7
CAPITOLO PRIMO
1.
IL SISTEMA DEI CONTROLLI INTERNI:
RIFERIMENTI GENERALI
1.1 Definizione e caratteri: excursus storico
Il Sistema dei Controlli Interni è un elemento fondamentale del complessivo sistema di governo di un’impresa, poiché assicura che l’attività aziendale sia in linea con le strategie e gli obiettivi di business, sia coerente con le politiche aziendali e sia basata su una prudente gestione.
Nella letteratura economico-aziendale il termine “controllo” presenta due significati, quello di verifica, ispezione e riscontro e quello, sicuramente più ampio, di governo e guida dell’organizzazione per il raggiungimento di obiettivi prefissati. Nell’accezione più ristretta di “verifica”, il controllo ha come scopo un’azione finalizzata ad individuare e reprimere i comportamenti che potrebbero rovinare l’iniziativa imprenditoriale: questo significato si evince nel pensiero di alcuni esponenti della dottrina economico-aziendale dell’Ottocento e dei primi del Novecento. Solo nel corso degli anni Settanta si registra l’affermarsi del concetto di controllo come guida dell’attività aziendale verso il raggiungimento di scopi prestabiliti.
A partire, infatti, dagli anni Settanta le teorie nordamericane riguardo il management riscontrano un interesse notevole in dottrina e anche nel mondo aziendale. L’opera di Anthony, Management and control System. A scheme of analysis, diventa il punto di riferimento degli studi del settore sviluppatisi dopo gli anni Settanta e le sue teorie rappresentano le linee guida per l’evoluzione di tali studi. La proposta di Anthony di tripartire il sistema di pianificazione e controllo in pianificazione strategica, controllo
8
direzionale e controllo operativo e l’importanza riservata all’accezione di controllo
come guida, aprono la strada verso una evoluzione del sistema straordinaria1.
Intorno alla metà degli anni Ottanta la National Commission on Fraudolent Financial Reporting, nota come Treadway Commission, propose una nuova chiave di lettura del sistema dei controlli interni capace di far emergere le discordanze discendenti dalla concezione del controllo fino ad allora applicata e in seguito diede vita a un apposito sottogruppo di lavoro, denominato Committee of Sponsoring Organizations of the Treadway Commission, CoSO, con il compito di realizzare uno studio sulla dottrina esistente in tema di controlli interni allo scopo di costruire un modello di riferimento innovativo e utile per il management aziendale.
La soluzione presa in considerazione si basava sull’adozione di un’apposita politica di risk management, diretta a individuare a priori le aree aziendali maggiormente esposte al rischio e a migliorare le aree più deboli tramite l’introduzione di mirati correttori organizzativi, anche in forma di protocolli comportamentali. Il Treadway Report rivolse una serie di raccomandazioni a tutti i soggetti coinvolti nei processi di predisposizione e controllo dell’informativa economico-finanziaria e pose in luce l’importanza dell’ambiente di controllo, dei codici di comportamento, della competenza dei comitati di auditing e della peculiarità di un organo con funzione di revisione interna attiva ed obiettiva.
Nel 1992 la citata commissione elaborò il rapporto finale intitolato “Internal Control:
Integrated Framework”, noto oggi come CoSO Report I2
, recentemente aggiornato con la pubblicazione dell’ultima versione del 2013 al fine di renderlo adeguato rispetto alle attuali necessità delle organizzazioni dal punto di vista della complessità del business, dello sviluppo tecnologico e della globalizzazione. Dopo aver rilevato che l’assenza di una univoca definizione di controllo interno avesse determinato confusione tra i vari soggetti interessati alle relative procedure, con tale rapporto si delinearono le caratteristiche fondamentali, allo scopo di formulare un modello di riferimento per tutte le imprese.
1
G. D’ONZA, Il sistema di Controllo Interno nella prospettiva del Risk management, Giuffrè Editore, Milano, 2008, p. 9.
2 Internal Control-Integrated Framework, AICPA, 1992, www.CoSO.org
(tradotto e integrato in: PricewaterhouseCoopers, Il sistema di controllo interno. Progetto Corporate Governance per l’Italia, Milano, Il Sole 24 Ore, 2002)
9
Il controllo interno diventa un iter procedurale che, coinvolgendo tutti gli operatori dell’organizzazione aziendale, deve avere come scopo quello di fornire una puntuale garanzia per il perseguimento degli obiettivi aziendali in relazione ad aspetti, quali la conformità a leggi, normative e contratti, l’affidabilità del bilancio e delle informazioni,
la salvaguardia del patrimonio e l’efficacia delle operazioni3.
Il CoSO Report del 1992 definisce il sistema di controllo interno come “un processo, svolto dal Consiglio di Amministrazione, dai dirigenti e da altri operatori della struttura aziendale che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie:
Efficacia ed efficienza delle attività operative;
Attendibilità delle informazioni di bilancio;
Conformità alle leggi e ai regolamenti in vigore”.
Dalla definizione citata è possibile desumere alcuni aspetti rilevanti che pongono in luce le peculiarità di un processo complesso e le funzioni che riveste in vista di obiettivi prestabiliti.
1. Si tratta di un processo caratterizzato da un insieme di azioni coordinate che interessano l’intera gestione aziendale, pertanto deve essere inteso come un componente da integrare negli stessi processi organizzativi aziendali allo scopo di perseguirne gli obiettivi prefissati.
2. Deve considerarsi uno strumento di supporto per il management al fine di facilitare il raggiungimento degli obiettivi aziendali con il coinvolgimento delle risorse che operano a tutti i livelli dell’organizzazione.
3. Non si basa esclusivamente su normative interne, strutture organizzative e supporti informatici utili all’attuazione delle attività di controllo, ma è un processo costituito da persone che devono rendere operativi gli strumenti e le modalità dei controlli. Assumono di conseguenza importanza alcuni fattori chiave come la necessaria diffusione della cultura del controllo all’interno dell’organizzazione, la condivisione degli obiettivi tra i differenti livelli gerarchici, la formazione del personale coinvolto nei controlli, ma anche la capacità di adattamento della stessa struttura.
10
4. Contribuisce ad una riduzione dei rischi ma non ad una loro completa eliminazione, visto che un adeguato sistema di controllo non può fornire una garanzia assoluta sul raggiungimento degli obiettivi prestabiliti.
La definizione fornita nel CoSO Report è stata successivamente ripresa ed integrata dal Codice di Autodisciplina del 2006 delle società quotate che identifica il sistema di controllo interno come:
“l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi, una conduzione dell’impresa sana, corretta e coerente con gli obiettivi prefissati”4.
Nel Codice di Autodisciplina, inoltre, nel Commento al principio n. 8, anche il Comitato per la Corporate Governance di Borsa Italiana S.p.A. sottolinea la centralità del Consiglio di Amministrazione in materia di controllo interno, ponendo in luce che ad esso spetti la responsabilità dell’adozione di un sistema adeguato alle peculiarità
dell’impresa5
. Tuttavia, è necessario sottolineare che nelle società quotate ed in alcune società di grandi dimensioni, accanto al CdA intervengono nel processo di definizione delle regole e dei principi del sistema di controllo interno e nello svolgimento della specifica attività di vigilanza anche altri soggetti, quali il Comitato per il controllo interno, il Preposto al controllo interno e la Funzione di Internal Audit di cui si parlerà ampiamente nel corso dell’elaborato.
Il sistema in esame viene altresì definito come:
“L’insieme dei mezzi (persone, procedure e risorse) adottati al fine di mitigare i rischi che potranno ostacolare il raggiungimento degli obiettivi di un’organizzazione, in linea con le corrette politiche di risk management”6
.
Tale definizione pone in luce come il sistema di controllo interno vada oltre il tradizionale limite delle attività tipiche delle funzioni amministrativo-contabili e delle procedure interne, poiché ogni membro operante all’interno dell’organizzazione è
4 Paragrafo n.8 del Codice di Autodisciplina per le società quotate (2006) disponibile su
www.borsaitaliana.it.
5
M. ANACLERIO, A. MIGLIETTA, S. SQUAIELLA, Internal auditing, Dalla teoria alla pratica, Ipsoa, Milano, 2007, p. 15.
6 C. DITTMEIER, Internal Auditing II edizione – Chiave per la corporate governance, EGEA, Milano,
11
ritenuto responsabile del mantenimento di un adeguato sistema di controllo nelle aree di propria attività.
1.2 Iter ed evoluzione del CoSo Report: studi ed obiettivi
Le diverse definizioni proposte presentano un’analoga caratteristica ossia la convergenza verso obiettivi che possono essere considerati comuni a tutte le realtà aziendali poiché sostenuti da principi universalmente condivisibili. Il controllo interno, pertanto, rappresenta un sistema capace di supportare il management nel compito di assolvere una responsabilità di conduzione che sia efficiente ed efficace, conforme alle leggi e ai regolamenti e trasparente, tramite la predisposizione di attività e documenti di reporting7.
Come già menzionato nella definizione elaborata dal CoSO Report, le peculiarità e gli obiettivi principali del sistema di controllo interno, ossia efficacia ed efficienza delle attività operative, attendibilità delle informazioni di bilancio, conformità alle leggi e ai regolamenti in vigore, costituiscono anche il contenuto della definizione proposta
nell’ambito del progetto di “Corporate Governance per l’Italia” (PCGI)8
.
Il primo obiettivo è rappresentato dall’economicità gestionale, intesa come un insieme di obiettivi individuali che possono essere identificati come l’efficienza, l’efficacia, l’economicità particolare e la salvaguardia del patrimonio aziendale
Con il termine efficienza si fa riferimento all’obiettivo dell’organizzazione di massimizzazione del rapporto che sussiste tra gli obiettivi specifici realizzati e le risorse impiegate nel raggiungimento di tali obiettivi.
L’efficacia consiste, invece, nella capacità di ottenere gli effetti sperati e di raggiungere con successo gli obiettivi prefissati.
Una data attività operativa può risultare efficace ma non efficiente se l’obiettivo, in termini di risultato conseguito, è stato raggiunto con spreco di risorse e, viceversa, si può avere efficienza ma non efficacia.
7 Cfr. M. ZANIGLI, Assetti di governance ed applicazioni sul sistema di controllo interno, Cedam,
Padova, 2004, p. 120.
12
Per economicità particolare s’intende l’economicità relativa all’acquisizione delle combinazioni produttive.
Nella nozione di salvaguardia del patrimonio aziendale, secondo un’interpretazione ampia, occorre considerare anche i concetti di monitoraggio e di sviluppo del potenziale di vantaggio competitivo strettamente connesso alle risorse e alle competenze di cui si caratterizza l’azienda, non soffermandosi esclusivamente sulla salvaguardia delle mere attività materiali dagli atti fraudolenti. Nelle banche, ad esempio, si fa riferimento ad un’interpretazione ristretta secondo la quale si persegue la salvaguardia dell’integrità fisica e logica dei beni materiali costituiti dal denaro, dagli assegni, dagli effetti ma anche dagli strumenti di elaborazione elettronica dei dati. Pertanto, quello aziendale include il “patrimonio commerciale”, il “patrimonio tecnologico”, il “capitale umano” e ogni altra condizione capace di concorrere positivamente allo svolgimento duraturo dell’impresa secondo economicità.
Il secondo obiettivo è identificato nell’efficienza ed efficacia delle informazioni elaborate dai supporti tecnico-informativi aventi valenza e finalizzazioni interne ed esterne (obiettivi di informazione).
L’efficienza va intesa come rapporto input/output fra il costo di produzione dell’informazione ed il beneficio che da essa è possibile trarre.
L’efficacia può assumere differenti significati che vale la pena prendere in considerazione in modo puntuale. Se si considerano le informazioni destinate all’esterno (bilanci annuali, situazioni contabili straordinarie e finanziarie ecc..) il controllo sull’attendibilità delle informazioni deve avvenire con riferimento alle norme che disciplinano la redazione del documento di rendiconto, ossia in conformità ai principi contabili ed alle norme di legge. Per le informazioni destinate all’interno (budget, report periodici infrannuali di performance ecc..), il controllo deve essere eseguito in relazione alla prassi o alle procedure interne all’organizzazione focalizzando l’attenzione sulla rilevanza e selettività, sulla flessibilità, sulla tempestività ed accuratezza, sulla completezza, sull’integrità fisica e logica.
Il terzo obiettivo consiste nella conformità alle normative applicabili relative alle decisioni ed azioni intraprese dall’organizzazione (obiettivi di conformità).
13
L’attività di controllo richiede non solo l’accertamento del rispetto delle norme che disciplinano lo svolgimento dell’attività dell’impresa ma anche delle norme, dei regolamenti e delle disposizioni che disciplinano il settore in cui opera l’azienda.
E’ opportuno evidenziare che gli obiettivi del sistema di controllo interno costituiscono un tutto unitario e, se opportunamente interiorizzati dalle persone che operano
all’interno dell’azienda, potrebbero stimolare comportamenti virtuosi
nell’organizzazione.
Nel 1997 in Italia viene pubblicato l’Addendum italiano del CoSO Report che riprende le edizioni statunitensi, ma il boom delle borse e la prevalente attenzione agli aspetti monetari da parte degli shareholders hanno posto in secondo piano la vigilanza sul rispetto delle regole del buon governo delle imprese.
Nel 2001 il CoSO Report è stato indicato come best practice di riferimento per l’architettura dei sistemi di controllo interno, soprattutto dopo i casi Enron, Vivendi in USA e Parmalat in Italia. Dopo il default mondiale delle borse avvenuto nel 2008/2009, la Treadway Commission ha condotto nuovi studi richiedendo suggerimenti ed opinioni ad amministratori, docenti universitari, dirigenti di aziende di diverse dimensione pubbliche e private, ad autorità tutorie ed uomini politici. Alla fine del lavoro di studio il modello predisposto è stato testato su 5 aziende di dimensioni medio-grandi per verificare l’effettivo funzionamento ed avere conferma della validità o meno delle metodologie e degli strumenti operativi posti in essere.
Il CoSO Report I Addendum italiano esemplifica le cinque componenti del controllo interno: 1) ambiente di controllo; 2) valutazione dei rischi; 3) attività di controllo; 4) informazione e comunicazione; 5) monitoraggio.
Figura 1 – Rappresentazione piramidale delle componenti del SCI secondo il CoSO Report I
14
In seguito la commissione CoSO ha predisposto un nuovo progetto per elaborare un modello di riferimento che potesse essere rapidamente adottato dai managers aziendali per valutare e migliorare la gestione del rischio, inteso come rischio di gestione, allo scopo di predisporre un modello di riferimento integrato nei processi operativi che contenesse le diverse tipologie di rischio. Lo studio ha prodotto nel 2002 il cosiddetto ERM (Enterprise Risk Management - Integrated Framework), noto anche con il nome di CoSO II, secondo il quale “la gestione del rischio aziendale è un processo posto in essere dal CdA, dai dirigenti e da altri operatori della struttura aziendale; utilizzato per la formulazione delle strategie in tutta l’organizzazione; progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti del rischio accettabile e per fornire ragionevole sicurezza sul conseguimento degli obiettivi aziendali”9.
Gli obiettivi aziendali di questo nuovo documento sono di due tipologie, strategici ed operativi. I primi, espressi in termini generali, devono essere allineati alla missione aziendale per supportarla e devono riflettere la scelta del management, per evidenziare come l’azienda si adoperi allo scopo di valorizzare i suoi stakeholder; quelli operativi riguardano l’efficacia e l’efficienza delle operazioni aziendali.
Figura 2 – Le componenti del SCI secondo il modello ERM (CoSO II)
Fonte: http://www.liberatoscioli.it
Lo studio (CoSO II - ERM) ha identificato otto componenti del sistema di controllo tra loro interconnessi, quali:
9 Definizione tratta da COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY
COMMISSION REPORT (COSO), La gestione del rischio aziendale, ERM: modello di riferimento e alcune tecniche applicative, Il Sole 24ore, Milano, 2006, p. 2.
15
1) ambiente interno: il management formula la filosofia di base e determina il livello di accettabilità del rischio, determinando i modi in cui il rischio è considerato e affrontato dalle persone che operano in azienda;
2) definizione degli obiettivi: devono essere fissati prima di procedere a considerare gli eventi che possano pregiudicare il loro conseguimento;
3) identificazione degli eventi: devono essere identificati gli eventi che possano avere un impatto sull’attività aziendale, distinguendo gli eventi che rappresentano rischi da quelli che rappresentano opportunità;
4) valutazione del rischio: i rischi identificati sono analizzati al fine di determinare come debbano essere gestiti;
5) risposta al rischio: il management identifica e valuta le risposte possibili al rischio, quali quelle di evitare, accettare, ridurre e compartecipare il rischio; 6) attività di controllo: devono essere definite e realizzate politiche e procedure allo
scopo di assicurare che le risposte al rischio siano efficacemente eseguite; 7) informazioni e comunicazione: le informazioni pertinenti devono essere raccolte
e diffuse nei tempi che consentano alle persone di adempiere alle proprie responsabilità;
8) monitoraggio: l’intero processo deve essere monitorato e modificato se necessario, in termini di interventi continui e integrati nella normale attività operativa aziendale e di valutazioni.
Si evidenzia una relazione molto stretta tra sistema gestione dei rischi e sistema di controllo interno poiché il controllo interno è parte integrante del sistema di gestione e controllo dei rischi. La prima edizione metteva in risalto le peculiarità del Sistema dei Controlli Interni ed i suoi principi di funzionamento mentre tale impostazione mette in risalto come la gestione dei rischi sia l’approccio corretto e maggiormente efficace per garantire la realizzazione ed il corretto funzionamento del SCI. Inoltre, risulta evidente lo stretto legame esistente tra Corporate Governance e gestione dei rischi che si configura, non tanto come una tecnica di gestione operativa, quanto come una componente essenziale del governo d’impresa legata allo sviluppo costante dei sistemi
di management ed avente un notevole impatto organizzativo10.
10 V. CANTINO, Corporate Governance, misurazione della performance e compliance del Sistema di
16
Nel 2006 è stato emanato un nuovo documento Internal Control over Financial Reporting - Guidelines for Smaller Public Companies (CoSO III), predisposto per le imprese di dimensioni ridotte e il 4 febbraio 2009 é stato pubblicato CoSO Report - Internal Control. Integrated Framework - Guidance in Monitoring internal Control System11.
I documenti esaminati costituiscono il riferimento più completo al Sistema dei Controlli Interni e ad essi si ispirano sia i Codici di Autodisciplina da parte di associazioni di categoria, sia la normativa nazionale ed internazionale relativi alla Corporate Governance.
A titolo esemplificativo lo standard di riferimento proposto dal Comitato di Basilea per il Sistema dei Controlli Interni nelle banche pone fondamento sugli stessi elementi costitutivi definiti nel CoSO Report, mentre il Codice di Autodisciplina per le società quotate in Borsa riprende esplicitamente la definizione di sistema di controllo e le peculiarità del controllo interno evidenziate nel CoSO Report.
1.3 Framework di riferimento per la valutazione del Sistema dei Controlli Interni: CoSO Report I
Il Sistema dei Controlli Interni è scomponibile in cinque componenti che sono strettamente interrelate tra loro e derivano dalle modalità con le quali il management governa l’organizzazione e sono integrate all’interno dei processi gestionali.
Secondo la definizione del CoSo Report il sistema in esame si deve adoperare affinché le componenti stesse confluiscano verso i tre obiettivi di efficienza operativa, adeguatezza informativa e conformità alle norme.
Il CoSO ha recentemente aggiornato il rapporto con la pubblicazione dell’ultima versione del 2013 al fine di renderlo adeguato rispetto alle attuali necessità delle organizzazioni dal punto di vista della complessità del business, dello sviluppo tecnologico e della globalizzazione.
11 A. PESENATO, Evoluzione dei principi di revisione e legami con i documenti CoSo, in
17
Originariamente i diversi elementi sono stati rappresentati all’interno di una piramide con l’intento di rendere più comprensibile la natura ed il contributo apportato da ciascuna delle componenti il sistema.
Tale rappresentazione è stata successivamente sostituita da quella cubica nel nuovo framework del 2013, grazie alla quale è possibile osservare come tutte le componenti del sistema attraversino gli obiettivi di efficienza operativa, di adeguatezza informativa e di conformità alla normativa e come il modello possa essere implementato sia
all’azienda complessiva sia ad una singola unità di business o processo12
.
Figura 3 – Rappresentazione cubica del SCI secondo il CoSO Report I
Fonte: U. MARINELLI, Legami tra obiettivi e componenti del controllo interno
L’ambiente di controllo rappresenta la principale componente del sistema di controllo in quanto costituisce le fondamenta sulle quali fanno perno gli altri elementi/8 dell’intero sistema.
Essa determina in modo rilevante il clima organizzativo nel quale le persone esercitano le loro funzioni al fine di perseguire gli scopi comuni ed il livello di sensibilità del personale alle necessità di controllo.
L’ambiente di controllo è influenzato da diversi e molteplici fattori che contribuiscono a cementare le fondamenta su cui poter costruire l’intero sistema. L’ambiente di controllo è l’impresa stessa, ossia l’insieme delle persone che organizzano la propria attività per
12 M. ANACLERIO, A. MIGLIETTA, S. SQUAIELLA, Internal auditing, Dalla teoria alla pratica, op.
18
uno scopo comune, sulla base di valori, idee e comportamenti condivisi. Per tali motivi assumono importanza i seguenti codici di condotta:
a) Filosofia di controllo: standard di comportamento necessariamente condivisi a tutti i livelli allo scopo di rendere consapevoli del controllo tutti i soggetti coinvolti.
b) Partecipazione dei responsabili alle attività di governance: le caratteristiche dei responsabili delle attività di governance comprendono il grado di indipendenza della direzione, l’esperienza e la levatura morale, il grado del loro coinvolgimento e la frequenza delle loro verifiche. L’importanza della responsabilità attribuita a tali soggetti è riconosciuta nei codici di comportamento, in linee guida predisposte a supporto della loro azione.
I soggetti preposti alle attività di governance, inoltre, sono responsabili della supervisione della struttura e dell’efficace funzionamento di procedure di segnalazione di eventuali irregolarità.
c) Comunicazione e vigilanza su valori etici e integrità: costante impegno da parte del management nel promuovere l’adozione di comportamenti eticamente corretti al fine di influire positivamente sulla buona riuscita del sistema di controllo interno. Pertanto, appare buona prassi predisporre e diffondere a tutti i livelli dell’organizzazione un “codice etico” ossia una carta di valori in cui sono definiti i principi etici e morali a cui far riferimento nello svolgimento dell’attività aziendale per evitare o ridurre le circostanze incentivanti che potrebbero indurre il compimento di atti illegali, disonesti o non etici.
d) Considerazione dell’importanza della competenza: la competenza si esplica nelle conoscenze e nei requisiti richiesti per svolgere le mansioni ad ogni singola posizione.
e) Predisposizione di una struttura organizzativa: tale fattore fornisce il quadro di riferimento entro il quale si procede a definire, pianificare, eseguire, controllare e verificare le attività al fine di perseguire gli obiettivi prefissati.
f) Assegnazione equilibrata di poteri e delle responsabilità: si determina il grado con cui le persone sono autorizzate e incoraggiate a intraprendere iniziative per affrontare e risolvere problemi; pertanto, vengono esplicitati anche i limiti imposti ai loro poteri.
19
g) Politiche e gestione per le risorse umane: permettono la creazione di un ambiente che abbia come fine quello di promuovere un approccio fondato sulla comprensione e sull’insegnamento delle problematiche relative ai controlli e ai rischi. Tra queste rientrano le assunzioni, la gestione delle carriere, la formazione e le promozioni.
È necessario evidenziare come l’eventuale presenza di carenze relative a tali componenti comporti, in genere, l’inefficacia del sistema di controllo interno complessivo, provocando anche ingenti perdite economiche e i relativi danni all’immagine.
Per quanto riguarda la seconda componente ossia la valutazione dei rischi, si rammenta che qualsiasi organizzazione che eserciti un’attività economica è sottoposta a rischi che, se non adeguatamente fronteggiati, possono compromettere la sopravvivenza della stessa.
Al management aziendale spetta dunque la responsabilità della definizione di un profilo di rischio che sia ritenuto accettabile per l’impresa, ossia del mantenimento dell’attività imprenditoriale entro tale rischio.
L’identificazione dei rischi operativi è strettamente correlata con gli obiettivi definiti in sede di pianificazione, che corrisponde quindi al momento in cui il management stabilisce gli obiettivi strategici che l’impresa si pone di perseguire, sulla base di questi individua i rischi che possono pregiudicare il raggiungimento e fissa le azioni necessarie per il loro contenimento.
È evidente perciò che il processo di pianificazione strategica, anche se non rientra negli elementi costitutivi del sistema di controllo interna, è considerata una fase preliminare ed essenziale, soprattutto se si fa riferimento alle recenti tendenze in tema di controllo interno.
Dopo aver individuato i fattori di rischio, distinti in interni (quali la natura dell’attività svolta e la possibilità di accedere ai beni patrimoniali da parte del personale, la qualità delle metodologie adottate per la formazione, la competenza del personale) ed esterni (come la concorrenza, il progresso tecnologico, i mutamenti economici), il management procede all’implementazione di un idoneo processo di analisi degli stessi al fine di
20
operare una classificazione tenendo conto della loro significatività, ossia la loro
rilevanza nel contesto in cui opera l’impresa, e della probabilità del loro manifestarsi13
. Tale attività permette di valutare quali sono i fattori di rischio di cui è necessario svolgere un’analisi accurata allo scopo di pianificare le modalità di gestione.
In altri termini, qualora un fattore di rischio non avesse un impatto rilevante sull’azienda ovvero non avesse un’alta probabilità di verificarsi, esso potrebbe non richiedere l’attuazione di specifiche misure per la sua prevenzione e gestione. Al contrario se un fattore di rischio fosse caratterizzato da un impatto rilevante ovvero da un’alta probabilità di realizzazione, l’impresa dovrà valutare attentamente le misure per prevenire tale rischio ed essere predisposta a gestirlo una volta che esso si sia verificato
Le attività di controllo consistono in politiche e procedure che devono essere progettate ed attuate al fine di garantire che siano eseguite le misure che il management ritiene necessarie per ridurre la probabilità del verificarsi di un evento rischioso che minaccia la realizzazione degli obiettivi. Le attività di controllo, essendo meccanismi particolari che facilitano la realizzazione degli obiettivi prefissati, includono diverse attività quali ad esempio:
analisi delle performance operative
controlli fisici su beni e registrazioni
adeguata documentazione e registrazione delle operazioni
separazione delle funzioni
corretta autorizzazione di attività e transazioni
controlli indipendenti sulle operazioni effettuate
Le procedure devono necessariamente essere applicate da tutte le risorse che sono coinvolte nello svolgimento dell’attività aziendale tuttavia qualora emergessero carenze relative all’attuazione di tali procedure, queste dovranno essere oggetto di accurate analisi prima di porre in essere le dovute azioni correttive.
Tale componente assume un ruolo fondamentale nel complessivo sistema di controllo interno ed in particolare nel momento in cui si deve accertare che le procedure attivate siano adeguate rispetto agli scopi prefissati.
21
Inoltre, sussiste uno stretto legame tra l’attività di controllo e la complessità della struttura organizzativa, di conseguenza ogni impresa disporrà di proprie attività di controllo specifiche che devono essere elaborate e realizzate per consentire il raggiungimento dei propri obiettivi.
La quarta componente è rappresentata dalla comunicazione e informazione.
I sistemi d’informazione ed in senso lato le comunicazioni aziendali devono consentire agli organi di governo e ai diversi livelli della struttura organizzativa di adempiere alle proprie funzioni.
Nell’architettura di un efficace sistema di controllo interno, le informazioni fanno parte di un sistema integrato per la realizzazione degli obiettivi.
Il sistema informativo deve diffondere rilevanti informazioni, anche quelle provenienti dall’esterno, al vertice dell’organizzazione e dal vertice a tutti i suoi componenti per indurre un’adeguata gestione e controllo; tuttavia è necessario che la comunicazione, che costituisce una funzione intrinseca ai sistemi informativi, mantenga una
caratteristica di essenzialità per poter essere considerata utile14.
In altri termini, oltre a raccogliere le informazioni ritenute significative, il sistema informativo deve anche elaborarle e trasmetterle ai soggetti nella forma e nei tempi che consentono a ciascuno di assolvere alle proprie responsabilità in modo tale da permettere l’adozione di eventuali misure correttive agli eventuali problemi rilevati.
Per monitoraggio si intende quel processo che svolge la funzione di valutarne nel tempo la performance, allo scopo di garantire che funzioni anche a seguito di cambiamenti interni ed esterni all’azienda. All’interno dell’azienda deve essere implementato un processo che mira ad assicurare il corretto funzionamento del sistema di controllo interno rispetto ai mutamenti che interessano il contesto di riferimento; è possibile, infatti, che alcune procedure che in passato si riteneva fossero efficaci, possano in realtà non essere più attuabili a causa, ad esempio, della mancanza di tempo ovvero dell’inefficacia della formazione interna o della supervisione.
L’attività di monitoraggio, in particolare, si concretizza sia in un’attività di verifica periodica sia in un’attività di monitoraggio continuo dell’efficacia e dell’efficienza dei
22
controlli interni oppure in una combinazione delle due metodologie e si pone come obiettivo quello di valutare se i controlli interni sono:
a) correttamente progettati b) realizzati
c) efficaci d) idonei
Tale processo comporta quindi un’accurata valutazione del modo in cui i controlli sono concepiti, dei tempi d’esecuzione e dei modi in cui sono adottate le modifiche necessarie in caso siano rilevate eventuali carenze ed anomalie oppure opportunità di miglioramento del sistema di controllo interno.
1.3.1 Le principali novità introdotte con la revisione del 2013
Con la revisione del CoSO Report avvenuta nel 2013, pertanto, sono stati introdotti alcuni aspetti innovativi rispetto al framework di riferimento proposto nel 1992.
Innanzitutto, occorre rilevare come alcuni connotati siano rimasti invariati quali la definizione di controllo interno, la struttura con i relativi elementi e i metodi utilizzati per valutare il sistema di controllo interno; il giudizio fornito dal management in merito alla valutazione assume ancora un’importanza fondamentale.
Il nuovo framework ha tuttavia introdotto alcune novità tra cui:
l’approccio basato sui principi correlati alle componenti di controllo già
identificate;
una maggiore enfasi in merito alla definizione degli obiettivi in quanto non si
ritiene un elemento che possa essere integrato nel sistema di controllo interno;
il riconoscimento della rilevanza sempre maggiore della tecnologia;
una focalizzazione particolare ai temi della governance, in particolare in
relazione agli organi di governo e di controllo a cui compete la responsabilità del sistema di controllo interno;
l’ampliamento degli obiettivi di reporting finanziario, che ora si distinguono in
23
Particolare attenzione merita l’approccio basato sui principi poiché il CoSO Report al fine di facilitare una corretta valutazione sull’efficacia del sistema di controllo interno fornisce alcuni principi correlati a ciascuna componente, che prima avevano solo carattere implicito mentre ora sono evidenziati esplicitamente come illustrato nella Tabella 1, e il management valuta fino a che punto essi siano presenti ed il loro funzionamento nell’organizzazione.
Tabella 1 – Le 5 componenti e i 17 principi introdotti nel 2013
Fonte: Deloitte, Audit Committee Brief, Marzo 2014
Esaminando in dettaglio alcuni dei principi ritenuti particolarmente significativi, si
analizzano fondamentali requisiti che il nuovo modello descrive esplicitamente15.
Il secondo principio prevede che al vertice dell’organizzazione ci deve essere il Consiglio di Amministrazione a cui compete il ruolo di valutare autonomamente i migliori obiettivi e di monitorare il loro perseguimento; in altri termini, tale principio richiede che il CdA possieda un’adeguata esperienza e capacità di comprensione di elementi quali il settore di riferimento, il mercato e le esigenze dei propri stakeholders.
15
24
Nel terzo principio è richiesta la dotazione di una struttura organizzativa flessibile nella definizione delle linee di comando e nell’attribuzione delle responsabilità in linea con gli obiettivi che si intende realizzare.
Il settimo principio stabilisce che gli obiettivi dell’azienda debbano essere concepiti al fine di poter consentire un’analisi dei rischi sulla loro realizzazione. A tal proposito si rammenta, dall’ottavo principio, che l’analisi non debba riguardare esclusivamente rischi che derivano da mutamenti dell’ambiente esterno ma anche quelli riconducibili a fattori di natura interna come l’eventualità che si possano commettere frodi per il raggiungimento degli stessi.
Infine, gli ultimi principi evidenziano chiaramente come l’organizzazione debba acquisire e diffondere informazioni di qualità durante lo svolgimento delle complessive attività aziendali.
In definitiva l’ultima versione del CoSO Report ha introdotto, anche grazie ai principi appena menzionati, nuovi requisiti e ha reso più agevole l’interpretazione dei vecchi, in un quadro più articolato e ben delineato.
1.4 Gli attori del Sistema dei Controlli Interni
Il sistema di controllo interno consiste in un continuo processo di attività posto in essere da una pluralità di soggetti, definiti attori del sistema di controllo interno. Costoro sviluppano ed attuano diverse tecniche e strumenti al fine di garantire non solo il rispetto dei corretti principi di gestione e di amministrazione dell’impresa, ma anche l’adeguatezza degli assetti organizzativi e l’efficacia delle procedure orientate al conseguimento degli obiettivi aziendali.
In azienda tutto il personale, perciò, partecipa al controllo16, anche se ci sono differenze
nei ruoli, nelle attività e nelle responsabilità che ogni componente si assume per esplicare le proprie competenze.
Ai fini di una corretta identificazione degli attori del sistema di controllo interno, si procede alla distinzione tra controlli interni e controlli esterni, sebbene la definizione della linea di demarcazione tra le due tipologie non sempre appare agevole.
25
I controlli interni operano nel tessuto organico del sistema aziendale essendo concepiti e gestiti come espressioni di razionalità della volontà decisionale e realizzativi dell’impresa mentre i controlli esterni operano sul tessuto organico della struttura aziendale in quanto si collocano al di fuori del sistema di riferimento, allo scopo di tutelare gli interessi di coloro che interagiscono con il sistema stesso (revisori esterni,
Banca d’Italia, CONSOB, ISVAP)17
.
E’ doveroso, tuttavia, evidenziare come possano verificarsi questioni di collocazione con riferimento ad alcuni soggetti, quale il Collegio Sindacale, che si collocano al confine tra questi due elementi; di conseguenza si procede all’adozione di assunzioni semplificatrici che consentono di includere tale attore nell’ambito del controllo interno. Di seguito si procede all’analisi dei principali attori del sistema di controllo interno descrivendo sinteticamente i ruoli attribuibili a ciascuno di essi in conformità alle disposizioni di legge e di regolamento vigenti, nonché alle raccomandazioni contenute nel Codice di Autodisciplina.
1.4.1 Il Consiglio di Amministrazione
Il Consiglio di Amministrazione, in quanto principale artefice del governo aziendale, rappresenta l’organo centrale del sistema di controllo interno nell’ambito della propria principale funzione di indirizzo e di valutazione dell’adeguatezza del sistema stesso. Esso definisce le condizioni tramite cui poter attivare meccanismi, processi e strumenti adeguati per favorire l’economicità della gestione, l’efficienza e l’efficacia del sistema
informativo nonché la conformità alle norme legislative18.
Il Consiglio di Amministrazione, previo parere del Comitato per il controllo interno19:
a) definisce le linee di indirizzo del sistema di controllo interno, in modo che i principali rischi afferenti all’emittente e alle sue controllate risultino correttamente identificati, nonché adeguatamente misurati, gestiti e monitorati, determinando inoltre criteri di compatibilità di tali rischi con una sana e corretta gestione dell’impresa;
17 M. COMOLI, I sistemi di controllo interno nella corporate Governance, EGEA, Milano, 2002, p. 36. 18 G.D’ONZA, Il sistema di controllo interno nella prospettiva del Risk management, op. cit., p. 235. 19 Cfr. A.BIANCHI, Le responsabilità dell’organo amministrativo e di controllo, IPSOA, Assago, 2009.
26
b) individua un amministratore esecutivo (di norma, uno degli amministratori delegati) incaricato di sovrintendere alla funzionalità del sistema di controllo interno;
c) valuta, con cadenza almeno annuale, l’adeguatezza, l’efficacia e l’effettivo funzionamento del sistema di controllo interno;
d) descrive, nella relazione sul governo societario, gli elementi essenziali del sistema di controllo interno, esprimendo la propria valutazione sull’adeguatezza complessiva dello stesso.
I codici nazionali ed internazionali che definiscono le best practices nell’ambito del governo societario riconoscono l’importanza dell’attività posta in essere dall’organo amministrativo per favorire e migliorare il sistema di controllo interno. Anche il Codice di Autodisciplina di Borsa Italiana assegna al CdA il compito di stabilire le linee guida del controllo interno, allo scopo di identificare, misurare e gestire i principali rischi. La definizione delle linee guida richiede l’implementazione di diverse attività fra cui le più rilevanti sembrano essere: la definizione dell’assetto organizzativo del sistema e la diffusione di una cultura aziendale che favorisca un’attività di controllo diffusa in azienda20.
In merito al primo punto, al Consiglio di Amministrazione spetta la responsabilità di individuare gli organi da istituire al fine di poter gestire efficacemente il sistema. Esso, infatti, può decidere di costituire al suo interno un Comitato per il Controllo Interno, se nominare un Organismo di Vigilanza ex D.Lgs. 231/2001 e se creare altri organi quale la funzione Internal Auditing.
Per quanto riguarda il secondo aspetto, al fine di garantire un corretto funzionamento del sistema di controllo, si è più volte sottolineato che è necessario che il CdA crei un ambiente interno che favorisca l’attuazione dei meccanismi che sono stati creati.
In particolare, oltre ad approvare compiti e responsabilità assegnate alla funzione di Internal Auditing, ne garantisce piena autonomia ed indipendenza dotando tale funzione di un’adeguata struttura e di risorse idonee ai compiti attribuiti, e assicurandone una posizione nell’organigramma in collegamento diretto con l’Alta Direzione: Inoltre esso fornisce informazioni sulle attività di controllo al Collegio Sindacale e scambia flussi informativi con la Società di Revisione.
27
Il Codice di Autodisciplina mette in evidenzia che tale attore esercita le proprie funzioni tenendo in adeguata considerazione i modelli di riferimento e le best practices esistenti in ambito nazionale ed internazionale.
1.4.2 Il Comitato per il controllo interno
Il Codice di Autodisciplina auspica la costituzione di un Comitato per il controllo interno all’interno del Consiglio di Amministrazione, un organo composto da amministratori non esecutivi ed in maggioranza indipendenti, al quale sono attribuite funzioni consuntive e propositive.
Il comitato assolve a diverse funzioni, quali quelle di21:
fornire supporto al Consiglio di Amministrazione nella definizione delle linee
guida del sistema di controllo, nella valutazione dell’adeguatezza ed operatività, verificando che i rischi siano stati individuati e gestiti nella maniera più opportuna;
valutare il corretto utilizzo dei principi contabili e, nel caso dei gruppi, la loro
omogeneità ai fini della redazione del bilancio consolidato;
esaminare il piano di lavoro elaborato dai preposti al controllo interno nonché le
relazioni periodiche da essi predisposte;
valutare le proposte formulare dalle Società di Revisione per ottenere
l’affidamento del relativo incarico, nonché il piano di lavoro predisposto per la revisione e i risultati esposti nella relazione e nella eventuale lettera di suggerimenti;
vigilare sull’efficacia del processo di revisione contabile;
riferire al consiglio, almeno semestralmente in occasione dell’approvazione del
bilancio e della relazione semestrale, sull’attività svolta nonché sull’adeguatezza del sistema di controllo interno.
21 M. ANACLERIO, A. MIGLIETTA, S. SQUAIELLA, Internal auditing. Dalla teoria alla pratica, op.
28
Tale attore, pertanto, assume una funzione di coordinamento tra i differenti organi di controllo dell’impresa ed il CdA; al fine di svolgere tale compito esso dovrà necessariamente interagire con il responsabile dell’Internal auditing, con la società di Revisione esterna, con il Presidente del Collegio Sindacale (il quale deve partecipare alle riunioni del Comitato), in modo tale da poter disporre di informazioni fondamentali per permettere all’organo amministrativo di valutare l’adeguatezza del sistema di controllo interno.
1.4.3 Il Collegio Sindacale
Il Collegio sindacale rappresenta l’organo di controllo coinvolto nel sistema di controllo interno, il vertice della vigilanza, disciplinato sia da molteplici disposizioni del Codice Civile che dettagliatamente nel TUF, ossia il D.lgs. 58 del 1998, cosiddetta “Legge Draghi”. L’organo in esame può contribuire allo sviluppo di controllo integrato, date le sue attribuzioni proprio in materia di controllo.
I compiti assegnati a tale organo sono stati modificati a seguito dei molteplici cambiamenti normativi in ambito di governo societario. Alle società quotate, ad esempio, la legge Draghi ha affidato al CS puntuali doveri di vigilanza, quali l’osservanza della legge e dell’atto costitutivo, il rispetto dei principi di corretta amministrazione e l’adeguatezza della struttura organizzativa della società, del sistema di controllo interno e del sistema amministrativo-contabile, nonché l’affidabilità di
quest’ultimo nel rappresentare correttamente i fatti di gestione22
.
L’attività di vigilanza sul controllo interno viene implementata su due livelli23
, ossia una vigilanza indiretta di generica supervisione sull’attività realizzata dagli organi di controllo (incaricati a svolgere attività di controllo indiretto sul perseguimento degli obiettivi di economicità e di attendibilità del sistema informativo); e una vigilanza diretta e un attento monitoraggio dei controlli esistenti di conformità alla normativa vigente.
22 G.D’ONZA, Il sistema di controllo interno nella prospettiva del risk management, op. cit., p. 240-241. 23 Cfr. E. PARRETTA, Controllo interno e assicurazioni, FrancoAngeli, Milano, 2007.
29 A tal proposito, i Sindaci devono:
1. valutare adeguatezza della struttura organizzativa, delle responsabilità delle diverse aree e delle deleghe di poteri;
2. esaminare l’operato delle unità interne ed esterne aventi finalità di controllo; 3. monitorare le azioni atte a migliorare il sistema di controllo interno, fornendo
informazioni all’Organo Amministrativo.
Pertanto, le attività del Collegio hanno come oggetto non soltanto l’attendibilità del sistema informativo per i dati sia gestionali che di bilancio e il rispetto delle norme e regolamenti vigenti, ma anche l’economicità ed efficienza ed efficacia delle operazioni
aziendali, in conformità agli obiettivi fissati dal Consiglio24.
In relazione ai compiti che gli sono stati attribuiti, il Collegio Sindacale si pone al centro dei flussi informativi che si sviluppano tra i diversi attori interni ed esterni con cui esso interagisce.
Nel caso in cui sia istituito un Comitato per il Controllo Interno, il Codice di Autodisciplina richiede di rilevare che le modalità operative e la composizione del Comitato per il controllo interno siano idonee a garantire all’organo le adeguate competenze, la metodologia di valutazione dell’adeguatezza sia riferita alle singole unità organizzative e, inoltre, che vengano implementati gli interventi necessari sulle unità considerate critiche.
Qualsiasi considerazione elaborata dal Collegio sindacale nell’ambito delle sue funzioni deve essere presentata dinnanzi al Consiglio di amministrazione, il quale successivamente porrà in essere le eventuali azioni correttive.
Tale organo può avvalersi della funzione di Internal Auditing al fine di svolgere verifiche su specifiche aree operative ovvero operazioni aziendali e richiedere alla Società di revisione le informazioni necessarie per il controllo di propria competenza.
1.4.4 L’Organismo di Vigilanza ex D.lgs. 231/2001
Una tappa determinante per l’ampliamento delle prospettive del sistema di controlli aziendali è stata l’emanazione del Decreto Legislativo 231/2001 che ha introdotto nel
30
nostro ordinamento la disciplina sulla responsabilità amministrativa degli enti25. La
disciplina in esame ha ampliato il quadro degli attori del controllo interno prevedendo l’istituzione della figura dell’Organismo di Vigilanza (OdV), dotato di autonomi poteri di iniziativa e di controllo la cui missione consiste nelle seguenti azioni:
a) effettuare verifiche sulle attività o operazioni identificate nelle aree a rischio, coordinandole con quelle riconosciute e affidate ai responsabili di unità, per
valutare l’osservanza e il corretto funzionamento del modello
organizzativo/gestionale;
b) vigilare sull’osservanza della normativa da parte dell’organizzazione e sui singoli comportamenti materiali che con la stessa possono porsi in contrasto; c) vigilare sull’aggiornamento e sull’adeguatezza dei protocolli rispetto alle
esigenze di prevenzione dei reati;
d) vigilare sul sistema di deleghe, con l’obiettivo di garantire la coerenza tra i poteri conferiti e le attività in concreto implementate;
e) promuovere adeguate iniziative al fine di diffondere conoscenza e comprensione del modello;
f) coordinarsi con le differenti funzioni aziendali per valutare l’adeguatezza e le esigenze di aggiornamento del modello;
g) valutare le segnalazioni di possibili violazioni ovvero inosservanze del modello; h) attivare e svolgere inchieste al fine di acquisire ulteriori elementi di indagine; i) proporre al Consiglio di Amministrazioni eventuali modifiche al modello. I due principali compiti affidati all’OdV consistono, perciò, nella verifica dell’efficace funzionamento e dell’osservanza del “modello 231” e nell’aggiornamento dello stesso. Di conseguenza, questo organismo può svolgere una funzione di impulso allo scopo di favorire la creazione di protocolli di controllo nelle aree aziendali più critiche, per prevenire i rischi-reato previsti dalla norma. Tale funzione avrà come principale destinatario l’unità di Internal auditing di cui si avvale per l’attuazione delle verifiche sui modelli di organizzazione, gestione e controllo. Un altro soggetto con il quale l’OdV dovrà interagire è il dirigente preposto alla redazione dei documenti contabili e societari, in quanto nelle loro competenze si
25 M. ANACLERIO, A. MIGLIETTA, S. SQUAIELLA, Internal auditing. Dalla teoria alla pratica, op.
31
riscontra un’area di interesse comune rappresentata dal controllo amministrativo-contabile26.
1.4.5 Preposti al controllo interno
Il Codice di Autodisciplina raccomanda la nomina di uno o più soggetti preposti al controllo interno, che di regola si identificano con la funzione di internal audit, di verificare che il sistema di controllo interno sia sempre adeguato, pienamente operativo e funzionante, riferendo al comitato per il controllo interno, al Collegio sindacale e se necessario anche all’amministratore esecutivo.
Tali soggetti non sono responsabili di alcuna area operativa e non dipendono gerarchicamente da alcun responsabile di aree operative; inoltre, sono liberi da vincoli
gerarchici nei confronti dei soggetti sottoposti al loro controllo27.
E’ necessario evidenziare che l’indipendenza operativa è una condizione particolarmente essenziale, poiché consente al Preposto al controllo di avere la possibilità di identificare i comportamenti, le azioni e le procedure non in linea con il processo di creazione di valore per tutti gli stakeholders.
Per il responsabile del controllo interno è previsto l’obbligo di tenere un registro dei controlli, in cui annotare le verifiche attuate, gli eventuali aspetti critici rilevati ed i suggerimenti proposti al fine di risolverli. Egli deve anche trasmettere al CdA, almeno una volta l’anno in concomitanza dell’esame del bilancio, un’apposita relazione che specifichi l’oggetto delle verifiche effettuate, gli esiti e le eventuali proposte e il piano delle verifiche programmate per l’anno successivo.
Nell’assolvimento dei propri doveri, il preposto deve essere dotato dei mezzi necessari e avere a disposizione tutte le informazioni aziendali utili.
26
G. D’ONZA, Il sistema di controllo interno nella prospettiva del risk management, op. cit., pp. 242-244.
27 M. ANACLERIO, A. MIGLIETTA, S. SQUAIELLA, Internal auditing. Dalla teoria alla pratica, op.
