22
CAP. 2
RISK MANAGEMENT E SISTEMA DI CONTROLLO
INTERNO
2.1 PREMESSA
Dall’analisi degli studi Italiani ed Internazionali sulla Corporate Governance emerge il continuo riferimento, non solo agli aspetti fondamentali di composizione e ruolo del Consiglio di Amministrazione e degli altri organi societari, ma anche alla necessità dello sviluppo di un Sistema di Controllo Interno basato sulla gestione dei rischi aziendali, come garanzia di un’applicazione sostanziale delle norme di Corporate Governance.
Un efficace sistema di controllo interno e di gestione dei rischi è quindi la risposta concreta di come amministratori e direttori possono far fronte alle loro responsabilità in materia di trasparenza informativa, correttezza gestionale, efficacia ed efficienza.
Il controllo interno viene quindi visto sempre più in stretta relazione con la crescente esigenza di una gestione e di un governo consapevole dei rischi.
2.2 POSSIBILI DEFINIZIONI DEL SISTEMA DI CONTROLLO INTERNO
Per avere un quadro di riferimento il più possibile chiaro e definito del concetto di sistema di controllo interno, bisogna fare riferimento alle indicazioni fornite dalle istituzioni e dalle autorità normative di riferimento sia nazionali che internazionali. Non esiste tuttavia una definizione unica di «sistema di controllo interno», ma una pluralità di definizioni e modelli che trattano tale argomento.
23
L’inesistenza di una definizione univoca costituisce la causa di grande confusione tra gli operatori aziendali, i legislatori, le autorità tutorie e il pubblico in genere; infatti, l’espressione “controllo interno” assume significati diversi a seconda dei soggetti e degli obiettivi che questi vogliono raggiungere.
Tuttavia, la definizione più autorevole è sicuramente quella fornita nel CoSO Internal Control, Integrated Framework.
Nel 1992 il “Committee of Sponsoring Organizations of the Treadway Commision” ha pubblicato il volume intitolato “Internal Control-Integrated
Framework1”. Esso costituisce il testo conclusivo di uno studio sviluppatosi
negli Stati Uniti su iniziativa delle più prestigiose associazioni professionali americane (American Institute of Certified Pubblic Accountants, American Accounting Association, The Institute of Internal Auditors, Institute of Management Accountants, Financial Executive Institute) che hanno istituito una commissione di studio, chiamata appunto Committee of Sponsoring Organizations (CoSO), nota anche come Commissione Treadway dal nome del suo presidente.
Essa si proponeva principalmente di fissare una definizione di controllo interno che soddisfacesse le necessità delle diverse parti interessate, di stabilire un modello di riferimento in rapporto al quale le imprese potessero valutare il grado di affidabilità del controllo interno e di conseguenza, fornire un linguaggio comune di riferimento per la Direzione, gli Amministratori etc
In seguito a varie analisi e ricerche, la commisione ha incaricato nel 1992 la PricewaterhouseCoopers di elaborare un modello innovativo di sistema di controllo interno delle imprese. Ne è scaturito un rapporto, il CoSO Report, che, pubblicato nel 1992, è da allora divenuto un strumento indispensabile e un supporto metodologico per valutare l’efficacia dei sistemi di controllo interno posti in essere da imprese private ed enti pubblici.
1
Cfr. Committee of Sponsoring Organizations of the Treadway Commission (CoSO), Internal Control. Integrated Framework, AICPA, 1992, www.coso.org (tradotto e integrato in: PricewaterhouseCoopers, Il sistema di controllo interno. Progetto Corporate Governance per l’Italia, Milano, Il Sole 24 Ore, 2002).
24
Accogliendo tale definizione, il sistema di controllo interno può essere definito come “un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, attuato per fornire una ragionevole assicurazione in merito al raggiungimento degli obiettivi rientranti nelle seguenti categorie:
• efficacia ed efficienza delle attività operative2;
• attendibilità delle informazioni di bilancio;
• conformità alle leggi e ai regolamenti in vigore”3.
Il sistema di controllo interno aiuta quindi a guidare l’azienda verso i propri obiettivi, attraverso i quali cercare di raggiungere la propria missione, minimizzando i rischi derivanti sia dal dinamismo dei contesti economico, politico e sociale all’interno dei quali si svolge la competizione, sia dall’eventuale inaffidabilità dei sistemi operativi aziendali responsabili dell’implementazione delle strategie e della gestione quotidiana.
L’attività del CoSO è collegata con le definizioni elaborate dai codici di Best Practice inglesi, nati e sviluppatisi come risposta alla serie di fallimenti aziendali registratisi in Inghilterra verso la fine degli anni Ottanta. Un ruolo rilevante viene assunto dal Combined Code, adottato dal London Stock Exchange nel 2000, (che ha raggruppato nel 1998 il contenuto di tre codici precedenti: Cadbury Code,
Greenbury Code e Hampel Report) e dal Turnbull Report4 entrato in vigore nel
1999-2000, che si occupa prevalentemente di sistemi di controllo e gestione dei rischi. In essi sono rinvenibili ulteriori definizioni di controllo interno.
Il Cadbury Code nel paragrafo 4.31 afferma che “i consiglieri sono responsabili del mantenimento di adeguate registrazioni contabili e necessitano di
un sistema di controllo interno sulla gestione finanziaria, incluse le procedure per
2
Per efficacia si intende la capacità di raggiungere con successo gli obiettivi, per efficienza si intendela capacità di raggiungere gli obiettivi evitando sprechi di risorse.
3
PricewaterhouseCoopers, Il Sistema di controllo interno, Milano, Il Sole 24 Ore, 2002
4
Institute of Chartered Accountants Of England and Wales (ICAEW), Turnbull Report, Londra, 1999, www.iia.org.uk
25
minimizzare il rischio di frodi.”
Il Combined Code rende i direttori delle imprese quotate responsabili dell’introduzione di un sistema di controllo interno efficace nell’identificazione e nel controllo dei rischi aziendali e della sua periodica revisione, con obbligo di comunicazione agli azionisti. L’attività di revisione dovrebbe coprire tutti i controlli, ‹‹including financial, operational and compliance controls and risk management››.
2.2.1 Il quadro di riferimento in Italia
Con riferimento alla realtà italiana, una prima definizione di controllo interno è contenuta nella comunicazione Consob 20 febbraio 1997, che assegna al sistema di controllo interno e amministrativo-contabile la finalità di assicurare la conformità degli atti di gestione all’oggetto sociale, la tutela del patrimonio e
l’attendibilità dei dati contabili.5
Il D.Lgs. 24 Febbraio 1998 n.58, comunemente chiamato Legge Draghi, introduce successivamente, e per la prima volta nella legislazione italiana, l’espressione «sistema di controllo interno» indicando, nell’ambito della struttura organizzativa della società, uno specifico processo al quale il legislatore attribuisce un’importanza particolare riconoscendolo come attività autonoma, essenziale per assicurare la qualità del funzionamento del sistema di gestione e quindi oggetto di specifica attenzione da parte dell’organo di vigilanza.
La legge tuttavia, non fornisce una vera e propria definizione dello stesso, limitandosi all’uso della terminologia corrente, che a sua volta genera interpretazioni diverse e conflittuali.
La definizione contenuta nella comunicazione Consob del 20 Febbraio 1997 è stata poi ripresa dalla norma 2.4 dei principi di comportamento del collegio sindacale emanata dal Consiglio Nazionale dei Dottori Commercialisti e dei Ragionieri (CNDCR) che definisce il sistema di controllo interno come
5
26
“l’insieme delle direttive, delle procedure, delle tecniche adottate dall’azienda, allo scopo di raggiungere i seguenti obiettivi:
• la conformità delle attività degli organi aziendali all’oggetto che l’impresa si propone di conseguire e alle direttive ricevute;
• la salvaguardia del patrimonio aziendale;
• l’attendibilità dei dati6”.
I concetti di efficacia ed efficienza, esplicitamente contenuti nella definizione proposta dal CoSO, sono sostituiti da un più tradizionale richiamo alla conformità delle attività all’oggetto che l’impresa si propone di realizzare e alle direttive ricevute.
Il Codice di Autodisciplina (codice Preda), nella revisione del 2002, contiene a sua volta una definizione di Sistema di Controllo Interno:
“Il sistema di controllo interno è l’insieme dei processi diretti a monitorare l’efficienza delle operazioni aziendali, l’affidabilità dell’informazione finanziaria, il rispetto di leggi e regolamenti, la salvaguardia dei beni aziendali”(Par. 9.1)
Esso inoltre ne attribuisce la responsabilità al CdA, introducendo sia il concetto di individuazione che di gestione dei rischi aziendali:
“Il CDA ha la responsabilità del SCI del quale fissa le linee di indirizzo e verifica periodicamente l’adeguatezza e l’effettivo funzionamento, assicurandosi che i principali rischi siano identificati e gestiti in modo adeguato” (Par. 9.2)
“Gli amministratori delegati provvedono ad identificare i principali rischi aziendali, sottoponendoli all’esame del CdA, ed attuano gli indirizzi del Consiglio attraverso la progettazione, la gestione e il monitoraggio del sistema di controllo interno, del quale nominano uno o più preposti, dotandoli di mezzi idonei”.
6
27
Nel marzo 2006 viene approvato, dal Comitato per la corporate governance e promosso da Borsa Italiana SpA, il nuovo Codice di Autodisciplina delle società quotate, che ha sottoposto a revisione i principi di governo societario applicabili alle società quotate per tener conto delle best practices e delle evoluzioni normative intervenute negli ultimi anni a livello nazionale e internazionale. Questa revisione ha condotto, in particolare, ad un aggiornamento della nozione di «Sistema di Controllo Interno», il quale viene oggi così definito: “Il sistema di controllo interno è l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati” (Par. 8.1).
La novità consiste quindi nella più chiara precisazione del legame esistente fra sistema di controllo interno e gestione dei rischi: il primo è l’insieme degli strumenti capaci di identificare, misurare, gestire e monitorare i principali rischi aziendali, per consentire all’azienda di conseguire un profilo accettabile di rischio complessivo.
Il nuovo Codice ha introdotto anche raccomandazioni sulla valutazione ed informativa al mercato attinente i sistemi di controllo interno adottati. Al Consiglio di Amministrazione delle società è infatti richiesto di valutare almeno
annualmente, l’adeguatezza7, l’efficacia8 e l’effettivo funzionamento9 del sistema
di controllo interno; di fornire informativa, nella Relazione sul Governo
7 Non esistono definizioni in assoluto del termine. L’art. 2381 del cc stabilisce che l’adeguatezza degli
assetti organizzativi, amministrativi e contabili deve essere commisurata alla natura e alle dimensioni dell’impresa interessata. (Protiviti, 2006)
8 Il sistema di controllo interno è efficace quando sono previsti meccanismi di identificazione,
valutazione, gestione e monitoraggio dei rischi aziendali idonei a conseguire un profilo di rischio accettabile La valutazione dell’efficacia riguarda principalmente il disegno del sistema di controllo interno adottato (la sua capacitò, così come progettato,di ridurre i rischi ad un livello accetabile). (Protiviti, 2006)
9
L’effettivo funzionamento presuppone la corretta operatività dell’intero sistema di controllo interno, così come progettato dagli organi amministrativi. (Protiviti, 2006)
28
Societario, sia sugli “elementi essenziali” che caratterizzano il sistema di controllo interno adottato, sia sulla valutazione espressa circa la sua adeguatezza complessiva. (Par.8.C.1)
L’adesione al nuovo Codice è rimasta volontaria, ma queste novità hanno importanza rilevante per le società quotate. Infatti il nuovo art. 124-bis del Testo
Unico della Finanza (TUF)10 e le conseguenti modifiche al Regolamento
Emittenti11, disciplinano gli obblighi informativi al mercato sull’adesione a
codici di comportamento e richiedono di esplicitare le ragioni di eventuali inadempimenti. La mancata adesione al Codice quindi, dovendo essere giustificata al mercato, potrebbe danneggiare l’immagine dell’azienda.
Fino alla legge Draghi il sistema di controllo interno veniva quindi concepito semplicemente come tecnica al servizio della contabilità; oggi invece, a causa dell’innalzamento del livello di rischiosità del business, si è assistito alla trasformazione del sistema di controllo interno, che è diventato strumento primario per la verifica del rispetto delle norme e dei principi che regolano i vari aspetti di un’azienda e per il raggiungimento degli obiettivi.
L’azienda moderna opera infatti in un ambiente ormai sempre più competitivo, all’interno del quale la sopravvivenza è legata non solo all’eliminazione dei rischi ma alla capacità di assumerli in maniera ragionata e consapevole, per cercare di ridurre il margine di incertezza.
2.3 IL SISTEMA DI CONTROLLO INTERNO: L’APPROCCIO CoSO
10
introdotto con la legge per la Tutela del Risparmio (n. 262/2005)
11
aggiornato dalla Consob con delibera del 3 maggio 2007 (artt. 89-bis e 89-ter), ai fini
dell’adeguamento agli art. 124-ter del TuF introdotti dalla legge sulla Tutela del Risparmio. Le nuove diposizioni in materia di obblighi informativi sull’adesione ai codici di comportamento si applicano a partire dall’ 1 gennaio 2008.
29
Riprendendo la definizione contenuta nel CoSO Report, il sistema di controllo interno è quindi “un processo svolto dal Consiglio di Amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie:
• efficacia ed efficienza delle attività operative; • attendibilità delle informazioni contabili;
• conformità alle leggi e ai regolamenti in vigore”.
Dalla definizione si possono desumere alcuni aspetti fondamentali.
Il sistema di controllo interno è prima di tutto un processo: non un evento isolato ma un insieme di azioni adeguatamente coordinate che sono diffuse a tutti i livelli aziendali. Esso deve quindi considerarsi parte integrante dei processi aziendali, e in quanto tale, può andare ad incidere direttamente sulla capacità dell’organizzazione di raggiungere i propri obiettivi pianificati.
Secondariamente, esso deve essere inteso non come un sostituto dell’attività direzionale, ma come uno strumento di supporto che aiuti il management a perseguire gli obiettivi aziendali, attraverso la necessaria e fondamentale partecipazione di tutte le risorse che operano a tutti i livelli della struttura dell’impresa: il Consiglio di Amministrazione e il management di linea, responsabili del disegno, dell’implementazione e della promozione del sistema; l’unità di Internal Auditing, chiamata a valutarne l’efficacia nel tempo; infine tutto il personale, che deve appoggiarne la logica di fondo e le finalità.
Il sistema di controllo interno non è costituito solamente da politiche aziendali, procedure, supporti informatici che sono necessari per un corretto svolgimento dell’attività di controllo, ma principalmente dagli individui, ad ogni livello dell’organizzazione: è infatti un processo realizzato dalle persone. Acquistano importanza, di conseguenza, determinati fattori organizzativi e comportamentali come, ad esempio, gli stili direzionali e l’insieme dei valori che caratterizzano l’azienda.
30
Infine, il termine “ragionevole sicurezza” contenuto nella definizione, ci suggerisce che anche un sistema di controllo costruito nella maniera più adeguata può sì risultare decisivo nell’individuazione e nella gestione dei rischi che possono ostacolare il raggiungimento degli obiettivi, ma è in grado di fornire al management solo una “ragionevole sicurezza” e non un’assoluta certezza sul loro conseguimento. La realizzazione delle finalità aziendali è infatti condizionata dai limiti che caratterizzano tutti i sistemi di controllo (ad esempio, la possibilità che il personale eluda i controlli o che compia errori).
Ciononostante, l’adozione di un efficace sistema di controllo risulta necessaria per ridurre o attenuare i rischi.
2.3.1 Obiettivi del Sistema di Controllo Interno
Il modello proposto dal CoSO individua tre categorie di obiettivi del sistema di controllo interno:
• efficacia ed efficienza delle attività operative; • attendibilità delle informazioni di bilancio;
• conformità dei comportamenti aziendali alle leggi e ai regolamenti in vigore.
Tali categorie risultano distinte ma possono sovrapporsi: alcuni obiettivi specifici fissati dall’azienda possono infatti ricadere in più categorie.
La prima è fortemente collegata alla realizzazione della missione aziendale e si riferisce alla capacità del sistema di controllo di guidare l’azienda verso la realizzazione dei propri obiettivi con efficacia (capacità di raggiungere con successo gli obiettivi) ed efficienza (rapporto tra risorse utilizzate e risultati ottenuti).
La seconda riguarda la capacità dell’azienda di fornire informazioni (economiche, finanziarie e patrimoniali) attendibili, che cioè riflettano in maniera adeguata la realtà aziendale riflessa dalle stesse informazioni.
La terza categoria di obiettivi infine, fa riferimento al rispetto, da parte dell’organizzazione, di leggi e regolamenti, sia interni (es. normativa sul
31
controllo qualità) che esterni (Codice Civile, normativa tributaria, le leggi sulla sicurezza sul lavoro e sul rispetto dell’ambiente e le raccomandazioni Consob). Un efficace si sistema di controllo interno deve fornire al Consiglio di Amministrazione e al Management la “ragionevole sicurezza” che:
• si ha effettiva consapevolezza della misura in cui si stanno realizzando gli obiettivi operativi aziendali;
• i bilanci da pubblicare siano predisposti in modo attendibile; • le leggi e i regolamenti in vigore siano rispettati.
Per conseguire tali obiettivi il modello elaborato dal CoSO suggerisce di non limitarsi all’esecuzione delle attività di controllo (tipicamente attività “a posteriori” o al più “concomitanti” le operazioni aziendali), ma di adottare un sistema che permetta di “manovrare” più leve e di agire “a priori”, ossia prima del verificarsi dell’evento rischioso.
Tali “leve” sono le componenti del sistema di controllo interno.
2.3.2 Le componenti del sistema di controllo interno
Il modello identifica e descrive cinque componenti, correlate fra loro, necessarie per la realizzazione di un efficace controllo interno:
1. Ambiente di controllo: è l’ambito all’interno del quale il sistema di controllo
viene progettato, implementato e successivamente monitorato; esso è rappresentato dal contesto aziendale e dai vari soggetti che operano nell’azienda, caratterizzati dalle loro competenze e dai loro valori. “E’ un elemento fondamentale della cultura di ogni organizzazione, in quanto ne determina il livello di sensibilità alla necessità di controllo” (Beretta, 2004). E’ il primo elemento del sistema da analizzare per un’ adeguata progettazione del sistema di controllo ed in questo senso costituisce la base su cui poggiano
gli altri elementi che ne risultano quindi influenzati. Quando si parla di
ambiente di controllo ci si riferisce “all’integrità ed ai valori etici dei dirigenti, alla competenza del personale, alla filosofia ed allo stile di direzione, ai sistemi incentivanti adottati dall’azienda, alle modalità di delega
32
delle responsabilità, di organizzazione e di sviluppo professionale, all’impegno e alla capacità di indirizzo del consiglio di amministrazione”.12
2. Valutazione dei rischi: permette di individuare e analizzare i fattori che
possono pregiudicare il raggiungimento degli obiettivi che l’azienda si è posta e consente di determinare come questi rischi dovranno essere gestiti. Ogni azienda, nel corso della sua esistenza, si trova ad affrontare numerosi rischi, che possono avere origine interna o esterna e che devono quindi essere oggetto di un’attenta valutazione. Il crescente dinamismo che ormai caratterizza il contesto in cui l’azienda opera, impone che questa attività di monitoraggio non venga svolta occasionalmente ma con continuità e sistematicità, garantendo in tal modo un’adeguata protezione. Una corretta impostazione del sistema di controllo non può tuttavia prescindere dalla preventiva identificazione degli obiettivi che l’azienda si prefigge di realizzare: i rischi a cui ciascuna organizzazione è esposta si differenziano infatti a seconda delle finalità e delle scelte aziendali (scelte riguardanti ad esempio la struttura organizzativa scelta, le responsabilità attribuite ai vari organi aziendali, sistema informatico adottato, etc.). E’ compito degli amministratori e del management individuare e valutare i rischi, a tutti i livelli operativi, e adottare i provvedimenti opportuni, coerenti con il profilo di rischio scelto dall’azienda. A tal fine devono essere impiegate idonee metodologie e messi a punto sistemi rapidi di allerta in caso di individuazione;
3. Attività di controllo : si tratta dell’insieme delle politiche e delle procedure
che assicurano al management la corretta applicazione delle direttive emanate. Esse facilitano l’adozione dei provvedimenti necessari a fronteggiare i rischi identificati e che potrebbero ostacolare il conseguimento degli obiettivi aziendali. Le attività di controllo si attuano a tutti i livelli e con riferimento a tutte le funzioni dell’organizzazione e possono essere
12PriceWaterhouseCoopers, Il sistema di controllo interno – Terza edizione aggiornata settembre 2004, ed. Il Sole 24 ORE,
33
classificate in funzione degli obiettivi specifici dell’azienda. Alcune attività di controllo solitamente svolte dal personale a tutti i livelli dell’organizzazione sono ad esempio: il confronto, da parte dell’alta direzione, tra i risultati ottenuti e i dati previsti di budget; la gestione delle attività e delle funzioni dei responsabili di ogni area operativa; i controlli per la verifica dell’accuratezza, della completezza e dell’autorizzazione per lo svolgimento delle operazioni; i controlli fisici ( ad esempio, il confronto tra gli inventari e le risultanze contabili); l’analisi degli indicatori di performance etc.
4. Informazione e Comunicazione: le informazioni che circolano all’interno
dell’organizzazione devono essere correttamente gestite al fine di facilitare un adeguato svolgimento delle varie attività operative e delle attività di controllo. Le informazioni rilevanti devono essere rilevate, elaborate e condivise nei tempi e nei modi appropriati, per consentire a tutto il personale di assolvere le proprie responsabilità in maniera adeguata. Le comunicazioni devono circolare efficacemente all’interno dell’organizzazione nelle varie
direzioni: da e verso l’esterno (clienti, fornitori, azionisti, authority etc),
dall’alto verso il basso (obiettivi, indicazioni di comportamento e feedback sui risultati), dal basso verso l’alto (segnalazione di problematiche, suggerimenti, eventuali rischi identificati), trasversalmente (informazioni utili al coordinamento). Ciò infatti risulta essenziale per dirigere l’azienda verso gli obiettivi prefissati. Le qualità delle informazioni sono solitamente così riassunte: l’informazione deve essere pertinente, tempestiva, aggiornata, esatta e facilmente accessibile.
5. Monitoraggio: questa attività deve garantire l’efficacia del sistema di
controllo interno nel tempo e l’adeguata qualità della sua performance; a tal fine è necessario realizzare un’attività di supervisione continua combinata ed associata ad una serie di valutazioni periodiche. Il primo intervento si sviluppa nell’ambito della gestione corrente e comprende normali attività di controllo, effettuate da dirigenti, funzionari ed altro personale durante lo svolgimento delle proprie mansioni. La portata e la frequenza delle
34
valutazioni periodiche devono essere rapportate alla valutazione dei rischi e all’efficacia delle procedure di supervisione. Inoltre tale tipo di intervento può consistere in una valutazione effettuata da superiori gerarchici oppure in un’autovalutazione sull’efficacia dei controlli implementati, condotta dagli stessi responsabili di determinate unità. Sarà quindi necessaria la “valutazione critica, da parte di persone appropriate, del modo in cui i controlli sono concepiti, dei tempi di esecuzione e dei modi in cui sono presi i provvedimenti necessari”. (PriceWaterhouseCoopers, op.cit., 2004). Attraverso le reti informative aziendali, le eventuali anomalie individuate saranno segnalate ai responsabili delle funzioni e/o attività interessate, in modo da attivare tempestivamente i necessari interventi correttivi.
Una rappresentazione grafica del modello di controllo proposto dal CoSO è
presentata in figura13 :
Figura 2.1 – Le componenti del controllo interno
13
35
Tale rappresentazione permette di sottolineare la concezione funzionale-gerarchica dell’organizzazione.
L’ambiente di controllo costituisce quindi la base su cui poggia l’intero sistema, per riaffermare il fondamentale ruolo svolto dal contesto in cui si realizza l’azione del controllo interno. I canali informativi e di comunicazione permettono la circolazione delle informazioni rilevanti all’interno dell’organizzazione tramite la valutazione dei rischi e l’attività di monitoraggio, posta al vertice della piramide.
Si tratta tuttavia di un sistema, il cui valore non dipende quindi solo dalla corretta progettazione delle singole componenti che ne fanno parte, ma anche dalla qualità delle relazioni che intercorrono tra le stesse componenti e dai legami tra obiettivi, componenti del sistema e unità organizzative aziendali.
L’efficacia di un sistema di controllo interno non può essere collegata al mero raggiungimento degli obiettivi aziendali attraverso l’implementazione di un procedimento sequenziale in cui ciascuna componente influisce solo sulla successiva. Si tratta, al contrario, di un processo multi direzionale in cui ogni componente può influire su un’altra, indipendentemente dalla sequenza del processo. Esiste quindi una relazione tra le varie componenti e un rapporto diretto tra obiettivi, componenti (in quanto ognuna di queste interessa le tre categorie di obiettivi) e unità aziendali (in quanto il controllo interno è applicabile sia all’intera organizzazione che alle sue singole unità).
Una rappresentazione grafica di questo sistema di relazioni è presentata in figura14:
14
36
Figura 2.2 – Le dimensioni del sistema di controllo interno
Il cubo permette di apprezzare maggiormente la visione sistemica del modello e consente una rappresentazione spaziale delle tre dimensioni considerate: obiettivi del sistema di controllo interno, componenti e unità organizzative/processi interessati dall’attività di controllo.
“Non esistono relazioni causali univoche fra singoli elementi del sistema e specifiche tipologie di obiettivi: ciascun elemento componente influenza il conseguimento di tutte le tipologie di obiettivi; ciascuna unità organizzativa persegue obiettivi di vario tipo; tutti gli elementi del sistema di controllo interno devono trovare correlato organizzativo nelle risorse a essi dedicate dalle diverse unità organizzative.” (Beretta, 2004)
2.4 ENTERPRISE RISK MANAGEMENT E SISTEMA DI CONTROLLO INTERNO
37
Da qualche anno ormai, l’attenzione si è spostata dal sistema dei controlli interni al più ampio ambito dell’identificazione, valutazione e gestione del rischio aziendale, considerato di preponderante rilevanza per evitare gli scandali finanziari che hanno colpito numerose grandi imprese, sia all’estero che in Italia facendo subire a investitori, personale e stakeholders, pesanti perdite. Si è quindi avvertita sempre di più la necessità e l’importanza di avere a disposizione un valido modello di riferimento al fine di identificare, valutare e gestire i rischi identificati in maniera adeguata.
Agli inizi del 2000 il “Committee of Sponsoring Organizations of the Treadway Commission”, in seguito al grande successo ottenuto con la pubblicazione del precedente report del 1992 (Internal Control – Integrated Framework), ha così lanciato un progetto di studio sul tema della gestione dei rischi aziendali, incaricando nuovamente la PriceWaterhouseCoopers di progettare un modello di riferimento facilmente utilizzabile dal management per valutare e potenziare la gestione del rischio aziendale all’interno delle loro organizzazioni.
Durante questo studio sono stati numerosi e rilevanti i cambiamenti normativi, intervenuti sia all’estero che nel nostro paese, tutti volti ad accentuare l’importanza di un efficace sistema di controllo interno esplicitando il suo stretto legame con il processo di identificazione e gestione dei rischi.
Le autorità statunitensi nel 2002 hanno promulgato una legge, nota come
Sarbanes-Oxley Act ( o più comunemente Sox), approvata dopo una serie di
scandali finanziari per ristabilire la fiducia dei mercati attraverso il rafforzamento dei sistemi di controllo in azienda. La legge impone alle aziende quotate nelle borse USA di fare annualmente un assessment sulla base del quale sottoscrivere l’efficacia dei controlli interni rispetto ai risultati economici comunicati al mercato. Essa inoltre richiede che auditor esterni all’azienda esprimano un’opinione sulla valutazione effettuata dal management.
Con riferimento alla realtà italiana, è importante segnalare l’entrata in vigore della Legge n. 262 del 2005 (“ Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”) che ha introdotto numerose novità in materia di
38
governance delle società italiane. Particolarmente innovative sono le disposizioni introdotte che impongono un maggior livello di controllo sull’informativa societaria (in analogia con quanto introdotto dalla legge Sarbanes-Oxley Act del 2002 ) ed evidenziano la necessità di una gestione efficace dei rischi aziendali. Anche il già citato nuovo Codice di Autodisciplina e le disposizioni contenute nel D.Lgs. 231/01 testimoniano il fondamentale ruolo che il tema della gestione dei rischi riveste ormai nella vita delle aziende.
Nel settembre 2004 il CoSO ha quindi pubblicato un modello di riferimento per la gestione dei rischi aziendali (Enterprise Risk Management – Integrated
Framework)15.
Non esistono obblighi all’implementazione dell’ERM. L’implementazione di un processo di ERM consente tuttavia di rispondere in maniera strutturata ed organica ad una serie di normative e regolamenti che riguardano, in particolare, le società quotate (Codici di Corporate Governance, normative antifrode, es.Legge231/2001) .
Esso è principalmente rivolto alle direzioni aziendali affinché possano determinare il “quantum di rischio” (PricewaterhouseCoopers, 2006) che l’organizzazione è preparata ad accettare per il raggiungimento dei propri obiettivi e per creare valore. L’obiettivo di tale nuovo modello non è quello di sostituire il precedente sul controllo interno, quanto quello di integrarlo e incorporarlo in questo nuovo documento, realizzando quindi un unico modello di riferimento.
L’ERM Framework è l’evoluzione concettuale dell’Internal Control Framework pubblicato nel 1992.
Il nuovo modello risulta più esteso rispetto al precedente: il controllo interno infatti diventa parte integrante dell’ERM, che ha origine proprio dal concetto di controllo interno, ma rispetto al quale poi si amplia, spostando l’attenzione e
15Committee of Sponsoring Organizations of the Treadway Commission, Enterprise Risk management – Integrated Framework, September 2004 (tradotto e integrato in: PricewaterhouseCoopers, La gestione del rischio aziendale – ERM – Enterprise Risk Management: modello di riferimento e alcune tecniche applicative. Milano, Il Sole 24 Ore, 2006)
39
incentrandosi principalmente sul tema della valutazione e del controllo dei rischi. Il modello originario considerava esplicitamente la valutazione dei rischi tra le sue componenti, ma questa attività non rivestiva un ruolo principale rispetto alle altre componenti del sistema di controllo.
L’Enterprise Risk Management (ERM) viene dunque definito come “un processo, posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire una ragionevole sicurezza sul conseguimento
degli obiettivi aziendali.”16
Anche da questa definizione è possibile desumere dei concetti fondamentali. L’ERM dunque :
- è un processo. Non quindi un evento isolato ma un insieme di azioni continue,
che influiscono le une sulle altre, diffuse a tutti i livelli aziendali. Deve divenire parte integrante del sistema di management, ed in quanto tale, può influenzare positivamente la capacità dell’organizzazione di conseguire la sua missione.
- È realizzato da persone operanti nell’impresa e la sua validità dipende quindi
dal loro comportamento e dalle loro decisioni. L’ERM è infatti posto in essere dal consiglio di amministrazione (che svolge un ruolo di supervisione, ma anche di indirizzo e di approvazione di strategie e politiche), dal management e dai dipendenti in genere; e sono questi che stabiliscono la missione, le finalità e le strategie dell’azienda influenzando dunque l’implementazione del modello. A sua volta però l’ERM influenza il comportamento delle persone, ognuna
delle quali è portatrice di esperienze, competenze e necessità diverse e soprattutto di un proprio modo di identificare, valutare e gestire il rischio. In questa ottica l’ERM offre gli strumenti adeguati per facilitare le persone nella
16
40
comprensione del rischio, non a sé stante, ma inserito nel contesto degli obiettivi aziendali.
- È utilizzato per la formulazione delle strategie. Questo modello aiuta cioè il
management a valutare ed a selezionare la strategia più adatta e i relativi obiettivi. I vertici aziendali infatti definiscono la missione e fissano gli obiettivi strategici generali dell’organizzazione, i quali devono risultare coerenti con la missione stessa. Successivamente l’azienda definisce la strategia necessaria per la realizzazione dei suddetti obiettivi e di conseguenza, partendo da questa, definisce via via i vari obiettivi specifici che intende conseguire ai vari livelli delle unità operative, alle divisioni e ai processi. E’ proprio nel momento della definizione delle strategie che viene impiegato l’ERM, facilitando il management nell’identificazione e valutazione dei rischi relativi alle possibili strategie alternative, in conformità con il profilo di rischio concordato con gli stakeholders.
- È utilizzato in tutta l’organizzazione. L’ERM interessa cioè l’intera impresa ed
è quindi impiegato in tutte le attività da essa svolte. Il modello comporta quindi una gestione integrata dei rischi aziendali, che devono essere globalmente considerati rispetto al profilo di rischio scelto. L’organizzazione arriva cioè a disporre di un vero e proprio portafoglio rischi, relativo ai vari livelli della struttura aziendale, che dovrà essere adeguatamente valutato dai vertici aziendali per verificare se il rischio complessivo sia allineato con il “rischio accettabile”.
- Rischio accettabile.17 Esso rappresenta il profilo di rischio dell’azienda
concordato con gli stakeholders, ovvero “l’ammontare del rischio che
un’azienda è disposta ad accettare nel perseguire la creazione di valore.”18 Esso
può essere definito in termini quantitativi o qualitativi (“alto”, “basso”) ed influisce su molte variabili, come ad esempio la cultura di un’organizzazione.
17 Il termine “tolleranza al rischio” indica invece l’ammontare di scostamento tollerato rispetto
all’obiettivo da conseguire. Il management dovrà quindi sempre agire nei limiti di questa soglia per far sì che l’azienda non superi il livello di rischio accettabile (garantendo quindi l’effettivo conseguimento degli obiettivi aziendali).
18
41
E’ inoltre fortemente connesso alla strategia aziendale: i vertici aziendali infatti, tenderanno a scegliere, tra le varie alternative, quella strategia che permette di creare valore, ma senza superare la soglia di rischio accettabile prestabilita.
Questa soglia risulta in definitiva essenziale per tutta l’attività di gestione e valutazione del rischio: il management infatti, in base ad essa, adeguerà l’organizzazione, i processi e tutte le risorse utilizzate per lo svolgimento dell’attività aziendale.
- Fornire una ragionevole sicurezza. Anche questo modello, così come il
precedente, non fornisce una certezza assoluta, ma solo una ragionevole sicurezza sul conseguimento degli obiettivi. Questo perché il futuro è inevitabilmente caratterizzato dall’incertezza e dal rischio, fattori che possono potenzialmente essere gestiti attivamente, ma non eliminati. Nonostante l’ERM non fornisca una certezza assoluta, la sua implementazione accresce la probabilità che i vertici aziendali assumano delle decisioni migliori. “L’ERM può solo fornire una ragionevole sicurezza che il management, e nel suo ruolo di vigilanza, il consiglio di amministrazione siano tempestivamente informati
della misura in cui si stanno realizzando i suddetti obiettivi.”19
2.4.1 Gli obiettivi del modello ERM
Il modello ERM individua quattro categorie di obiettivi aziendali, distinte tra loro ma sovrapponibili (anche in questo modello un obiettivo può infatti essere incluso in più categorie):
• Strategici • Operativi • Di reporting • Di conformità 19
42
Nella prima categoria rientrano quelli obiettivi di carattere generale, definiti dai vertici aziendali e coerenti con la missione aziendale che è stata definita.
Gli obiettivi appartenenti alla seconda classe riguardano invece la capacità dell’azienda di utilizzare le risorse a disposizione per il conseguimento degli obiettivi in maniera efficace ed efficiente.
Fanno parte della terza categoria quegli obiettivi inerenti l’attendibilità delle informazioni contenute nei vari reports predisposti dall’azienda.
L’ultima categoria, infine, fa riferimento al rispetto, da parte dell’azienda, delle leggi e dei regolamenti in vigore.
2.4.2. I componenti dell’ERM
Lo schema di ERM proposto dal CoSO è costituito da otto elementi correlati tra loro che rappresentano le componenti del modello proposto:
1. Ambiente interno : è il contesto organizzativo in cui si svolge il processo di
gestione del rischio; esso rappresenta l’identità basilare di ogni
organizzazione, “l’essenza stessa di qualsiasi organizzazione”
(PricewaterhouseCoopers, 2006) ed è determinato dalle qualità personali, dai valori etici, dalle competenze delle persone che operano all’interno dell’organizzazione. Tutti questi aspetti influenzano “la consapevolezza e la sensibilità al tema del personale” (Beretta, 2004), il modo cioè, in cui il rischio viene gestito e valutato dagli individui nell’azienda. L’ambiente interno è quindi il risultato dell’attività del management riguardante il riconoscimento o meno di alcuni rischi, la definizione del risk appetite, e la sua promozione all’interno dell’impresa.
2. Definizione degli obiettivi : prima di giungere all’individuazione degli eventi
che possono ostacolare il raggiungimento degli obiettivi, questi ultimi devono naturalmente essere stati già fissati. In questa ottica il processo di ERM permette al management di scegliere gli obiettivi migliori, coerenti con la missione definita e con il livello di rischio accettabile.
43
3. Identificazione degli eventi : è necessario identificare con precisione tutti
quegli eventi, aventi origine esterna/interna, che possono significativamente influenzare l’attività aziendale, compromettendo il corretto raggiungimento degli obiettivi prefissati. Sapendo inoltre che un evento può avere un effetto negativo (rischio) e/o positivo (opportunità) sul conseguimento degli stessi, risulta dunque necessario distinguere gli uni dagli altri. Le opportunità devono infatti essere valutate nel processo di pianificazione strategica, mentre i rischi dovranno essere oggetto di un’accurata analisi.
4. Valutazione del rischio : (risk assessment) i rischi identificati devono dunque
essere valutati, in modo che il management sia consapevole della loro effettiva significatività e indirizzi le proprie risorse verso il fronteggia mento di quei rischi che presentano una priorità maggiore. A tal fine, i rischi devono essere valutati sia in termini di “rischio inerente” (rischio in assenza di qualsiasi intervento) sia di “rischio residuo” (rischio che residua dopo
l’implementazione di interventi per fronteggiarlo)20, attraverso la
determinazione della probabilità di manifestazione dell’evento rischioso e del relativo impatto atteso (ovvero degli esiti derivanti dal manifestarsi del rischio).
5. Risposta al rischio : una volta isolati i rischi più significativi, il management
deve predisporre degli interventi finalizzati ad allineare il profilo di rischio reale a quello desiderato. Possibili risposte al rischio possono essere evitare, accettare, ridurre e compartecipare il rischio.
6. Attività di controllo : per aiutare il management nell’implementazione delle
risposte al rischio scelte, le politiche definite dai vertici aziendali devono avere un riscontro operativo. E’ quindi necessario definire meccanismi operativi di controllo e procedure per identificare e contenere i rischi.
7. Informazioni e comunicazione : in questo contesto è necessario poter disporre
in modo tempestivo delle informazioni rilevanti, in modo da identificare, valutare e rispondere al rischio velocemente e nel modo più adeguato. A tal
20
44
fine le informazioni significative devono essere individuate, raccolte, elaborate e diffuse, ad ogni livello della struttura gerarchica, nei modi e nei tempi richiesti affinché ciascun soggetto possa svolgere i propri compiti in maniera efficiente. Le comunicazioni devono circolare efficacemente all’interno di tutta la struttura organizzativa e nelle varie direzioni: verso il basso, verso l’alto e trasversalmente.
8. Monitoraggio : l’intero sistema richiede un continuo monitoraggio, a tutti i
livelli aziendali, per accertarne il corretto ed efficace funzionamento nel tempo e permettere l’attivazione di reazioni tempestive in caso di bisogno. La continuità e sistematicità del monitoraggio è richiesta dal crescente dinamismo che caratterizza ormai il contesto interno ed esterno in cui l’azienda opera e che quindi determina anche un continuo mutamento dei rischi in grado di pregiudicare gli obiettivi aziendali.
Naturalmente ogni azienda implementerà il processo di ERM secondo le proprie modalità e conformemente ai propri bisogni e alle proprie caratteristiche (settore di appartenenza, dimensione, cultura e filosofia gestionale).
Anche questo modello, così come il precedente, non consiste in un processo necessariamente sequenziale e unidirezionale, in cui ciascuna componente influenza solo quella successiva. Si tratta al contrario di un processo in cui ogni componente può influire su un’altra, indipendentemente dalla sequenza del processo.
Ai fini della sua effettiva implementazione è inoltre necessario che esso discenda lungo tutte le articolazioni dell’azienda (entità, divisioni, funzioni) in modo da soddisfare i differenti bisogni gestionali che le caratterizzano.
L’efficacia di tale processo dipende dunque dalla qualità delle relazioni che intercorrono tra gli obiettivi che l’azienda si propone di conseguire, le componenti del sistema ERM (ovvero gli strumenti di riferimento necessari per la realizzazione degli obiettivi) e le varie articolazioni aziendali.
45
La valutazione dell’efficacia di questo modello resta comunque un giudizio soggettivo, che si basa sulla presenza e sul corretto funzionamento delle otto componenti. Se l’Erm è giudicato efficace, significa che il consiglio di amministrazione e il management hanno la “ragionevole sicurezza” :
• di conoscere il grado di realizzazione degli obiettivi strategici; • di conoscere il grado di conseguimento degli obiettivi operativi; • che i reports predisposti sono attendibili;
• che le leggi e i regolamenti in vigore sono rispettati.
In definitiva tale processo può ritenersi efficace se le scelte effettuate determinano un abbassamento del rischio in linea con il livello accettabile e forniscono una “ragionevole sicurezza” sul conseguimento degli obiettivi.
E’ possibile fornire una rappresentazione del sistema ERM nelle sue tre dimensioni interconnesse (obiettivi aziendali, componenti del sistema e articolazioni aziendali), come mostrato dalla figura :
46
Nelle colonne verticali del cubo sono rappresentate le quattro categorie di obiettivi (strategici, operativi, di reporting e di conformità); le otto componenti del sistema sono invece rappresentate nelle righe orizzontali; la terza dimensione infine, rappresenta l’azienda e le sue unità.
Come nel modello precedente, anche qui non esistono relazioni univoche tra componenti del sistema, categorie di obiettivi aziendali e articolazioni dell’organizzazione: ciascuna componente, infatti, influenza il conseguimento di tutte le tipologie di obiettivi e deve trovare corrispondenza nelle risorse ad essa destinate dalle diverse unità organizzative; allo stesso modo, tutte le otto componenti sono applicabili a ciascuna categoria di obiettivi e ciascuna unità organizzativa può perseguire categorie diverse di obiettivi. L’Erm, come è possibile osservare dalla figura, può essere inoltre implementato, sia rispetto all’intera azienda che alle sue singole unità: è quindi possibile focalizzarsi su qualsiasi cella del sistema.
Confrontando tale figura con la schematizzazione del modello di controllo interno proposto dal CoSO Report (cfr. Fig 2.2) è possibile constatare come il modello ERM ne condivida le logiche di fondo.
2.5 CONCLUSIONI
I sistemi di controllo interno quindi, da sistemi di verifica di compliance
diventano sistemi di controllo dei rischi.21
Il focus dei tradizionali sistemi di controllo interno era limitato principalmente ai rischi finanziari e assicurabili, mentre i nuovi sistemi di controllo diventano parte integrante dei sistemi di risk management, ampliando quindi l’attenzione verso qualunque tipo di rischio che possa pregiudicare il conseguimento degli obiettivi aziendali di efficacia ed efficienza della gestione, di affidabilità dei reports e di conformità a leggi e regolamenti in vigore.
21
47
Il “ nuovo” sistema di controllo interno, orientato al governo dei rischi, non deve più essere un processo reattivo e frammentato ma proattivo e integrato, identificando quindi i fattori di rischio a tutti i livelli, prima che questi si manifestino concretamente e impediscano il corretto raggiungimento degli obiettivi prefissati.
Esso impone inoltre la definizione di una responsabilità non più ristretta a funzioni ben specifiche ( Amministrazione e Internal Auditing) ma diffusa a tutti i livelli e in tutte le funzioni e unità operative. Le politiche di gestione dei rischi stabilite dai vertici aziendali devono essere quindi adeguatamente comunicate e condivise da tutto il personale a tutti i livelli. Questo nuovo approccio richiede a tal fine l’implementazione di un processo non più periodico ma continuo nel tempo.
