Il sistema di controllo interno 1. - shop.wki.it · nonché le norme in materia di revisione legale...

https://shop.wki.it/Ipsoa/Libri/La_valutazione_del_sistema_di_controllo_interno_s390243.aspx?utm_source=estpdf&utm_medium=shopwki&utm_campaign=estratto

Il sistema di controllo interno 1.

IPSOA – La valutazione del sistema di controllo interno 3

1.1. INTRODUZIONE: IL SISTEMA DI CONTROLLO INTERNO PER LE IMPRESE QUOTATE E LA CORPORATE GOVERNANCE1

Il presente capitolo intende analizzare le caratteristiche e le finalità del sistema di controllo interno delle imprese, prendendo in esame in particolare quelle quotate. Esse, infatti, presentano normalmente una serie di specifiche caratteristiche orga-nizzativo-strutturali interne e sono soggette ad un “impianto normativo” molto più articolato, che richiede il rispetto di determinati requisiti formali e sostanziali. Ciò non vuol dire, tuttavia, che i riferimenti metodologici e regolatori più appresso specificati - e rilevati da quanto di più aggiornato esiste in materia di controlli in-terni - non debbano costituire un indirizzo e un momento di meditazione anche per le società non quotate. Le norme di legge introdotte nel tempo (si vedano ad esempio il codice civile e le riforme sul diritto societario, il Testo Unico della Finanza, il D.Lgs. 231/2001, nonché le norme in materia di revisione legale dei conti, il codice di autodisciplina per le società quotate, i regolamenti delle autorità di vigilanza, ecc.) hanno posto una grande attenzione sugli organi aziendali di gestione e controllo ed hanno con-tribuito ad allineare il quadro normativo italiano alle best practices internazionali in materia. A questo proposito, nel dicembre del 2011 il comitato per la corporate governance ha emanato la nuova versione del codice di autodisciplina, il quale ha inserito di-verse novità soprattutto in materia di governance e sistemi di controllo. Diversi sono pertanto gli “enti istituzionali” che si inseriscono nella governance a-ziendale, quali ad esempio il consiglio di amministrazione, il comitato controllo e rischi, il dirigente preposto alla redazione dei documenti contabili societari, il col-legio sindacale, la società di revisione legale, l’organismo di vigilanza, il responsabi-le della funzione di Internal Audit, la stessa funzione di Internal Audit ecc., che pur avendo naturalmente compiti, ruoli e funzioni profondamente diversi, sono tutti intimamente connessi con il disegno, la progettazione, la verifica e il monito-raggio del sistema di controllo interno. Come si vedrà nei successivi paragrafi, il sistema di controllo interno è lo strumen-to indispensabile per raggiungere gli obiettivi aziendali (operando costantemente in condizioni di efficacia ed efficienza) ed evitare contestualmente sprechi di risorse, salvaguardare il patrimonio aziendale (considerando ad esempio la sottrazione o la distruzione di beni aziendali, anche intangible), produrre informazioni contabili e

1 Il presente capitolo, pur essendo il frutto di un lavoro congiunto tra gli Autori, è idealmente attribuibile a Pierantonio Piana, ad eccezione del par. 1.2.4 che è stato redatto da Flavio Servato.

1. Il sistema di controllo interno

4 IPSOA – La valutazione del sistema di controllo interno

gestionali affidabili, rispettare le strategie, le politiche e le procedure aziendali e so-prattutto garantire al conformità alle norme di legge e regolamentari. Specialmente nell’attuale contesto economico, caratterizzato da instabilità e crisi, le imprese devono adottare dei sistemi di controllo in grado di garantire la “buona ge-stione aziendale”, operando sempre nel rispetto dei principi di etica e trasparenza e provvedendo costantemente all’analisi e alla gestione dei principali rischi aziendali. Bisogna ricordare, infatti, che le imprese sono dei sistemi per loro natura “com-plessi” in cui i valori aziendali devono essere chiaramente identificati e trasmessi dal top management a tutta la struttura aziendale: sarà proprio il Vertice Aziendale (a cominciare dal consiglio di amministrazione e dall’amministratore delegato) che con il suo comportamento potrà creare (oppure non creare) una vera e propria cul-tura dell’etica, della trasparenza e del controllo, che se correttamente recepita ed assimila-ta da tutta la struttura aziendale consentirà il reale successo del sistema di controllo interno adottato. Solo in questo modo l’impresa sarà in grado di contribuire attivamente al suo mi-glioramento e potrà generare una vera e propria “creazione di valore”, orientata non solo agli shareholders, ma anche a tutti gli stakeholders aziendali. Nel corso del presente capitolo verranno analizzate le principali caratteristiche del sistema di controllo interno, approfondendo in particolare i contenuti e le metodo-logie per la sua realizzazione, oltre agli obiettivi e alle componenti del sistema. In seguito saranno illustrati i vari “attori” della governance (anche alla luce delle re-centi novità in merito) che sono coinvolti nella progettazione, verifica e monito-raggio del sistema di controllo interno e di gestione dei rischi, per poi affrontare il ruolo della funzione di Internal Audit, che è di fatto il “garante” dell’affidabilità del sistema ed agisce come un vero e proprio “cardine” nei confronti dei diversi attori aziendali.

1.2. IL SISTEMA DI CONTROLLO INTERNO E DI GESTIONE DEI RISCHI, CONTENUTI E METODOLOGIE PER LA SUA “COSTRUZIONE”

1.2.1 L’approccio Governance, Risk & Control (GRC) quale presupposto fondamentale del sistema di controllo interno e di gestione dei rischi

Riprendendo la definizione riportata nel codice di autodisciplina delle società quo-tate emanato nel dicembre 2011 (art. 7.P.1), il sistema di controllo interno è definito come “l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire l’identificazione, la misurazione, la gestione e il monitoraggio dei principali rischi”. Sempre nel-lo stesso articolo, il codice inoltre sottolinea rispetto alle versioni precedenti che “tale sistema è integrato nei più generali assetti organizzativi e di governo societario adottati dall’emittente e tiene in adeguata considerazione i modelli di riferimento e le best practices in am-bito nazionale ed internazionale”.



Appare pertanto di fondamentale importanza analizzare le varie componenti del sistema; si evince infatti che, al fine di pervenire all’aurea aspettativa di una condu-zione dell’impresa funzionale agli obiettivi di business e rispettosa delle regole in-terne ed esterne all’azienda (quali ad esempio le leggi dello Stato), i fondamentali concetti introdotti e sottolineati da Borsa Italiana in tema di controllo interno sono sostanzialmente: • la presenza di un sistema organico che detti le regole dei comportamenti di chi opera

in azienda; • l’esigenza di svolgere una pervasiva e strutturata analisi dei rischi di controllo, così

come chiaramente ribadito anche dal nuovo codice di autodisciplina; • l’esistenza di una struttura organizzativa aziendale che svolga adeguati controlli affinché

tali regole siano rispettate. • la progettazione – come emerge anche dal nuovo codice di autodisciplina – di

sistemi di controllo interni sempre più integrati. La suddetta sequenza di passi logici è denominato, dalla dottrina e dalle metodolo-gie applicate nell’impresa, Governance, Risk & Control, dove per GRC (Tavola 1.1) si può intendere: • un’idea di governo d’impresa, in quanto l’approccio del GRC può essere realizzato

solo se il Vertice Aziendale ed il management hanno ben chiara e condividono l’impostazione fondamentale che l’impresa va gestita passando attraverso un buon sistema di controllo interno, dove devono essere presenti regole, mezzi ed organizzazione, dove vanno prefigurate, valutate e gestite per tempo le mi-nacce e dove esistono enti e strutture dedicate a verificare con piena autonomia e professionalità il rispetto delle suddette regole (es. Internal Audit);

• un percorso logico e strutturato, in quanto l’azienda deve porre in essere le singole componenti del GRC secondo una sequenza che sia compatibile con le aspetta-tive e con l’ottimizzazione del risultato finale (definizione delle regole “del buon governo”, analisi dei rischi ed impostazione dei meccanismi di controllo periodi-co);

• un framework informatizzato, in quanto, per dare concretezza al GRC, è utile, se non indispensabile, disporre di uno strumento integrato in grado di gestire tut-to il processo logico che sarà descritto nel corso del presente volume.



Tavola 1.1 - Il circuito virtuoso dell’approccio governance, risk and control (GRC)

In altre parole, un buon sistema di controllo interno non può prescindere dalla presenza organizzata di componenti “soft” (uno stile di direzione positivo verso un approccio etico al business che deve permeare il modo di essere in azienda sia del Vertice Aziendale e del Management e sia del personale operativo interno e del personale esterno che svolge compiti per conto della società) e di componenti “hard” (organizzazione operativa e di controllo, procedure, strumenti di previsione e di valutazione, mezzi informatici ecc.). Viene sottolineato, altresì, che la qualità del sistema di controllo interno migliora se viene svolta una periodica e strutturata risk analysis in grado di mettere in luce or-ganicamente e fronteggiare preventivamente le minacce di natura strategica, opera-tiva e di compliance legislativa che incombono sul cammino d’impresa e sulle sue di-fese, minacce che lo stesso sistema di controllo interno non è in grado di contra-stare. In senso lato, estendendo i principi del Codice, è auspicabile un’opera di prevenzione (l’agire prima), piuttosto che rincorrere gli eventi negativi quando que-sti si sono già manifestati (l’agire dopo). Appare evidente che, oltre a quanto detto sinora, tra i vari output dell’analisi dei ri-schi si può annoverare anche quello di fornire precise indicazioni circa l’ottimale dimensionamento, organizzazione e costo del sistema di controllo interno: va ri-cordato, infatti, che il sistema di controllo interno deve essere dimensionato in re-lazione alle effettive minacce di business, di mercato, di contesto, legislative e giu-slavoristiche ecc. e non può essere sproporzionato (per difetto o per ecces-



so)rispetto all’impatto negativo che le minacce stesse potrebbero comportare per gli obiettivi d’impresa. Ciò premesso, si può concludere che l’approccio GRC (Tavola 1.2) rappresenta il “cuore” del buon governo d’impresa, in quanto è in grado di supportare e “compatibiliz-zare” le seguenti variabili fondamentali: • definizione degli obiettivi d’impresa (es.: meccanismi di definizione, valutazione e

convalida degli obiettivi economico, finanziari e patrimoniali, di mercato, di qualità del servizio/prodotto, di customer satisfaction, di clima interno ecc);

• elaborazione di un modello strategico di business, correlato alle strategie definite, in termini di organizzazione, tecnologie ecc.;

• elaborazione di un modello di controllo, compatibile con il modello di business, in termini di strumenti di previsione e controllo, policy, procedure, mezzi infor-matici ecc.

Tavola 1.2 - GRC compatibilizza le variabili fondamentali dell’impresa

1.2.2 Gli obiettivi e le componenti del sistema di controllo interno e di gestione dei rischi

Riprendendo i concetti del punto precedente a proposito del GRC, l’elaborazione di un sistema di controllo, compatibile con le regole del buon governo e con il modello di business aziendale, deve essere costruito tenendo conto degli obiettivi fondamentali del sistema stesso, da cui derivano le sue componenti.



Gli obiettivi del sistema di controllo interno

Quali sono le aspettative che il board, il management e gli enti istituzionali si at-tendono dal Sistema di controllo interno? Ebbene, gli obiettivi che il sistema di controllo interno comporta sono sostanzialmente legati alla garanzia di condizioni di economicità, con prospettive di duraturo sviluppo dell’impresa nel tempo. In particolare, ci si riferisce alle aspettative qui appresso delineate2: • rispetto delle Leggi dello Stato; la primaria esigenza del sistema di controllo mira ad

evitare che l’impresa ed il management risentano di comportamenti non corret-ti da parte di quei soggetti, apicali e non, che per vari motivi, personali o azien-dali, commettano dei reati previsti dalle ormai numerose disposizioni in tema di corporate governance (ad es.: D.Lgs. 231/2001, Legge 262/2005 ecc.);

• rispetto delle strategie, delle politiche e delle procedure, qui il sistema di controllo, oltre a prevedere un’adeguata presenza e diffusione del quadro dispositivo aziendale, deve ricomprendere quelle attività atte a verificare il rispetto dei disposti strate-gici, delle deleghe assegnate e delle regole operativo/tattiche. Ciò con la finalità di garantire sia la comunicazione ed il rispetto delle indicazioni vitali per l’impresa (ad evitare che la struttura non rispetti le decisioni di Vertice con pe-santi impatti sui risultati) e sia la conoscenza ed il rispetto delle regole gestionali ed operative che indicano il “modus operandi” nelle varie attività aziendali (ad evitare che chi opera, per ignoranza, o per volontà adotti modalità di lavoro di-verse da quelle indicate, con possibili pesanti impatti sulla redditività della ge-stione);

• tutela del patrimonio; il sistema di controllo, nella fattispecie, deve garantire la tu-tela di tutti beni aziendali e di ogni tipologia e caratteristica. In particolare ci si riferisce alla protezione del patrimonio materiale (beni materiali, attrezzature, da-naro, strumenti ecc.), del patrimonio immateriale (dati, know-how, brevetti, studi e ricerche, informazioni riservate ecc.) e del patrimonio umano (con riferimento ad esempio alla sicurezza nei luoghi di lavoro);

• affidabilità delle informazioni contabili e gestionali, ovvero la presenza dei controlli le-gati alla bontà e qualità sia dei dati contabili, ai fini della certificazione del bilancio,

2 Per approfondimenti sul sistema di controllo interno si veda tra tutti: G. D’Onza, Il sistema di controllo interno nella prospettiva del risk management, Giuffrè, 2008; Price Waterhouse Coopers (a cura di), Il sistema di controllo interno. Un modello integrato di riferimento per la gestione dei rischi aziendali, Il Sole 24 Ore, 2006; L. Marchi, Revisione aziendale e sistemi di controllo interno, Giuffrè, 2008; F. Massari, Corporate governance e sistema di controllo interno in realtà aziendali complesse, Cacucci, 2010; V. Cantino, Corporate governance, misurazione della performance e compliance del sistema di controllo interno, Giuffrè, 2007; M. Pierotti, Il sistema di controllo integrato. Esigenze strategiche delle moderne realtà aziendali, Giuffrè, 2008; S. Beretta, N. Pecchiari, Analisi e valutazione del sistema di controllo interno. Metodi e tecniche, Il Sole 24 Ore, 2007.



nonché della trasparenza verso gli stakeholders, e sia di quelli gestionali, affinché le risultanze “tecniche, commerciali ecc.”, nonché quelle quantitative a supporto, rappresen-tino correttamente l’andamento della gestione (es. tableau de bord) e consentano al management di assumere le più corrette decisioni aziendali, i cambi di strategia, le modificazioni tattiche sul mercato ecc.;

• efficienza ed efficacia delle operazioni; qui il sistema di controllo si deve porre l’obiettivo di creare le condizioni affinché i processi aziendali, quali essi siano, prevedano un’operatività mirata all’obiettivo assegnato, senza deviazioni di sor-ta (efficacia), e ottimizzino le risorse impiegate, evitando sprechi, ridondanze, sovrapposizioni ecc. (efficienza).

Tutto ciò premesso, appare evidente che un sistema di controllo mirato al conse-guimento di tali aspettative, dovrebbe essere in grado di fornire trasparenza conta-bile e gestionale, etica e correttezza dei comportamenti, ottimizzazione delle attivi-tà, protezione delle risorse di ogni tipo ecc., fornendo all’impresa un’immagine di sé che non può che generare ricadute positive dal mondo esterno che la circonda, sulla soddisfazione e sulla serenità di chi opera, sulla valutazione economico-finanziaria della stessa.

Le componenti del sistema di controllo interno

Dovendo conseguire gli obiettivi citati nel paragrafo precedente, come riportato nella Tavola 1.3, il sistema di controllo interno è un’entità articolata e complessa, assimilabile ad una “galassia” di componenti tra loro strettamente interrelati ed or-ganizzati, che tende al conseguimento degli obiettivi enunciati in precedenza.



Tavola 1.3 - Le componenti operative dei sistema di controllo interno e di gestione dei rischi

Analizzando ogni componente della galassia, si possono trarre le seguenti conside-razioni: • Organizzazione, procure e deleghe, è la componente fondamentale di ogni sistema di

controllo; solo se sono ben chiari i compiti, le dipendenze organizzative, le re-sponsabilità ed i livelli di autonomia (in sostanza “chi fa che cosa”) l’organizzazione può funzionare adeguatamente, con precisione circa gli ambiti di attività, senza sovrapposizioni, ridondanze e, magari, vuoti di responsabilità. Altrettanto importante è la presenza di un idoneo sistema delle procure a svolgere operazioni che impattano finanziariamente sui conti dell’azienda (ci si riferisce a quelle formali assegnate con atto pubblico ai Vertici dell’azienda, ovvero ai procuratori) e, di conseguenza, al correlato sistema delle deleghe interne, ovvero l’assegnazione di autonomie decisionali – da parte dei citati procuratori, ai diri-genti e funzionari aziendali – in relazione ai compiti loro assegnati. Da tale or-ganizzazione discende la possibilità di legare le prestazioni agli aspetti retributi-vi, con ovvi benefici nel conseguimento degli obiettivi aziendali.

• Strategie, policies e processi, procedure e istruzioni di lavoro, ovvero il quadro dispositivo aziendale indispensabile per abbinare il “chi fa che cosa” al “come fare”. Il quadro dispositivo aziendale si articola su più livelli, tra loro interrelati e conseguenti, che via via rendono più analitico e più profondo l’aspetto normativo interno; in particolare, la presenza e la comunicazione di strategie formalizzate alla struttura comporta un maggiore coinvolgimento e partecipazione della stessa nel mirare consapevolmente verso gli obiettivi vitali dell’azienda (es. Piano strategico azienda-



le). La presenza di policies costituisce una fondamentale chiave di lettura del Pia-no strategico, in quanto interpreta in termini più dispositivi le “regole del gio-co”, forzatamente sintetiche, contenute nel Piano stesso; inoltre, a livello di poli-cies si possono assimilare il “Manuale della Qualità”, il “Modello di Organizza-zione e gestione D.Lgs. 231/2001” ecc. È auspicabile poi la presenza della mappatura dei processi aziendali, che consentono di definire puntualmente tutti i passaggi logici, operativi, funzionali e di responsabilità delle varie attività (di-sporre della mappatura dei processi, cui vanno abbinati i relativi process owners, rappresenta un significativo elemento di controllo per molte attività di cui trat-teremo in seguito, quali ad esempio la risk analysis, l’attività di audit, la compliance legislativa ecc). Il quadro procedurale si articola a sua volta su due livelli, le procedure gestionali, che, per ciascun processo aziendale evidenziano e rendono normaliz-zate le varie fondamentali attività processive da svolgere, le responsabilità fun-zionali correlate ecc.; mentre le istruzioni di lavoro – nell’ambito di ciascuna pro-cedura gestionale – sono di norma l’ultimo livello analitico, atto a chiarire ulte-riormente le modalità pratiche di lavoro. È molto dibattuto, a livello professio-nale, il livello di profondità al quale si deve spingere il quadro procedurale for-malizzato: ebbene, una delle soluzioni utili potrebbe essere quella di redigere sem-pre una procedura scritta laddove si tratti di attività legate al rispetto delle leggi, alla tu-tela del patrimonio, agli aspetti contabili e amministrativi, nonché alle istruzioni da forni-re a realtà territoriali diverse e lontane che sono difficilmente controllabili, mentre l’estensione delle procedure scritte per altri ambiti aziendali può essere di tipo più facoltativo (ciò per non “ingessare” l’impresa, come normalmente si dice).

• Pianificazione, marketing, programmazione e budget, validazione e controllo degli investimen-ti, contabilità industriale, pricing, controllo dei costi ecc. Ci si riferisce, in primis, a tutti gli aspetti previsionali che rappresentano l’indispensabile base di riferimento per i controlli di natura gestionale3. In effetti, solo chi programma è poi in grado di con-trollare. Inoltre, fanno parte del controllo interno tutte le attività tipiche del Con-trollo di gestione, dalle logiche budgetarie, alla validazione degli investimenti, alla definizione del livello dei prezzi di vendita di prodotto/servizio in funzione dei margini che l’impresa vuole ottenere e compatibilmente con il livello dei costi correlati. Ad oggi, per le società quotate, le informazioni previsionali, strategi-che e tattiche, di pianificazione e budget, vengono utilizzate non solo all’interno per orientare e responsabilizzare l’attività aziendale, ma anche per fornire ade-guata informativa al mondo esterno (ad es. analisti finanziari) circa l’appeal che

3 Per approfondimenti si veda tra tutti L. Brusa, Sistemi manageriali di programmazione e controllo, Giuffrè, 2000 e L. Brusa, Analisi e contabilità dei costi, Giuffrè, 2009.



l’impresa genera in tema di mercato borsistico, di acquisizione di pacchetti a-zionari e quant’altro può generare interesse nei terzi.

• Bilancio e contabilità. Stiamo parlando della più antica componente del sistema di controllo interno: in effetti, nel passato, prima dell’avvento delle tecniche di controllo di gestione e budget, il bilancio rappresentava l’unico strumento di controllo aziendale4. Oggi al bilancio – oltre a tale compito istituzionale – ven-gono assegnate responsabilità ulteriori, quali lo strumento di segnalazione al mondo esterno delle situazioni formali ed ufficiali circa le varie situazioni con-tabili infrannuali (situazioni trimestrali), che rappresentano, ovviamente per le quotate, dei fondamentali momenti di comunicazione all’esterno dello stato di avanzamento della gestione d’impresa, rispetto agli obiettivi strategici e tattici elaborati in sede previsionale. Come detto, unitamente ai dati previsionali, gli analisti finanziari ed i terzi interessati utilizzano tali informazioni in corso d’anno (e non solo a fine esercizio), per assumere le decisioni in merito alla va-lutazione del titolo in Borsa ed alla eventuale negoziazione di pacchetti azionari.

• Sistema informativo aziendale (IT) e sistema comunicazionale: l’informatica rappresenta ormai l’”ossatura hard e soft” su cui poggia l’operatività ed il sistema di controllo di ogni impresa, ossatura dalla quale non si può più prescindere, se non a prez-zo di maggiori costi di personale, di possibili imprecisioni, ritardi e di quant’altro può accadere se i processi vengono gestiti con strumenti totalmente o parzialmente manuali. Il Sistema IT è, infatti, in grado di sostituire l’uomo in numerosissime attività, specie quelle ripetitive e quelle “di massa”, garantendo, se ben costruito e controllato, precisione e correttezza. Per addivenire alla ga-ranzia che l’azienda possa contare su uno strumento IT di gestione e controllo affidabile, è, tuttavia, indispensabile che lo stesso sistema sia assoggettato (spe-cie nella messa in campo di prodotti SW elaborati all’interno o acquisiti dall’esterno) ad idonee verifiche e periodici test da parte degli enti dedicati (ad. esempio: Internal Audit, il Dirigente preposto alla redazione dei documenti con-tabili societari, la società di revisione legale ecc.). Non a caso il legislatore, per le società quotate, richiede, in nesso con il disposto della Legge 262/2005, che il Sistema IT dedicato alla gestione dei fatti amministrativi e di bilancio sia perio-dicamente sottoposto ad esame di affidabilità in tema di sicurezza elaborativa, di protezione dei dati al fine di evitare manomissioni dei dati contabili dall’esterno o dall’interno dell’impresa. Inoltre, nel contesto del D.Lgs. 231/2001, il legislatore ha previsto le fattispecie di reati che impattano nel mondo dell’informatica e ha richiesto lo svolgimento di accurati assessment sui

4 Per approfondimenti sulle funzioni del bilancio si veda tra tutti: G. Ferrero, F. Dezzani, P. Pisoni, L. Puddu, M. Campra, Contabilita e bilancio d’esercizio, Giuffrè, 2004, da pag. 5.



sistemi informativi aziendali per accertare la validità del correlato sistema di controllo e di difesa. A questo riguardo anche il codice di autodisciplina preve-de che il responsabile della funzione di Internal Audit si occupi della verifica, nell’ambito del proprio piano di audit, dell’affidabilità dei sistemi informativi, inclusi quelli di rilevazione contabile. Nella componente del sistema di control-lo che abbiamo trattato finora si può far rientrare anche il Sistema comunicazionale dell’impresa, in quanto il governo d’impresa non può prescindere dagli aspetti legati alla conoscenza dei fatti e delle situazioni numeriche della gestione: in al-tre parole, il mondo della comunicazione interna ed esterna ha assunto un ruo-lo di fondamentale importanza nell’ottica del governo d’impresa5. Per quanto concerne la comunicazione interna, appare evidente che l’azienda non deve essere un sistema rinchiuso in sé stesso, ma deve essere permeabile, in senso verticale e orizzontale, affinché le informazioni utili a diffondere strategie, obiettivi, in-formazioni e quant’altro possa essere utile ad orientare chi opera verso gli o-biettivi d’impresa, discendano agevolmente per “rami” della struttura (ovviamente, le informazioni che è giusto diffondere); come pure, è altrettanto importante la “risalita” delle informazioni di consuntivo o di “proiezione a fine esercizio” (es. re-portistica), affinché il Top Aziendale sia costantemente informato circa l’andamento della gestione verso gli obiettivi aziendali e, soprattutto, sia messo nelle condizioni di assumere le decisioni strategiche o tattiche necessarie a ri-condurre l’azienda sulla rotta prefissata6.

• Sicurezza, fisica, logica e safety. I sistemi di sicurezza dei beni materiali ed immate-riali, nonché delle risorse umane che operano nell’azienda costituiscono anch’essi una imprescindibile componente del controllo interno d’impresa. Ol-tre alla protezione dei beni materiali dell’impresa (quindi tutti dispositivi messi in campo per garantire la sicurezza degli impianti, delle apparecchiature, dei beni informatici, del danaro ecc.), sta assumendo sempre più rilevanza la protezione dei beni immateriali. In effetti, oltre all’esigenza di garantire ampia tutela ai dati, ai documenti ed alle informazioni legate al business aziendale (es. lista dei clienti dei dati gestionali interni, dei documenti per la partecipazione a gare, dei docu-menti per la formulazione di offerte, dei listini prezzi e la scontistica ecc.), va ricordato che il legislatore ha posto dei seri picchetti e significative sanzioni alla “non adeguata tutela dei dati sensibili” - custoditi dai sistemi informativi e dagli ar-chivi manuali - da azioni di hackeraggio e di intrusione da parte di soggetti interni ed esterni all’impresa (cfr. quanto richiesto dal D.Lgs. 196/2003), si pensi alla

5 Per approfondimenti si veda tra tutti I.E. Inghirami, Il sistema informativo amministrativo per la governance aziendale, Franco Angeli, 2008. 6 Per approfondimenti si veda tra tutti P. F. Camussone, Il sistema informativo aziendale, Etas, 1998.



tutela dei dati “price sensitive” per le società quotate, a garanzia che le informa-zioni che, se impropriamente (o dolosamente) diffuse possono incidere sul cor-so del titolo della società di appartenenza e generare quindi benefici impropri al management (o propri congiunti) dell’azienda stessa. In ultimo, il D.Lgs. 231/2001, acquisendo i dettami dello specifico D.Lgs. 81/2008 in tema di sicu-rezza sui luoghi di lavoro, impone alle aziende un sistema di controllo idoneo a prevenire eventuali incidenti che possono coinvolgere il personale interno o e-sterno operante nelle stesse.

• Autocontrollo, controllo gerarchico, controllo direzionale, controlli istituzionali. Il sistema di controllo interno, in questo caso, si rifà alle più antiche logiche: in effetti, la prima fondamentale componente di ogni sistema di controllo può essere riferi-ta all’individuo, al suo modo di porsi verso l’attività di cui è incaricato, il suo senso di responsabilità, in altre parole il suo “autocontrollo”. Le imprese, infatti, sono sistemi complessi7 nei quali l’elemento umano assume un peso fondamen-tale ed essenziale8, tanto che gli stessi dipendenti e collaboratori possono con i loro comportamenti contribuire attivamente al successo o all’insuccesso del si-stema di controllo interno adottato. Inoltre, salendo di livello, se l’azienda si è organizzata adeguatamente con organigrammi e job descriptions, con procedure e istru-zioni di lavoro, con sistemi di reportistica “a salire” è possibile realizzare il cosiddetto “controllo gerarchico”, che consente ai superiori gerarchici, appunto, di svolgere quell’attività di governo delle strutture dipendenti tipica di chi assume respon-sabilità via via superiori. Il controllo direzionale è invece assimilabile al “governo dell’azienda svolto dal Top management”, che consiste nel diffondere adeguatamente strategie, politiche ed obiettivi al management (e a “cascata” su tutta la struttura organizzativa) e di verificare periodicamente le performances complessive dell’impresa (utilizzando adeguati strumenti come ad esempio il tableau de bord). Infine, i controlli istituzionali sono quelli svolti dai vari attori del sistema di controllo, ovvero il Consiglio di Amministrazione, il Comitato di Controllo In-terno, l’Organismo di Vigilanza ai sensi del D.Lgs. 231/2001, l’Internal Audit, la Società di revisione legale ecc. Le caratteristiche dei vari Enti Istituzionali di controllo, in termini di origine, di composizione e di finalità in tema di corpora-te governance, saranno diffusamente analizzate nel paragrafo appositamente dedicato.

L’insieme articolato di tutte le componenti sopra descritte, costituenti il sistema di controllo interno, proprio perché è composto da più elementi complessi e note- 7 Per approfondimenti sull’approccio sistemico dell’impresa si veda tra tutti G.M. Golinelli, L’approccio sistemico al governo dell’impresa, Cedam, 2005. 8 Per un’analisi delle caratteristiche del “sistema sociale” si veda tra tutti G. Ferrero, Impresa e management, Giuffrè, 1987.



volmente diversi tra loro (si passa infatti da aspetti totalmente soft, quali ad esem-pio l’autocontrollo, ad aspetti decisamente hard, quali il Sistema IT) che meritano, proprio per la loro eterogeneità, una serie di attenzioni nella fase di implementa-zione e di manutenzione nel tempo. Non è pensabile realizzare un buon sistema di controllo interno con approssima-zioni metodologiche o con modalità operative superficiali: il sistema va costruito secondo regole ben precise e con modalità di verifica nel tempo puntuali e rigoro-se. In questo senso, ci si può rifare alle best practice internazionali, che forniscono idonei framework in materia, atti ad orientare le imprese nella progettazione, rea-lizzazione, manutenzione e valutazione dei vari meccanismi di controllo di cui si è detto. Tuttavia, la progettazione e il monitoraggio del sistema di controllo interno devono essere effettuati pensando che ogni impresa costituisce un’entità diversa dalle altre, con una propria storia, dei propri valori, degli autonomi principi ecc. Di conseguenza le regole, le procedure, le verifiche, i controlli ecc. dovranno trovare sempre una “perfetta coesione” con il sistema dei valori, con la cultura aziendale, con la “visione” del controllo e soprattutto con lo stile del top management, pena la creazione di un sistema di controllo efficace solo da un punto di vista teorico.

1.2.3 La progettazione del sistema di controllo interno e di gestione dei rischi

Il sistema di controllo interno così come è stato descritto nel paragrafo precedente va costruito secondo metodologie e framework ben precisi. I necessari riferimenti metodologici sono rappresentati dal CoSO Report e dall’Enterprise Risk Management, che, come sarà ampiamente descritto nel prosieguo della trattazione, forniscono le più idonee garanzie al management delle imprese affinché il sistema messo in campo risponda ai requisiti di affidabilità, di efficacia ed efficienza operativa.

Il modello CoSO Report

A seguito di alcuni notissimi scandali finanziari di portata internazionale, che ave-vano minato all’epoca la credibilità dell’economia e della finanza delle grandi a-ziende, e non solo, il governo USA (poi seguito da altre nazioni con altrettanti output in materia) ha promosso l’attività del Committee of Sponsoring Organization in seno alla Treadway Commission che ha prodotto, nel 1992, un framework di controllo (il CoSO Report). Tale riferimento metodologico ha lo scopo di delineare una radicale riforma dei sistemi di controllo aziendale e degli assetti societari e, se osservato ed applicato (specie dalle società quotate), permette di garantire trasparenza e corret-tezza dei dati di bilancio e finanziari dell’impresa, a beneficio degli stakeholders, ov-vero di tutti i portatori di interesse circa le vicende della stessa (si citano ad esem-

https://shop.wki.it/Ipsoa/Libri/La_valutazione_del_sistema_di_controllo_interno_s390243.aspx?utm_source=estpdf&utm_medium=shopwki&utm_campaign=estratto

Il sistema di controllo interno 1. - shop.wki.it · nonché le norme in materia di revisione legale...

Documents

Transcript of Il sistema di controllo interno 1. - shop.wki.it · nonché le norme in materia di revisione legale...