to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”

Source: COSO Enterprise Risk Management – Integrated Framework. 2004. COSO.

COSO ERM: Gli Obiettivi del SCI

Le categorie di obiettivi rilevanti ai fini dell’ERM sono ampliate rispetto ai principi precedenti per includere anche gli obiettivi strategici;

conseguentemente le categorie sono:

• Strategic , obiettivi di sintesi aziendali correlati e di supporto alla visione/mission strategia dell’impresa

• Operations, obiettivi relative alla efficacia ed efficienza delle operazioni aziendali

• Reporting , obiettivi relative alla efficacia del sistema di reporting aziendale, sia interno sia esterno, con riferimento all’informativa economico finanziaria ed a quella operativa. ‑

• Compliance , obiettivi relative alla conformità delle attività aziendali

rispetto alle leggi e regolamenti applicabili.

20

COSO ERM: Gli elementi del sistema di risk management e controllo interno

1. Internal Environment, che comprende gli elementi dell’Ambiente di Controllo ai quali si aggiungono la propensione al rischio del management e la sua filosofia in termini di risk management (risk appetite e risk management philosophy);

2. Objective Setting, il quale descrive il sistema degli obiettivi aziendali e correlate attitudini al rischio;

3. Event Identification, che consiste nella metodologia con cui il management identifica gli eventi che originano condizioni di rischio, ovvero individua per ogni processo, unità organizzativa le situazioni di minaccia (eventi con potenziale impatto negativo) e opportunità (eventi con potenziale impatto positivo);

4. Risk Assessment, che costituisce le metodologia con cui il management valuta la probabilità e impatto dei rischi (o eventi con potenziale impatto negativo);

5. Risk Response, che rappresenta la metodologia con cui il management individua quale reazione porre in essere con riferimento ai rischi identificati; le opzione di reazione ai rischi possono essere articolate in: acceptance (accettazione dei rischi), avoidance (uscita dai business/processi che originano i rischi), sharing (riduzione della probabilità/impatto dei rischi mediante condizione/trasferimento a terzi tramite soluzioni contrattuali e assicurative) e reduction (riduzione di probabilità/impatto dei rischi mediante attività di controllo interno);

6. Control Activities, ovvero le attività di controllo di cui alla precedente formulazione del C.O.S.O. Report, con particolare enfasi alla integrazione dei controlli generali e applicativi (general e application controls) con i processi di risk response;

7. Information and Communication, i quali costituiscono i sistemi informativi ed i processi di comunicazione di cui alla precedente formulazione del C.O.S.O. Report

8. Monitoring, che costituisce le attività di monitoraggio della adeguatezza di progettazione e operatività di tutti gli elementi dell’ERA, con la precisazione che esso può avvenire mediante processi di valutazione continua (ongoing monitoring activities) o separata (separate evaluation): i primi costituiscono momenti di valutazione dinamica e in real-time incorporati nei normali e ricorrenti processi manageriali, mentre i secondi rappresentano momenti di valutazione discontinua che avvengono periodicamente (ad es. tramite la funzione di Internal Audit) e identificano situazioni anomale successivamente al verificarsi degli eventi (risulta quindi critico definire la frequenza temporale di analisi, allo scopo di evitare ritardi significativi nella individuazione di circostanze critiche).

COSO: confronto tra Internal Control (1992) e ERM (2004)

COSO Internal Control Integrated Framework

COSO Enterprise Risk Management

Framework

Business Segment 1

Strategic Controls

Operations Controls

Reporting Controls

Compliance Controls

DIsegno Funzion. DIsegno Funzion. DIsegno Funzion. DIsegno Funzion.

Control Environment

Internal Environment Objective Setting

Risk Assessment

Event Identification

Risk Assessment Risk Response Control Activities Control Activities

22

Objective Setting: Risk Appetite and Risk Tolerance

OBIETTIVI STRATEGICI

Misure di prestazione

OBIETTIVI CORRELATI

•Operations

•Reporting

•Compliance

RISK APPETITE

Analisi degli eventi ritenuti, sotto il profilo strategico,

accettabili o meno ACTION

PLAN

Misure di prestazione

RISK

TOLERANCE

(Acceptable Range)

MISSION

Impact vs. Probability: events, risk assessment, risk response

Reduction

Share Reduction & Avoidance

Accept

High Risk

Medium Risk Medium Risk

Low Risk

Low High

High

I M

P A C T

PROBABILITY

EVENTS

Risk Responses: un problema di management?

Avoidance (evitare) Sharing (condividere/trasferire)

• Vendita di una linea di business troppo rischiosa

• Non intraprendere/investire in attività economiche eccessivamente rischiose

• Assicurazione del rischio di perdite significative

• Accordi contrattuali che suddividono il rischio (con penali a carico delle controparti)

• Accordi di partnership / joint venture in business rischiosi

• Strumenti di copertura dei rischi finanziari

• Outsourcing di processi Reduction (mitigare/ridure) Acceptance (accettare)

• Strategie di diversificazione produttiva,

commerciale e degli investimenti (e conseguente riallocazione delle risorse)

• Aumentare il coinvolgimento / consapevolezza del management nelle fasi decisionali e di controllo

• Stabilire limiti operativi (budget, limiti di fido, livelli minimi/massimi di scorte, poteri di firma ecc.)

• Definire procedure operative finalizzate alla minimizzazione di errori

• Self-insurance di rischi significativi (mediante adeguate consistenze patrimoniali per assorbire perdite significative inattese)

• Programmare compensazioni» naturali» di rischi (ad es. rischi su cambi e rischi di prezzo)

• Accetare quei rischi il cui impatto è contenuto all’interno di soglie di tolleranza ritenute

sostenibili

Una Sintesi

L’oggetto di analisi: il sistema di controllo interno

• Il SCI è costituito dall’insieme di quegli strumenti/regole informative e organizzative disegnate e operanti allo scopo di consentire sia preventivamente sia a consuntivo l’indirizzo ed il monitoraggio delle performance aziendali in relazione al perseguimento degli obiettivi definiti dall’Alta Direzione

• Il “controllo” può essere inteso in due accezioni apparentemente contrapposte:

• Controllo come “contre-role”, ovvero basato su una contrapposizione di interessi, che comporta ispezione, verifica, vigilanza, azione vessatoria

• Controllo come “to control”, ovvero basato sul principio della delega, che comporta guida, governo, indirizzo

• Il SCI sottende sempre entrambe le accezioni

Il fabbisogno di controllo: gli obiettivi di controllo

Gli obiettivi attribuibili a qualunque SCI sono riconducibili a 3 obiettivi generali:

1.Economicità delle operazioni di gestione, la quale implica: efficacia nel raggiungimento degli obiettivi economici; efficienza in termini di minor consumo di risorse per il perseguimento degli obiettivi

2.Attendibilità del Sistema Informativo Aziendale sia in quanto il SIA costituisce il presupposto di conoscenze che supportano il sistema delle decisioni aziendali (SIA come supporto alle decisioni), sia in quanto esso alimenta la produzione di report oggetto di valutazione autonoma (SIA come supporto alla redazione del bilancio e di altre informative esterne)

3.Conformità alle normative: nello svolgimento delle operazioni di gestione occorre

che siano rispettate le normative applicabili siano esse di provenienza legislativa

(civilistica, fiscale, penale, ambientale, sicurezza su lavoro, privacy, normative di

prodotto/settore, ecc.) siano esse appartenenti a sistemi “volontari” (certificazione

Gli elementi costitutivi del SCI

Le dimensioni informativa ed organizzativa dei controlli

Dimensione Informativa

1. Adeguata documentazione (attributi rilevati, numerosità delle informazioni, provenienza delle informazioni, delimitazione delle informazioni)

2. Controlli di dettaglio (confronti di informazioni elementari volti ad accertare “eccezioni”

ovvero dati non concordanti)

3. Controlli di coerenza (confronti di aggregati di informazioni volti ad accertarne la coerenza rispetto ad aspettative - budget ecc. - e localizzare eventuali risultati “anomali”

ovvero inusuali)

Dimensione Organizzativa

1. Suddivisione dei compiti (separazione tra: autorizzazione, esecuzione, controllo successivo)

2. Processi di comunicazione (“conformità” rispetto ai bisogni degli utenti, tempistica)

3. Ambiente organizzativo (responsabilità/deleghe, stile di direzione, competenze,

Dimensione Informativa dei controlli: Adeguata documentazione

Attributi rilevati

Ogni rilevazione prodotta/ottenuta deve contenere tutti quegli attributi elementari di informazione ritenuti necessari in relazione alle finalità conoscitive definite (prezzi, quantità, codici e causali di classificazione, date, tassi di cambio, aliquote IVA, tassi d’interesse ecc.)

Numerosità delle

informazioni raccolte

Quante più informazioni sono raccolte e confrontate in merito ad un fenomeno aziendale oggetto di controllo e tanto più il controllo potrò produrre risultati convincenti (concetto di controllo in termini probabilistici)

Provenienza delle

informazioni

Le informazioni (evidenze) confrontabili possono essere di provenienza diversa:

•Rilevazioni interne all’azienda

•Rilevazioni esterne all’azienda

•Rilevazioni desunte dall’osservazioni diretta della realtà aziendale (osservazione fisica).

In funzione della loro provenienza, le informazioni possiedono una diversa qualità persuasiva ovvero grado di “efficacia probatoria” (in misura crescente per le rilevazioni esterne e ancora di più per quelle derivanti dall’osservazione diretta della realtà).

Delimitazione delle

informazioni

Gli insiemi di informazioni devono essere chiusi, ovvero delimitati, circoscritti (deve esserci il ragionevole convincimento che un insieme di informazioni contenga tutti gli elementi che lo compongono)

La delimitazione può essere effettuata con modalità diverse: fisica, basata sulla

numerazione sequenziale, temporale (ovvero basata su limiti cronologici) , derivata da

somme e totali (riconciliazioni).

Dimensione Organizzativa dei controlli: la

suddivisione dei compiti ( segregation of duties )

Corretta

autorizzazione per tutte le operazioni (controlli preventivi o preventive

controls)

La corretta autorizzazione per tutte le operazioni è tipicamente perseguita mediante le definizione di procedure di autorizzazione generale o specifica:

1. autorizzazione generale, ovvero una politica che l’organizzazione deve seguire con riferimento a operazioni ricorrenti della medesima specie; ne sono esempio i listini prezzo, i limiti di fido attribuiti ai clienti, i livelli di riordino automatico per le scorte di magazzino;

2. autorizzazione specifica, ovvero una direttiva da seguire con riferimento ad una singola operazione e formulata proprio in relazione a quel caso specifico (es. autorizzazione alla acquisto di un macchinario).

Assai importante e’ anche la dimensione organizzativa della autorizzazione, ovvero il fatto che essa sia attribuita ai livelli funzionali e gerarchici ritenuti più opportuni (tipica e’ la definizione di poteri di firma in relazione a tipologie di operazioni o agli importi delle transazioni); le operazioni di autorizzazione e di approvazione sono da distinguersi in quanto complementari (ciclo autorizzazione-esecuzione-approvazione):

1. autorizzazione e’ una politica/direttiva da seguire per una classe di operazioni (generale) o una singola operazione (specifica);

2. approvazione e’ la verifica che l’operazione si e’ svolta nel rispetto della autorizzazione definita (es.

responsabile della contabilità di magazzino che approva un ordine di acquisto preparato per reintegrare la scorta minima di sicurezza stabilita come obiettivo/autorizzazione generale agli acquisti); di fatto l’approvazione corrisponde ai controlli successivi.

Controlli

indipendenti sulle prestazioni

effettuate

I controlli indipendenti (di approvazione) sulle operazioni effettuate - distinguibili in verifiche esterne e verifiche interne a seconda che essi siano svolti da soggetti esterni all’azienda o da personale interno che e’ tuttavia indipendente rispetto a colui che ha posto in essere l’operazione sottoposta a controllo - hanno la funzione di mantenere la stabilità del sistema di controllo interno, attraverso una opportuna “pressione” sugli operatori aziendali; l’indipendenza del controllo può essere ottenuta tipicamente attraverso:

Dimensione Organizzativa dei controlli: processi di comunicazione e ambiente di controllo

I processi di comunicazione

Progettare adeguati processi di comunicazione significa quindi:

•definire contenuti, tempi e modalità tecniche di flusso delle informazioni

•definire responsabilità in merito alla predisposizione, archiviazione, trasmissione, ricevimento delle informazioni.

L’ambiente

organizzativo (o ambiente di controllo)

L’ambiente di controllo consiste nelle azioni, politiche e procedure che riflettono l’attitudine generale del soggetto economico, dell’alta direzione e dei responsabili di unità organizzative in relazione all’importanza del sistema di controllo interno.

Elementi dell’ambiente di controllo sono tipicamente:

1. un’elevata integrità e valori etici rigorosi del management

2. la presenza organi amministrativi indipendenti dalle direzioni esecutive (ad es.

membri del consiglio di amministrazione indipendenti con finalità di sorveglianza su quelli esecutivi)

3. una struttura organizzativa che agevoli i controlli da parte del management 4. un’assegnazione equilibrata di autorità e responsabilità

5. adeguata processi di gestione delle risorse umane (ad es. il sistema degli incentivi, le politiche di turnover ecc.)

6. un’elevata attenzione alla competenza degli operatori che operano in posizioni critiche

7. una equilibrata filosofia di controllo e stile di direzione

I primi 3 punti attengono ai livelli direzionali/manageriali mentre i punti 4-7 trovano

applicazioni anche a livello di processi operativi (vedere slide successiva)

Elementi del

Sistema di controllo interno

Obiettivi di attendibilità (A)

Esistenza Completezza Diritti ed

Obblighi

Valutazione e Misurazione

Presentazione ed informativa

Rischi di errore (B)

Controlli informativi (C) Adeguata documentazione

(C) Numerosità degli attributi rilevati

Delimitazione delle informazioni Controlli di coerenza

Controlli di dettaglio

Controlli organizzativi (D) Suddivisione dei compiti

(D) Processi di comunicazione

Ambiente organizzativo (o di controllo):

Ruoli, responsabilità, deleghe

Competenze

Sistema premiante

Stile di direzione

Il modello controlli-obiettivi: l’attendibilità del sistema informativo

aziendale

Collegare i controlli agli elementi del SCI ed agli obiettivi: una esemplificazione

Supponiamo di esaminare i seguenti punti di controllo con riferimento al processo di gestione dei resi di merce in relazione alle due fasi della

•Richiesta di reso

•Approvazione del reso ed autorizzazione alla spedizione Richiesta di reso

La richiesta di reso del cliente deve essere in forma scritta e deve essere numerata all'atto della emissione da parte dell'agente

La richiesta di reso deve operare una classificazione per tipologia di problema (merce e/o packaging difettosi, grave ritardo nella consegna, ecc.)

Il controllo preventivo degli agenti deve essere finalizzato alla verifica di legittimità della richiesta del cliente

Il sistema di incentivazione degli agenti deve essere coerente con gli obiettivi di gestione dei resi Approvazione del reso e autorizzazione alla spedizione:

Il modulo di autorizzazione al reso deve operare una classificazione per tipologia di problema (merce e/o packaging difettosi, grave ritardo nella consegna, ecc.)

Il sistema di incentivazione del responsabile commerciale deve essere coerente con gli obiettivi di gestione dei resi

L’approvazione del responsabile commerciale deve seguire criteri specifici (discriminando cliente

nuovo, affidabile, tipologia di prodotti, valore del reso ecc.)

Elementi del

Sistema di controllo interno

La richiesta di reso del cliente

deve essere in forma scritta e deve essere

numerata all'atto della emissione da parte dell'agente

La richiesta di reso deve operare una classificazione per tipologia di problema (merce

e/o packaging difettosi, grave

ritardo nella consegna, ecc.)

Il controllo preventivo degli

agenti deve essere finalizzato alla

verifica di legittimità della

richiesta del cliente

Il sistema di incentivazione

degli agenti deve essere coerente con gli

obiettivi di gestione dei resi

Controlli informativi

Adeguata documentazione

   

Numerosità degli attributi rilevati

   

Delimitazione delle informazioni

   

Controlli di coerenza

Controlli di dettaglio

   

Controlli organizzativi

Suddivisione dei compiti (autorizzazione e

approvazione)

   

Processi di comunicazione

   

Ambiente organizzativo (o di controllo):

       

Collegare i controlli agli elementi del SCI ed agli obiettivi

Elementi del

Sistema di controllo interno

Il modulo di autorizzazione al reso deve operare una classificazione

per tipologia di problema (merce

e/o packaging difettosi, grave

ritardo nella consegna, ecc.)

Il sistema di incentivazione del

responsabile commerciale deve essere coerente con

gli obiettivi di gestione dei resi

L’approvazione del responsabile commerciale deve

seguire criteri specifici (discriminando

cliente nuovo, affidabile, tipologia

di prodotti, valore del reso ecc.) Controlli informativi

Adeguata documentazione

Numerosità degli attributi rilevati

       

Delimitazione delle informazioni

Controlli di coerenza

   

Controlli di dettaglio

   

Controlli organizzativi Suddivisione dei compiti (autorizzazione e

approvazione)

   

Processi di comunicazione

Ambiente organizzativo (o di controllo):

Ruoli, responsabilità, deleghe

Competenze

Sistema premiante

Stile di direzione

Integrità







    

Collegare i controlli agli elementi del SCI ed agli obiettivi

Il modello controlli/obiettivi: il caso degli obiettivi di attendibilità

FABBISOGNO DI CONTROLLO OBIETTIVI DI :

Economicità Attendibilità Conformità a normative Vulnerabilità

Affidabilità del SCI :

• Controlli informativi

• Controlli organizz.vi

Si tratta della valutazione dei rischi

significativi di errore/frode in termini di economicità, attendibilità del sistema informativo e conformità alle normative.

Si rinvia alle sessioni specifiche per

questi argomenti

Il modello controlli/obiettivi: struttura generale

FABBISOGNO DI CONTROLLO OBIETTIVI DI :

Economicità Attendibilità Conformità a normative Vulnerabilità

Affidabilità del SCI :

• Controlli informativi

• Controlli organizz.vi

Ma quale grado di

dinamismo presentano

le variabili del modello?

Alcuni suggerimenti per partire…

1. Bisogna sapere chi fa che cosa e come lo fa: organigramma, mansionario e procedure scritte

2. I controlli devono essere documentati ovvero lasciare traccia

3. La contabilità è uno strumento di controllo potente se è ben tenuta (piano dei conti, causali, tempestività ecc.): le competenza e risorse dell’ufficio contabile sono un pilastro fondamentale

4. E’ inammissibile fare impresa senza tenere sotto controllo vendite, acquisti, produzione e magazzino: questi processi devono essere sottoposti a controlli documentati secondo procedure scritte

5. Dove ci sono errori/frodi non c’è controllo adeguato: occorre investigare 6. I flussi finanziari dicono molto quando la contabilità vacilla (dal

rendiconto finanziario all’analisi dei movimenti di conto corrente)