3. LA LEGGE SUL RISPARMIO (262/2005)

3.

LA LEGGE SUL RISPARMIO (262/2005)

SOMMARIO: 3.1. Legge 262/2005 - Introduzione; 3.2. Il Dirigente Preposto; 3.3. Nomina, durata e revoca incarico; 3.4. Compiti, mezzi e poteri del Dirigente Preposto; 3.5. Responsabilità; 3.6. Confronto con la Sarbanes Oxley Act; 3.7. Section 302; 3.8. Section 404.

3.1. Legge 262/2005 Introduzione

La legge n° 262 (cosiddetta “Legge sul Risparmio”) pubblicata sulla Gazzetta Ufficiale il 28 dicembre del 2005, è figlia della situazione che ha investito il mondo economico e non, in conseguenza degli scandali finanziari, avvenuti agli inizi del 2000.

Essa riprende l’analoga legge americana, la Sarbanes Oxley Act, con la quale il congresso USA ha puntato a rafforzare le garanzie per gli investitori attraverso una più puntuale definizione del sistema di controllo sull’informativa economico-finanziaria.

Le novità introdotte dalla legge italiana sono:

a) la creazione di una nuova figura, il Dirigente preposto (DP), del quale parleremo più avanti;

b) l’attestazione da parte del DP e degli organi amministrativi delegati dell’adeguatezza ed effettiva applicazione delle procedure amministrative e contabili;

c) l’attestazione di corrispondenza tra quanto iscritto in bilancio e le risultanze dei libri e delle scritture contabili;

d) la dichiarazione, da parte DP e degli organi amministrativi delegati , di idoneità dei documenti a fornire una rappresentazione veritiera e corretta

della situazione patrimoniale, economica e finanziaria dell’emittente e dell’insieme delle imprese incluse nel consolidamento.

La legge punta alla tutela dei risparmiatori, garantendo, attraverso la creazione di un sistema che miri a un maggior controllo delle informazioni e dei dati, che il bilancio sia attinente alla realtà aziendale.

3.2. La Figura del Dirigente Preposto Introduzione

La figura del Dirigente Preposto alla redazione dei documenti contabili societari (di seguito “DP”), introdotta dalla legge 262, è nata prendendo spunto dalla normativa statunitense, la Sarbanes Oxley Act, secondo la quale l’amministratore delegato (Chef Executive Officer) e il direttore finanziario (Chef Financial

Officer) della società hanno responsabilità diretta sui documenti contabili.

Il Dirigente preposto, data la natura dell’incarico, è individuato tra i dirigenti aziendali di prima linea; spesso la sua mansione coincide con quella del direttore finanziario.

3.3. Nomina, durata e revoca incarico

Per quanto riguarda la nomina del DP, il legislatore lascia alle società, e più esattamente al loro statuto, il dovere di definire, come disposto dall’art. 154-bis comma 1, i requisiti di professionalità e le modalità di nomina […] previo parere

obbligatorio dell'organo di controllo.

Così come per la nomina, anche l’indicazione della durata dell’incarico, le modalità di revoca e l’individuazione dei i soggetti preposti ad esercitare tale potere sono demandati allo statuto della società, permettendo così ampia libertà su tali scelte.

3.4. Compiti, mezzi e poteri del Dirigente Preposto

I compiti del DP sono riassunti nell’art. 154-bis del Tuf, infatti, il comma 2 enuncia che lo stesso dirigente “…predispone adeguate procedure

amministrative e contabili per la formazione del bilancio di esercizio e, ove previsto, del bilancio consolidato nonché di ogni altra comunicazione di carattere finanziario.”.

In questo comma si fa riferimento a procedure amministrative contabili, intendendo per procedure1 la rappresentazione in forma scritta di regole, ruoli e

responsabilità nell’attuazione delle attività e dei controlli, ed amministrativo-contabili riferendosi a tutte le attività/processi che alimentano le informazioni di natura patrimoniale, economica e finanziaria. Si richiede, quindi, di porre in

essere un sistema tale da permettere al flusso dei dati un miglior controllo, al fine di consentire al DP di redigere un documento attestante l’attinenza delle verifiche effettuate.

Un’analisi più puntuale dei compiti del DP congiuntamente con gli organi amministrativi delegati, è declinata al comma 5: “Gli organi amministrativi

delegati e il dirigente preposto alla redazione dei documenti contabili societari attestano con apposita relazione (vedi fig. 1) sul bilancio di esercizio, sul bilancio semestrale abbreviato e, ove redatto, sul bilancio consolidato:

a) l'adeguatezza e l'effettiva applicazione delle procedure di cui al comma 3) nel corso del periodo cui si riferiscono i documenti;

b) che i documenti sono redatti in conformità ai principi contabili internazionali applicabili riconosciuti nella Comunità europea ai sensi del regolamento (CE) n. 1606/2002 del Parlamento europeo e del Consiglio, del 19 luglio 2002;

c) la corrispondenza dei documenti alle risultanze dei libri e delle scritture contabili;

1

Definizione ripresa, in assenza di interpretazioni autentiche del dettato normativo, dalla prassi professionale. N.d.r. newsletter “Insight” n.8 gennaio 2006 di Protiviti su www.protiviti.it.

d) l'idoneità dei documenti a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria dell'emittente e dell'insieme delle imprese incluse nel consolidamento;

e) per il bilancio d'esercizio e per quello consolidato, che la relazione sulla gestione comprende un'analisi attendibile dell'andamento e del risultato della gestione, nonché della situazione dell'emittente e dell'insieme delle imprese incluse nel consolidamento, unitamente alla descrizione dei principali rischi e incertezze cui sono esposti;

f) per il bilancio semestrale abbreviato, che la relazione intermedia sulla gestione contiene un'analisi attendibile delle informazioni di cui al comma 4 (idem come 3) dell'articolo 154-ter”.

Per svolgere le attività previste, il dirigente deve disporre dei mezzi adeguati sia dal punto di vista tecnico che di risorse. A tale proposito il legislatore, nel comma 4 dell’articolo decreta: Il consiglio di amministrazione [deve vigilare] affinché il

dirigente preposto alla redazione dei documenti contabili societari disponga di adeguati poteri e mezzi per l'esercizio dei compiti a lui attribuiti ai sensi del presente articolo, nonché sul rispetto effettivo delle procedure amministrative e contabili”.

Il DP, inoltre, deve avere facoltà di spesa, deve, cioè, avere a disposizione un budget. e deve poter contare sull’utilizzo di sistemi informativi adeguati, attraverso i quali poter svolgere la sua funzione.

Deve, infine, avere uno stretto rapporto con:

• la funzione di internal audit, per esempio, per effettuare controlli specifici;

• la funzione di organizzazione e quella relativa ai sistemi informativi, per poter ricevere indicazioni, al fine di effettuare una mappatura dei processi il più corretta possibile e coerente con i flussi di informazioni e dati di cui dispone.

Quest’ ultimo aspetto pone l’attenzione sul rapporto che il DP ha con le altre funzioni, infatti, su di lui sono convogliati diversi sistemi di reporting, ad esempio (la reportistica) quello che riguarda l’attività di testing, che mostra i

risultati ottenuti dalle verifiche di effettiva operatività dei controlli, disegnati dall’azienda, nell’ambito delle procedure amministrativo contabili. Quest’ultima attività, non è, di solito, viene svolta in prima persona dal DP o dal suo staff, ma viene condotta dalla funzione di internal audit, o anche da società di consulenza esterne.

Altri compiti del DP sono, ad esempio, la verifica del mantenimento nel tempo della funzionalità delle procedure, in modo da garantire una maggiore aderenza alla realtà operativa, quindi, nell’eventualità in cui ce ne fosse bisogno, curare l’aggiornamento delle stesse.

È importante che tale figura coordini, in collaborazione con altre funzioni, l’attività di monitoraggio di attività a rischio, in modo da tenerle costantemente sotto controllo ed eventualmente apportare opportune modifiche, sempre restando fedele al principio che ha fatto nascere tale figura, cioè, garantire l’adeguatezza delle procedure.

Il DP, per eseguire le proprie funzioni, dispone, oltre ai mezzi su citati, anche di poteri che gli permettono di proporre modifiche strutturali a quelle componenti del sistema di controllo interno ritenute inadeguate; può, inoltre, segnalare al consiglio di amministrazione anomalie o problemi, relativi sia a processi o sia al sistema del controllo interno.

3.5. Responsabilità

Il legislatore ha assegnato al DP, oltre alla responsabilità propria dei dirigenti, anche quella civile e penale di quanto attestato, come enunciato dall’articolo

154-bis del Tuf comma 6 “Le disposizioni che regolano la responsabilità degli amministratori si applicano anche ai dirigenti preposti alla redazione dei documenti contabili societari, in relazione ai compiti loro spettanti, salve le azioni esercitabili in base al rapporto di lavoro con la società”.

E’ bene chiarire che la responsabilità del DP non sostituisce quella degli amministratori che sottoscrivono e approvano il bilancio, ribadito anche nell’art

24232 del c.c. per quanto concerne la redazione del bilancio. Però, al pari degli amministratori, non si libera delle responsabilità incorse nella gestione sociale dopo l’approvazione del bilancio come disposto nell’art. 24343 c.c.

2

“…Gli amministratori devono redigere il bilancio di esercizio, costituito dallo stato patrimoniale, dal conto economico e dalla nota integrativa…”.

3

“…L'approvazione del bilancio da parte dell'assemblea non implica liberazione degli amministratori, dei direttori generali e dei sindaci dalle responsabilità incorse nella gestione sociale…”.

Fig 1

Esempio di attestazione relativa al bilancio di esercizio rilasciata dal dirigente preposto nella quale è dichiarata l'adeguatezza delle procedure amministrativo – contabili. Questo modello è stato redatto dalla CONSOB. Fonte www.consob.it

3.6 Confronto con la Sarbanes Oxley Act La Sarbanes Oxley Act

La legge sul risparmio, come già menzionato, riprende l’analoga legge americana, il Sarbanes Oxley Act (di seguito SOX). In questo paragrafo saranno messe a confronto le due leggi, per individuarne elementi comuni e differenze. Prima di affrontare l’argomento, è utile ricordare la genesi della legge americana. Essa nasce a seguito del fallimento di diverse società4, uno su tutti, il celeberrimo crack della multinazionale dell’energia americana Enron5. Tale fatto impose un drastico cambiamento del sistema di controllo delle società, sia livello di controllo interno sia a livello di rapporti con le società di revisione.

Il testo americano è il risultato di due act uno del senatore democratico Paul Sarbanes e l’atro del senatore repubblicano Michael G. Oxley. La SOX disciplina molti aspetti dell’organizzazione delle imprese e della governance societaria; inoltre, pone fondamentale attenzione ai report finanziari in quanto essi sono la principale fonte di conoscenza che gli azionisti e gli investitori hanno sull’andamento economico, patrimoniale e finanziaria della società; il tutto è sorretto da un’attestazione di correttezza delle informazioni che convogliano nel bilancio.

Aspetti rilevanti della SOX sono disciplinati nelle section 302 e 404, i cui contenuti sono stati ripresi, in parte, anche dalla legge italiana.

4

Ad esempio Tyco International, Adelphia, Peregrine Systems e WorldCom.

5

Il fallimento della Enron è dovuto ad un sistema messo in piedi dai dirigenti per truccare il bilancio, facendo figurare una situazione completamente diversa dalla realtà. Tale messa in scena, oltre che gonfiare il bilancio, serviva ad attirare azionisti facoltosi e ricevere agevolazioni dal governo, anche grazie ai sostegni che la società elargiva agli stessi politici nel periodo di campagne elettorali. La dirigenza Enron aveva potuto creare questo sistema, che manteneva alti i redditi, anche grazie alla creazione di società nei cosiddetti paradisi fiscali. Si ipotizza, inoltre, che dietro tutto questo ci fosse la collusione tra la Enron e la società di revisione Arthur Andersen, la quale si occupava di certificare il bilancio e che, pertanto, fosse a conoscenza di tutti i trucchi contabili utilizzati. Le indagini condotte dal dipartimento di giustizia su Arthur Andersen, comunque, si sono concluse senza esito.

La crisi della società fu scaricata soprattutto sui dipendenti, poiché, una volta che la dirigenza capì che il sistema stava per collassare, in quanto le azioni Enron sarebbero drasticamente calate di valore, ne impose l’acquisto ai dipendenti, senza diritto di rivenderle, ponendo questi ultimi in grave difficoltà economica, mentre i dirigenti non furono investiti dalla perdita di valore della società (il prezzo delle azioni passò da circa 85 dollari a poco meno di 30 centesimi), dato che se ne erano liberati completamente prima del fallimento.

Il crack ebbe ripercussioni in tutta l’America, ponendo in seria crisi banche e istituti di credito che avevano concesso prestiti alla Enron. Tale fallimento portò, inoltre, al licenziamento di oltre 20000 dipendenti.

3.7. La section 302

Questa sezione attribuisce ai CFOs e ai CEOs il compito di certificare annualmente e trimestralmente i report finanziari. La firma di tali documenti implica che essi siano stati rivisti e, soprattutto, che non contengano dati non veri od omissioni di informazioni, al fine di rendere i report ingannevoli.

Gli attestatori (CFO e CEO), inoltre, come prescritto nel testo della legge, sono responsabili della creazione, del mantenimento e del design del controllo interno, avendone anche valutata l’efficienza.

La legge impone che chi attesta deve anche comunicare ai revisori esterni e all’audit commettee, tutte le lacune wdel sistema di controllo interno che possano inficiare il corretto flusso di informazioni che sfocia nei report. C’è, infine, l’obbligo di comunicazione di qualsiasi variazione significativa che riguardi il sistema di controllo interno.

Le analogie con la L. 262/05 riguardano principalmente l’attestazione, da parte di una figura aziendale, circa la correttezza dei dati e delle informazioni che figurano nel bilancio.

La legge sul risparmio, a differenza della SOX, la quale ha attribuito il compito di attestazione a due figure già presenti nell’organizzazione (CFO e CEO), ha introdotto una nuova figura ad hoc per questo compito, il Dirigente Preposto. Possiamo ritrovare significative differenze rispetto alla legge americana, in quanto quest’ultima risulta più completa dato che, ad esempio, prescrive specifiche azione da intraprendere nel momento in cui si verifichino particolari accadimenti; il legislatore italiano, al contrario, si limita a dettare solo linee generali per la conformità alla norma.

3.8. La section 404

Questa sezione della SOX pone l’accento sull’adeguatezza delle strutture e delle procedure, in quanto prescrive di creare un report sul sistema di controllo interno che imponga la responsabilità del management per la creazione ed il mantenimento di una specifica struttura e di adeguate procedure di controllo

interno che garantiscano corrette informazioni finanziarie. Il management stesso, inoltre, deve valutare l’efficacia del sistema di controllo interno.

La legge italiana su questo punto è carente, in quanto non indica nessuna tipologia di attestazione in merito al sistema di controllo interno. Si può ritenere che questo tipo di certificazione debba essere considerato

Al contrario, la SOX è molto esaustiva su tale argomento, infatti, la section richiama framework condivisi per la valutazione dell’adeguatezza del controllo interno: nella fattispecie si tratta del COSO6 report.

Un’ulteriore differenza tra la SOX e la legge italiana, consiste nella definizione della funzione dei revisori esterni, i quali rivestono un ruolo importante per l’attestazione e la verifica dei processi e delle procedure definiti dal management. Nella legge americana, essi hanno “voce in capitolo” per la valutazione ed il supporto all’operato della dirigenza in materia di processi e procedure. In Italia, il legislatore non specifica il ruolo dei revisori, restando ambigua circa la loro posizione; bisogna comunque ritenere che l’assenza di informazione sull’argomento porti a pensare che tale soggetto non debba essere coinvolto nella valutazione di processi e procedure.

Una delle differenze fondamentali tra la Sarbanes Oxley Act e la L. 262/05, risiede anche nell’ampia trattazione che la legge americana dedica all’argomento: sono li enucleati molti aspetti dell’organizzazione aziendale, dato che definisce in maniera puntuale il ruolo e le responsabilità delle figure aziendali di alto livello. La SOX, inoltre, non si limita a definire i compiti e le responsabilità, ma mostra anche le modalità di svolgimento delle attività e di risoluzione dei problemi che si possono incontrare nell’adempiere agli obblighi imposti dalla legge. Quest’aspetto mette in mostra come gli americani abbiano voluto sopperire alle

6

Il COSO (Committee of Sponsoring Organizations of the Treadway Commission) è un organismo privato che si occupa di controlli interni e corporate governance. Tra i membri di COSO vi sono l’American Institute of Certified Public Accountants, l’American Accounting Association, Financial Executives International, l’Institute of Management Accountants l’ Institute of Internal Auditors. Questo organismo ha creato un modello per la valutazione del controllo interno, secondo il quale esso è composto da 5 componenti correlate tra loro: Ambiente di controllo, valutazione del rischio, attività di controllo, Informazione e Comunicazione, Monitoraggio.

carenze che esistevano in materia di comunicazione economico finanziaria e più specificatamente del sistema di controllo interno sul financial reporting.

La legge italiana, dal canto suo,non riesce ad essere così dettagliata come quella statunitense, dedicando all’argomento solo un articolo del TUF7 il 154 bis, nel quale viene solo introdotta la figura del Dirigente preposto alla redazione dei documenti contabili, e ne vengono elencati i compiti che esso deve svolgere, con una particolare, se non esclusiva, attenzione all’attestazione circa l’esistenza e l’adeguatezza delle procedure amministrative e contabili.

7

4.

L'ATTIVITA' DI TESTING

SOMMARIO: 4.1. L'attività di testing; 4.2. Fasi preliminari; 4.3. Entity Level Control; 4.4.Process Level Control; 4.5. L'attività di testing nella scocietà Alfa S.p.A.

4.1. L’attività di Testing

Le attestazioni, che il DP deve rilasciare sull’adeguatezza delle procedure, derivano, in parte, da attività di testing, che si concretizza effettuando dei veri e propri test sui controlli posti in essere dalla società.

Nel seguente paragrafo, saranno individuate le fasi preliminari all’azione di testing, cioè quelle fasi per mezzo delle quali si identificano i processi da presidiare, definiti anche perimetro di analisi. Saranno poi indicati quei controlli che sono a copertura di rischi particolari che possono inficiare il corretto flusso dei dati. Sarà, infine, trattato un caso pratico sull’attività di testing.

4.2. Fasi Preliminari

La modalità delle fasi che precedono l’attività di testing deriva dalle best practies frutto dell’esperienza sul tema maturata in altri paesi, nei quali, per esigenza di conformità normativa, si è creato un sistema di controllo interno tale per cui, le società, intraprendendo specifiche azioni, sono riuscite a soddisfare quanto richiesto dalla legge vigente.

Si possono individuare cinque momenti8 per l’analisi dell’ICFR9:

• Identificazione delle attività

• Analisi del sistema dei controlli a livello aziendale e di processo

• Valutazione del disegno dei controlli

• Attività di miglioramento

• Verifica dell’operatività dei controlli

Preliminarmente è opportuno tenere presente che per trattare l’analisi dei rischi ci siamo avvalsi del Top-Down Based, il quale permette di concentrare l’attività di valutazione sulle aree di maggior rischio.

Tale tipo di approccio si basa sul considerare principalmente i controlli essenziali, detti controlli chiave10. Sono pertanto presi in considerazione non quei controlli che riguardano principalmente il Financial Reporting, ma quelli relativi ad aree con rischi rilevanti.

I rischi dovranno, quindi, essere ridotti con:

Controlli a livello aziendale (Entity level controls)

Controlli a livello di processo aziendale (Process level controls)

L’analisi dei rischi è di fondamentale importanza per la definizione del perimetro

dell’attività di controllo, poiché in base ad essi si può decidere di includere, o

meno, determinati processi.

È compito del management definire il suddetto perimetro. Si richiede inoltre, un’attenzione particolare all’individuazione dei processi da analizzare al fine di presidiare rischi inutili per il Financial Reporting.

8

I cinque momenti esaminati sono stati ripresi dalle linee guida redatte da Confindustria. Tale approccio è basato sul modello di riferimento del CoSO.

9

Internal Control over Financial Reporting 10

I controlli chiave, key controls, sono quei controlli che sono posti a presidio di un rischio. Si ritiene che, se sono adottate tutte le azioni necessarie per l’esecuzione del controllo, il rischio sia completamente ridotto.

Tra i rischi inerenti la valutazione delle attività di processo, possiamo includere le attività fraudolente11, che possono inficiare il giudizio del DP e del management. Risulta quindi fondamentale presidiare su tali rischi, in modo che non si abbia una rappresentazione della realtà aziendale alterata, non corrispondente cioè alla effettiva situazione economica, patrimoniale e finanziaria della società.

Per effettuare tale attività bisogna prendere in considerazione, sin dall’inizio, i dati o le informazioni che si ritengono più significative, in modo da concentrare l’attenzione su di essi per valutare i controlli da presidiare al fine di ottenere un

Financial Reporting corretto. I dati/informazioni in questione sono individuati,

ad esempio, in base all’attività, cioè se questa comporta un maggior rischio di errore, oppure in base alla natura del conto, se esso è soggetto a stime.

Un altro aspetto da considerare, è la possibilità che una o più asserzioni di bilancio forniscano una rappresentazione distorta della realtà aziendale a causa di rischi inerenti all’attività, non adeguatamente presidiati.

Le asserzioni di bilancio sono:

•Esistenza e accadimento degli eventi: le attività e le passività indicate in

bilancio devono aver avuto una reale manifestazione e/o essere realmente accadute;

•Completezza: le voci presenti devono essere rappresentate in maniera

completa e non contenere omissioni;

•Valutazione o Rilevazione: tutte le voci iscritte in bilancio devono essere

rappresentate con il giusto valore;

•Diritti ed Obblighi; le attività sono diritti e le passività sono obblighi

realmente esistenti;

•Competenza: tutte le voci risultanti dal bilancio devono essere di

competenza dell’esercizio di riferimento;

11

•Presentazione o Informativa: le informazioni presenti nel bilancio

devono essere correttamente descritte e classificate.

È bene precisare che possono esistere più controlli che, a presidio di un rischio, possano mitigare una specifica asserzione. È da ritenersi, comunque, necessario eseguire la verifica sui controlli chiave, in modo da non dover effettuare operazioni inutili. Può esistere, inoltre, un solo controllo che mitighi più asserzioni a fronte di un rischio specifico.

Sulla base di tale analisi, bisogna ricondurre i dati/informazioni relative al bilancio, dopo che sono stati classificati come rischiosi, ai processi e sub-processi per individuare, grazie all’identificazione dei controlli chiave, quali sono soggetti ad un maggior pericolo di errore.

Nelle società che redigono il bilancio consolidato, bisogna includere nel perimetro di analisi anche i processi che interessano le società appartenenti al gruppo, infatti, occorre:

Estendere le analisi di rischio anche oltre i confini dell’organizzazione12, per individuare quelle società che risultino rilevanti al fine della valutazione del controllo interno;

Richiedere dei feedback in merito l’attività di analisi al fine di conoscere la situazione delle società in termini di:

o Adeguatezza delle procedure amministrative contabili;

o Comunicazione di aspetti di rilievo;

o Idoneità a fornire una rappresentazione veritiera e corretta della situazione patrimoniale, economica e finanziaria;

o Corrispondenza del bilancio semestrale o annuale alle risultanze dei libri e delle scritture contabili.

12

4.3. I controlli a livello aziendale (entity level controls)

I controlli a livello aziendale, in base alla loro natura, possono prevenire tempestivamente e in maniera adeguata eventuali errori, pur non operando a livello di processo. Altri controlli, come ad esempio quelli che riguardano il rispetto dei codici etici, influiscono indirettamente sulla prevenzione di errori nel

Financial Reporting.

Per quanto riguarda invece gli entity level controls che incidono sull’attendibilità del Reporting Finanziario possiamo indicare, ad esempio, il monitoraggio dell’adeguatezza dei sistemi di deleghe e poteri.

4.4. I controlli a livello di processo (process level controls)

L’attività qui presa in esame prevede l’identificazione dei controlli chiave che permettono l’individuazione dei processi più rischiosi.

I controlli disegnati per la copertura di una o più asserzioni/rischi di bilancio, devono essere analizzati sotto un duplice aspetto, cioè in termini di efficacia (disegno) ed effettiva applicazione (operatività).

I process level controls differiscono a seconda della tipologia di rischio che devo mitigare, infatti, possono essere divisi in:

• Controlli preventivi (preventive controls): sono quelli definiti per evitare che si manifesti il rischio;

• Controlli successivi (detective controls): sono quelli impostati per individuare il manifestarsi del rischio.

Possiamo definire un’ulteriore suddivisione a seconda che siano:

• Manuali, cioè eseguiti manualmente;

Per una migliore valutazione del disegno del controllo, può risultare utile consultare strumenti quali, ad esempio, matrici di rischio, flow chart, narrative del processo, in quanto dovrebbero fornire informazioni essenziali quali: rischi del controllo, asserzioni di bilancio, frequenza del controllo, ecc.

A seguito dell’analisi del disegno, il controllo, grazie all’ausilio degli strumenti sopra indicati, deve essere valutato attraverso l’idoneità e la non idoneità a coprire il rischio per il quale è posto a presidio.

In caso di valutazione negativa bisogna rivedere l’analisi effettuata e porre in essere azioni correttive, al fine di non creare un controllo che non mitighi il rischio.

Per espletare gli obblighi richiesti dall’art. 154-bis del TUF, per quanto riguarda l’attestazione delle procedure amministrativo-contabili, è ritenuto opportuno, da parte del management effettuare delle verifiche che mirino ad analizzare l’operatività dei controlli posti in essere, come ad esempio procedure di monitoraggio oppure test mirati a verificare specifici controlli.

I test utilizzati per verificare l’operatività dei controlli sono quattro:

1. Inquiry: il test consiste nell’effettuare un intervista al soggetto

responsabile del controllo per verificare l’operatività dello stesso;

2. Observation: si effettua attraverso l’osservazione dello svolgimento del

controllo;

3. Inspection: si esamina la documentazione che attesta lo svolgimento del

controllo;

4. Reperformance: si effettua ex-novo il controllo.

La scelta di utilizzare una tipologia di test rispetto ad un’altra deriva dalla valutazione della natura del rischio. Può essere presa in considerazione la complessità del controllo, la sua natura, cioè se questo sia manuale o automatico, la frequenza e altri fattori che il management ritiene rilevanti per l’adeguata valutazione del controllo.

4.5. L'attvità di testing nella società Alfa S.p.a 4.5.1. L’attività di testing in Protiviti13

In questo capitolo verrà trattato come si effettua concretamente l’attività di

testing, in particolare si mostrerà come Protiviti affronti il testing in una grande

società; vedremo, quindi, come le linee guida definite nel capitolo precedente siano seguite nella realtà operativa. Ovviamente, come tutte le generalizzazioni teoriche, le suddette linee indicano la via per affrontare l’operatività dell’attività, ma concretamente è necessario adattarle alla società in cui si effettuerà il testing.

4.5.2 Inquadramento della società Alfa

La società, in cui Protiviti svolge l’attività di testing, è una grande società italiana quotata in borsa ed estende i propri confini anche all’estero attraverso

joint-venture ed acquisizioni.

Questa società, che chiameremo convenzionalmente Alfa S.p.A., opera nel settore delle utility ed è una delle più importanti in Europa.

4.5.3. Fasi preliminari dell’attività di testing Perimetro di Analisi

La fase iniziale, determinata dalla definizione del perimetro di analisi, risulta molto importante per la riuscita dell’attività che vogliamo porre in essere, in quanto, per società come Alfa S.p.A., è necessario individuare con esattezza quali processi prendere in considerazione. Bisogna, inoltre, far rientrare in tale perimetro anche i processi relativi alle società estere.

L’attività svolta da Protiviti, riguarda principalmente il testing sul perimetro italiano. Sono stati, quindi, definiti preliminarmente un numero di controlli sui quali, deve essere effettuata la verifica.

13

Protiviti Inc. è una società americana controllata da Robert Half International Inc., leader nel settore del risk management. Nasce in Italia nel dicembre del 2003 è dislocata in tre uffici Milano, Torino e Roma. (www.protiviti.com)

4.5.4. I key control in Alfa S.p.A.

Come spiegato nel capitolo precedente, i key control servono per identificare i processi più rischiosi.

Ogni controllo, senza distinzione che questo sia chiave o meno, è caratterizzato da una parte descrittiva, che specifica come deve essere effettuata la verifica. La descrizione, deve presentare un input, un output e mostrare l’elaborazione degli

input in output. Generalmente in questa sezione è identificato chi deve effettuare

il controllo, quali documenti devono essere utilizzati e l’evidenza dell’effettuazione della verifica. Ovviamente la descrizione del controllo deve essere definita analizzando l’intero processo, e soprattutto, tenendo ben presente quale rischio viene mitigato, cioè deve esserci coerenza tra il controllo e il rischio.

Nella società Alfa S.p.A., esistono molti controlli chiave che sono stati identificati attraverso l’utilizzo di un codice, come ad esempio:

1.SOCIETA’.CS(o CM)01

Analizziamo il significato delle sigle utilizzate:

1 _{Il primo numero identifica il processo. Nella società Alfa ogni processo, per} l’individuazione dei controlli, è rappresentato infatti da un numero.

SOCIETA’ _{Per quanto riguarda questa sigla, Alfa è composta al suo interno da} diverse società ed ogni controllo è identificato per ciascuna di esse, troveremmo, quindi, al posto della definizione generica SOCIETA’ l’abbreviazione della società specifica.

CS (o CM)01 _{Per quanto riguarda l’ultima parte del codice bisogna prima} definire cosa si intende con i due acronimi CS e CM:

• Il primo identifica un controllo cosiddetto Specifico, cioè si analizzano i relativi documenti, per verificare che quanto scritto nella descrizione rispecchi ciò che è stato realmente effettuato.

• Il secondo rappresenta un controllo di Monitoraggio, in questo caso la verifica effettuata, ad esempio, su firme di approvazione di determinati documenti.

Questi acronimi sono sempre seguiti da un numero che identifica in maniera univoca il controllo.

Possiamo, quindi, ritrovare dei controlli che abbiano la stessa descrizione, ma differiscano nel codice controllo. Questo avviene o perché le società sono differenti oppure perché il processo a cui si riferisce il controllo è diverso.

Un altro aspetto importante, che riguarda i controlli, è la frequenza che questi possono avere.

Nella società Alfa esistono sette tipologie di frequenza:

1. Ad-hoc: il controllo viene effettuato ogniqualvolta si presenta l’evento

enunciato nella descrizione del controllo 2. Giornaliero; 3. Plurigiornaliero; 4. Mensile; 5. Trimestrale; 6. Semestrale; 7. Annuale;

4.5.5. Sistemi a supporto dell’attività

Possiamo trarre tutte le informazioni che riguardano i controlli da un sistema che la società Alfa dispone. All’interno di questo possiamo ricavare informazioni sia sul controllo sia sul processo.

Tutto quello che troviamo inserito all’interno del sistema viene compilato dal personale appartenente ad Alfa, attraverso un processo strutturato di validazione delle informazioni.

Per quanto concerne i controlli, (preliminarmente) è necessario sottolineare che questi sono classificati nel sistema adottato a seconda del processo e del codice del controllo.

Al controllo sono dedicate alcune pagine che contengono informazioni su:

• Processo e sub-processo di appartenenza;

• Società a cui si riferisce;

• Tipologia di controllo, cioè se quello in essere è un controllo specifico o di monitoraggio; la frequenza del controllo;

• Funzione owner del processo;

• Tipologia del controllo, se cioè esso è manuale o automatizzato; se è di tipo preventive o detective;

• Copertura o meno di rischi indiretti;

• Asserzioni di bilancio;

• Matrice dei rischi;

• Evidence del controllo;

• Director e manager owner del controllo.

Gli ultimi due aspetti necessitano di un’ulteriore spiegazione.

L’evidence del controllo si riferisce all’output dell’attività di verifica, cioè identifica cosa è stato controllato ed i documenti su cui esso è stato effettuato. Un esempio può chiarire questo punto: la descrizione del controllo enuncia che l’addetto deve verificare la corrispondenza degli importi tra il documento A e il documento B e siglare il prospetto di quadratura tra i due. Sul sistema troveremo elencato tra l’evidence il prospetto di quadratura siglato. Alcune volte, però, questo campo non è compilato, quindi è compito del tester individuare l’evidenza della verifica, attraverso l’analisi della descrizione del controllo.

L’ultimo punto riguarda due figure importanti per il processo e per il controllo. Il

il processo a cui è assegnato. Il manager, invece, è responsabile del controllo, che può essere uno o più di uno, il quale risponde dell’operatività e dell’attuazione del controllo stesso. Queste due figure, come vedremo in seguito, sono necessarie per l’attività di testing in quanto sono i referenti primi del controllo.

Il sistema utilizzato presenta, inoltre, una parte dedicata a chi effettua il controllo, nella quale il tester può inserire informazioni sull’attività svolta ed anche l’esito della verifica. Questa parte sarà analizzata più avanti, nel corso della trattazione.

Le informazioni che possiamo trarre dal sistema sul processo riguardano principalmente il flowchart e la narrative.

Il flowchart consente di descrivere le operazioni svolte sotto forma di diagramma di flusso, nel quale sono evidenziate le diverse fasi del processo. Sono presenti blocchi collegati tra loro tramite frecce che ne indicano il flusso. I blocchi possono essere costituiti da forme diverse (rettangoli, rombi, ecc) a seconda che rappresentino attività, decisioni, documenti, inserimenti dati a sistema…. Possiamo, inoltre, conoscere le diverse funzioni impiegate nel processo stesso. In questo diagramma, accanto alle attività, sono rappresentati anche i codici dei controlli posti a presidio del rischio. Grazie al flowchart possiamo avere una visione del processo e delle funzioni coinvolte.

Il suddetto diagramma deve essere interpretato insieme alla narrative. Essa descrive tutte le attività svolte nel processo. Se il flowchart è un documento prettamente schematico e visivo, la narrative espone, in forma discorsiva, lo svolgimento di tutte le operazioni che vengono poste in essere durante il processo.

4.5.6. Il testing

Il testing è quella attività in cui una figura, nella fattispecie il tester, verifica che il soggetto incaricato ad eseguire il controllo, lo effettui coerentemente a quanto scritto nella descrizione.

Nel progetto, nel quale sono impiegato, la pianificazione è suddivisa in base alla tipologia del controllo, cioè se questo è un process level control, un entity level

control oppure se è un controllo di competenza IT. Quest’ultima tipologia

riguarda i controlli automatizzati. La verifica è affidata ad un team specializzato nell’information technology. Anche i controlli ITGC14 hanno la medesima struttura di quelli non IT, cioè presentano la descrizione del controllo e le relative informazioni caricate sul sistema.

Un’ulteriore suddivisione della pianificazione riguarda l’arco temporale, cioè sono definiti, a preventivo, dei controlli che devono essere testati per tutta la durata del progetto. Sono, inoltre, ulteriormente definiti a budget i controlli da testare ogni mese.

La Pianificazione è costantemente aggiornata, attraverso l’utilizzo del Tableau de

Bord, che mostra lo stato dell’attività, in quanto, in esso sono indicati i test

pianificati, suddivisi per mesi ed è definita la quantità di controlli, calcolata a prevenivo, alla quale è affiancato il numero di test a consuntivo. Quest’ultimo dato è modificato giornalmente, in base alla conclusione dei test sui controlli. Il Tableau permette, per ogni mese, la creazione delle cosiddette SAL15, cioè report che utilizzano i valori a consuntivo dei test da presentare al cliente, per mostrare la situazione dell’attività di testing.

4.5.7. Fase Operativa

La fase operativa inizia con la creazione della mail di avvio attività16. Questa mail è composta fondamentalmente da tre parti.

• Nella prima, devono essere inseriti i referenti relativi al controllo in oggetto, il manager, destinatario della mail, ed il director, il quale è in

14

Acronimo per Information Technology General Control

15

Situazione Avanzamento Lavori

16

La mail, di default, è intitolata Avvio attività e richiesta documentazione. A seconda della frequenza del controllo si richiede o la documentazione o la popolazione di riferimento. Questa duplice accezione non crea problemi di interpretazione, in quanto, nel corpo della mail c’è esplicita richiesta o dell’una o dell’altra.

copia conoscenza17. Deve essere inserito nell’oggetto della mail il codice del controllo.

• La parte centrale della mail deve essere compilata inserendo il processo a cui si riferisce il controllo, la società e la descrizione. Tutte queste informazioni possono essere ricavate consultando il sistema informativo.

• La terza parte è quella che richiede più attenzione, in quanto si elencano i documenti necessari per effettuare il test.

A differenza delle prime due parti, la documentazione non è presente sul sistema, ma deve essere ricavata sulla base della descrizione del controllo.

A proposito del contenuto della terza parte, bisogna aggiungere che, se per il controllo è necessario richiedere direttamente la documentazione, si stila la lista di documenti; se il controllo, invece, necessita preventivamente di una richiesta di popolazione, è necessario farsi inviare un elenco degli eventi che lo hanno generato.

Dopo che la mail è stata inviata, i referenti hanno cinque18 giorni di tempo per inviare quanto richiesto, trascorsi i quali, se i documenti non pervengono, il test viene considerato non effettuato.

Nel caso in cui si faccia richiesta della popolazione, una volta ricevuta, quest’ultima viene analizzata e successivamente campionata a seconda delle metodologie di campionamento.

Le metodologie di campionamento sono linee giuda che permettono di definire, in relazione alla numerosità della popolazione e alle caratteristiche del controllo, il numero di item19 da estrarre dalla popolazione.

Le caratteristiche alle quali ci riferiamo sono che:

• Il controllo sia nuovo; 17

Il director è il responsabile dell’intero processo, il manager, invece, è il responsabile primo del controllo.

18

Si intende cinque giorni lavorativi.

19

È definito item un evento del controllo: ad esempio se la popolazione riguarda le fatture, possiamo equiparare un item ad una fattura. Gli item possono essere anche giorni, mesi, ecc…

• Il controllo copra più rischi;

• Il controllo sia riferito a una specifica area.

Per quanto concerne, invece, la numerosità della popolazione, gli item da campionare aumentano con la quantità della popolazione e viceversa.

Una volta campionati gli item, deve essere compilata una mail di richiesta

documentazione con l’elenco dei documenti necessari per effettuare il controllo,

riferiti agli item campionati. Come per la mail di avvio, la scelta della documentazione richiesta è basata sulla descrizione del controllo. Anche in questo caso i referenti hanno cinque giorni di tempo per fornire quanto loro richiesto.

4.5.8. Esecuzione del Test

Il test sul controllo viene svolto una volta raccolta la documentazione necessaria. I documenti possono essere ricevuti in due modi:

• Cartacei, se si devono ritirare direttamente dal referente.

• Elettronici, se sono inviati tramite mail.

La prima operazione che dobbiamo fare, una volta ritirati o stampati i documenti, è di analizzarli e capire se essi corrispondono a quanto richiesto nella mail di richiesta. Per questa operazione ci possiamo avvalere dell’aiuto del referente, il quale ci può spiegare come interpretare i documenti e come effettuare il controllo, nel caso che quest’ultimo non sia ben definito nella descrizione.

Dopo questa prima parte, si va ad eseguire il test sul controllo: bisogna verificare che quanto scritto nella descrizione sia realmente effettuato. Per ottenere ciò dobbiamo, prima di tutto, referenziare i documenti, cioè elencarli sulla base degli item di riferimento. Ogni documento, inoltre, deve essere nominato e identificato con il codice del controllo e un codice alfa-numerico.

Se prendiamo ad esempio il file nominato “Quadratura” e i mesi campionati sono Maggio e Settembre, il documento sarà identificato con il codice del controllo, 2.SOCETA’.CS02/1A, dove 1 identifica che il documento appartiene all’item 1, cioè maggio, e per quel mese il file “Quadratura” è il documento A.

Per tenere traccia del nostro controllo, bisogna segnare con un simbolo cosa verifichiamo e, nell’eventualità che l’oggetto della nostra verifica si riferisca a più documenti, è necessario segnalare questo collegamento.

La logica alla base della referenziazione è che chiunque legga la descrizione del controllo e analizzi i documenti oggetto dello stesso, possa ripercorre la verifica senza problemi.

Un esempio può chiarire quanto esposto sino ad ora:

Prendiamo due documenti, A e B. Il controllo impone che su entrambi siano presenti gli stessi importi, quindi, sui valori presenti sia su A che su B, troveremo gli stessi simboli e l’evidenza che possiamo ritrovare l’importo anche nel corrispettivo documento.

Per esprimere un giudizio di positività o negatività del test, dobbiamo definire la procedura test. In sostanza si tratta di individuare degli obiettivi, detti attributi, che devono essere verificati per considerare positivo un test. Essi devono essere dedotti dalla descrizione del controllo, che guida il tester nell’esecuzione della verifica. Quando si svolge il test, bisogna segnare se l’attributo è stato verificato, cioè se viene svolta l’attività di controllo descritta. Questa parte è importante per esprimere un giudizio sul test, infatti a seconda che si verifichino tutti, parte o nessuno degli attributi dichiarati, il giudizio muta.

L’esito del test può essere:

• Ok senza eccezioni: il controllo è stato eseguito così come scritto nella

• Ok con eccezione sulla documentazione: il controllo è stato eseguito

come descritto, però è stata rilevata qualche inesattezza nella documentazione ricevuta;

• Ok con eccezione sul disegno: la finalità del controllo è stata raggiunta,

cioè è stata verificata una determinata cosa, però la descrizione del controllo non ricalca la realtà operativa, cioè è stato eseguito, ma non così come è stato descritto;

• Ko: il controllo non è stato eseguito.

4.5.9. La scheda di test

Un documento essenziale per l’attività è la scheda di test, la quale può essere definita come la carta d’identità del controllo, la cui compilazione è a cura del

tester.

Essa consta di una prima parte che riguarda il controllo e riporta:

• Il Codice del controllo;

• Il processo a cui è riferito;

• La società;

• La Tipologia di controllo (manuale o automatico, preventive o

detective);

• Altre informazioni riguardanti il controllo, come eventuale copertura di rischi indiretti.

La seconda parte è dedicata al tester, il quale deve inserire:

• La procedura del test: attributi da verificare durante l’esecuzione;

• Il tester: chi effettua il controllo;

• La persona di riferimento individuata nella mail di avvio;

• La verifica attributi: parte dedicata a segnare se l’attributo ha superato la verifica o no.

È presente, inoltre, una parte dedicata all’esito e alle note, nella quale trascrivere, nell’eventualità che ci sia bisogno, informazioni importanti che si sono ottenute nell’esecuzione del test oppure note sull’esito del controllo.

Il sistema informativo è utilizzato, non solo nella fase di predisposizione delle mail di avvio, ma anche durante l’attività di testing, in occasione della quale il

tester inserisce le informazioni. Troviamo, infatti, sul sistema una parte dedicata

all’esecutore del test, il quale deve inserire:

• La data di invio mail di avvio, di richiesta documentazione e della mail di esito, in modo da tenere traccia delle tempistiche di esecuzione del test;

• L’aggiornamento dello status del test, cioè se si è in fase di attesa documentazione, o in corso di analisi o se il test è concluso. Questa parte, ovviamente, deve essere aggiornata ogni volta che muta lo status del controllo;

• Il nome del tester, la tipologia e l’esito del controllo.

Tutte le informazioni che vengono caricate sul sistema servono sia per lasciare traccia del controllo sia per effettuare dei report sulla situazione di avanzamento lavori sia per aggiornare il tableau du Bord con i controlli conclusi.

4.5.10. Fase Conclusiva

L’attività di testing si conclude con la compilazione e l’invio della mail di esito, nella quale bisogna inserire i nomi dei destinatari, ed ovviamente, il risultato del test. Nel caso che l’esito non sia ok senza eccezione, bisogna aggiungere la motivazione che ha portato a riscontrare un’eccezione o l’esito negativo.

I destinatari della mail sono gli stessi che sono stati individuati nella mail di avvio, però, deve essere invertito l’ordine, infatti, nel campo del destinatario dell’e-mail deve essere inserito il director, mentre in copia conoscenza il

manager del processo.

A valle dell’attività troviamo la compilazione del Control Design Assessment (CDA), una tabella nella quale il tester deve inserire giudizi in merito alla descrizione del controllo. Nel CDA il tester può scrivere cosa di negativo ha riscontrato nella descrizione, ad esempio, se il controllo rispecchia la realtà operativa oppure se si possono individuare con chiarezza tutti i documenti e l’evidenza del controllo.

In ultima istanza si posso aggiungere commenti per migliorare la descrizione, per rendere il controllo più aderente alla realtà e soprattutto per segnalare se questo non sia proprio un controllo, ma rappresenti una mera attività.